行业新闻您当前的位置: 主页 > 行业新闻 >

APP 从“予取予求”到“取之有道” —简析APP运营者收集使用个人信息的合规要点

时间:2019-10-07    点击量:

  国家互联网信息办公室(“网信办”)发布了《个人信息出境安全评估办法(征求意见稿)》(“征求意见稿”), 向社会公众征求意见。在征求意见稿发布之前, 国家网信办于2017年4月公布的《个人信息和重要数据出境安全评估办法(征求意见稿)》(“2017版征求意见稿”)中首次专门对个人信息和重要数据出境的安全评估作出规定, 但征求意见稿较2017版征求意见稿从监管部门到监管思路都发生了重要变化, 并且对于个人信息出境安全评估的具体内容作出了详细规定。

  本文中, 通力网安数据服务团队结合长期实践及持续关注, 从主管部门、评估义务主体与客体、提供者与接收者合同、评估要求和违规责任等角度对征求意见稿进行解读, 并附上征求意见稿与2017版征求意见稿中个人信息部分的详细对比, 供客户与同行参考指正。

1. 主管部门

  2017版征求意见稿规定, 数据出境安全评估工作由国家网信部门进行统筹协调, 由行业主管、监管部门组织开展具体工作。一般理解, 此处提及的行业主管、监管部门应为交通、教育等与特定行业有关的政府部门。而在征求意见稿中, 组织开展数据出境安全评估工作的部门改为省级网信部门。省级网信部门在个人信息出境安全评估工作的中的主要职责包括: 组织专家进行安全评估、对网络运营者的数据出境安全进行检查、接收网络运营者对于数据出境安全情况的报告等。国家网信办则负责受理网络运营者的申诉、接收省级网信部门出具的安全评估情况结论。

  2. 安全评估义务主体与客体

  a) 义务主体

  按照征求意见稿的规定, 直接或间接承担个人信息出境安全评估义务的主体包括网络运营者、个人信息接收者与境外机构。

  i. 网络运营者

  《网络安全法》(“网安法”)将个人信息和重要数据出境安全评估义务主体限定为关键信息基础设施运营者(CIIO)。2017版征求意见稿在网安法的基础上, 将这一义务主体扩大到所有的网络运营者。之后, 在非正式公开的内部讨论稿中又将义务主体限缩为CIIO。而此次征求意见稿沿袭了2017版征求意见稿对于安全评估义务主体的规定, 要求所有网络运营者应当承担个人信息出境评估义务。

  《立法法》规定, 没有法律或者国务院的行政法规、决定、命令的依据, 部门规章不得设定减损公民、法人和其他组织权利或者增加其义务的规范, 不得增加本部门的权力或者减少本部门的法定职责。虽然网安法并未要求除CIIO以外的网络运营者就个人信息出境进行安全评估, 但2017版征求意见稿援引另一部上位法《国家安全法》将义务主体扩大至网络运营者。此次征求意见稿在仅引用《网络安全法》的情况下将个人信息出境评估的义务主体扩大到所有网络运营者, 其法理依据有待商榷。

  ii. 个人信息接收者

  在个人信息出境情境下, 个人信息接收者本应是安全评估义务的重要主体。但由于接收者位于境外, 对其进行直接规制存在法理和实践困难。鉴于此, 征求意见稿通过约束数据提供者与数据接收者订立的数据出境合同条款之方式, 间接创设数据接收者的责任和义务, 对数据出境安全进行规范。

  iii. 境外机构

  征求意见稿规定, 境外机构收集境内用户个人信息并出境的, 应在境内通过法定代表人或机构履行网络运营者的责任和义务。

  b) 义务客体

  征求意见稿将其所规范的出境的个人信息定义为“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”。这一定义与网安法以及2017版征求意见稿中个人信息的定义一致, 而没有采用相关司法解释及《信息安全技术 个人信息安全规范》等更为宽泛的定义, 即未直接包括个人活动的信息。

