律师张烽:从对「滴滴出行」审查和下架看个人信息保护跨境合规

作者:张烽(万商天勤律师事务所 合伙人)

时事概述

2021年7月2日,网络安全审查办公室发布公告,为防范国家数据安全风险,维护国家安全,保障公共利益,依据我国《国家安全法》《网络安全法》,按照《网络安全审查办法》,对滴滴出行实施网络安全审查,公告没有说明审查的持续时间以及其他具体细节。2021年7月4日,国家互联网信息办公室发布通报,经检测核实,“滴滴出行”存在严重违法违规收集个人信息问题,根据《网络安全法》相关规定通知应用商店下架“滴滴出行”App。

滴滴出行在中国及15个国际市场提供服务,收集大量实时个人信息和移动数据,并将部分个人信息和数据用于自动驾驶技术和交通分析。 就在审查启动前两天的2021年6月30日,滴滴出行在纽约证券交易所上市首日,市值为684.9亿美元。

2021年6月就有报道称,滴滴出行正在接受国家市场监管机构的调查。滴滴出行于网络安全审查办公室发布公告的当天即7月2日表示,计划对网络安全风险进行全面检查,并将全力配合相关政府部门。据媒体消息,新加坡Aequita Research的苏米特·辛格(Sumeet Singh)7月3日称,“我不确定最终影响会是什么,但监管机构的打击一直是持续担忧,甚至在上市之前,滴滴就已经被监管机构问询了两次。“这次阻止公司吸收新用户只要不持续太长时间,就不会对公司造成太大伤害,因为公司已经拥有超过80%的市场份额。”

7月3日,滴滴出行营销副总裁李敏在微博上发帖称,“和众多在海外上市的中国企业一样,滴滴国内用户的数据都存放在国内服务器,绝无可能把数据交给美国。另外,相关恶意造谣者虽然已经主动删帖,但我们坚决起诉维权”。除了用户数据, 网友还质疑道路数据是否已递交。李敏在最新回应中表示,他所称的数据“也包括道路数据”,并呼吁网友“不要恶意揣测”。

网络安全审查办公室和国家网信办对滴滴出行进行数据安全风险和个人信息收集等问题进行审查调查和将其App从应用商店下架这一事件,说明跨境数据安全、跨境个人信息保护合规已经成为越来越重要的问题。我们来简要分析企业应如何应对个人信息保护跨境合规问题,具体从分析个人信息安全保护措施入手,对出境合规操作要求进行分析,并对RCEP框架下的个人信息保护相关规定进行梳理。在个人信息保护合规中的一些特殊场景如对未成年人的保护、对金融活动中个人信息的保护等,我们将另行展开讨论。

个人信息保护跨境合规相关法律法规

我国《民法典》明确了个人信息受法律保护,并明确了个人的人格权、隐私权对保护,对信息处理的基本规则、网络平台和国家机关的个人信息保护义务进行了规定,确立了我国个人信息的民事保护基本框架。

《网络安全法》从网络安全角度,根据网络运行安全和信息安全的要求,对关键基础设施运营者和其他网络运营者的权利义务、法律责任进行了规定。推荐性国家标准《信息安全技术 个人信息安全规范》(2020年10月1日起实施)、《信息安全技术 个人信息安全影响评估指南》(2021年6月1日起生效)则提供了一系列个人信息保护的基本操作模式。

另外,即将实施的《数据安全法》、正在审议的《中华人民共和国个人信息保护法(草案二次审议稿)》(2021年)以及《个人信息和重要数据出具安全评估办法(征求意见稿)》(2017年)和《个人信息出境安全评估办法(征求意见稿)》(2019年)对个人信息和数据的出境进行了相应规定,也是我们进行分析和具体操作的重要参考依据。

总体而言,在从事数据出境相关业务时,我们需要在做好个人信息安全保护措施和制度的同时,注意进行个人信息安全风险评估和个人信息保护认证以及与境外接收方订立合同等合规操作方式,以符合相关的数据出境和个人信息保护要求。

