六、个人信息出境
个人信息出境,从行为认定角度,属于对外提供个人信息。根据《网络安全法》第42条规定……未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。一般意义上的跨境传输,出境的个人信息均为可识别特定个人的信息,因此其基本原则仍在于经被收集者同意。
此外,鉴于个人信息出境场景下,个人信息的后续处理活动可能无法有效控制,对国家安全、社会公共利益和个人信息主体合法权益及信息安全的威胁可能性相对较高,因此需要对个人信息跨境传输行为,在个人信息对外提供的规制要求基础上,进行额外的规制和要求。
接下来,将结合《个人信息出境办法(征求意见稿)》和《数据出境安全评估指南(征求意见稿)》,具体探讨个人信息出境下的合规要求。
(一)个人信息出境行为界定
根据《个人信息出境办法(征求意见稿)》第2条,个人信息出境系指网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息。对于个人信息出境行为的界定,具体探讨如下:
1.境内运营的认定
根据《数据出境安全评估指南(征求意见稿)》第3.2条,境内运营的认定方法、具体参考要素和不视为境内运营的情形如下:
(1)认定方法
境内运营系指网络运营者在中华人民共和国境内开展业务,提供产品或服务的活动。未在中华人民共和国境内注册的网络运营者,但在中华人民共和国境内开展业务,或向中华人民共和境内提供产品或服务的,属于境内运营。
(2)具体参考因素
判断网络运营者是否在中华人民共和国境内开展业务,或向中华人民共和境内提供产品或服务的参考因素包括但不限于:使用中文;以人民币作为结算货币;向中国境内配送物流等。
(3)不视为境内运营的情形
中华人民共和国境内的网络运营者仅向境外机构、组织或个人开展业务、提供商品或服务,且不涉及境内公民个人信息和重要数据的,不视为境内运营。
2.特定情形认定
根据《数据出境安全评估指南(征求意见稿)》第3.7条,以下情形属于数据出境:
(1)向本国境内,但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要数据的;
(2)数据未转移存储至本国以外的地方,但被境外的机构、组织、个人访问查看的(公开信息、网页访问除外);
(3)网络运营者集团内部数据由境内转移至境外,涉及其在境内运营中收集和产生的个人信息和重要数据的。
3.不属于个人信息出境的情形
根据《数据出境安全评估指南(征求意见稿)》第3.7条的注2和注3,以下情形不属于数据出境:
(1)非在境内运营中收集和产生的个人信息和重要数据经由本国出境,未经任何变动或加工处理的,不属于数据出境。
(2)非在境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后出境,不涉及境内运营中收集和产生的个人信息和重要数据的,不属于数据出境。
(二)个人信息主体告知+同意
1.相关规定
根据《个人信息告知同意指南(征求意见稿)》第5.4a)条,以下情形,需要对个人信息主体告知原因、目的、处理方式、可能产生的影响等:a)涉及个人信息出境的情形……根据《App违法违规收集使用个人信息自评估指南》评估点12个人信息出境情况,评估标准为如果存在个人信息出境情况,个人信息保护政策中应将出境个人信息类型逐项列出并显著标识(如字体加粗、标星号、下划线、斜体、颜色等)。
2.理解适用
根据前述规定,个人信息出境,应向个人信息主体说明个人信息出境的目的、涉及的个人信息类型、处理方式、可能产生的影响等,并经个人信息主体同意。
需要注意的是,此处所指“同意”,应为个人信息主体通过书面声明或主动做出肯定性动作,对其个人信息出境做出明确授权的行为,重点在于“肯定性”和“明确”,而非暗示或默认。
(三)安全评估和对数据接收方的约束
1.相关规定
根据《个人信息出境办法(征求意见稿)》第3条第1款,个人信息出境前,网络运营者应当向所在地省级网信部门申报个人信息出境安全评估。
