國家網際網路信息辦公室在2019年6月13日發佈了《個人資訊出境安全評估辦法（徵求意見稿）》（下稱“草案”），公開徵求社會公眾的意見。這個草案是為了保護公眾個人資訊安全，但一部分公眾習慣性地看了草案標題就望文生義。本文就此揭開這個草案的面紗，讓大家一睹廬山真面目。

　　什麼是個人資訊出境？

　　個人資訊出境，在草案中作為一種法律術語，是有特定背景的，它指的是個人資訊通過網路或者電腦資訊系統進行的出境，而你的個人資訊能夠進入這個網路進行傳輸，前提是你的個人資訊被網路運營者收集了，然後被轉化為電腦可讀的數據，進而被網路運營者通過伺服器存儲起來，最後才有可能被傳輸出去。所以，決定你個人資訊出境的關鍵並不是你提供個人資訊的行為本身，而是收集、存儲和傳輸有關你的個人資訊的網路運營者。你在哪並不重要，重要的是收集和處理你個人資訊的網路運營者的伺服器在哪。例如，你出國旅遊用支付寶購物，你的資訊還是在境內，因為支付寶的伺服器原則上是在中國境內的。

　　個人資訊出境了不是要評估你個人

　　如果個人資訊出境了，那只有兩種可能：一種是網路運營者的伺服器在境外；另一種可能是網路運營者的伺服器雖然在境內，但該網路運營者將其傳輸給境外第三人。所以，你的個人資訊出境了安不安全，關鍵就在於網路運營者和接收你個人資訊的境外第三人是否採取了必要措施確保你的個人資訊不會被竊取、篡改和再提供給別的你不知道的人。所以，草案對於網路運營者和接收你個人資訊的境外第三人都設置了義務，而安全評估就是要評估他們是否履行了義務。但是，如果網路運營者本身就在境外，那麼為了執法方便，草案就借鑒了歐盟《通用數據保護條例》、巴西《個人資訊保護法》的做法，在第20條要求境外機構在境內通過法定代表人或機構履行相應的責任和義務。另外，國家對網路運營者要進行安全評估，也並不是網路運營者每傳輸一次你的個人資訊就要評估一次，草案第3條規定原則上2年評估一次。

　　安全評估的目的並非干涉你的隱私

　　國家出臺立法對個人資訊出境進行評估的目的並不是審查個人的對外溝通、干涉個人隱私，而是審查網路運營者和境外接收你個人資訊的第三方是否保障了你的個人資訊的安全，目的是防止境外的人沒有採取必要的安全保障措施，或者將你的個人資訊用於你不知道的目的。境外的人使用你資訊的目的，可能是竊取你的銀行卡資訊，跟蹤你的出境行程，或者將你的資訊提供給當地的情報部門用於審查你的身份和犯罪記錄。如果只是你單個個人的資訊，你的資訊出境只涉及你個人利益，但如果涉及批量的個人資訊或者敏感個人資訊，如大面積的傳染性疾病資訊、中國人體基因資訊等，那這些個人資訊的出境很顯然這就涉及到了我國的公共利益或者國家安全。這就是草案第二條規定網路運營者擬進行的個人資訊出境被評估出“可能影響國家安全、損害公共利益，或者難以有效保障個人資訊安全的”而不得出境的原因。

　　個人資訊出境安全評估非我國首創

　　對於個人資訊出境進行安全評估並非中國首創或者獨創，相反我國是很晚才介入的國家。歐洲發達國家瑞典最早在1973年就立法要求個人資訊出境獲得審批，歐盟在1995年通過《個人資訊保護指令》和2018年生效的歐盟《通用個人資訊保護條例》（大家所熟知的GDPR）都要求成員國審查個人資訊出境。歐盟在審查時不僅審查境內的網路運營者和境外接收者是否履行義務，還可能要審查境外接收者所在國的法律是否跟歐盟法一樣提供了個人資訊的同等保護。鄰國日本在2016年也出臺了《與個人資訊保護相關法律的指南（個人資訊向外國第三人提供編）》，重點審查企業向外國第三人提供個人資訊時是否按照法律要求徵求了個人的同意。所以，看到日本這個法律的標題，你是否也覺得日本政府管得太多了。

　　草案提供了諸多保障你權利的機制

　　如果你使用網路運營者的服務，但不知道他們是否將你的個人資訊提供給了境外的人。按照草案第16條的規定，網路運營者要通過電子郵件、即時通信、信函、傳真等方式將個人資訊傳輸給第三方的目的、第三方的身份和國別，以及傳輸的個人資訊類型、第三方保留時限等通知你。如果你還是沒有收到通知，根據草案第14條第2項的規定，你可以請求網路運營者提供個人資訊出境時跟境外第三人簽訂的合同的副本，當然涉及到商業秘密的內容不會提供給你。如果你發現網路運營者不給你提供，你就可以根據草案第2條的規定舉報，或者依據第18條去起訴網路運營者。如果發現你的個人資訊確實被境外第三人濫用的，而你又找不到境外第三人索賠的，按照草案第16條第4項的規定，你可以要求境內的網路運營者先行賠付。

　　綜合來看，國家網際網路信息辦公室制定該辦法的目的是為了最大可能地降低我國公民個人資訊出境帶來的安全風險，保障公民合法權益。

未經允許不得轉載：網信浙江 » 《個人資訊出境安全評估辦法（草案）》知多少？