个人信息安全保护基本措施和制度

个人信息安全保护基本措施和制度,既包括企业在日常运营中应该建立的措施和制度,也简要分析了在提供用户注册和智能推送中应遵循相关规则。

(一)具体措施

根据《中华人民共和国个人信息保护法(草案二次审议稿)》第五十一条规定:“个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人的影响、可能存在的安全风险等,采取必要措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露或者被窃取、篡改、删除:

1、制定内部管理制度和操作规程;

2、对个人信息实行分级分类管理;

3、采取相应的加密、去标识化等安全技术措施;

4、合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;

5、制定并组织实施个人信息安全事件应急预案;

6、法律、行政法规规定的其他措施。

(二)人员管理与培训

根据《信息安全技术 个人信息安全规范》的规定,人员管理与培训包括以下部分。

1、应与从事个人信息处理岗位上的相关人员签署保密协议,对大量解除个人敏感信息的人员进行背景审查,以了解其犯罪记录、诚信状况等;

2、应明确内部涉及个人信息处理不同岗位的安全职责,建立发展安全事件的处罚机

3、应要求个人信息处理岗位上的相关人员在调离岗位或终止劳动合同时,继续履行保密义务;

4、应明确可能访问个人信息的外部服务人员应遵守的个人信息安全要求,与其签署保密协议,并进行监督;

5、应建立相应的内部制度和政策对员工提出个人信息保护的指引和要求;

6、应定期(至少每年一次)或在个人信息保护政策发生重大变化时,对个人信息处理岗位上的相关人员开展个人信息安全专业化培训和考核,确保相关人员熟练掌握个人信息保护政策和相关规程。

(三)安全审计

个人信息处理者应当定期对其个人信息处理活动、采取的保护措施等是否符合法律、行政法规的规定进行审计。履行个人信息保护职责的部门有权要求个人信息处理者委托专业机构进行审计。

根据《信息安全技术 个人信息安全规范》的模式,在进行安全审计时,对信息处理者的要求包括:a、应对个人信息保护政策、相关规程和安全措施的有效性进行审计;b、应建立自动化审计系统,监测记录个人信息处理活动;c、审计过程形成的记录应能对安全事件的处置、应急响应和事后调查提供支撑;d、应防止非授权访问、篡改或删除审计记录;e、应及时处理审计过程中发现的个人信息违规使用、滥用等情况;f、审计记录和保留时间应符合法律法规的要求。

(四)明确责任部门与人员

根据《信息安全技术 个人信息安全规范》的模式,具体规定有:

1、应明确其法定代表人或主要负责人对个人信息安全负全面领导责任,包括为个人信息安全工作提供人力、财力、物力保障等。

2、应任命个人信息保护负责人和个人信息保护工作机构,个人信息保护负责人应由具有相关管理工作经历和个人信息保护专业知识的人员担任,参与有关个人信息处理活动的重要决策直接向组织主要负责人报告工作。

3、满足以下条件之一的组织,应设立专职的个人信息保护负责人和个人信息保护工作机构,负责个人信息安全工作:

(1)主要业务涉及个人信息处理,且从业人员规模大于200人;

(2)处理超过100万人的个人信息,或预计在12个月内处理超过100万人的个人信息;处理超过10万人的个人敏感信息的。

(五)个人信息保护负责人和个人信息保护工作机构的职责应包括但不限于

根据《信息安全技术 个人信息安全规范》的模式,具体规定有:

1、全面统筹实施组织内部的个人信息安全工作,对个人信息安全负直接责任;

2、组织制定个人信息保护工作计划并督促落实;

3、制定、签发、实施、定期更新个人信息保护政策和相关规程;

4、建立、维护和更新组织所持有的个人信息清单(包括个人信息的类型、数量、来源、接收方等)和授权访问策略;

5、开展个人信息安全影响评估,提出个人信息保护的对策建议,督促整改安全隐患;

6、组织开展个人信息安全培训;