  3. 个人信息提供者与接收者签订的合同

  与GDPR通过标准格式合同条款(standard contract clause, SCC)进行监管的思路相似, 征求意见稿规定, 网络运营者在申报个人信息出境安全评估时, 应当提交其与接收者签订的合同。合同条款是安全评估的重点内容之一。网络运营者还应当将合同履行情况向网信部门汇报。

  征求意见稿从以下四个方面对合同条款进行了规定, 确定了合同的必备条款: 合同基本条款、个人信息提供者的义务、个人信息接收者的义务以及个人信息接收者的再次传输。

  a) 合同基本条款

  征求意见稿规定合同应当说明信息出境的目的、类型、保存时限; 明确个人信息主体是合同中涉及个人信息主体权益的条款的受益人; 网络运营者或接收者应当就个人信息主体受到的损害进行赔偿, 除非证明没有责任; 信息接收者难以履行合同时应当终止合同或重新进行安全评估。

  b) 个人信息提供者的义务

  合同应当约定个人信息提供者的如下义务: 对个人信息主体进行告知个人信息出境情况; 应个人信息主体的要求提供合同副本; 在个人信息主体无法从接收者处获得赔偿时对其进行先行赔付。

  c) 个人信息接收者的义务

  合同应当约定个人信息接收者应履行的义务有: 对个人信息主体提供访问、更正、删除个人信息的途径; 按照合同约定适用和保存个人信息; 由于法律环境的变化影响合同履行时及时通知提供者。

  d) 个人信息接收者的再次传输

  对于接收者的再次传输行为, 征求意见稿规定: 网络运营者应当将传输情况通知个人信息主体; 涉及个人敏感信息的, 应当经个人信息主体同意; 不涉及个人敏感信息的, 无需征得个人信息主体同意, 但个人信息主体可以请求停止传输; 个人信息主体合法权益因再次传输受到损害的, 网络运营者承担先行赔付责任。

  以上必备合同条款从个人信息主体的知情权和同意权的角度对个人信息主体的合法权益多所着墨。必备条款亦通过网络运营者的连带责任保障个人信息主体权益, 即个人信息主体的合法权益受到损害的, 网络运营者将与接收者或接收个人信息的第三方向个人信息主体承担连带责任。值得商榷的是, 征求意见稿规定, 合同还应明确“个人信息主体合法权益受到损害时, 可以自行或者委托代理人向网络运营者或者接收者或者双方索赔, 网络运营者或者接收者应当予以赔偿, 除非证明没有责任。”若这一规定旨在实现个人信息主体权益遭受损害情形下的举证责任倒置, 因法律尚未明确将个人信息侵权案件作为“谁主张, 谁举证”原则例外, 这一规定目的的实现可能存在法律障碍。

  通过合同监管的方式实现对信息接收者进行监管的效果可能有限。由于合同的效力是相对的, 若信息提供者未经评估即向境外传输个人信息, 不符合征求意见稿规定的合同在提供者和接收者之间仍然有效; 即便合同条款符合征求意见稿的规定, 若合同约定的接收者的违约责任较轻, 或接收者违约后提供者或个人信息主体由于司法程序上的障碍无法有效获得赔偿, 接收者仍然能以较低成本违约。

  4. 安全评估的具体要求

  a) 义务的触发

  2017版征求意见稿规定网络运营者应当在数据出境前自行组织评估, 在涉及影响国家安全和社会公共利益的数据出境的情形下(例如含有或累计含有50万人以上的个人信息或包含人口健康信息等情形)应当报请行业主管监管部门组织安全评估。

  与此不同, 征求意见稿规定了网络运营者不设前提条件的强制报请安全评估的义务。为减轻网络运营者的申报负担, 征求意见稿规定向同一接收者多次或连续提供个人信息无需重复评估。毋庸置疑, 这一规定对有定期数据传输需求的跨国公司当属利好消息。但是, 尽管接收者相同, 每隔2年或者个人信息出境目的、类型和境外保存时间发生变化时, 由于数据出境的风险将随之发生较大变化, 仍应重新申报评估。

  b) 分析报告

  网络运营者在向网信部门申报个人信息出境安全评估时, 除应当提供申报书、与接收者订立的合同外, 还应当提供个人信息出境安全风险及安全保障措施分析报告。网络运营者应当对报告的真实性、准确性负责。

