企业合规重点转向个人信息和重要数据

日前，国家互联网信息办公室会同有关部门起草了《个人信息出境安全评估办法（征求意见稿）》，并向社会公开征求意见。根据该《评估办法》，网络运营者向境外提供在中国境内运营中收集的个人信息，应当按照该办法进行安全评估。

“该办法落地后，将对企业合规产生重大影响。企业应提前了解相关规范，未雨绸缪。”在日前举办的个人信息安全和数据保护最新立法及执法趋势解读会上，安杰律师事务所合伙人杨洪泉表示。

杨洪泉介绍说，根据《评估办法》，评估流程分三步进行。首先，网络运营者向省级网信部门申报个人信息出境安全评估。其中向不同的接收者提供个人信息应当分别申报安全评估，向同一接收者多次或连续提供个人信息无需多次评估。每两年或者个人信息出境目的、类型和境外保存时间发生变化时应当重新评估。其次，省级网信部门将组织专家或利用技术力量进行安全评估。安全评估应当在15个工作日内完成，情况复杂的可以适当延长。《评估办法》重点评估以下内容：是否符合国家有关法律法规和政策规定；合同条款是否能够充分保障个人信息主体合法权益；合同能否得到有效执行；网络运营者或接收者是否有损害个人信息主体合法权益的历史、是否发生过重大网络安全事件；网络运营者获得个人信息是否合法、正当。最后，通知申报人并报送国家网信部门。

企业需要准备的申报材料包括个人信息出境安全风险及安全保障措施分析报告和网络运营者与接收者签订的合同。前者必备内容包括：网络运营者和接收者的背景、规模、业务、财务、信誉、网络安全能力；个人信息出境计划，包括持续时间、涉及的个人信息主体数量、向境外提供的个人信息规模、个人信息出境后是否会再向第三方传输等；个人信息出境风险分析和保障个人信息安全和个人信息主体合法权益的措施。

后者必备条款包括：个人信息出境的目的、类型、保存时限；个人信息主体是合同中涉及个人信息主体权益的条款的受益人；个人信息主体合法权益受到损害时，可以自行或者委托代理人向网络运营者或者接收者或者双方索赔，网络运营者或者接收者应当予以赔偿，除非证明没有责任；接收者所在国家法律环境发生变化导致合同难以履行时，应当终止合同，或重新进行安全评估；合同的终止不能免除合同中涉及个人信息主体合法权益有关条款规定的网络运营者和接收者的责任和义务，除非接收者已经销毁了接收到的个人信息或作了匿名化处理；网络运营者以电子邮件、即时通信、信函、传真等方式告知个人信息主体网络运营者和接收者的基本情况,以及向境外提供个人信息的目的、类型和保存时间；网络运营者应个人信息主体的请求，提供本合同的副本。

《评估办法》中还规定，网络运营者对省级网信部门的个人信息出境安全评估结论存在异议的，可以向国家网信部门提出申诉；网络运营者应当于每年12月31日前将本年度个人信息出境情况、合同履行情况等报所在地省级网信部门；发生较大数据安全事件时，应及时报所在地省级网信部门；岀现以下情况之一时，网信部门可以要求网络运营者暂停或终止向境外提供个人信息：网络运营者或接收者发生较大数据泄露、数据滥用等事件，个人信息主体不能或者难以维护个人合法权益，网络运营者或接收者无力保障个人信息安全；境外机构经营活动中，通过互联网等收集境内用户个人信息，应当在境內通过法定代表人或者机构履行本办法中网络运营者的责任和义务；我国参与的或者与其他国家和地区、国际组织缔结的条约、协议等对个人信息岀境有明确规定的，适用其规定，我国声明保留的条款除外。

中伦律师事务所合伙人高俊认为，今后针对不同类别的数据很可能会出台不同的合规要求，企业应对自己所掌握的数据进行梳理与分类识别。同时，尽管本地化存储及个人信息出境评估的要求仍待具体落地，但企业应当尽早评估实施相应合规措施的成本与可操作性，尽早准备应对方案。

“企业合规工作应重点关注个人信息和重要数据。”杨洪泉表示，企业为响应新的法律要求，内部重视数据映射、网络安全管理规范、个人数据保护政策、网络安全等级保护、数据本地化、数据跨境传输安全评估，外部重视隐私政策，以及数据处理合同、客户合同、供应商合同等。

高俊还建议，企业尽快梳理及重审涉及个人信息出境的合同，并进行合规评估，与境外信息接收者进行沟通，对将来可能采取的合规操作进行讨论。考虑到可能需要披露合同内容的要求，企业可与境外信息接收者签订单独的数据协议作为补充协议，保证披露时能平衡商业需求与监管需求。此外，考虑聘请专业的数据合规团队，针对不同业务情境下的需求拟定不同的符《评估办法》要求的数据协议模板。