• <code id="mqsuy"><sup id="mqsuy"></sup></code>
  • <code id="mqsuy"></code>
  • <strong id="mqsuy"></strong>
  • <optgroup id="mqsuy"><blockquote id="mqsuy"></blockquote></optgroup>
  • 2019

    07/01

    02:03

    來源:
    中國網信網

    微信

    新浪

    《個人信息出境安全評估辦法(征求意見稿)》的個人用戶關注點

      2019年6月13日,國家互聯網信息辦公室發布《個人信息出境安全評估辦法(征求意見稿)》(以下簡稱《評估辦法》),公開征求社會公眾的意見。該《評估辦法》是對《網絡安全法》第三十七條的落實,其目的不是為了限制個人用戶的主動出境行為,而是為了在當前數據全球流動、許多國家和地區加強數據本地化和數據跨境流動管理的背景下,通過安全評估手段來保障數據跨境流動中的個人信息安全,防范我國境內用戶個人信息出境安全風險,促進數據依法有序自由流動。

      那么,《評估辦法》出臺后個人用戶到底需要關注什么呢?本文從個人用戶的視角,分析了《評估辦法》的制定目的(why)、適用對象(who)和風險應對措施(how)。

      《評估辦法》的制定目的:防范個人信息出境安全風險

      隨著全球數字化經濟的發展,大量數據正在跨境流動。正如個人出境游會面臨生命財產安全風險一樣,個人信息出境后也可能面臨許多安全風險和挑戰,而《評估辦法》正是為了防范個人信息出境安全風險而制定的。個人信息出境安全風險主要表現在:

      一是境外接收者數據保護能力發生變化,可能造成個人信息泄露或濫用。個人信息出境后,數據控制者從境內的網絡運營者變成境外機構,機構的數據保護能力通常會發生變化。如果境外機構沒有妥善保管個人信息,因為安全保護能力不足、安全漏洞、黑客攻擊等原因導致數據泄露,或把這些信息非法再轉移、違規利用,對國內用戶的個人信息安全將造成嚴重影響。例如,2016年10月河北唐山用戶境外旅游,通過國內網站預訂國外酒店式公寓,輸入了自己的信用卡卡號、姓名、信用卡有效日期和安全碼信息,回國后發現信用卡被境外盜刷,究其原因就是個人信用卡信息出境傳輸給了國外酒店,而酒店由于安全措施不足導致了個人信息泄露。因此,歐盟等在數據跨境流動時,經常將數據接收方與發送方的個人信息保護水平相同作為前提條件。

      二是各國個人信息保護法律法規存在差異,用戶個人信息權益保障可能難以為繼。《網絡安全法》明確了用戶具有個人信息的刪除、更正、投訴舉報、知情同意、安全保護等權益。個人信息出境后,境外接收者對用戶個人信息權益的保障情況,要受當地所在國家和地區的法律法規限制,而目前個人信息保護法律法規并未在全球普及,中國、美國、歐盟等的數據跨境流動和個人信息保護法律法規以及實現機制也存在較大差異。如果由于接收方國家沒有個人信息保護相關的法律法規要求,或者未對用戶的個人信息更正、投訴舉報、知情同意、安全保護等基本權益保障進行規范,或者當地的法律法規僅用于保護本國居民的個人信息等等,那么出境后國內用戶的個人信息權益可能難以保障。

      三是一旦發生個人信息安全事件,用戶境外維權取證比較困難。我國《刑法》規定,通過竊取或者以其他方法非法獲取公民個人信息,會以侵犯公民個人信息罪進行處罰。GB/T 35273《信息安全技術 個人信息安全規范》也提出一旦發生個人信息安全事件,網絡運營者應及時將事件相關情況告知受影響的個人信息主體。而個人信息出境后,原境內監管機關無法對接收數據的境外主體實施管轄權,用戶維護自身合法權益的渠道也變少了。一旦出現個人信息安全事件,由于法律法規不同、監管范圍受限、語言文化差異、國際警方合作協調等客觀原因,用戶維權、調查取證、消除個人信息泄露后的影響都很困難,更別提出現個人信息安全事件主動通知用戶本人了。

