6月13日零点，国家网信办就《个人信息出境安全评估办法(征求意见稿)》(下称《办法》)向社会公开征求意见。根据《办法》，网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息，应进行安全评估。

南都记者了解到，《办法》的出台是为了保障数据跨境流动中的个人信息安全，受约束的对象是网络运营者，即主要针对企业而非互联网用户。也就是说，公民出国旅游交出个人信息，或注册和访问境外网站等个人行为，并不在该《办法》的管理范围之内。

那么，什么是个人信息出境？个人信息出境前，网络运营者应如何进行安全评估？这部规定将会给个人带来什么影响？南都记者就此采访了多位专家，一一解答上述问题。

个人在境外使用网络服务不适用《办法》

什么是个人信息出境？

南都记者注意到，《办法》发布后，一些网友基于“个人信息出境”的字面意思提出疑问：出国旅游刷卡享受当地网络服务，或者在国内注册和访问境外网站、海淘等行为，算不算个人信息出境？

《办法》第二条明确，“个人信息出境”是指网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息的行为。

“按照该定义描述，个人信息出境需要同时符合三个条件：网络运营者，个人信息，数据出境。”中国电子技术标准化研究院信息安全研究中心数据安全部主任胡影指出。

她对南都记者表示，结合《中华人民共和国网络安全法》的规定，网络运营者是指网络的所有者、管理者和网络服务提供者，也是指通过网络开展经营和提供服务的机构，比如A pp、门户网站、业务系统平台的运营者等等。中央财经大学助理教授张金平则认为，网络运营者的概念可以类比为欧盟《通用数据保护条例》(GDPR)中的“数据控制者”，即决定个人信息处理的目的和方式的主体。

“比如一家企业开发了一个拥有上千万用户的网站或应用，如果企业想把这些在国内收集的个人信息转移到境外，应当采取怎样的管理办法？如何进行数据跨境流动？是否可以在未经你同意的情况下把信息往外送？”复旦大学网络空间治理研究中心主任沈逸告诉南都记者，这些才是《办法》试图解决的问题。

中国互联网协会信用评价中心法律顾问赵占领在接受媒体采访时说，国外的某些非法组织收集国内用户个人信息之后，可能从事某种犯罪行为，甚至可能从事一些涉及到政治方面的违法行为，此时的个人信息跨境可能危害国家安全。从这个意义上讲，对个人信息出境进行安全评估是有必要的。

张金平进一步指出，《办法》的目的是为了确保网络运营者和境外个人信息接收者保护个人信息的安全，不是为了审查个人的对外沟通或者干涉个人隐私，“所以你访问了哪些境外网站跟这个《办法》没有任何关系”。沈逸则直言，这不是一部管理个人上网用户的法规。

区分对待个人信息和重要数据是一大变化

南都记者注意到，《办法》对个人信息出境安全评估的流程和频率作出了清晰规定。

根据《办法》规定，网络运营者应当建立个人信息出境记录并且至少保存5年，记录包括：向境外提供个人信息的日期时间，接收者的身份(包括但不限于接收者的名称、地址、联系方式)，向境外提供的个人信息的类型及数量、敏感程度等。

个人信息出境前，网络运营者应当向所在地省级网信部门申报个人信息出境安全评估，提供申报书、与接收者签订的合同、个人信息出境安全风险及安全保障措施分析报告等材料。安全评估应当在15个工作日内完成，情况复杂的可以适当延长。

如果网络运营者需向不同的接收者提供个人信息，应当分别申报安全评估；每两年或者个人信息出境目的、类型和境外保存时间发生变化时，应当重新评估。此外，网络运营者每年需在年底之前将本年度个人信息出境情况、合同履行情况等报所在地省级网信部门。

作为监管部门，省级网信部门有权要求网络运营者暂停或终止向境外提供个人信息，比如出现网络运营者或接收者无力保障个人信息安全，发生较大数据泄露、数据滥用等事件，或者个人信息主体不能或者难以维护个人合法权益等情况。