根据《个人信息出境办法(征求意见稿)》第6条,个人信息出境安全评估重点评估以下内容:(一)是否符合国家有关法律法规和政策规定;(二)合同条款是否能够充分保障个人信息主体合法权益;(三)合同能否得到有效执行;(四)网络运营者或接收者是否有损害个人信息主体合法权益的历史、是否发生过重大网络安全事件;(五)网络运营者获得个人信息是否合法、正当;(六)其他应当评估的内容。
根据《个人信息出境办法(征求意见稿)》第13条,网络运营者与个人信息接收者签订的合同或者其他有法律效力的文件(统称合同),应当明确:“(一)个人信息出境的目的、类型、保存时限……”第15条规定,合同应当明确接收者承担以下责任和义务:(一)为个人信息主体提供访问其个人信息的途径,个人信息主体要求更正或者删除其个人信息时,应在合理的代价和时限内予以响应、更正或者删除;(二)按照合同约定的目的使用个人信息,个人信息的境外保存期限不得超出合同约定的时限;(三)确认签署合同及履行合同义务不会违背接收者所在国家的法律要求,当接收者所在国家和地区法律环境发生变化可能影响合同执行时,应当及时通知网络运营者,并通过网络运营者报告网络运营者所在地省级网信部门。
2.理解适用
《个人信息出境办法(征求意见稿)》尚处于征求意见阶段,因此前述第3条第1款规定的申报个人信息出境安全评估暂无需开展。但从实务操作角度,建议自行参照前述第6条的规定,进行安全评估,并对数据接收方进行约束。
关于安全评估,评估的重点内容在于境外的数据接收方是否有损害个人信息主体合法权益的历史、是否发生过重大网络安全事件,数据接收方的数据安全保护能力,个人信息出境后是否会再向第三方传输,发生个人信息安全事件的风险等。
关于对数据接收方的约束,参照前述规定,建议通过合同约定个人信息出境的目的、类型、保存时限,要求数据接收方按照合同约定的目的使用个人信息,并明确约定个人信息方面的违约责任,确保能够通过合同条款和违约责任的约定来限制数据接收方的行为。
(四)个人信息出境记录
1.相关规定
根据《个人信息出境办法(征求意见稿)》第8条,网络运营者应当建立个人信息出境记录并且至少保存5年,记录包括:(一)向境外提供个人信息的日期时间;(二)接收者的身份,包括但不限于接收者的名称、地址、联系方式等;(三)向境外提供的个人信息的类型及数量、敏感程度;(四)国家网信部门规定的其他内容。
2.理解适用
在前面探讨对外提供个人信息的合规指引时,本书对对外提供的记录要求进行了探讨。对于个人信息出境记录,除参照前述个人信息出境内容和时间的记录要求外,建议按照对外提供的要求,记录出境的相关负责人,以便实现个人信息出境的可管、可控及全程留痕,做到可查询、可追溯,对任何违规出境个人信息的安全事件可快速追溯到相关责任人。
(五)特定类型个人信息的出境限制
我国暂未通过统一的立法明确对特定类型个人信息的出境限制,而是通过单行的立法在具体行业的规定中明确了相应的限制要求。具体个人信息类型和对应的限制要求如下:
1.个人金融信息
(1)相关规定
《中国人民银行金融消费者权益保护实施办法(征求意见稿)》(2019年版)第34条规定,在中国境内收集的消费者金融信息的存储、处理和分析应当在中国境内进行。因业务需要,确需向境外提供消费者金融信息的,应当同时符合以下条件:(一)为处理跨境业务所必需;(二)经金融消费者书面授权;(三)信息接收方为完成该业务所必需的关联机构(含总公司、母公司或者分公司、子公司等);(四)通过签订协议、现场核查等有效措施,要求境外机构为所获得的消费者金融信息保密;(五)符合法律法规和其他相关监管部门的规定。
该办法第27条规定,本办法所称消费者金融信息,是指金融机构通过开展业务或者其他合法渠道获取、加工和存储的消费者信息,包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息及其他与特定消费者购买、使用金融产品或服务相关的信息。
(2)理解适用
