作者:魔都安全橘
又是一个美妙的周五,本橘(作者本人)还在暗搓搓地盘算着今晚可以去哪里搓顿小龙虾时,闺蜜群里七嘴八舌的讨论把我从饕餮美梦中拉回到了屏幕前,看我网络安全从业者的使命感(正气凛然状….)
“这……言外之意是……?” 本橘深深皱起了眉。
打开微博,发现了新华网关于《个人信息出境安全评估办法(征求意见稿)》的一条微博已经被转发了数万次,网友对于这个《评估办法》充满了各种疑问。看到这些以问,我的科普之魂熊熊燃烧起来。
橘老师科普时间
橘老师按:在搞清楚什么是《个人信息出境安全评估办法》(以下简称《评估办法》)之前,我们首先了解一下这个东西的出处在哪。《评估办法》是于2017年6月1日正式生效的《中华人民共和国网络安全法》的支撑条例,主要是对《网络安全法》中对于数据跨境安全的法律要求做了进一步具体化的解析。所以这并不是第一次提出个人信息出境评估要求哦!
这个《评估办法》的适用范围是什么?我会因此受到影响吗?
橘老师:敲黑板!跟我一起大声念《评估办法》第二条。“网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息,应当按照本办法进行安全评估。”
网络运营者这个概念出自于《网络安全法》,指的是网络的所有者、管理者和网络服务提供者。所以,大家个人并不属于网络运营者。由于现在大部分企业都会有网站、app、小程序,所以目前大部分在中国境内的企业(从微信、微博、豆瓣到提供线上商场业务的跨国企业中国分公司等等)都是网络运营者,属于《评估办法》的监管范畴内。
把《评估办法》的第二条翻译一下就是:首先,你得是个提供网络服务的企业或机构(像纯线下零售事业,AKA小卖部,咱就不做考虑了);其次,你得要在中中国境内运营收集个人信息;最后,你这收集的个人信息还要发往中国境外。如果以上三条,你都回答了YES,那么你就乖乖做个评估,看看你收集的个人信息到底能不能出境。
由此可见,若你是个“个人/自然人”,很大程度上你主要是这个办法的被保护对象,这个办法并不会限制你的个人生活,出境旅游、海淘购物、线上交友、追星等个人行为,但是,国家对与此相关的服务提供商的隐私和安全保护工作提出了更高的要求。这对我们个人来说是好事啊,有没有!
如果,我刚好是个网络运营者,并且有个人信息要传往中国境外。那现在是不能出境了吗?或者说很难出境吗?
橘老师:我觉得,肯定不是啦。按照现在的《评估办法》里的做法,个人信息出境前,需要到所在地的省级网信部门进行申报个人信息出境安全评估,评估通过后方能出境。而网信部门的审核评估重点在于跨境传输的合同条款,是否有过往重大安全事件,以及获得个人信息的合法正当性。所以,只要你的个人信息是正当获取的,并且有相应的合同条款保护个人信息,又无过往重大的个人信息安全事件,我觉得应该还是可以正常开展相关业务的。(那么这里还有个问题是,哪些业务场景下的个人数据处境在什么条件下是需要评估的,又如何评估呢?我们之后再做讨论。)
为什么会这么严格?我想离家出走…
橘老师:其实,这个《评估办法》的主旨是为了保护公民个人信息的安全,防范此类信息的恶意利用或传输出境后的不可控、不可管理。目前全球越来越多的国家和地区均加大了网络安全和数据保护方面的立法以及执法力度。《评估办法》不是关于个人信息保护的第一个管理规章制度,也不会是最后一个。
要真说严格,我建议大家读一读令人闻风丧胆的《General Data Protection Regulation》,即欧盟现行的《一般数据保护条例》。他们有一套类似的个人信息出境评估规则叫BCRs,是个人数据从欧盟出口到其他没有被欧盟确认满足充分性保护的国家,而提供的对个人数据足够保护的法律手段,如果企业要传输个人信息到非欧盟地区,需要提供一系列材料,其中需要包括:申请表、BCRs中承诺信息的支持文件,例如数据处理隐私政策(例如用户隐私政策,HR隐私政策);向数据主体(例如用户、雇员)告知公司对于个人数据的保护方式;可获知个人数据的雇员行为指南,指南应简单易懂;数据保护审计计划;培训项目实例及解释;证明成员代表的赔偿能力文件;内部申诉制度的描述,等等相关文件【为啥不写完?因为真的太多了!太多了!不知道跟欧洲做生意的企业还好吗?咱也不敢想,咱也不敢问啊!】
呵呵,还是先管管境内数据安全吧!
橘老师:听到这句话,我真想把过去两年内发布的与数据安全、个人信息安全相关的管理办法、专项治理新闻和新出台的各项数据安全评估指南等等堆他面前。。当然国家层面提升某一领域的保护和建设的确需要花费大量时间、人力和物力,这不是一件能立竿见影的事情。关于我国数据安全保护的最新动态,大家也可以看看我们公众号的往期精选(见文末)。
写在最后
数据安全教育任重道远,公民对于个人隐私信息的意识也逐渐觉醒、日益关注,大家一起加油吧!当然啦,以上内容都是我本人的个人意见和解读啦,我也跟大家一样期待着官方的正式发布与详细解读。