7、在产品或服务上线发布前进行检测,避免未知的个人信息收集、使用、共享等处理行为;

8、公布投诉、举报方式等信息并及时受理投诉举报;

9、进行安全审计;

10、与监督、管理部门保持沟通,通报或报告个人信息保护和事件处置等情况;

11、应为个人信息保护负责人和个人信息保护工作机构提供必要的资源,保障其独立履行职责。

(六)信息处理者的要求

根据《信息安全技术 个人信息安全规范》的模式,具体规定有:

1、应建立个人信息安全影响评估,评估并处置个人信息处理活动存在的安全风险;

2、个人信息安全影响评估应主要评估处理活动遵循个人信息安全基本原则的情况,以及个人信息处理活动对个人信息主体合法权益的影响;

3、在产品或服务发布前,或业务功能发生重大变化时,应进行个人信息安全影响评估;

4、在法律法规有新的要求时,或在业务模式、信息系统、运行环境发生重大变更时,或发生重大个人信息安全事件时,应进行个人信息安全影响评估;

5、形成个人信息安全影响评估报告,并以此采取保护个人信息主体的措施,使风险降低到可接受的水平;

6、妥善留存个人信息安全影响评估报告,确保可供相关方查阅,并以适宜的形式对外公开。

(七)提供注册服务的合规要求

1. 建立合理的用户信息收集、保护制度

《网络安全法》第四十条规定,网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。《网络安全法》第四十一条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。

此外,2019年12月,国家互联网信息办公室秘书局联合工业和信息化部办公厅、公安部办公厅、国家市场监督管理总局办公厅印发了《App违法违规收集使用个人信息行为认定方法》的通知,该通知对于如何认定违法违规收集用户个人信息提供了具体细则,操作性强,可供企业在收集用户个人信息时作为参考。

总的来说,境外企业在向中国用户提供注册服务而收集用户信息时,需要根据上述规定合法、合理地收集用户个人信息,并建立健全用户信息保护制度。

2. 用户敏感信息的收集处理

境外企业在面向中国用户提供注册服务时,需要收集注册用户的相关信息。而境外企业需要收集的一些用户信息,可能属于个人敏感信息的范围。

根据《个人信息保护法(草案二次审议稿)》第二十九条,敏感个人信息是指一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。《个人信息保护法(草案二次审议稿)》第三十条规定,基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人的单独同意。法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。《个人信息保护法(草案)》第三十一条规定,个人信息处理者处理敏感个人信息的,除本法第十八条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人的影响。

《信息安全技术 个人信息安全规范》6.3节对个人敏感信息的控制者提出了具体要求,包括: (1)传输和存储个人敏感信息时,应采用加密等安全措施;(2)个人生物识别信息应与个人身份信息分开存储;(3)原则上不应存储原始个人生物识别信息(如样本、图像等),等等。

由上述规定可以知晓,境外企业在面向中国用户收集个人信息时,若涉及到个人敏感信息,则需要取得个人的单独同意,还应当向个人告知处理敏感个人信息的必要性以及对个人的影响。此外,也要采用特殊的加密措施传输和存储所收集到的用户敏感信息。

3. 采取必要措施保护用户个人信息安全

《网络安全法》第四十二条规定,网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

(八)根据用户信息及使用偏好进行智能推送的合规要求

1. 个性化展示与用户画像的使用要求

根据《个人信息保护法(草案二次审议稿)》第七十二条明确自动化决策,是指利用个人信息对个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,通过计算机程序自动分析、评估并进行决策的活动。而《个人信息保护法(草案二次审议稿)》第二十五条规定,利用个人信息进行自动化决策,应当保证决策的透明度和处理结果的公平合理。个人认为自动化决策对其权益造成重大影响的,有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。通过自动化决策方式进行商业营销、信息推送,应当同时提供不针对其个人特征的选项。