      四是個人信息出境知情同意不足,用戶通常不清楚自己的個人信息出境情況。《網絡安全法》要求網絡運營者收集使用、向他人提供個人信息,要經過被收集者的同意。但由于網絡傳輸路徑不透明、服務器交互復雜等原因,現實中用戶在使用許多網絡產品和服務時,經常不清楚是否存在個人信息出境、哪些個人信息出境、出境的目的,更別提個人信息出境前要經過用戶的同意。比如,用戶在使用跨境服務時大多不清楚具體哪些個人信息需要傳輸到境外服務器,在使用境內服務時不清楚個人信息是否會被路由到境外再傳回境內,在使用網絡產品和服務時不清楚個人信息在境內被收集后是否會被再轉移到境外。

      五是個人信息非法出境案件頻發,侵犯了公民個人信息權益。早在2015年上海第一中級人民法院就審理了中國首起在華外國人非法獲取公民個人信息案件,上海某公司2009年至2013年受境外客戶委托,采取跟蹤、走訪、偷拍等手段,對多家公司或個人進行背景調查,向境外提供公民的戶籍、出入境記錄、通話記錄等多項個人信息。近年來,由于國內對侵犯公民個人信息罪打擊日趨嚴格,個人信息交易黑市漸向境外轉移。2018年9月,有人在境外暗網網站兜售華住酒店5億條個人信息。2018年無錫警方破獲一起境外侵犯公民個人信息案,在該案件中境外中間商利用暢通的上下線渠道和成熟的運營模式,將公民個人信息迅速轉手倒賣,日交易量達數十萬條,嚴重侵害了公民個人信息權益。

      《評估辦法》的適用對象:網絡運營者

      關于《評估辦法》的適用對象是否包含個人用戶,答案是否定的。《評估辦法》第二條給出了個人信息出境的定義,是指網絡運營者向境外提供在中華人民共和國境內運營中收集的個人信息。按照該定義描述,《評估辦法》針對的個人信息出境需要同時符合幾個條件:網絡運營者+個人信息+數據出境。

      1、關于網絡運營者

      即網絡的所有者、管理者和網絡服務提供者,同時《網絡安全法》第九條規定了網絡運營者通過網絡開展經營和提供服務,由此可見網絡運營者通常是通過網絡開展經營和提供服務的機構,比如App、門戶網站、業務系統平臺的運營單位等,自然不是個人用戶。

      2、關于個人信息

      是指網絡運營者在境內運營收集的個人信息,而境內運營通常是指網絡運營者在我國境內開展經營和服務,即適用于在我國境內對個人信息進行處理的個人信息控制者或處理者。同時《評估辦法》第二十條規定,境外機構經營活動中,通過互聯網等收集境內用戶個人信息,應當在境內通過法定代表人或者機構履行本辦法中網絡運營者的責任和義務。這意味著《評估辦法》可能也會適用于不在我國境內但為我國用戶提供服務的機構,這一適用對象思路與GDPR(《通用數據保護條例》)的思路是類似的。

      3、關于數據出境

      即向境外提供個人信息。單純從出境方式來看,數據可能通過網絡傳輸轉移到境外,也可能數據通過介質媒體、交易等線下方式轉移到境外,還可能數據存儲在境內但境外可遠程訪問等等。

      因此,《評估辦法》適用于網絡運營者(個人信息控制者或處理者),不是針對個人用戶出境,甚至個人用戶在境外網站注冊、訪問境外服務器、出境游等個人主動出境行為在《評估辦法》以前版本還作為評估的例外條件。

      《評估辦法》的應對措施:采用多種手段應對個人信息出境安全風險

      針對個人信息出境可能面臨的安全風險,《評估辦法》設計了標準化合同、安全風險及安全保障措施分析等多種措施來防范出境安全風險,具體表現在:

      一是采用網絡安全能力評估、暫停或終止條件設計等措施,應對數據保護能力變化及個人信息泄露等安全風險。針對該風險,《評估辦法》第四、六、十一、十七條等給出了相應措施,比如:網絡運營者申報個人信息出境安全評估,應當提交個人信息出境安全風險及安全保障措施分析報告,該報告要對網絡運營者和接收者的網絡安全能力、個人信息出境安全風險等方面進行分析。另外如果網絡運營者或接收者發生較大數據泄露、數據濫用等事件,或者無力保障個人信息安全時,網信部門可要求網絡運營者暫停或終止向境外提供個人信息。

