6月13日,国家互联网信息办公室就《个人信息出境安全评估办法(征求意见稿)》向社会公开征求意见。根据意见稿,个人信息出境应进行安全评估。经安全评估认定个人信息出境可能影响国家安全、损害公共利益,或者难以有效保障个人信息安全的,不得出境。
(image)
这份意见稿发布后,多家媒体对部分原文进行了转发。
(image)
但原本是来自意见稿原文的微博却被一些账号“带节奏”了。
(image)
(image)
(image)
(image)
于是,一些网友开始担忧“个人信息出境”是否会对个人造成不良影响,纷纷要求“科普”:
(image)
(image)
(image)
解释来啦!莫担心,数据出境其实是这个含义:
在这份意见稿的第二条,就非常明确地指出了:网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息(以下称个人信息出境),应当按照本办法进行安全评估。经安全评估认定个人信息出境可能影响国家安全、损害公共利益,或者难以有效保障个人信息安全的,不得出境。
其实,本次意见征集稿的发布并非首次。2017年4月11日,国家互联网信息办公室就曾发布《个人信息和重要数据出境安全评估办法(征求意见稿)》,其中第十七条中,就对“网络运营者”和“数据出境”给出了明确的定义:
网络运营者,是指网络的所有者、管理者和网络服务提供者。
数据出境,是指网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据,提供给位于境外的机构、组织、个人。
从2017年到2019年,国家互联网信息办公室先后两次对《个人信息和重要数据出境安全评估办法(征求意见稿)》进行意见征集,足以证明该项立法的重要性。
就像一些网友所说的:国家立法,防止你的个人信息被国外的国家、公司、组织、个人拿走。
看完@共青团中央的这条微博,大家纷纷表示“看了转发才知道有多少人是断章取义”“终于明白了,原来是带节奏”。
那么,这份本来是为国人网络安全保驾护航的意见稿,为什么会被“误读”甚至还有人频频往歪里“带节奏”呢?
网信办的这个《个人信息出境安全评估办法(征求意见稿)》引起了很广泛的讨论。原因一方面在于图一新华网的这篇报道确实没有把这个办法到底是干什么用的解释清楚,甚至还存在一定的误导。另一方面确实有人在疯狂带节奏,而疯狂带节奏的人和这个办法极大可能是有因果关联的。我很少会这么说,但是这次被误导的各位大v和网友真的给敌人帮了忙,虽然实际上大家是无心的。
我不知道大家是否知道,在持续相当长的一段时间里,境外出现了很多我国公民的个人身份信息。非常详细。详细到这些信息几乎不可能是我们之前提醒的“大家不要随意在网上留存个人信息”就能泄露出去的。任何人只要稍微研究一下这些信息就能得出一致的结论:一些拥有大量我国公民个人身份信息的个人或者有组织,也就是“网络运营者”,或有意或无意的向境外泄露了我国公民的个人身份信息。网信办的这个办法草案就是为了亡羊补牢从法规上先填窟窿。
但是十分不幸的是这篇内容被疯狂带了节奏。如果你此时对这个办法草案还有疑虑,请仔细看图二草案全文我画了红线的部分。
(image)
所谓的“个人信息出境”,和很多人字面意思上理解的东西根本不是一码事。根本不是大家想的类似于“你去美国登陆个微博要报备”或者“我在国内登陆个境外网站要报备”。这个草案在第二条已经把它针对的对象以及什么是“个人信息出境”解释的清清楚楚:【网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息(以下称个人信息出境),应当按照本办法进行安全评估。】
这个办法所约束或者针对的根本就不是个人,而是“网络运营者”,明白了吗?什么是“网络运营者”,这个办法和网络安全法里都有非常明确的界定:网络运营者是指网络的所有者、管理者和网络服务提供者。要举例子的话,新浪,腾讯,百度,阿里巴巴,移动,电信,联通,等等等等,以及政府的各级网信办。
所以再举个直观的例子,有人担心的所谓“在外国登陆微博是不是要报备”这种事根本就不是这个办法里说的“个人信息出境”,而是新浪如果把你的微博的个人信息【是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。】在你不知情或者未经你同意的情况下给了外国人或者外国政府,这才叫“个人信息出境”。
这个办法是要保护每一个国人在“网络运营者”那里不得不留下的个人隐私信息不被有意无意的泄露到境外,而很多人这次真的被疯狂带了节奏。
(image) 所以说,某些账号们,做阅读理解题要看清上下文和题干哦!