根据《数据安全管理办法(征求意见稿)》第二十三条的规定,网络运营者利用用户数据和算法推送新闻信息、商业广告等(以下简称“定向推送”),应当以明显方式标明“定推”字样,为用户提供停止接收定向推送信息的功能;用户选择停止接收定向推送信息时,应当停止推送,并删除已经收集的设备识别码等用户数据和个人信息。

具体来说,根据《信息安全技术 个人信息安全规范》7.5节的规定,境外企业在向个人信息主体提供业务功能的过程中使用个性化展示的,应显著区分个性化展示的内容和非个性化展示的内容。在向个人信息主体提供电子商务服务的过程中,根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的个性化展示的,应当同时向该消费者提供不针对其个人特征的选项。

《信息安全技术 个人信息安全规范》7.4条也专门增加了针对用户画像使用限制的章节,例如,用户画像中对个人信息主体的特征描述不应包含任何与淫秽、色情、赌博、暴力相关的内容或者与民族、种族、宗教、残疾或疾病歧视相关的内容。在业务经营或对外业务合作中使用用户画像的,个人信息控制者不应侵害公民、法人和其他组织的合法权益或从事违法行为。此外,除严格意义上的必要情形,用户画像的使用应该避免关联到特定个人。

2. 事前风险评估

《个人信息保护法(草案二次审议)》第五十五条亦规定,个人信息处理者应当对下列个人信息处理活动在事前进行风险评估,并对处理情况进行记录:(一)处理敏感个人信息;(二)利用个人信息进行自动化决策……风险评估报告和处理情况记录应当至少保存三年。

由此可见,境外企业在面向中国客户提供信息推送等服务时,特别是相关推送是在根据用户敏感信息作出的情况下,需要在事前进行风险评估,并对处理情况进行记录,风险评估报告和处理情况记录应当至少保存三年。

个人信息出境与个人信息安全风险评估

由于我们会将留学生的个人信息提供给境外第三方,即出租方,根据《中华人民共和国个人信息保护法(草案二次审议稿)》我们应对留学生个人信息处理活动按照法律法规的规定,在事前进行自行风险评估,或申请风险评估。

(一)风险评估的目的

个人信息风险评估旨在发现、处置和持续监控个人信息处理过程中对个人信息主体合法权益造成的不利影响的风险。为保障数据跨境流动中的个人信息和重要数据安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法利益,保护个人信息权益,规范个人信息处理活动,保障个人信息依法有序自由流动,促进个人信息合理利用,在个人信息出境前,风险评估十分重要。

(二)个人信息风险评估内容

根据《中华人民共和国个人信息保护法(草案)》第五十五条规定,风险评估的内容应当包括:“a、个人信息的处理目的、处理方式等是否合法、正当、必要;b、对个人的影响及风险程度;c、所采取的安全保护措施是否合法、有效并与风险程度相适应。风险评估报告和处理情况记录应当至少保存三年。”

《信息安全技术 个人信息安全影响评估指南》中列出了风险评估中应当含有的具体内容,包括评估所覆盖的业务场景、业务场景所涉及的具体的个人信息处理活动、负责及参与的部门和人员、已识别的风险、已采用及拟采用的安全评控措施清单、剩余风险等。

2017年《个人信息和重要数据出具安全评估办法(征求意见稿)》中列出了风险评估中应当含有的重点内容,包括a、数据出境的必要性;b、涉及个人信息情况,包括个人信息的数量、范围、类型、敏感程度,以及个人信息主体是否同意其个人信息出境等;c、涉及重要数据情况,包括重要数据的数量、范围、类型及其敏感程度等;d、数据接收方的安全保护措施、能力和水平,以及所在国家和地区的网络安全环境等;e、数据出境及再转移后被泄露、毁损、篡改、滥用等风险;f、数据出境及出境数据汇聚可能对国家安全、社会公共利益、个人合法利益带来的风险;g、其他需要评估的重要事项。

