二、其他規定

《網絡安全法》的出臺標志著我國的數據保護立法邁入了一個新的階段，其作為我國在網絡安全領域的綱領性法律，在宏觀層面對包括數據及個人信息保護在內的網絡安全問題作出了相應的規定。但其作為綱領性法律，在完成制度設計的同時也將更多細化的空間留給了其配套法律法規和其他規范性文件進行規制。當前，數據的收集使用早已滲透社會生活的方方面面，在不斷涌現的數據應用場景和數據運用方式面前，僅依靠《網絡安全法》的既有規定不足以妥善調整現實生活中數據活動產生的問題。

在《網絡安全法》框架下，我國出臺了大量的配套規范性文件，對《網絡安全法》未作明確的相關領域進行了進一步細致的規定。一方面，工信、網信等部門通過制定行政法規，對包括網絡安全等級保護制度、關鍵信息基礎設施保護制度等網絡安全法確立的基本制度進行了規范；另一方面，在信安標委牽頭下，針對實踐中受廣泛關注的領域，大量的數據合規要求以推薦性國家標準的形式出臺，為企業的合規也提供了有益的指引。

（一）《電信和互聯網用戶個人信息保護規定》

1.出臺背景

作為《網絡安全法》出臺之前個人信息保護領域重要的法律規范之一，早在2013年7月16日，工信部就公布了《電信和互聯網用戶個人信息保護規定》，確立了個人信息在收集、使用等方面的諸多規則。作為一部現行有效的規章，該規定對我們現今的數據合規仍然具有重要意義。

2.具體內容

除了對數據的收集和使用提出具體要求外，該規定還按照“誰經營、誰負責”“誰委托、誰負責”的原則，明確規定由電信業務經營者、互聯網信息服務提供者負責對其代理商的個人信息保護工作實施管理。并且從崗位責任、管理制度、權限管理、存儲介質、信息系統、操作記錄、安全防護等方面，明確了電信業務經營者、互聯網信息服務提供者應當采取的防止用戶個人信息泄露、毀損、篡改或者丟失的措施。與此同時，該規定還對用戶個人信息保護情況自查和培訓等制度作了相應的規定。

3.不足之處

盡管《電信和互聯網用戶個人信息保護規定》的部分條款體現出了一定的先進性，但作為數據和個人信息保護領域立法的試水，其僅為工信部頒布的部門規章，在一定程度上削弱了其影響力。一方面，其法律位階較低；另一方面，其規范的行業和領域僅限于工信部監管的電信與互聯網領域，無法覆蓋各行各業普遍存在的信息收集、使用情況，對個人信息保護的程度相對有限。

（二）《兒童個人信息網絡保護規定》

1.出臺背景

2019年，一系列數據和個人信息保護領域的法律法規紛紛出臺，進一步完善了《網絡安全法》的配套制度，對企業的數據和個人信息保護要求逐漸細化，對于數據合規的指引也日趨清晰。在這一系列同個人信息保護相關的法規中，自2019年5月31日下午征求意見稿發布到2019年8月23日下午正式版出臺僅間隔84天的《兒童個人信息網絡保護規定》，成為國家網信辦2019年正式發布的第一個個人信息保護相關規定的正式版，充分體現了以國家網信辦為代表的監管部門對于兒童個人信息保護的高度重視。

近年來，各地兒童個人信息侵權事件屢見不鮮。此類事件的頻繁出現某種程度上導致兒童個人信息的保護逐漸受到普遍關注。相較于成人，由于相關知識儲備和社會經驗上的不足，兒童在面對個人信息收集、使用等數據活動時在認知和判斷能力上存在嚴重不足，可能嚴重影響其合法利益，需要為其提供特殊保護。我國《兒童個人信息網絡保護規定》一方面對兒童信息的保護需要遵循同其他個人信息的保護相同的具體規則，另一方面對兒童個人信息的同意方式作出了特殊規定，即征得兒童監護人同意。

