關閉

“限制個人上網自由”純屬曲解和誤讀

2019-06-17 17:45:52  來源:中國互聯網聯合辟謠平臺綜自共青團中央、中國網信網  

6月13日,國家互聯網信息辦公室就《個人信息出境安全評估辦法(征求意見稿)》向社會公開征求意見。根據意見稿,個人信息出境應進行安全評估。經安全評估認定個人信息出境可能影響國家安全、損害公共利益,或者難以有效保障個人信息安全的,不得出境。

誤讀:“個人信息出境”就是“在境外網站輸入個人信息”或“在國內登陸境外網站”。

解讀:“個人信息出境”并非類似“去美國登陸個微博要報備”或者“在國內登陸境外網站要報備”的意思。《辦法》第二條明確指出“網絡運營者向境外提供在中華人民共和國境內運營中收集的個人信息,應當按照本辦法進行安全評估。”

可見,《辦法》約束的主體并非“個人”,而是“網絡運營者”,即網絡的所有者、管理者和網絡服務提供者;客體則是“數據出境”,即網絡運營者將在中華人民共和國境內運營中收集和產生的個人信息和重要數據,提供給位于境外的機構、組織、個人。

舉個直觀的例子,如果新浪網站在未經你同意的情況下,把你微博的個人信息給了外國人或者外國政府,才叫“個人信息出境”。

誤讀:《辦法》出臺目的是限制個人上網自由。

解讀:個人信息在出境場景下的保護,主要目的是在數據脫離了原來的數據控制者同時流出國境的情況下,持續保障個人合法權益。

數據流出國境,與數據在境內流動相比,會產生四個主要的變化:一是數據持有方發生變化,對數據的保護能力必然有相應的改變;二是數據流出后適用的法律法規不同了;三是原境內監管機關無法對接收數據的境外主體實施管轄權;四是個人數據主體維護自身合法權益的渠道變少了,且變得更加困難。

因此,保障個人數據出境安全的主要制度設計著力于上述四個方面。

附件

個人信息出境安全評估辦法

(征求意見稿)

第一條為保障數據跨境流動中的個人信息安全,根據《中華人民共和國網絡安全法》等相關法律法規,制定本辦法。

第二條網絡運營者向境外提供在中華人民共和國境內運營中收集的個人信息(以下稱個人信息出境),應當按照本辦法進行安全評估。經安全評估認定個人信息出境可能影響國家安全、損害公共利益,或者難以有效保障個人信息安全的,不得出境。

國家關于個人信息出境另有規定的,從其規定。

第三條個人信息出境前,網絡運營者應當向所在地省級網信部門申報個人信息出境安全評估。

向不同的接收者提供個人信息應當分別申報安全評估,向同一接收者多次或連續提供個人信息無需多次評估。

每2年或者個人信息出境目的、類型和境外保存時間發生變化時應當重新評估。

第四條網絡運營者申報個人信息出境安全評估應當提供以下材料,并對材料的真實性、準確性負責:

(一)申報書。

(二)網絡運營者與接收者簽訂的合同。

(三)個人信息出境安全風險及安全保障措施分析報告。

(四)國家網信部門要求提供的其他材料。

第五條省級網信部門在收到個人信息出境安全評估申報材料并核查其完備性后,應當組織專家或技術力量進行安全評估。安全評估應當在15個工作日內完成,情況復雜的可以適當延長。

第六條個人信息出境安全評估重點評估以下內容:

(一)是否符合國家有關法律法規和政策規定。

(二)合同條款是否能夠充分保障個人信息主體合法權益。

(三)合同能否得到有效執行。

(四)網絡運營者或接收者是否有損害個人信息主體合法權益的歷史、是否發生過重大網絡安全事件。

(五)網絡運營者獲得個人信息是否合法、正當。

(六)其他應當評估的內容。

第七條省級網信部門在將個人信息出境安全評估結論通報網絡運營者的同時,將個人信息出境安全評估情況報國家網信部門。

網絡運營者對省級網信部門的個人信息出境安全評估結論存在異議的,可以向國家網信部門提出申訴。

第八條網絡運營者應當建立個人信息出境記錄并且至少保存5年,記錄包括:

(一)向境外提供個人信息的日期時間。

(二)接收者的身份,包括但不限于接收者的名稱、地址、聯系方式等。

(三)向境外提供的個人信息的類型及數量、敏感程度。

(四)國家網信部門規定的其他內容。

第九條網絡運營者應當每年12月31日前將本年度個人信息出境情況、合同履行情況等報所在地省級網信部門。

發生較大數據安全事件時,應及時報所在地省級網信部門。

第十條省級網信部門應當定期組織檢查運營者的個人信息出境記錄等個人信息出境情況,重點檢查合同規定義務的履行情況、是否存在違反國家規定或損害個人信息主體合法權益的行為等。