2019年《个人信息出境安全评估办法(征求意见稿)》中列出了风险评估中至少包括:a、网络运营者和接收者的背景、规模、业务、财务、信誉、网络安全能力等;b、个人信息出境计划,包括持续时间、涉及的个人信息主体数量、向境外提供的个人信息规模、个人信息出境后是否会再向第三方传输等;c、个人信息出境风险分析和保障个人信息安全和个人信息主体合法权益的措施。

2019年《个人信息出境安全评估办法(征求意见稿)》中列出的风险评估中应当含有的重点内容,包括a、是否符合国家有关法律法规和政策规定;b、合同条款是否能够充分保障个人信息主体合法权益;c、合同能否得到有效执行;d、网络运营者或接收者是否有损害个人信息主体合法权益的历史、是否发生过重大网络安全事件;e、网络运营者获得个人信息是否合法、正当;f、其他应当评估的内容。

(三)个人信息风险评估的用途

风险评估报告的用途包括但不限于:

(1)对于个人信息主体,评估报告可确保个人信息主体了解其个人信息被如何处理、如何保护,并使个人信息主体能够判断是否有剩余风险尚未得到处置。

(2)对于开展影响评估的组织,评估报告的用途可能包括:

一是在产品、服务或项目的规划阶段,用于确保在产品或服务的设计中充分考虑并实现个人信息的保护要求(例如,安全机制的可实现性、可行性、可追踪性等);

二是在产品、服务或项目的运营过程中,用于判断运营的内外部因素(例如运营团队的变动、互联网安全环境、信息共享的第三方安全控制能力等)、法律法规是否发生实质变更,是否需要对影响评估结果进行审核和修正;

三是用于建立责任制度,监督发现存在安全风险的个人信息处理活动是否已采取安全保护措施,改善或消除已识别的风险;

四是用于提升内部员工的个人信息安全意识。

(3)对于主管监管部门,要求组织提供个人信息安全影响评估报告,可督促组织开展评估并采取有效的安全控制措施。在处理个人信息安全相关投诉、调查个人信息安全事件等时,主管监管部门可通过影响评估报告了解相关情况,或将报告作为相关证据。

(4)对于开展影响评估的组织的合作伙伴,用于整体了解其在业务场景中的角色和作用,以及其应具体承担的个人信息保护工作和责任。

(四)如何进行个人信息风险评估

1. 自行评估

2017年《个人信息和重要数据出具安全评估办法(征求意见稿)》第七条规定:“网络运营者应在数据出境前,自行组织对数据出境进行安全评估,并对评估结果负责。”

《中华人民共和国个人信息法(草案)》第五十五条规定,“个人信息处理者应当对下列个人信息处理活动在事前进行风险评估,并对处理情况进行记录: (一)处理敏感个人信息;(二)利用个人信息进行自动化决策;(三)委托处理个人信息、向第三方提供个人信息、公开个人信息;(四)向境外提供个人信息;(五)其他对个人有重大影响的个人信息处理活动。”这条中,我们符合第三点“向第三方提供个人信息”和第四点“向境外提供个人信息”。

所以当我们在个人信息出境前,我们需要先自行开展安全评估的工作。

2. 申请评估

其一,评估部门

2017年《个人信息和重要数据出具安全评估办法(征求意见稿)》提出,若我们需要出境的个人信息含有或累计50万人以上或个人信息量超过1000GB时,我们应报请行业主管或监管部门组织安全评估,若行业主管或监管部门不明确时,由国家网信部门组织评估。

2017年《个人信息和重要数据出具安全评估办法(征求意见稿)》提出,若我们需要出境的个人信息含有或累计50万人以上或个人信息量超过1000GB时,我们应报请行业主管或监管部门组织安全评估,若行业主管或监管部门不明确时,由国家网信部门组织评估。

若我们对省级网信部门的评估报告有异议时,还规定了“第七条 省级网信部门在将个人信息出境安全评估结论通报网络运营者的同时,将个人信息出境安全评估情况报国家网信部门。网络运营者对省级网信部门的个人信息出境安全评估结论存在异议的,可以向国家网信部门提出申诉。”