2.具體內容

從具體規定來看，《兒童個人信息網絡保護規定》結合借鑒《個人信息安全規范（征求意見稿）》和《數據安全管理辦法（征求意見稿）》的相關內容和思路，針對兒童個人信息的收集、使用、存儲、披露及相關的法律責任進行了較為詳細的規定。

一般來說，監護人與兒童最親近，對兒童的影響最大，要想加強對兒童個人信息的保護，監護人認真履行監護職責必不可少。而且，很多監護人是孩子的家長，家長是孩子的第一任老師，兒童自我保護個人信息的意識和能力需要家長的教育和引導。基于此，《兒童個人信息網絡保護規定》強化了監護人對兒童個人信息的保護職責，明確網絡運營者在收集、使用、轉移、披露兒童個人信息前應當征得兒童監護人的同意，并對征得同意時明確告知事項的范圍作出了具體的規定。

前述，兒童個人信息保護有其特殊性，需要給予兒童個人信息更高層次的保護。據此，《兒童個人信息網絡保護規定》在遵循一般的個人信息保護規則的基礎上，通過一系列制度設計將兒童個人信息保護提高到了較一般個人信息更高的層次。例如，其明確要求網絡運營者設置專門兒童信息保護規則、用戶協議、指定專人負責兒童個人信息保護相關事宜，并明確禁止網絡運營者收集與其提供的服務無關的兒童個人信息的行為。又如，相較于一般情形，《兒童個人信息網絡保護規定》在規范兒童或其監護人在特定情況下享有對其個人信息進行刪除的權利時，新增了“超出范圍或必要性對兒童個人信息進行處理”“兒童監護人撤回同意”兩種特殊情形，實質上賦予了兒童及其監護人對于兒童個人信息享有更廣泛的刪除權。

此外，《兒童個人信息網絡保護規定》也充分發揮了“市場”的調節作用，明確規定“將網絡運營者違反本規定的行為記入信用檔案，并予以公示”作為對網絡運營者違反規定的懲罰措施之一。通過從商業角度影響網絡運營者的經營管理，增加網絡運營者的違規成本的方式，督促網絡運營者開展合規運營。

3.不足之處

盡管從立法層面來說，《兒童個人信息網絡保護規定》對兒童個人信息保護進行了較為詳盡的規定，但其回避了企業在實踐過程中如何有效甄別兒童以及如何判斷作出同意的成年人是否為兒童監護人這兩個關鍵問題。這意味著，企業在落實《兒童個人信息網絡保護規定》的過程中仍然將面臨一些實操上的困難。從某種程度上來說，其宣示意義更大于現實意義，在實踐中監管部門如何適用相關條文，還有待于后續監管實踐進一步檢驗。

（三）《App違法違規收集使用個人信息行為認定方法》（以下簡稱《App違法違規認定方法》）

1.出臺背景

近年來，各類App進一步覆蓋了個人工作和生活的方方面面，為廣大App使用者帶來了大量的便利。然則，在這一過程中，包括強制授權、過度索權、隱藏收集行為、“注銷難”等違法違規現象也隨之大量出現。不僅侵害了用戶的合法權益，也在一定程度上引發了用戶對于App違法違規收集個人信息行為的擔憂和反感，影響了App的運營。

前述，自2019年起，國家網信辦、工信部、公安部、國家市場監督管理總局四部門針對App違法違規收集使用個人信息的相關行為展開了專項整治，并不定期對整治、評估過程中發現存在問題的App進行公告、向App運營者發送相應的整改通知要求其開展相應的整改工作。在治理工作開展過程中，針對發現的突出問題，四部門將整治和評估過程中的相關要點和經驗轉化并出臺了《App違法違規認定方法》，明確界定了App收集使用個人信息方面的違法違規行為，為App運營者自查自糾提供指引的同時也為App評估和處置提供了具體的參考。[8]

