一、企业如何判断是否掌握“100万”用户个人信息
《网络安全审查办法》和《数据出境安全评估办法》中规定的“100万”用户个人信息,均是指用户人数100万,而不是信息条数为100万。通常情况下,掌握大量用户数据的企业包括以下几种,app及小程序运营者、SDK提供方、SaaS服务提供者、AI企业、IoT企业、大数据公司、云服务企业或其他互联网企业。
二、互联网企业个人信息保护自评估
运营上述业务或提供上述服务的互联网企业,应重视个人信息安全,拟境外上市企业更应做好个人信息保护自评估。自评估的时点包括向境外提供个人信息前、申报数据出境安全评估前、赴境外上市时和上市后。(后附企业自评估内容相关法律法规。)
评估责任人 | 评估时点 | 自评估义务 |
个人信息处理者 | 向境外提供个人信息前 | 个人信息保护影响评估[1] |
数据处理者 | 向网信部门申报数据出境安全评估前 | 数据出境风险自评估[2] |
数据处理者处理一百万人以上个人信息的,或赴境外上市的数据处理者 | 每年1月31日前将上一年度数据安全评估报告(风险评估报告)报设区的市级网信部门 | 数据安全评估(风险评估)[3] |
三、规避网络安全审查或评估是否可行
拟赴境外上市企业的主营业务如果涉及100万以上用户数量,无法通过外包数据处理服务,规避网络安全审查或数据安全评估。我国法律法规规制的对象是“个人信息/数据处理者”,即在数据处理活动中自主决定处理目的和处理方式的个人和组织。
《网络安全审查办法》中规定的网络平台运营者 | 《数据出境安全评估办法》中规定的数据处理者 |
为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者。 | 在数据处理活动中自主决定处理目的和处理方式的个人和组织。[4] |
欧盟《通用数据保护条例》(以下简称GDPR)第4条区分了“数据控制者”和“数据处理者”;我国《个人信息保护法》中与GDPR“数据控制者”概念相对应的是数据处理者,而与GDPR“数据处理者”相对应的则是接受委托处理个人信息的受托人。委托处理个人信息的,个人信息处理者应当事前进行个人信息保护影响评估;两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应依法承担连带责任;受托人应协助个人信息处理者履行法律义务。
GDPR数据控制者 | GDPR数据处理者 |
第4条“数据控制者”指能单独或与他方共同决定个人数据处理目的和方式的自然人或法人、公共机构、政府机关或其他组织。 | 第4条“数据处理者”指代表数据控制者处理个人数据的自然人或法人、公共机构、政府机关或其他组织。 |
目前,我国相关法律法规的规制对象主要为数据处理者,数据处理者无法通过与独立公司签署数据服务合同,转移法律法规对它的强制性规定。并且,从立法目的上来看,我国法律规定的受托人,主要是协助数据处理者履行法律义务,而无法替代其承担责任。
总而言之,掌握超过“100万”用户个人信息的企业拟赴境外上市的,应将相应数据出境程序的履行纳入上市时间表。在筹备过程中,应及时完善数据合规管理体系,进行个人信息保护自评估,在符合网络安全审查或数据安全评估启动条件的情况下,及时向网信部门进行申报。关于网安审查和数安评估的具体启动条件、申报流程、申报材料、审查期限、评估因素和审查结果,可以参考掌握“100万”用户个人信息企业境外上市数据合规之路(上)。
参考来源:
[1]《个人信息保护法》第五十五条 第四款
[2]《数据出境安全评估办法》第五条
[3]《网络数据安全管理条例(征求意见稿)》第二十六条和第三十二条;《数据安全法》第三十条
[4]《网络数据安全管理条例(征求意见稿)》第73条
本文仅代表个人观点,以促进交流为目的。如需法律建议或其他专业分析,请在后台留言。本文内容未经授权不得转载,如需转载或引用,请联系公众号后台取得授权。