      二是采用合同內容約束、重新評估條件、暫停或終止條件設計等措施,應對法律法規差異及個人信息權益保障的風險。針對該風險,《評估辦法》第六、十一、十三、十五條等給出了相應措施,比如:個人信息出境安全評估重點評估網絡運營者與個人信息接收者簽訂的合同文件條款是否能充分保障個人信息主體合法權益,及網絡運營者或接收者是否有損害用戶合法權益的歷史等;如果個人信息主體不能或者難以維護個人合法權益,網信部門可要求網絡運營者暫停或終止向境外提供個人信息;接收者所在國家法律環境發生變化導致合同難以履行時,應當終止合同,或者重新進行安全評估;合同要明確接收者保障用戶的個人信息訪問、更正、刪除、保存時限等責任。

      三是采用舉報、合同內容約束、賠付責任等措施,應對發生個人信息安全事件用戶維權難的風險。針對該風險,《評估辦法》第十二、十三、十四、十六條等給出了相應措施,比如:任何個人和組織有權對違反本辦法規定向境外提供個人信息的行為,向省級以上網信部門或者相關部門舉報;合同應明確用戶合法權益受到損害時,可以自行或者委托代理人向網絡運營者或者接收者或者雙方索賠,網絡運營者或者接收者應當予以賠償,除非證明沒有責任;網絡運營者應向接收者轉達用戶的索賠訴求,用戶不能從接收者獲得賠償時,網絡運營者應先行賠付。

      四是采用明確告知內容、獲取合同副本、征得同意等措施,應對個人信息出境知情同意不夠的風險。針對該風險,《評估辦法》第十三、十四和十六條等給出了相應措施,比如:合同要明確個人信息出境的目的、類型、保存時限;網絡運營者應以電子郵件、即時通信等方式告知個人信息主體網絡運營者和接收者基本情況,以及向境外提供個人信息的目的、類型和保存時間;個人信息主體可要求網絡運營者提供合同的副本;接收者將個人敏感信息傳輸給第三方時,需已征得用戶同意等。

      五是采用合法正當評估、檢查、重要數據風險評估等措施,應對個人信息非法出境和大量敏感個人信息出境可能危及國家安全的風險。針對該風險,《評估辦法》第六條、十條等給出了相應的措施,比如:個人信息出境安全評估應重點評估是否符合國家有關法律法規和政策規定,及網絡運營者獲得個人信息是否合法、正當;省級網信部門應當定期組織檢查運營者的個人信息出境記錄等個人信息出境情況,重點檢查合同規定義務的履行情況、是否存在違反國家規定或損害個人信息主體合法權益的行為等。此外,《數據安全管理辦法(征求意見稿)》也規定,網絡運營者向境外提供重要數據前,應當評估可能帶來的安全風險,并報經行業主管監管部門同意。

      綜上所述,在全球數字化經濟的背景下,數據跨境流動是全球經濟發展的前提條件,但數據跨境流動中存在的個人信息出境安全風險在當前個人信息保護普遍重視的背景下也日趨嚴峻,歐盟、俄羅斯、新加坡等紛紛出臺數據跨境流動或本地化存儲相關政策。我國出臺的《個人信息出境安全評估辦法(征求意見稿)》正是在該背景下,為了防范我國境內用戶個人信息出境安全風險而制定的,通過對網絡運營者的個人信息出境情況進行評估,在保障個人信息安全的前提下促進數據跨境依法有序自由流動。(作者:中國電子技術標準化研究院 胡影)

    《個人信息出境安全評估辦法(征求意見稿)》的個人用戶關注點

    2019 14:03來源:中國網信網

      2019年6月13日,國家互聯網信息辦公室發布《個人信息出境安全評估辦法(征求意見稿)》(以下簡稱《評估辦法》),公開征求社會公眾的意見。該《評估辦法》是對《網絡安全法》第三十七條的落實,其目的不是為了限制個人用戶的主動出境行為,而是為了在當前數據全球流動、許多國家和地區加強數據本地化和數據跨境流動管理的背景下,通過安全評估手段來保障數據跨境流動中的個人信息安全,防范我國境內用戶個人信息出境安全風險,促進數據依法有序自由流動。

