Q1: 个人信息出境的法律规制框架是怎样的?
国家层面,主要由《个人信息保护法》、《网络安全法》、《数据安全法》等法律进行规制,并有配套的行政法规、部门规章等,如《关键信息基础设施安全保护条例》、《数据出境安全评估办法》、《个人信息出境标准合同办法》、《信息安全等级保护管理办法》、《信息安全技术 关键信息基础设施安全保护要求》。
Q2: 个人信息出境,数据处理者须履行何种法律义务?
三选一:通过网信部门安全评估、经专业机构进行个人信息保护认证、与境外接收方订立标准合同
➕取得个人单独同意
▲法规来源:《个人信息保护法》 :第三章 个人信息跨境提供的规则 第三十八条、第三十九条
Q3: “通过网信部门安全评估”是指?
*向谁申报数据出境安全评估?
通过所在地省级网信部门,向国家网信部门申报
*如何申报?
数据处理者应先开展数据出境风险自评估,再申报数据出境安全评估。
*什么情形应当申报?
(一)数据处理者向境外提供重要数据;(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。
*前文“重要数据”是指?
重要数据,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。
*前文“关键信息基础设施”是指?
关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
▲法规来源:《数据出境安全评估办法》第三条、第四条、第五条、第十九条;《关键信息基础设施安全保护条例》第二条
Q4: “个信息保护认证”是指?
*认证的依据是什么?
GB/T 35273《信息安全技术 个人信息安全规范》、TC260-PG-20222A《个人信息跨境处理活动安全认证规范》,执行最新版本
*认证模式是怎样的?
技术验证 + 现场审核 + 获证后监督
▲法规来源:《个人信息保护认证实施规则》
Q5: “与境外接收方订立标准合同”是指?
*标准合同是指?
国家互联网信息办公室于2023年2月24日公布的《个人信息出境标准合同办法》的附件《个人信息出境标准合同》
*标准合同能否修改?
国家网信部门可以调整。订立合同的双方不能直接修改,但可以约定与标准合同不相冲突的其他条款。
*通过订立标准合同开展个人信息出境活动的流程是怎样的?
个人信息处理者开展个人信息保护影响评估➡️订立标准合同➡️标准合同生效➡️开展个人信息出境活动➡️标准合同生效后10个工作日内,提交标准合同及个人信息保护影响评估报告至省级网信部门备案➡️如发生相应情形,个人信息处理者应重新开展评估、补充或者重新订立标准合同,并履行相应备案手续
*网信办可以怎么监管?
标准合同约定,
【境外接收方】同意接受监管机构的监督管理,包括但不限于答复监管机构询问、配合监管机构检查、服从监管机构采取的措施或作出的决定、提供已采取必要行动的书面证明等。
【个人信息处理者】需答复监管机构关于境外接收方的个人信息处理活动的询问;需向监管机构提供以下信息,包括所有审计结果:境外接收方向个人信息处理者提供的其已遵守标准合同义务的信息,个人信息处理者对境外接收方必要数据文件和文档进行查阅的相关信息,或者个人信息处理者对标准合同涵盖的处理活动进行合规审计的相关信息。
▲法规来源《个人信息出境标准合同办法》
Q6: 三选一,是任意选择吗?
非也。
如选择订立标准合同的方式,应同时符合以下情形:(一)非关键信息基础设施运营者;(二)处理个人信息不满100万人的;(三)自上年1月1日起累计向境外提供个人信息不满10万人的;(四)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。
且,个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。
▲法规来源:《个人信息出境标准合同办法》第四条