其二,申报材料。包括申报书,网络运营者与接收者签订的合同,个人信息出境安全风险及安全保障措施分析报告和国家网信部门要求提供的其他材料。

(五)出境后信息的评估

对于已出境的信息,《个人信息和重要数据出境安全评估办法(征求意见稿)》(2017)第十二条规定:“网络运营者应根据业务发展和网络运营情况,每年对数据出境至少进行一次安全评估,及时将评估情况报行业主管或监管部门。当数据接收方出现变更,数据出境目的、范围、数量、类型等发生较大变化,数据接收方或出境数据发生重大安全事件时,应及时重新进行安全评估。”《个人信息出境安全评估办法(征求意见稿)》(2019)第九条规定:“网络运营者应当每年12月31日前将本年度个人信息出境情况、合同履行情况等报所在地省级网信部门。发生较大数据安全事件时,应及时报所在地省级网信部门。”

即使个人信息已经出境了,每年的安全评估仍然必不可少。

(六)风险评估报告保存期限及保存内容

《中华人民共和国个人信息保护法(草案二次审议稿)》第五十五条规定:“风险评估报告和处理情况记录应当至少保存三年。”

《信息安全技术 个人信息安全影响评估》中规定个人信息处理活动记录的内容可包括1)所涉及个人信息的类型、数量、来源(如个人信息主体直接收集或通过间接获取方式获得);2)根据业务功能和授权情况区分个人信息的处理目的、使用场景,以及委托处理、共享、转让、公开披露、是否涉及出境等情况;3)与个人信息处理活动各环节相关的信息系统、组织或人员。

(七)个人信息出境记录的存储

2019年《个人信息出境安全评估办法(征求意见稿)》第八条中规定:“网络运营者应当建立个人信息出境记录并且至少保存5年,记录包括:a、向境外提供个人信息的日期时间。b、接收者的身份,包括但不限于接收者的名称、地址、联系方式等。c、向境外提供的个人信息的类型及数量、敏感程度。d、国家网信部门规定的其他内容。”

(八)第三方接入管理时信息管理者的义务

(1)建立第三方产品或服务接入管理机制和工作流程,必要时应建立安全评估等机制设置接入条件;

(2)应与第三方产品或服务提供者通过合同等形式明确双方的安全责任及应实施的个人信息安全措施;

(3)应向个人信息主体明确标识产品或服务由第三方提供;

(4)应妥善留存平台第三方接人有关合同和管理记录,确保可供相关方查阅;

(5)应要求第三方根据本标准相关要求向个人信息主体征得收集个人信息的授权同意,必要时核验其实现的方式;

(6)应要求第三方产品或服务建立响应个人信息主体请求和投诉等的机制,以供个人信息主体查询、使用;

(7)应监督第三方产品或服务提供者加强个人信息安全管理,发现第三方产品或服务没有落实安全管理要求和责任的,应及时督促整改必要时停止接入;

(8)产品或服务嵌入或接入第三方自动化工具(如代码、脚本、接口、算法模型、软件开发工具包、小程序等)的,宜采取以下措施:一是开展技术检测确保其个人信息收集、使用行为符合约定要求;二是对第三方嵌入或接入的自动化工具收集个人信息的行为进行审计,发现超出约定的行为,及时切断接入。

(九)关于风险评估的价值

实施个人信息安全影响评估,能够有效加强对个人信息主体权益的保护,有利于组织对外展示其保护个人信息安全的努力,提升透明度,增进个人信息主体对其的信任。包括:

(1)在开展个人信息处理前,组织可通过影响评估,识别可能导致个人信息主体权益遭受损害的风险,并据此采用适当的个人信息安全控制措施。

(2)对于正在开展的个人信息处理,组织可通过影响评估,综合考虑内外部因素的变化情况,持续修正已采取的个人信息安全控制措施,确保对个人合法权益不利影响的风险处于总体可控的状态。