对于个人金融信息,应以境内处理为原则。限制出境一直是规制的主方向。早在2011年,《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》中第6条就明确规定:“在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外,银行业金融机构不得向境外提供境内个人金融信息。”
在2016年发布的《中国人民银行金融消费者权益保护实施办法》第33条第2款对于向境外提供个人金融信息提出了明确的适用限制:“境内金融机构为处理跨境业务且经当事人授权,向境外机构(含总公司、母公司或者分公司、子公司及其他为完成该业务所必需的关联机构)传输境内收集的相关个人金融信息的,应当符合法律、行政法规和相关监管部门的规定,并通过签订协议、现场核查等有效措施,要求境外机构为所获得的个人金融信息保密。”
在上述规定的基础上,前述《中国人民银行金融消费者权益保护实施办法(征求意见稿)》对向境外提供个人金融信息的明确适用限制进行了进一步的强化。也就是说,要想向境外提供个人金融信息,需要同时满足规定的全部条件,这就需要能够充分论证出境的必要性、证明已经获得消费者书面授权、证明存在为完成该业务所必需的关联机构、证明已经采取了签订协议及现场核查等有效措施。如果无法充分论证或证明其中的某一项,建议审慎将个人金融信息向境外传输。
2.人类遗传资源信息
(1)相关规定
《人类遗传资源管理条例》第28条规定,将人类遗传资源信息向外国组织、个人及其设立或者实际控制的机构提供或者开放使用,不得危害我国公众健康、国家安全和社会公共利益;可能影响我国公众健康、国家安全和社会公共利益的,应当通过国务院科学技术行政部门组织的安全审查。
将人类遗传资源信息向外国组织、个人及其设立或者实际控制的机构提供或者开放使用的,应当向国务院科学技术行政部门备案并提交信息备份。
利用我国人类遗传资源开展国际合作科学研究产生的人类遗传资源信息,合作双方可以使用。
该条例第2条规定,本条例所称人类遗传资源包括人类遗传资源材料和人类遗传资源信息。
人类遗传资源材料是指含有人体基因组、基因等遗传物质的器官、组织、细胞等遗传材料。
人类遗传资源信息是指利用人类遗传资源材料产生的数据等信息资料。
(2)理解适用
根据前述规定,对于含有人体基因组、基因等遗传物质的器官、组织、细胞等遗传材料产生的数据等信息资料,如需出境则应当向国务院科学技术行政部门备案并提交信息备份。可能影响我国公众健康、国家安全和社会公共利益的,还应当通过国务院科学技术行政部门组织的安全审查。
3.健康医疗信息
(1)相关规定
《国家健康医疗大数据标准、安全和服务管理办法(试行)》第30条规定,责任单位应当具备符合国家有关规定要求的数据存储、容灾备份和安全管理条件,加强对健康医疗大数据的存储管理。健康医疗大数据应当存储在境内安全可信的服务器上,因业务需要确需向境外提供的,应当按照相关法律法规及有关要求进行安全评估审核。
该办法第6条第2款规定,各级各类医疗卫生机构和相关企事业单位是健康医疗大数据安全和应用管理的责任单位。
该办法第4条规定,本办法所称健康医疗大数据,是指在人们疾病防治、健康管理等过程中产生的与健康医疗相关的数据。
(2)理解适用
根据前述规定,对于健康医疗信息,向境外提供的,需要论证必要性,还需要按照相关法律法规及有关要求进行安全评估审核。但这里的安全评估审核,评估主体、审核主体、评估和审核的标准,都有待进一步明确。
4.网约车采集的个人信息和生成的业务数据
(1)相关规定
《网络预约出租汽车经营服务管理暂行办法》第27条第1款规定,网约车平台公司应当遵守国家网络和信息安全有关规定,所采集的个人信息和生成的业务数据,应当在中国内地存储和使用,保存期限不少于2年,除法律法规另有规定外,上述信息和数据不得外流。
(2)理解适用
前述规定对于网约车采集的个人信息和生成的业务数据,明确了中国内地存储和使用的原则要求。也就是说,该等个人信息和业务数据,原则上不得向境外提供。当然,这里保留了除外情形,即“法律法规另有规定”,但目前尚无相关的另有规定,更多的是留下立法的弹性空间,为未来可能出现的情况和相关立法留下余地。