網絡運營者但凡進行個人信息出境均需報請評估
同《個人信息和重要數據出境辦法》(征求意見稿)規定的自行評估和六種情形下需要報請評估相比,《個人信息出境辦法》(征求意見稿)第三條則明確了“個人信息出境前,網絡運營者應當向所在地省級網信部門申報個人信息出境安全評估”,意味著只要網絡運營者需要將個人信息出境,均需報請所在地省級網信部門進行安全評估。
明確個人信息出境安全評估的重點評估內容
不同於《個人信息和重要數據出境辦法》(征求意見稿),《個人信息出境辦法》(征求意見稿)在將個人信息和重要數據區別開後,其第六條在規定安全評估內容時,更側重於對網絡運營者與個人信息接收者之間簽訂的合同內容審核和執行性要求以及過往個人信息保護和網絡安全履行情況要求,強調了個人信息來源的合法正當性和個人信息主體權益保障,不再強調出境的必要性審核。
全面規定了網絡運營者與個人信息接收者簽訂的合同的具體內容
由於不同法域間個人信息保護立法存在較大差異,如何確保個人信息出境後其獲得的保護水平同在境內相匹配便成為了規範數據出境問題的重點和難點之壹。《個人信息和重要數據出境辦法》(征求意見稿)並未對合同的內容作出具體的規定,《個人信息出境辦法》(征求意見稿)仿效歐盟采用標準合同條款(Standard Contractual Clauses, SCC)的規制方式,通過對網絡運營者與個人信息接收者簽訂的合同內容進行全面、細致規定的方式,實現對個人信息接收者保護出境個人信息的要求。
《個人信息出境辦法》(征求意見稿)對合同內容的具體規定,包括個人信息出境的目的、類型、保存時限、接收者責任義務、個人信息主體權利等內容。其中涉及許多為網絡運營者和接收者新增義務的條款,包括“網絡運營者代接收者先行賠付”、“應個人信息主體請求提供合同副本”等特殊的制度安排。