(3)个人信息安全影响评估及其形成的记录文档,可帮助组织在政府、相关机构或商业伙伴的调查、执法、合规性审计等中,证明其遵守了个人信息保护与数据安全等方面的法律、法规和标准的要求。

(4)在发生个人信息安全事件时,个人信息安全影响评估及其形成的记录文档,可用于证明组织已经主动评估风险并采取一定的安全保护措施,有助于减轻、甚至免除组织相关责任和名誉损失。

(5)组织可通过个人信息安全影响评估,加强对员工的个人信息安全教育。参与评估之中,员工能熟悉各种个人信息安全风险,增强处置风险的能力。

(6)对合作伙伴,组织通过评估的实际行动表明其严肃对待个人信息安全保护,并引导其能够采取适当的安全控制措施,以达到同等或类似的安全保护水平。

个人信息出境与个人信息保护认证

2020年全国人大常委会发布的《个人信息保护法(草案二次审议稿)》第三十八条规定,个人信处理者因业务需要,确需向中华人民共和国境外提供信息的,应当至少具备下列一项条件:(二)按照国家网信部门规定进行经专业机构进行个人信息保护认证。”目前国家对如何获得个人信息保护认证没有明确规定。

从已经有媒体所公布的相关信息来看,支付宝(中国)网络技术有限公司,腾讯云计算(北京)有限责任公司,北京百度网讯科技有限公司云计算事业部等,因建立的个人信息安全管理体系符合国家标准及隐私政策要求,成为国内首批通过个人信息安全管理体系认证的试点单位,已于2019年2月2日获得中国网络安全审查技术与认证中心个人信息安全管理体系认证证书。据该媒体券商中国记者从北京某征信评级机构从业人士了解到,上述认证依据的国家标准GB/T 35273-2017《信息安全技术 个人信息安全规范》,于2017年12月29日正式发布。该国家标准紧紧围绕“保护个人权益”为核心,在《网络安全法》的框架下,结合国际通用保护理念,提出了权责一致、目的明确、选择同意、最少够用、公开透明、确保安全、主体参与七大原则以及个人信息处理生命周期的控制和管理要求,为组织全面提升个人信息保护水平提供了详尽、完备和体系化的指导。

个人信息出境如何与境外接收方订立合同

《中华人民共和国个人信息保护法(草案)》第三十八条规定,对于向中华人民共和国境外提供个人信息的需要至少具备如下一项条件:(1)通过国家网信部门组织的安全评估;(2)按照国家网信部门的规定经专业机构进行个人信息保护认证;(3)与境外接收方订立合同,约定双方的权利和义务,并监督其个人信息处理活动达到本法规定的个人信息保护标准;(4)法律、行政法规或者国家网信部门规定的其他条件。

一般在个人信息出境时,应与境外接收方签订合同,在合同中规定双方的权利和义务,并监督其个人信息处理活动达到本法规定的个人信息保护标准。

2019年《个人信息出境安全评估办法(征求意见稿)》中对合同的签订、双方的责任和义务等条款列出了相关规定:

第十三条:网络运营者与个人信息接收者签订的合同或者其他有法律效力的文件(统称合同),应当明确:a、个人信息出境的目的、类型、保存时限;b、个人信息主体是合同中涉及个人信息主体权益的条款的受益人;c、个人信息主体合法权益受到损害时,可以自行或者委托代理人向网络运营者或者接收者或者双方索赔,网络运营者或者接收者应当予以赔偿,除非证明没有责任;d、接收者所在国家法律环境发生变化导致合同难以履行时,应当终止合同,或者重新进行安全评估;e、合同的终止不能免除合同中涉及个人信息主体合法权益有关条款规定的网络运营者和接收者的责任和义务,除非接收者已经销毁了接收到的个人信息或作了匿名化处理;f、双方约定的其他内容。