      那么,《評估辦法》出臺后個人用戶到底需要關注什么呢?本文從個人用戶的視角,分析了《評估辦法》的制定目的(why)、適用對象(who)和風險應對措施(how)。

      《評估辦法》的制定目的:防范個人信息出境安全風險

      隨著全球數字化經濟的發展,大量數據正在跨境流動。正如個人出境游會面臨生命財產安全風險一樣,個人信息出境后也可能面臨許多安全風險和挑戰,而《評估辦法》正是為了防范個人信息出境安全風險而制定的。個人信息出境安全風險主要表現在:

      一是境外接收者數據保護能力發生變化,可能造成個人信息泄露或濫用。個人信息出境后,數據控制者從境內的網絡運營者變成境外機構,機構的數據保護能力通常會發生變化。如果境外機構沒有妥善保管個人信息,因為安全保護能力不足、安全漏洞、黑客攻擊等原因導致數據泄露,或把這些信息非法再轉移、違規利用,對國內用戶的個人信息安全將造成嚴重影響。例如,2016年10月河北唐山用戶境外旅游,通過國內網站預訂國外酒店式公寓,輸入了自己的信用卡卡號、姓名、信用卡有效日期和安全碼信息,回國后發現信用卡被境外盜刷,究其原因就是個人信用卡信息出境傳輸給了國外酒店,而酒店由于安全措施不足導致了個人信息泄露。因此,歐盟等在數據跨境流動時,經常將數據接收方與發送方的個人信息保護水平相同作為前提條件。

      二是各國個人信息保護法律法規存在差異,用戶個人信息權益保障可能難以為繼。《網絡安全法》明確了用戶具有個人信息的刪除、更正、投訴舉報、知情同意、安全保護等權益。個人信息出境后,境外接收者對用戶個人信息權益的保障情況,要受當地所在國家和地區的法律法規限制,而目前個人信息保護法律法規并未在全球普及,中國、美國、歐盟等的數據跨境流動和個人信息保護法律法規以及實現機制也存在較大差異。如果由于接收方國家沒有個人信息保護相關的法律法規要求,或者未對用戶的個人信息更正、投訴舉報、知情同意、安全保護等基本權益保障進行規范,或者當地的法律法規僅用于保護本國居民的個人信息等等,那么出境后國內用戶的個人信息權益可能難以保障。

      三是一旦發生個人信息安全事件,用戶境外維權取證比較困難。我國《刑法》規定,通過竊取或者以其他方法非法獲取公民個人信息,會以侵犯公民個人信息罪進行處罰。GB/T 35273《信息安全技術 個人信息安全規范》也提出一旦發生個人信息安全事件,網絡運營者應及時將事件相關情況告知受影響的個人信息主體。而個人信息出境后,原境內監管機關無法對接收數據的境外主體實施管轄權,用戶維護自身合法權益的渠道也變少了。一旦出現個人信息安全事件,由于法律法規不同、監管范圍受限、語言文化差異、國際警方合作協調等客觀原因,用戶維權、調查取證、消除個人信息泄露后的影響都很困難,更別提出現個人信息安全事件主動通知用戶本人了。

      四是個人信息出境知情同意不足,用戶通常不清楚自己的個人信息出境情況。《網絡安全法》要求網絡運營者收集使用、向他人提供個人信息,要經過被收集者的同意。但由于網絡傳輸路徑不透明、服務器交互復雜等原因,現實中用戶在使用許多網絡產品和服務時,經常不清楚是否存在個人信息出境、哪些個人信息出境、出境的目的,更別提個人信息出境前要經過用戶的同意。比如,用戶在使用跨境服務時大多不清楚具體哪些個人信息需要傳輸到境外服務器,在使用境內服務時不清楚個人信息是否會被路由到境外再傳回境內,在使用網絡產品和服務時不清楚個人信息在境內被收集后是否會被再轉移到境外。

