法规不断升级 个人信息出境如何确保安全

随着经济全球化进程的不断加速，层出不穷新技术的高速发展，由此产生的数据出境显著激增，在促进国家信息技术创新和数字经济产业发展的同时，各国各地区对数据流动的监管诉求日益上升，这将使得数据合规出境成为企业未来合规运营的重要方面。

我国《网络安全法》的颁布实施，首次提出数据出境安全管理要求，国家有关部门在《网络安全法》的管理框架下，积极制定配套管理办法《个人信息出境安全评估办法》，探索具有中国特色的个人信息出境安全管理路径。近期，《个人信息出境安全评估办法》对外公开征求意见，初步确立管理要求以及管理模式，引起社会各界的广泛关注。

根据《数据安全管理办法（征求意见稿）》和《个人信息出境安全评估办法（征求意见稿）》，目前的立法趋势是个人信息和重要数据的出境将进行分开管理。大成律师事务所合伙人江苗介绍说，重要数据和个人数据（个人信息）出境规制政策不同。重要数据应当纳入出境管制范围，原则上不允许出境；而个人数据则不宜纳入数据出境管制范围，在同等保护前提下，遵循一定规则即可以出境。个人信息出境向所在地省级网信部门申报个人信息出境安全评估；重要数据的出境报经行业主管监管部门同意（如果行业主管监管部门不明确的，再报省级网信部门批准）。

《个人信息出境安全评估办法（征求意见稿）》第三条规定“个人信息出境前，网络运营者应当向所在地省级网信部门申报个人信息出境安全评估”。而明确申报安全评估需要提交的材料包括，申报书、网络运营者与接收者签订的合同、个人信息出境安全风险及安全保障措施分析报告以及国家网信部门要求提供的其他材料。

中国信息通信研究院安全研究所陈志告诉记者，网络运营者与个人信息接收者签订的合同或者其他有法律效力的文件，应当明确：个人信息出境的目的、类型、保存时限；个人信息主体是合同中涉及个人信息主体权益的条款的受益人；个人信息主体合法权益受到损害时，可以自行或者委托代理人向网络运营者或者接收者或者双方索赔，网络运营者或者接收者应当予以赔偿，除非证明没有责任；接收者所在国家法律环境发生变化导致合同难以履行时，应当终止合同，或者重新进行安全评估；合同的终止不能免除合同中涉及个人信息主体合法权益有关条款规定的网络运营者和接收者的责任和义务，除非接收者已经销毁了接收到的个人信息或作了匿名化处理；双方约定的其他内容。而网络运营者关于个人信息出境安全风险及安全保障措施分析报告应当至少包括：网络运营者和接收者的背景、规模、业务、财务、信誉、网络安全能力等；个人信息出境计划，包括持续时间、涉及的个人信息主体数量、向境外提供的个人信息规模、个人信息出境后是否会再向第三方传输等；个人信息出境风险分析和保障个人信息安全和个人信息主体合法权益的措施。

江苗表示，现在很多跨国企业的中国公司与外国关联公司之间存在数据跨境传输，但没有签订《数据处理协议》，将来很可能需要补签协议。 （穆青风）