第十四条:合同应当明确网络运营者承担以下责任和义务:a、以电子邮件、即时通信、信函、传真等方式告知个人信息主体网络运营者和接收者的基本情况,以及向境外提供个人信息的目的、类型和保存时间;b、应个人信息主体的请求,提供本合同的副本;c、应请求向接收者转达个人信息主体诉求,包括向接收者索赔;个人信息主体不能从接收者获得赔偿时,先行赔付。

第十六条 合同应当明确接收者不得将接收到的个人信息传输给第三方,除非满足以下条件:a、网络运营者已经通过电子邮件、即时通信、信函、传真等方式将个人信息传输给第三方的目的、第三方的身份和国别,以及传输的个人信息类型、第三方保留时限等通知个人信息主体。b、接收者承诺在个人信息主体请求停止向第三方传输时,停止传输并要求第三方销毁已经接收到的个人信息;c、涉及到个人敏感信息时,已征得个人信息主体同意。d、因向第三方传输个人信息对个人信息主体合法权益带来损害时,网络运营者同意先行承担赔付责任。

RCEP框架下个人信息保护相关规定

2020年11月15日,东盟10国和中国、日本、韩国、澳大利亚、新西兰共15个亚太国家正式签署了《区域全面经济伙伴关系协定》(Regional Comprehensive Economic Partnership,RCEP)。目前为止中国、泰国、日本均已经完成协定批准手续。

1. 为境外企业带来的机遇

(1)进行无纸化贸易或为无纸化贸易提供服务

无纸贸易作为电子商务重要应用领域,大大提高了效率、降低了成本,在促进贸易便利化等商务活动中发挥着越来越重要的作用。境外企业可以抓住该机遇,促进自身无纸化贸易,或者为需要进行无纸化贸易的企业提供相关技术支持。

(2)提供电子认证服务

根据《电子认证服务管理办法》第三条规定,在中华人民共和国境内设立电子认证服务机构和为电子签名提供电子认证服务,需适用《电子认证服务管理办法》有关规定。而根据《电子认证服务管理办法》,电子认证服务,是指为电子签名相关各方提供真实性、可靠性验证的活动。境外企业可以在中国境内设立电子认证服务机构,为相关主体提供第三方电子签名认证服务。根据该办法,在中国境内设立电子认证服务机构的,需要具备该办法第五条规定的条件,且需要获得电子认证服务许可。

当然,若境外企业不在境内设立电子认证服务机构,也可以与境内已经获得电子认证服务许可的企业进行合作,从而展开业务。

(3)通过电子方式跨境传输信息

RECP规定,缔约各国原则上应允许电子商务信息自由跨境传输。在海关关税上,RECP并不阻止缔约各国依照协定对电子传输征收税费、费用或其他支出。但原则上,缔约方应当维持目前不对缔约方之间的电子传输征收关税的现行做法。

因此,境外企业可以采用电子跨境传输的方式传输电子商务信息。根据目前中国的税收规定,境外企业跨境传输电子商务信息亦无须负担税费或其他支出。

2. 境外企业在RECP框架下开展电商服务需履行的义务

(1)履行线上消费者保护义务

境外企业面向境内用户开展电商服务,则须就线上消费者保护履行中国的相关规定。如根据《电子商务法》相关规定,境外电子商务经营平台需承担安全保障义务,规范精准营销行为,禁止默认搭售、虚构交易与评价等。

(2)保护电子商务中的个人信息

根据《电子商务法》、《个人信息保护法(草案二次审议稿)》等相关规定,电子商务经营者收集、使用其用户的个人信息的,应当遵守用户个人信息保护有关规定,获取用户授权、履行充分提示说明义务、遵循有关个人信息数据跨境传输规定、保障用户对信息的删除和注销的权利等。

(3)管理非应邀商业电子信息

RCEP对各缔约国就非应邀商业电子信息方面提出了具体要求。对此,《电子商务法》、《互联网电子邮件服务管理办法》《通信短信息和语音呼叫服务管理规定(征求意见稿)》等法律法规中均有具体规定,若境外企业在中国境内开展电子商务,则须遵守有关规定,如未经用户同意,不得向其发布商业短信等。