个人信息“出海”需筑牢安全保护网
近日,国家网信办公布了《个人信息出境标准合同办法》,自2023年6月1日起施行。出台该《办法》的目的,是落实《个人信息保护法》的规定,保护个人信息权益,规范个人信息出境活动。
众所周知,在大数据时代,信息已经成为重要的生产要素之一。而个人信息不仅涉及到个人的隐私,实际上也是汇聚成国家信息安全的重要渠道。近些年来,个人信息出境的需求快速增长,但由于管理不规范,部分企业和信息管理人员安全意识淡薄,导致中国公民个人信息泄露,甚至成为影响国家信息安全的事件并不鲜见。因此,对于个人信息处理者来说,如何确保个人信息的安全,是对外交流过程中必须予以高度关注的重要问题。
此次《办法》规定了个人信息出境标准合同的适用范围、订立条件和备案要求,明确了标准合同范本,为向境外提供个人信息提供了具体指引。《办法》明确,通过订立标准合同方式向境外提供个人信息的个人信息处理者,必须同时符合非关键信息基础设施运营者、处理个人信息不满100万人的等四种情形。否则,个人信息出海就必须采用数据出境安全评估方式来进行。
针对有些个人信息处理者“化整为零”“暗度陈仓”式的数据出海做法,《办法》强调,个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。对于违反规定的,要依法依规进行处理。构成犯罪的,则要依法追究刑事责任。
随着《个人信息保护认证实施规则》与此次的《个人信息出境标准合同办法》相继出台,意味着我国对个人信息出海的安全保障防护网基本建立起来了。
(作者:李长安 系对外经济贸易大学国家对外开放研究院研究员)