  分析报告的主要内容包括: (1)网络运营者和接收者的背景、规模、业务、财务、信誉、网络安全能力等。(2)个人信息出境计划, 包括持续时间、涉及的个人信息主体数量、向境外提供的个人信息规模、个人信息出境后是否会再向第三方传输等。(3)个人信息出境风险分析和保障个人信息安全和个人信息主体合法权益的措施。

  c) 实施评估

  i. 从自主评估到申报评估

  如前所述, 相比2017版征求意见稿, 征求意见稿对于网络运营者数据出境安全评估的要求从自主评估为原则变为申报评估为原则, 无疑提高了网络运营者的合规要求。

  ii. 评估内容

  在具体的安全评估过程中, 网信部门将组织专家或技术力量围绕网络运营者提交的申报书、网络运营者与接收者签订的合同、个人信息出境安全风险及安全保障措施分析报告等材料进行安全评估。

  安全评估的重点内容为(1)是否符合国家有关法律法规和政策规定; (2)合同条款是否能够充分保障个人信息主体合法权益; (3)合同能否得到有效执行; (4)网络运营者或接收者是否有损害个人信息主体合法权益的历史、是否发生过重大网络安全事件; (5)网络运营者获得个人信息是否合法、正当; (6)其他应当评估的内容。可以看出, 接收者的安全保障能力以及个人信息主体的合法权益保障是安全评估的重中之重。

  iii. 评估期限

  2017版征求意见稿规定, 行业主管或监管部门组织的安全评估应当于六十个工作日内完成。征求意见稿则将网信部门组织的安全评估期限缩短为十五个工作日, 这将大大提高评估效率, 避免耗时的评估工作影响网络运营者的商业安排。

  d) 不得出境的情形

  征求意见稿规定, 出现下列情形的, 网信部门可以要求网络运营者终止或暂停数据出境: (1)网络运营者或接收者发生较大数据泄露、数据滥用等事件; (2)个人信息主体不能或者难以维护个人合法权益; (3)网络运营者或接收者无力保障个人信息安全。网络运营者或接收者是否曾经发生过较为严重的数据安全事件属于其数据安全保障能力的衡量维度之一。发生过数据安全事件的, 数据出境被禁止的可能性也更大。对于个人信息安全保障能力的判断可以参考《信息安全技术 数据出境安全评估指南(征求意见稿)》。

  e) 记录、汇报和检查

  为实现对数据出境的后续监管, 征求意见稿还提出了保存个人信息出境记录的要求, 且要求网络运营者对记录至少保存5年。个人信息出境记录的内容主要包括信息出境的时间、接收者的身份以及出境信息的类型、数量和敏感程度。

  除此之外, 网络运营者应当每年度向网信部门汇报个人信息出境情况以及合同履行情况。网信部门还将定期组织对以上情况进行检查。

  5. 违规责任

  征求意见稿规定: “网络运营者违反本办法规定向境外提供个人信息的, 依照有关法律法规进行处理”。这一规定十分笼统, 为了解庞杂的《网络安全法》体系相关法律责任规定, 读者可参见通力网安数据服务团队编著的《<网络安全法>实务30问》中相关实务文章, 例如《<网络安全法>体系下企业的责任与义务概览》《浅析网络运营者刑事责任》等。

  6. 结语

  征求意见稿对个人信息出境安全评估作出了详尽规定, 设定了企业强制安全评估义务, 其要求之高前所未有。对于有个人信息出境需求的网络运营者而言, 应尽早采取合规措施, 确保个人信息主体的合法权益、提前审查个人信息接收者的安全保障能力、对出境数据情况进行全流程的追踪。

【返回列表页】
网站首页 律师荣誉 律师快讯 行业新闻 法律评述
Copyright © 2002-2019 845pk.com 品客网 版权所有