發現損害個人信息主體合法權益、數據泄露安全事件等情況時,應當及時要求網絡運營者整改,通過網絡運營者督促接收者整改。

第十一條出現以下情況之一時,網信部門可以要求網絡運營者暫停或終止向境外提供個人信息:

(一)網絡運營者或接收者發生較大數據泄露、數據濫用等事件。

(二)個人信息主體不能或者難以維護個人合法權益。

(三)網絡運營者或接收者無力保障個人信息安全。

第十二條任何個人和組織有權對違反本辦法規定向境外提供個人信息的行為,向省級以上網信部門或者相關部門舉報。

第十三條網絡運營者與個人信息接收者簽訂的合同或者其他有法律效力的文件(統稱合同),應當明確:

(一)個人信息出境的目的、類型、保存時限。

(二)個人信息主體是合同中涉及個人信息主體權益的條款的受益人。

(三)個人信息主體合法權益受到損害時,可以自行或者委托代理人向網絡運營者或者接收者或者雙方索賠,網絡運營者或者接收者應當予以賠償,除非證明沒有責任。

(四)接收者所在國家法律環境發生變化導致合同難以履行時,應當終止合同,或者重新進行安全評估。

(五)合同的終止不能免除合同中涉及個人信息主體合法權益有關條款規定的網絡運營者和接收者的責任和義務,除非接收者已經銷毀了接收到的個人信息或作了匿名化處理。

(六)雙方約定的其他內容。

第十四條合同應當明確網絡運營者承擔以下責任和義務:

(一)以電子郵件、即時通信、信函、傳真等方式告知個人信息主體網絡運營者和接收者的基本情況,以及向境外提供個人信息的目的、類型和保存時間。

(二)應個人信息主體的請求,提供本合同的副本。

(三)應請求向接收者轉達個人信息主體訴求,包括向接收者索賠;個人信息主體不能從接收者獲得賠償時,先行賠付。

第十五條合同應當明確接收者承擔以下責任和義務:

(一)為個人信息主體提供訪問其個人信息的途徑,個人信息主體要求更正或者刪除其個人信息時,應在合理的代價和時限內予以響應、更正或者刪除。

(二)按照合同約定的目的使用個人信息,個人信息的境外保存期限不得超出合同約定的時限。

(三)確認簽署合同及履行合同義務不會違背接收者所在國家的法律要求,當接收者所在國家和地區法律環境發生變化可能影響合同執行時,應當及時通知網絡運營者,并通過網絡運營者報告網絡運營者所在地省級網信部門。

第十六條合同應當明確接收者不得將接收到的個人信息傳輸給第三方,除非滿足以下條件:

(一)網絡運營者已經通過電子郵件、即時通信、信函、傳真等方式將個人信息傳輸給第三方的目的、第三方的身份和國別,以及傳輸的個人信息類型、第三方保留時限等通知個人信息主體。

(二)接收者承諾在個人信息主體請求停止向第三方傳輸時,停止傳輸并要求第三方銷毀已經接收到的個人信息。

(三)涉及到個人敏感信息時,已征得個人信息主體同意。

(四)因向第三方傳輸個人信息對個人信息主體合法權益帶來損害時,網絡運營者同意先行承擔賠付責任。

第十七條網絡運營者關于個人信息出境安全風險及安全保障措施分析報告應當至少包括:

(一)網絡運營者和接收者的背景、規模、業務、財務、信譽、網絡安全能力等。

(二)個人信息出境計劃,包括持續時間、涉及的個人信息主體數量、向境外提供的個人信息規模、個人信息出境后是否會再向第三方傳輸等。

(三)個人信息出境風險分析和保障個人信息安全和個人信息主體合法權益的措施。

第十八條網絡運營者違反本辦法規定向境外提供個人信息的,依照有關法律法規進行處理。

第十九條我國參與的或者與其他國家和地區、國際組織締結的條約、協議等對個人信息出境有明確規定的,適用其規定,我國聲明保留的條款除外。

第二十條境外機構經營活動中,通過互聯網等收集境內用戶個人信息,應當在境內通過法定代表人或者機構履行本辦法中網絡運營者的責任和義務。

第二十一條本辦法下列用語的含義:

(一)網絡運營者,是指網絡的所有者、管理者和網絡服務提供者。

(二)個人信息,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息,包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。

(三)個人敏感信息,是指一旦被泄露、竊取、篡改、非法使用可能危害個人信息主體人身、財產安全,或導致個人信息主體名譽、身心健康受到損害等的個人信息。

第二十二條本辦法自年月日起實施。

責任編輯:丁楚蘭
相關閱讀
黑龙江时时彩app下载