个人信息和重要数据出境拟面临严格监管作者-安杰律师事务所.pdf

个人信息和重要数据出境拟面临严格监管 作者：杨洪泉、韩璐 前言 国家互联网信息办公室于2017 年4 月11 日发布了《个人信息和重要数据出境安全评估 办法（征求意见稿）》（“ 《意见稿》”），向社会公开征求意见,本次征求意见的截止日期 为2017 年5 月11 日。本文分析了《意见稿》中可能对中国个人信息和重要数据出境问 题产生深刻影响的若干规定。 1. “数据出境”、“个人信息”和 “重要数据”的定义 《意见稿》将“数据出境”定义为“网络运营者将在中华人民共和国境内运营中收集和产 生的个人信息和重要数据，提供给位于境外的机构、组织、个人”。由此可见，“数据出 境”不但指将数据存储在境外的行为，还包括虽然将数据存储在境内，但接触该数据的 权限也开放给境外的机构、组织、个人的行为 （即境内数据在境外下载或可见）。在《意 见稿》出台前，中国已有一些法律法规对特定行业的数据出境进行限制或禁止，但相关 表述不尽相同，实践中也有不同理解，而《意见稿》一旦正式出台，将有望统一企业在 合规实务中的理解以及相关监管部门的执法尺度。 即将于2017 年6 月1 日生效的《中华人民共和国网络安全法》（“《网络安全法》”）对“个 i 人信息”已有规定，《意见稿》中“个人信息”的定义与《网络安全法》中的定义保持 了一致。对于“重要数据”，《意见稿》规定：重要数据，是指与国家安全、经济发展， 以及社会公共利益密切相关的数据，具体范围参照国家有关标准和重要数据识别指南。 据此，有关部门将会进一步出台识别重要数据的指引和标准。 2. 扩大适用主体，进一步加强对数据出境的限制 《网络安全法》规定：“关键信息基础设施的运营者在中华人民共和国境内运营中收集 和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当 按照国家网信部门会同国务院有关部门制定的办法进行安全评估”。上述《网络安全法》 对数据出境的限制仅限于“关键信息基础设施”的运营者，其具体范围和保护办法虽未正 ii 式出台，但根据《网络安全法》的规定，“关键信息基础设施”应仅限于“公共通信和信 息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他 一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益 的关键信息基础设施”。而此次发布的 《意见稿》规定：“网络运营者在中华人民共和国 境内运营中收集和产生的个人信息和重要数据，应当在境内存储。因业务需要，确需向 境外提供的，应当按照本办法进行安全评估。”上述规定意味着《意见稿》将数据出境 限制的适用主体由《网络安全法》下的“关键信息基础设施”运营者扩展到含义更广泛的 “网络运营者”。根据 《网络安全法》的规定，网络运营者是指“网络的所有者、管理者 和网络服务提供者”。几乎所有的互联网运营商、网络新媒体企业以及利用互联网提供 服务信息的传统企业（例如银行、保险公司公司等）都有可能被纳入这一范围。此外， 1 《意见稿》还规定，其他个人和组织在中华人民共和国境内收集和产生的个人信息和重 要数据出境的安全评估工作参照本办法执行。这意味着《意见稿》将数据出境限制进一 步扩展到全社会范围。 上述规定一方面将有助于加强对中国境内个人信息和重要数据的保护，但另一方面也有 可能给正常和普遍接受的数据出境行为增加额外的程序负担和合规成本。 3. 明确个人信息出境的知情同意原则 《意见稿》规定：“个人信息出境，应向个人信息主体说明数据出境的目的、范围、内 容、接收方及接收方所在的国家或地区，并经其同意。未成年人个人信息出境须经其监 护人同意。”我国个人信息保护法律制度虽未完善，但知情同意原则作为个人信息的收 集、使用、处理的通行国际规则，在 《中华人民共和国民法总则》及《网络安全法》等 1 法律法规中均已体现。《意见稿》的上述规定细化了个人信息出境时的知情同意原则， 是对于现有法律法规的进一步补充。 值得注意的是，《网络安全法》规定，网络运营者未经被收集者同意，不得向他人提供 个人信息。但是，经过处理无法识别特定个人且不能复原的除外。该条规定即业内通称 的“匿名化条款”或“大数据条款”。作为个人信息主体知情同意原则的例外，该条规定允 许网络运营者在将个人信息“脱敏”后（即无法辨识个人身份）提供给第三方。但《网络 安全法》未明确该