专业文章
(接上文)
(四)如何进行个人信息风险评估
1. 自行评估 2017年《个人信息和重要数据出具安全评估办法(征求意见稿)》第七条规定:“网络运营者应在数据出境前,自行组织对数据出境进行安全评估,并对评估结果负责。” 《中华人民共和国个人信息法(草案)》第五十五条规定,“个人信息处理者应当对下列个人信息处理活动在事前进行风险评估,并对处理情况进行记录: (一)处理敏感个人信息;(二)利用个人信息进行自动化决策;(三)委托处理个人信息、向第三方提供个人信息、公开个人信息;(四)向境外提供个人信息;(五)其他对个人有重大影响的个人信息处理活动。”这条中,我们符合第三点“向第三方提供个人信息”和第四点“向境外提供个人信息”。 所以当我们在个人信息出境前,我们需要先自行开展安全评估的工作。 2. 申请评估 其一,评估部门 2017年《个人信息和重要数据出具安全评估办法(征求意见稿)》提出,若我们需要出境的个人信息含有或累计50万人以上或个人信息量超过1000GB时,我们应报请行业主管或监管部门组织安全评估,若行业主管或监管部门不明确时,由国家网信部门组织评估。 2017年《个人信息和重要数据出具安全评估办法(征求意见稿)》提出,若我们需要出境的个人信息含有或累计50万人以上或个人信息量超过1000GB时,我们应报请行业主管或监管部门组织安全评估,若行业主管或监管部门不明确时,由国家网信部门组织评估。 若我们对省级网信部门的评估报告有异议时,还规定了“第七条 省级网信部门在将个人信息出境安全评估结论通报网络运营者的同时,将个人信息出境安全评估情况报国家网信部门。网络运营者对省级网信部门的个人信息出境安全评估结论存在异议的,可以向国家网信部门提出申诉。” 其二,申报材料。包括申报书,网络运营者与接收者签订的合同,个人信息出境安全风险及安全保障措施分析报告和国家网信部门要求提供的其他材料。 (五)出境后信息的评估 对于已出境的信息,《个人信息和重要数据出境安全评估办法(征求意见稿)》(2017)第十二条规定:“网络运营者应根据业务发展和网络运营情况,每年对数据出境至少进行一次安全评估,及时将评估情况报行业主管或监管部门。当数据接收方出现变更,数据出境目的、范围、数量、类型等发生较大变化,数据接收方或出境数据发生重大安全事件时,应及时重新进行安全评估。”《个人信息出境安全评估办法(征求意见稿)》(2019)第九条规定:“网络运营者应当每年12月31日前将本年度个人信息出境情况、合同履行情况等报所在地省级网信部门。发生较大数据安全事件时,应及时报所在地省级网信部门。” 即使个人信息已经出境了,每年的安全评估仍然必不可少。 (六)风险评估报告保存期限及保存内容 《中华人民共和国个人信息保护法(草案二次审议稿)》第五十五条规定:“风险评估报告和处理情况记录应当至少保存三年。” 《信息安全技术 个人信息安全影响评估》中规定个人信息处理活动记录的内容可包括1)所涉及个人信息的类型、数量、来源(如个人信息主体直接收集或通过间接获取方式获得);2)根据业务功能和授权情况区分个人信息的处理目的、使用场景,以及委托处理、共享、转让、公开披露、是否涉及出境等情况;3)与个人信息处理活动各环节相关的信息系统、组织或人员。 (七)个人信息出境记录的存储 2019年《个人信息出境安全评估办法(征求意见稿)》第八条中规定:“网络运营者应当建立个人信息出境记录并且至少保存5年,记录包括:a、向境外提供个人信息的日期时间。b、接收者的身份,包括但不限于接收者的名称、地址、联系方式等。c、向境外提供的个人信息的类型及数量、敏感程度。d、国家网信部门规定的其他内容。” (八)第三方接入管理时信息管理者的义务 (1)建立第三方产品或服务接入管理机制和工作流程,必要时应建立安全评估等机制设置接入条件; (2)应与第三方产品或服务提供者通过合同等形式明确双方的安全责任及应实施的个人信息安全措施; (九)关于风险评估的价值 实施个人信息安全影响评估,能够有效加强对个人信息主体权益的保护,有利于组织对外展示其保护个人信息安全的努力,提升透明度,增进个人信息主体对其的信任。包括: (1)在开展个人信息处理前,组织可通过影响评估,识别可能导致个人信息主体权益遭受损害的风险,并据此采用适当的个人信息安全控制措施。 (2)对于正在开展的个人信息处理,组织可通过影响评估,综合考虑内外部因素的变化情况,持续修正已采取的个人信息安全控制措施,确保对个人合法权益不利影响的风险处于总体可控的状态。 (3)个人信息安全影响评估及其形成的记录文档,可帮助组织在政府、相关机构或商业伙伴的调查、执法、合规性审计等中,证明其遵守了个人信息保护与数据安全等方面的法律、法规和标准的要求。 (4)在发生个人信息安全事件时,个人信息安全影响评估及其形成的记录文档,可用于证明组织已经主动评估风险并采取一定的安全保护措施,有助于减轻、甚至免除组织相关责任和名誉损失。 (5)组织可通过个人信息安全影响评估,加强对员工的个人信息安全教育。参与评估之中,员工能熟悉各种个人信息安全风险,增强处置风险的能力。 (6)对合作伙伴,组织通过评估的实际行动表明其严肃对待个人信息安全保护,并引导其能够采取适当的安全控制措施,以达到同等或类似的安全保护水平。 四、个人信息出境与个人信息保护认证 2020年全国人大常委会发布的《个人信息保护法(草案二次审议稿)》第三十八条规定,个人信处理者因业务需要,确需向中华人民共和国境外提供信息的,应当至少具备下列一项条件:(二)按照国家网信部门规定进行经专业机构进行个人信息保护认证。”目前国家对如何获得个人信息保护认证没有明确规定。 从已经有媒体所公布的相关信息来看,支付宝(中国)网络技术有限公司,腾讯云计算(北京)有限责任公司,北京百度网讯科技有限公司云计算事业部等,因建立的个人信息安全管理体系符合国家标准及隐私政策要求,成为国内首批通过个人信息安全管理体系认证的试点单位,已于2019年2月2日获得中国网络安全审查技术与认证中心个人信息安全管理体系认证证书。据该媒体券商中国记者从北京某征信评级机构从业人士了解到,上述认证依据的国家标准GB/T 35273-2017《信息安全技术 个人信息安全规范》,于2017年12月29日正式发布。该国家标准紧紧围绕“保护个人权益”为核心,在《网络安全法》的框架下,结合国际通用保护理念,提出了权责一致、目的明确、选择同意、最少够用、公开透明、确保安全、主体参与七大原则以及个人信息处理生命周期的控制和管理要求,为组织全面提升个人信息保护水平提供了详尽、完备和体系化的指导。 五、个人信息出境如何与境外接收方订立合同 《中华人民共和国个人信息保护法(草案)》第三十八条规定,对于向中华人民共和国境外提供个人信息的需要至少具备如下一项条件:(1)通过国家网信部门组织的安全评估;(2)按照国家网信部门的规定经专业机构进行个人信息保护认证;(3)与境外接收方订立合同,约定双方的权利和义务,并监督其个人信息处理活动达到本法规定的个人信息保护标准;(4)法律、行政法规或者国家网信部门规定的其他条件。 一般在个人信息出境时,应与境外接收方签订合同,在合同中规定双方的权利和义务,并监督其个人信息处理活动达到本法规定的个人信息保护标准。 2019年《个人信息出境安全评估办法(征求意见稿)》中对合同的签订、双方的责任和义务等条款列出了相关规定: 第十三条:网络运营者与个人信息接收者签订的合同或者其他有法律效力的文件(统称合同),应当明确:a、个人信息出境的目的、类型、保存时限;b、个人信息主体是合同中涉及个人信息主体权益的条款的受益人;c、个人信息主体合法权益受到损害时,可以自行或者委托代理人向网络运营者或者接收者或者双方索赔,网络运营者或者接收者应当予以赔偿,除非证明没有责任;d、接收者所在国家法律环境发生变化导致合同难以履行时,应当终止合同,或者重新进行安全评估;e、合同的终止不能免除合同中涉及个人信息主体合法权益有关条款规定的网络运营者和接收者的责任和义务,除非接收者已经销毁了接收到的个人信息或作了匿名化处理;f、双方约定的其他内容。 第十四条:合同应当明确网络运营者承担以下责任和义务:a、以电子邮件、即时通信、信函、传真等方式告知个人信息主体网络运营者和接收者的基本情况,以及向境外提供个人信息的目的、类型和保存时间;b、应个人信息主体的请求,提供本合同的副本;c、应请求向接收者转达个人信息主体诉求,包括向接收者索赔;个人信息主体不能从接收者获得赔偿时,先行赔付。 