如果你有什么意见或建议,也可以通过国家互联网信息办公室给出的渠道进行反馈:
有关单位和各界人士可以在2019年7月13日前,通过以下方式提出意见:
1.登录中国政府法制信息网(网址:http://www.chinalaw.gov.cn),进入首页的“立法意见征集”提出意见。
2.通过电子邮件方式发送至:security@cac.gov.cn
3.通过信函方式将意见寄至:北京市西城区车公庄大街11号国家互联网信息办公室网络安全协调局,邮编100044,并在信封上注明“个人信息出境安全评估办法征求意见”。
附件
个人信息出境安全评估办法
(征求意见稿)
第一条为保障数据跨境流动中的个人信息安全,根据《中华人民共和国网络安全法》等相关法律法规,制定本办法。
第二条网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息(以下称个人信息出境),应当按照本办法进行安全评估。经安全评估认定个人信息出境可能影响国家安全、损害公共利益,或者难以有效保障个人信息安全的,不得出境。
国家关于个人信息出境另有规定的,从其规定。
第三条个人信息出境前,网络运营者应当向所在地省级网信部门申报个人信息出境安全评估。
向不同的接收者提供个人信息应当分别申报安全评估,向同一接收者多次或连续提供个人信息无需多次评估。
每2年或者个人信息出境目的、类型和境外保存时间发生变化时应当重新评估。
第四条网络运营者申报个人信息出境安全评估应当提供以下材料,并对材料的真实性、准确性负责:
(一)申报书。
(二)网络运营者与接收者签订的合同。
(三)个人信息出境安全风险及安全保障措施分析报告。
(四)国家网信部门要求提供的其他材料。
第五条省级网信部门在收到个人信息出境安全评估申报材料并核查其完备性后,应当组织专家或技术力量进行安全评估。安全评估应当在15个工作日内完成,情况复杂的可以适当延长。
第六条个人信息出境安全评估重点评估以下内容:
(一)是否符合国家有关法律法规和政策规定。
(二)合同条款是否能够充分保障个人信息主体合法权益。
(三)合同能否得到有效执行。
(四)网络运营者或接收者是否有损害个人信息主体合法权益的历史、是否发生过重大网络安全事件。
(五)网络运营者获得个人信息是否合法、正当。
(六)其他应当评估的内容。
第七条省级网信部门在将个人信息出境安全评估结论通报网络运营者的同时,将个人信息出境安全评估情况报国家网信部门。
网络运营者对省级网信部门的个人信息出境安全评估结论存在异议的,可以向国家网信部门提出申诉。
第八条网络运营者应当建立个人信息出境记录并且至少保存5年,记录包括:
(一)向境外提供个人信息的日期时间。
(二)接收者的身份,包括但不限于接收者的名称、地址、联系方式等。
(三)向境外提供的个人信息的类型及数量、敏感程度。
(四)国家网信部门规定的其他内容。
第九条网络运营者应当每年12月31日前将本年度个人信息出境情况、合同履行情况等报所在地省级网信部门。
发生较大数据安全事件时,应及时报所在地省级网信部门。
第十条省级网信部门应当定期组织检查运营者的个人信息出境记录等个人信息出境情况,重点检查合同规定义务的履行情况、是否存在违反国家规定或损害个人信息主体合法权益的行为等。
发现损害个人信息主体合法权益、数据泄露安全事件等情况时,应当及时要求网络运营者整改,通过网络运营者督促接收者整改。
第十一条出现以下情况之一时,网信部门可以要求网络运营者暂停或终止向境外提供个人信息:
(一)网络运营者或接收者发生较大数据泄露、数据滥用等事件。
(二)个人信息主体不能或者难以维护个人合法权益。
(三)网络运营者或接收者无力保障个人信息安全。
第十二条任何个人和组织有权对违反本办法规定向境外提供个人信息的行为,向省级以上网信部门或者相关部门举报。
