柳暗花明-通力律师事务所.PDF

公司及并购法律评述 20 19 年6 月 从“雾里观花”到“柳暗花明” ——评《个人信息出境安全评估办法(征求意见稿)》 作者: 潘永建 | 黄文捷 6 月 13 日, 国家互联网信息办公室( “网信办”)发布了 《个人信息出境安全评估办法(征求意见稿)》( “征求意 见稿”), 向社会公众征求意见。在征求意见稿发布之前, 国家网信办于2017 年4 月公布的《个人信息和重要数据 出境安全评估办法(征求意见稿)》(“2017 版征求意见稿”) 中首次专门对个人信息和重要数据出境的安全评估作出 规定, 但征求意见稿较2017 版征求意见稿从监管部门到 监管思路都发生了重要变化, 并且对于个人信息出境安 全评估的具体内容作出了详细规定。本文中, 通力网安 数据服务团队结合长期实践及持续关注, 从主管部门、 For more Llinks publications, please 评估义务主体与客体、提供者与接收者合同、评估要求 contact: 和违规责任等角度对征求意见稿进行解读, 并附上征求 Roy Guo: +86 21 3135 8756 意见稿与 2017 版征求意见稿中个人信息部分的详细对 Publication@ 比, 供客户与同行参考指正。 如您需要了解我们的出版物, 请与下列人员联系: 1. 主管部门 郭建良: +86 21 3135 8756 Publication@ 2017 版征求意见稿规定, 数据出境安全评估工作由 通力律师事务所 国家网信部门进行统筹协调, 由行业主管、监管部 门组织开展具体工作。一般理解, 此处提及的行业 1 从“雾里观花”到“柳暗花明”——评《个人信息出境安全评估办法(征求意见稿)》 主管、监管部门应为交通、教育等与特定行业有关的政府部门。而在征求意见稿中, 组织开展数据 出境安全评估工作的部门改为省级网信部门。省级网信部门在个人信息出境安全评估工作的中的主 要职责包括: 组织专家进行安全评估、对网络运营者的数据出境安全进行检查、接收网络运营者对 于数据出境安全情况的报告等。国家网信办则负责受理网络运营者的申诉、接收省级网信部门出具 的安全评估情况结论。 2. 安全评估义务主体与客体 a) 义务主体 按照征求意见稿的规定, 直接或间接承担个人信息出境安全评估义务的主体包括网络运营者、 个人信息接收者与境外机构。 i. 网络运营者 《网络安全法》( “网安法”)将个人信息和重要数据出境安全评估义务主体限定为关键信 息基础设施运营者(CIIO) 。2017 版征求意见稿在网安法的基础上, 将这一义务主体扩大到 所有的网络运