与2017年4月发布的上一稿相比，《办法》最大的变化之一是把个人信息和重要数据的安全评估做了区分对待。

张金平分析说，这是因为个人信息和重要数据本身就有区别，个人信息属于单个个人，而重要数据涉及的范围更广，比如医疗上的传染性疾病数据，以及滴滴打车拥有的全国打车主体和交通状况的数据等。

境外机构收集境内用户个人信息需指定负责人

除了对境内的网络运营者向境外传输个人信息有所约束，《办法》第二十条对境外机构也提出了要求。

《办法》规定，境外机构经营活动中，通过互联网等收集境内用户个人信息，应当在境内通过法定代表人或者机构履行本办法中网络运营者的责任和义务。

沈逸说，这条规定在某种程度上意味着通过互联网搜集中国境内用户的个人信息，需要有一个本地的责任方，比如苹果在贵州设立的的云服务中心。“否则我发现你搜集了我的东西之后，在境外对中国用户的数据进行了滥用，导致信息泄露，我怎么追究你的责任？”

“其实欧盟的GDPR、美国的云法案，以及巴西个人信息保护法都有相关的规定”，张金平介绍，首先国家主权下的执法通常限于主权范围内，对于影响本国公民利益的境外主体，无法跨越国边境直接执法，传统上依靠司法互助但受各种限制。

为了突破上述限制，欧盟和巴西选择在本国主权范围内指定代表人的规则，美国则针对云服务的特点通过技术来解决。“《办法》不针对云服务，所以选择指定代表人的机制”，他认为，“这条规定可以说是出于国家间对等的目的，不失为一种可取的尝试。”

出境后的再次传输也是保障个人信息安全的关键环节。北京大学法治与发展研究院高级研究员洪延青在一篇解读文章中指出，如果不对个人信息出境后再次传输进行限定，个人信息出境安全的制度设计就将流于形式。

因此《办法》也专门针对出境后的再次传输进行了规定：针对个人信息的再次传输，实施个人选择退出(opt-out)；针对个人敏感信息的再次传输，则要求个人选择同意(opt-in)。

《办法》出台的目的是保障个人信息安全

尽管《办法》的监管对象不是个人，但《办法》第一条就已经明确，制定本《办法》的目的是为了保障数据跨境流动中的个人信息安全。

在洪延青看来，《办法》的一大亮点在于确保个人信息主体能够在数据出境后维护自身合法权益：不仅在合同中，网络运营者需与接收方提前约定个人信息主体行使其权利的途径和方式；在申报出境安全评估时，网络运营者也需要对上述途径和方式的有效性、便利性开展分析和评估。

此外，《办法》还赋予了个人信息主体针对数据出境的特殊“查询权”。个人信息主体可查询的内容包括：网络运营者与接收方之间签署的合同副本、个人信息主体网络运营者和接收者的基本情况，以及向境外提供个人信息的目的、类型和保存时间等内容。

“在保障知情权的前提下，个人信息主体能够更好地行使其权利”，洪延青提到，“个人信息在出境场景下的保护，主要目的是在数据脱离了原来的数据控制者且流出国境的情况下，持续保障个人合法权益。”

“《办法》确实对个人的利益影响很大，但这是正面的影响，”张金平说，当个人信息被网络经营者提供出境的，个人并不知道境外接收者会如何保存和使用这些个人信息，例如会不会把个人的支付信息泄露、追踪你的行踪，或者把你的个人信息提供给当地有关部门用于身份审查等。

他指出，《办法》审查的重点是向境外提供个人信息的网络运营者和国外接受个人信息的主体是否履行了《办法》规定的义务，确保我国公民个人信息得到安全保障、不会被滥用，目的就是为了保护个人的利益。

采写：南都记者蒋琳 李玲 见习记者 陈志芳 实习生 黄莉玲