第十六条 合同应当明确接收者不得将接收到的个人信息传输给第三方,除非满足以下条件:a、网络运营者已经通过电子邮件、即时通信、信函、传真等方式将个人信息传输给第三方的目的、第三方的身份和国别,以及传输的个人信息类型、第三方保留时限等通知个人信息主体。b、接收者承诺在个人信息主体请求停止向第三方传输时,停止传输并要求第三方销毁已经接收到的个人信息;c、涉及到个人敏感信息时,已征得个人信息主体同意。d、因向第三方传输个人信息对个人信息主体合法权益带来损害时,网络运营者同意先行承担赔付责任。 六、RCEP框架下个人信息保护相关规定 2020年11月15日,东盟10国和中国、日本、韩国、澳大利亚、新西兰共15个亚太国家正式签署了《区域全面经济伙伴关系协定》(Regional Comprehensive Economic Partnership,RCEP)。目前为止中国、泰国、日本均已经完成协定批准手续。 1. 为境外企业带来的机遇 (1)进行无纸化贸易或为无纸化贸易提供服务 无纸贸易作为电子商务重要应用领域,大大提高了效率、降低了成本,在促进贸易便利化等商务活动中发挥着越来越重要的作用。境外企业可以抓住该机遇,促进自身无纸化贸易,或者为需要进行无纸化贸易的企业提供相关技术支持。 (2)提供电子认证服务 根据《电子认证服务管理办法》第三条规定,在中华人民共和国境内设立电子认证服务机构和为电子签名提供电子认证服务,需适用《电子认证服务管理办法》有关规定。而根据《电子认证服务管理办法》,电子认证服务,是指为电子签名相关各方提供真实性、可靠性验证的活动。境外企业可以在中国境内设立电子认证服务机构,为相关主体提供第三方电子签名认证服务。根据该办法,在中国境内设立电子认证服务机构的,需要具备该办法第五条规定的条件,且需要获得电子认证服务许可。 当然,若境外企业不在境内设立电子认证服务机构,也可以与境内已经获得电子认证服务许可的企业进行合作,从而展开业务。 (3)通过电子方式跨境传输信息 RECP规定,缔约各国原则上应允许电子商务信息自由跨境传输。在海关关税上,RECP并不阻止缔约各国依照协定对电子传输征收税费、费用或其他支出。但原则上,缔约方应当维持目前不对缔约方之间的电子传输征收关税的现行做法。 因此,境外企业可以采用电子跨境传输的方式传输电子商务信息。根据目前中国的税收规定,境外企业跨境传输电子商务信息亦无须负担税费或其他支出。 2. 境外企业在RECP框架下开展电商服务需履行的义务 (1)履行线上消费者保护义务 境外企业面向境内用户开展电商服务,则须就线上消费者保护履行中国的相关规定。如根据《电子商务法》相关规定,境外电子商务经营平台需承担安全保障义务,规范精准营销行为,禁止默认搭售、虚构交易与评价等。 (2)保护电子商务中的个人信息 根据《电子商务法》、《个人信息保护法(草案二次审议稿)》等相关规定,电子商务经营者收集、使用其用户的个人信息的,应当遵守用户个人信息保护有关规定,获取用户授权、履行充分提示说明义务、遵循有关个人信息数据跨境传输规定、保障用户对信息的删除和注销的权利等。 (3)管理非应邀商业电子信息 RCEP对各缔约国就非应邀商业电子信息方面提出了具体要求。对此,《电子商务法》、《互联网电子邮件服务管理办法》《通信短信息和语音呼叫服务管理规定(征求意见稿)》等法律法规中均有具体规定,若境外企业在中国境内开展电子商务,则须遵守有关规定,如未经用户同意,不得向其发布商业短信等。
(3)应向个人信息主体明确标识产品或服务由第三方提供;
(4)应妥善留存平台第三方接人有关合同和管理记录,确保可供相关方查阅;
(5)应要求第三方根据本标准相关要求向个人信息主体征得收集个人信息的授权同意,必要时核验其实现的方式;
(6)应要求第三方产品或服务建立响应个人信息主体请求和投诉等的机制,以供个人信息主体查询、使用;
(7)应监督第三方产品或服务提供者加强个人信息安全管理,发现第三方产品或服务没有落实安全管理要求和责任的,应及时督促整改必要时停止接入;
(8)产品或服务嵌入或接入第三方自动化工具(如代码、脚本、接口、算法模型、软件开发工具包、小程序等)的,宜采取以下措施:一是开展技术检测确保其个人信息收集、使用行为符合约定要求;二是对第三方嵌入或接入的自动化工具收集个人信息的行为进行审计,发现超出约定的行为,及时切断接入。
