《个人信息出境安全评估办法》体现“以人为本”的数据治理理念

　　6月13日，国家互联网信息办公室就《个人信息出境安全评估办法（征求意见稿）》（以下简称《办法》）向社会公开征求意见。《办法》明确了网络运营者向境外提供在我国境内运营中收集的个人信息时需进行安全评估，极大地扩大了个人信息主体的权益，加强了出境数据非法利用的限制，凸显出我国坚持以“以人为本”为出发点，以“依法治网”为依托，积极与国际接轨的新时代数据治理理念。

    一、保护个人数据安全是根本出发点

　　相较于2017年4月公布的《个人信息和重要数据出境安全评估办法》（征求意见稿），《个人信息出境安全评估办法》（征求意见稿）专门聚焦跨境流动中的个人信息保护，突出对个人信息主体的权益保障：一方面是增加了个人信息主体的权利范围。《办法》规定个人信息主体是网络运营者与个人信息接收者签订的合同或者其他有法律效力文件的受益人、有权查询合同副本、更正或删除个人信息，并可举报违法行为并要求赔偿，从多个方面保障了信息主体对于其个人信息出境情况的知情权、访问权、更正及删除权以及救济权。另一方面是增加了个人信息主体的权利权限。《办法》对数据出境后的再次传输作出了规定，要求网络运营者将个人信息接收的第三方相关信息通知到个人信息主体，个人信息主体有权继续或终止数据的传输，极大地增加了个人信息主体对于维护其合法权益的权限。可以看出，《办法》规制对象是网络运营者，并围绕网络运营者向境外提供在我国境内运营中收集的个人信息的行为，加强民众对于其个人信息保护的主体权利，体现了我国“以人为本”的数据治理思路。

    二、跨境数据管理借鉴国际通行做法

　　随着跨境数据的急剧增长以及数据利用技术的发展，跨境数据不仅成为国际数字经贸的新增长点，同时也给个人隐私与国家安全带来新威胁，加强跨境数据管理已成为国际大势，发展为各国或地区网络治理的重点，并在不断的探索中形成了各具特色的治理路径。如欧盟以GDPR为典型的“充分性认定要求”；以俄罗斯为代表的“数据本地化”；美国对于涉及国家安全数据出境的清单管理等。《办法》充分借鉴了国际上的先进经验和通行做法，如仿效欧盟实践多年的标准合同条款（SCC）规定，通过合同条款界定了个人信息主体的权利与网络运营者和个人信息接收者的责任与义务。同时，为了提高可操作性与有效性，《办法》将主要责任确定在位于境内的网络运营者上，新增了许多网络运营者对境外接收者的义务条款，如需关注接受者的网络安全要求和个人信息保护落实情况，代接收者先行赔付，加强对境外数据接收者行为的间接规制等，这些规定都是国际上接受度较高，并且具有较好实践效果的通行做法，体现了我国积极践行与国际接轨，同时又具有中国特色的数据治理路径。

    三、安全评估服务于更好的数据跨境流通

　　虽然《办法》对于数据运营者的数据出境行为进行了明确规制，但是其最终目的仍是促进个人信息的依法有序自由流动，即“安全评估”只是必要条件，更合规的“出境”才是最终目的，安全与发展仍是贯穿《办法》始终的两大基本原则。我们可以看到，从《个人信息和重要数据出境安全评估办法》到《个人信息出境安全评估办法》，网信部门积极听取了产业界的建设性意见，本着在保障个人数据安全的情况下更好地促进数据运营者的数据开发和利用的原则，进行了很多有益于产业界发展的修改，如《办法》以事先“告知”数据主体代替“同意”的要求，较大程度上减轻了企业的负担；对于安全评估的否定性结论也更为明确，企业能够更为清晰地判断个人信息出境的边界；同时《办法》还保留了企业的“申诉”权利，在网络运营者对安全评估结论存在异议时，可向国家网信部门提出申诉，均体现了国家网信部门对于网络运营者诉求的回应。

　　当然，《办法》还存在需要进一步明确和细化的问题，相信各界本着促进《办法》更好地体现各方诉求的出发点，积极提出各种建设性意见，将会更益于《办法》的改进。（作者：桂畅旎）