      五是個人信息非法出境案件頻發,侵犯了公民個人信息權益。早在2015年上海第一中級人民法院就審理了中國首起在華外國人非法獲取公民個人信息案件,上海某公司2009年至2013年受境外客戶委托,采取跟蹤、走訪、偷拍等手段,對多家公司或個人進行背景調查,向境外提供公民的戶籍、出入境記錄、通話記錄等多項個人信息。近年來,由于國內對侵犯公民個人信息罪打擊日趨嚴格,個人信息交易黑市漸向境外轉移。2018年9月,有人在境外暗網網站兜售華住酒店5億條個人信息。2018年無錫警方破獲一起境外侵犯公民個人信息案,在該案件中境外中間商利用暢通的上下線渠道和成熟的運營模式,將公民個人信息迅速轉手倒賣,日交易量達數十萬條,嚴重侵害了公民個人信息權益。

      《評估辦法》的適用對象:網絡運營者

      關于《評估辦法》的適用對象是否包含個人用戶,答案是否定的。《評估辦法》第二條給出了個人信息出境的定義,是指網絡運營者向境外提供在中華人民共和國境內運營中收集的個人信息。按照該定義描述,《評估辦法》針對的個人信息出境需要同時符合幾個條件:網絡運營者+個人信息+數據出境。

      1、關于網絡運營者

      即網絡的所有者、管理者和網絡服務提供者,同時《網絡安全法》第九條規定了網絡運營者通過網絡開展經營和提供服務,由此可見網絡運營者通常是通過網絡開展經營和提供服務的機構,比如App、門戶網站、業務系統平臺的運營單位等,自然不是個人用戶。

      2、關于個人信息

      是指網絡運營者在境內運營收集的個人信息,而境內運營通常是指網絡運營者在我國境內開展經營和服務,即適用于在我國境內對個人信息進行處理的個人信息控制者或處理者。同時《評估辦法》第二十條規定,境外機構經營活動中,通過互聯網等收集境內用戶個人信息,應當在境內通過法定代表人或者機構履行本辦法中網絡運營者的責任和義務。這意味著《評估辦法》可能也會適用于不在我國境內但為我國用戶提供服務的機構,這一適用對象思路與GDPR(《通用數據保護條例》)的思路是類似的。

      3、關于數據出境

      即向境外提供個人信息。單純從出境方式來看,數據可能通過網絡傳輸轉移到境外,也可能數據通過介質媒體、交易等線下方式轉移到境外,還可能數據存儲在境內但境外可遠程訪問等等。

      因此,《評估辦法》適用于網絡運營者(個人信息控制者或處理者),不是針對個人用戶出境,甚至個人用戶在境外網站注冊、訪問境外服務器、出境游等個人主動出境行為在《評估辦法》以前版本還作為評估的例外條件。

      《評估辦法》的應對措施:采用多種手段應對個人信息出境安全風險

      針對個人信息出境可能面臨的安全風險,《評估辦法》設計了標準化合同、安全風險及安全保障措施分析等多種措施來防范出境安全風險,具體表現在:

      一是采用網絡安全能力評估、暫停或終止條件設計等措施,應對數據保護能力變化及個人信息泄露等安全風險。針對該風險,《評估辦法》第四、六、十一、十七條等給出了相應措施,比如:網絡運營者申報個人信息出境安全評估,應當提交個人信息出境安全風險及安全保障措施分析報告,該報告要對網絡運營者和接收者的網絡安全能力、個人信息出境安全風險等方面進行分析。另外如果網絡運營者或接收者發生較大數據泄露、數據濫用等事件,或者無力保障個人信息安全時,網信部門可要求網絡運營者暫停或終止向境外提供個人信息。

      二是采用合同內容約束、重新評估條件、暫停或終止條件設計等措施,應對法律法規差異及個人信息權益保障的風險。針對該風險,《評估辦法》第六、十一、十三、十五條等給出了相應措施,比如:個人信息出境安全評估重點評估網絡運營者與個人信息接收者簽訂的合同文件條款是否能充分保障個人信息主體合法權益,及網絡運營者或接收者是否有損害用戶合法權益的歷史等;如果個人信息主體不能或者難以維護個人合法權益,網信部門可要求網絡運營者暫停或終止向境外提供個人信息;接收者所在國家法律環境發生變化導致合同難以履行時,應當終止合同,或者重新進行安全評估;合同要明確接收者保障用戶的個人信息訪問、更正、刪除、保存時限等責任。