第十三条网络运营者与个人信息接收者签订的合同或者其他有法律效力的文件(统称合同),应当明确:
(一)个人信息出境的目的、类型、保存时限。
(二)个人信息主体是合同中涉及个人信息主体权益的条款的受益人。
(三)个人信息主体合法权益受到损害时,可以自行或者委托代理人向网络运营者或者接收者或者双方索赔,网络运营者或者接收者应当予以赔偿,除非证明没有责任。
(四)接收者所在国家法律环境发生变化导致合同难以履行时,应当终止合同,或者重新进行安全评估。
(五)合同的终止不能免除合同中涉及个人信息主体合法权益有关条款规定的网络运营者和接收者的责任和义务,除非接收者已经销毁了接收到的个人信息或作了匿名化处理。
(六)双方约定的其他内容。
第十四条合同应当明确网络运营者承担以下责任和义务:
(一)以电子邮件、即时通信、信函、传真等方式告知个人信息主体网络运营者和接收者的基本情况,以及向境外提供个人信息的目的、类型和保存时间。
(二)应个人信息主体的请求,提供本合同的副本。
(三)应请求向接收者转达个人信息主体诉求,包括向接收者索赔;个人信息主体不能从接收者获得赔偿时,先行赔付。
第十五条合同应当明确接收者承担以下责任和义务:
(一)为个人信息主体提供访问其个人信息的途径,个人信息主体要求更正或者删除其个人信息时,应在合理的代价和时限内予以响应、更正或者删除。
(二)按照合同约定的目的使用个人信息,个人信息的境外保存期限不得超出合同约定的时限。
(三)确认签署合同及履行合同义务不会违背接收者所在国家的法律要求,当接收者所在国家和地区法律环境发生变化可能影响合同执行时,应当及时通知网络运营者,并通过网络运营者报告网络运营者所在地省级网信部门。
第十六条合同应当明确接收者不得将接收到的个人信息传输给第三方,除非满足以下条件:
(一)网络运营者已经通过电子邮件、即时通信、信函、传真等方式将个人信息传输给第三方的目的、第三方的身份和国别,以及传输的个人信息类型、第三方保留时限等通知个人信息主体。
(二)接收者承诺在个人信息主体请求停止向第三方传输时,停止传输并要求第三方销毁已经接收到的个人信息。
(三)涉及到个人敏感信息时,已征得个人信息主体同意。
(四)因向第三方传输个人信息对个人信息主体合法权益带来损害时,网络运营者同意先行承担赔付责任。
第十七条网络运营者关于个人信息出境安全风险及安全保障措施分析报告应当至少包括:
(一)网络运营者和接收者的背景、规模、业务、财务、信誉、网络安全能力等。
(二)个人信息出境计划,包括持续时间、涉及的个人信息主体数量、向境外提供的个人信息规模、个人信息出境后是否会再向第三方传输等。
(三)个人信息出境风险分析和保障个人信息安全和个人信息主体合法权益的措施。
第十八条网络运营者违反本办法规定向境外提供个人信息的,依照有关法律法规进行处理。
第十九条我国参与的或者与其他国家和地区、国际组织缔结的条约、协议等对个人信息出境有明确规定的,适用其规定,我国声明保留的条款除外。
第二十条境外机构经营活动中,通过互联网等收集境内用户个人信息,应当在境内通过法定代表人或者机构履行本办法中网络运营者的责任和义务。
第二十一条本办法下列用语的含义:
(一)网络运营者,是指网络的所有者、管理者和网络服务提供者。
(二)个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
(三)个人敏感信息,是指一旦被泄露、窃取、篡改、非法使用可能危害个人信息主体人身、财产安全,或导致个人信息主体名誉、身心健康受到损害等的个人信息。
第二十二条本办法自年月日起实施。
声明:该文观点仅代表作者本人,加国头条 属于信息发布平台,加国头条 仅提供信息存储空间服务。
0 Comments