      三是采用舉報、合同內容約束、賠付責任等措施,應對發生個人信息安全事件用戶維權難的風險。針對該風險,《評估辦法》第十二、十三、十四、十六條等給出了相應措施,比如:任何個人和組織有權對違反本辦法規定向境外提供個人信息的行為,向省級以上網信部門或者相關部門舉報;合同應明確用戶合法權益受到損害時,可以自行或者委托代理人向網絡運營者或者接收者或者雙方索賠,網絡運營者或者接收者應當予以賠償,除非證明沒有責任;網絡運營者應向接收者轉達用戶的索賠訴求,用戶不能從接收者獲得賠償時,網絡運營者應先行賠付。

      四是采用明確告知內容、獲取合同副本、征得同意等措施,應對個人信息出境知情同意不夠的風險。針對該風險,《評估辦法》第十三、十四和十六條等給出了相應措施,比如:合同要明確個人信息出境的目的、類型、保存時限;網絡運營者應以電子郵件、即時通信等方式告知個人信息主體網絡運營者和接收者基本情況,以及向境外提供個人信息的目的、類型和保存時間;個人信息主體可要求網絡運營者提供合同的副本;接收者將個人敏感信息傳輸給第三方時,需已征得用戶同意等。

      五是采用合法正當評估、檢查、重要數據風險評估等措施,應對個人信息非法出境和大量敏感個人信息出境可能危及國家安全的風險。針對該風險,《評估辦法》第六條、十條等給出了相應的措施,比如:個人信息出境安全評估應重點評估是否符合國家有關法律法規和政策規定,及網絡運營者獲得個人信息是否合法、正當;省級網信部門應當定期組織檢查運營者的個人信息出境記錄等個人信息出境情況,重點檢查合同規定義務的履行情況、是否存在違反國家規定或損害個人信息主體合法權益的行為等。此外,《數據安全管理辦法(征求意見稿)》也規定,網絡運營者向境外提供重要數據前,應當評估可能帶來的安全風險,并報經行業主管監管部門同意。

      綜上所述,在全球數字化經濟的背景下,數據跨境流動是全球經濟發展的前提條件,但數據跨境流動中存在的個人信息出境安全風險在當前個人信息保護普遍重視的背景下也日趨嚴峻,歐盟、俄羅斯、新加坡等紛紛出臺數據跨境流動或本地化存儲相關政策。我國出臺的《個人信息出境安全評估辦法(征求意見稿)》正是在該背景下,為了防范我國境內用戶個人信息出境安全風險而制定的,通過對網絡運營者的個人信息出境情況進行評估,在保障個人信息安全的前提下促進數據跨境依法有序自由流動。(作者:中國電子技術標準化研究院 胡影)

    為你推薦

    轉型中的互聯網是否仍在風口之上?

    一邊是不斷興起的新技術、新模式、新概念,一邊是正在面臨的轉型難、破局難。轉型中的互聯網是否仍在風口之上?此間于京召開的2019中國互聯網大會上,專家、企業家、從業者對互聯網…

    讓網絡文學告別“野蠻生長”

    此次法院對《錦繡未央》抄襲事件的裁定,不僅彰顯了我國《著作權法》實施以來著作權意識的深入人心,也向公眾表達了堅決抵制抄襲、對侵害知識產權行為零容忍態度。

    讓新型消費健康成長

    智能電視開機廣告能否一鍵關閉?時長多少合適?收集用戶數據行為如何規范?這些問題都應做到有章可依、有矩可循。

    bet平台 英魂之刃秒人英雄排名 广西快乐十分选号技巧 网上四川麻将真钱游戏 嫦娥奔月是什么节日 快乐南瓜闯关 北京麻将 qq游戏 香港麻将是广东麻将吗 森林舞会最新版本 完美世界手游吧 勇士vs奇才全场回放