2.具體內容

在《App違法違規認定方法》出臺前，盡管App專項治理工作已經處于火熱的開展過程中，但對于具體違規行為的認定，實踐中一直缺乏明確的規范性文件作為指引，未能充分將專項治理工作的工作方法和相關成果進一步轉化為具體的合規要求。《App違法違規認定方法》采用羅列的方式列舉了包括“未公開收集使用規則”“未明示收集使用個人信息的目的、方式和范圍”“未經用戶同意收集使用個人信息”“違反必要原則，收集與其提供的服務無關的個人信息”“未經同意向他人提供個人信息”“未按法律規定提供刪除或更正個人信息功能”“未公布投訴、舉報方式等信息”7大類共計31種違法違規行為，為App運營者收集、使用個人信息的行為劃定了紅線。

就具體內容而言，《App違法違規認定方法》繼承了《網絡安全法》的立法精神，明確同意為收集、使用用戶個人信息的合法性基礎，并在遵循個人信息收集、使用的最小、必要原則的基礎上針對各App的收集、使用細化了具體違法違規行為的認定標準，重申了“向第三方提供用戶個人信息時需要獲得用戶的二次授權”“保障用戶更正、刪除個人信息和注銷賬戶的權利”“不得以默認選擇同意隱私政策等非明示方式征求用戶同意”等實踐中已達成普遍共識的基本規則。整體來說，對于App運營者收集使用個人信息而言，《App違法違規認定方法》為其設置了相對明確的限制，但也提供了相對明確的合規指引。

就公開收集使用規則而言，《App違法違規認定方法》明確App應公開易于閱讀和訪問的隱私政策和收集使用個人信息規則，并在首次運行時對用戶進行明顯提示。

就告知而言，《App違法違規認定方法》要求App應逐項列舉收集使用個人信息的目的、方式、范圍等，并明確該等要求不僅適用于App自身收集使用個人信息的目的、方式和范圍，亦適用于App嵌入的第三方代碼、插件，直指實踐中泛濫的SDK隱瞞收集個人信息的問題。同時，強調了在重要情況變更時需要對用戶以適當方式進行通知，規定App在每次需要用戶提供個人敏感信息時應當同步告知用戶其目的，并要求企業確保收集使用規則內容的易讀性，從多個角度對企業對個人信息主體的告知提出了全面要求。

就同意而言，《App違法違規認定方法》沿用了《個人信息安全規范（征求意見稿）》和《App違法違規收集使用個人信息自評估指南》（以下簡稱《App違法違規自評估指南》）中“明示同意”的要求，明確了同意是收集使用個人信息的起始點，強調不得違反用戶意愿收集個人信息和不得頻繁彈窗、干擾使用，并針對實踐中用戶普遍關注的定向推送、權限設置等問題進行了規制。

此外，對于實踐中常見的“違反必要原則，收集與其提供的服務無關的個人信息”“未經同意向他人提供個人信息”兩類行為，《App違法違規認定方法》分別列舉了9類和6類具體的違規方式。總的來說，其列舉的7大類31種違規行為，基本覆蓋了相關治理工作中違法違規行為常見的表現形態。其出臺一定程度上也預示著個人信息保護工作已經進入了深水區，充分體現了監管部門對于打擊App違法違規收集使用個人信息行為的決心。

3.不足之處

盡管《App違法違規認定方法》涉及App嵌入的第三方代碼、插件隱瞞收集的相關問題，但由于其適用對象主要為App運營者而非第三方服務的相關方（如SDK提供者），也并未為第三方服務相關方設定相應的披露義務從而實現對第三方服務相關方的約束，實踐中若僅僅依靠App運營方，或許不足以解決第三方代碼、插件隱瞞收集的問題。[9]

此外，《App違法違規認定方法》的效力也存在著一定爭議。其某種程度上可視作App專項治理工作組治理工作的階段性成果，其于2019年5月5日公開征求意見，并于12月30日出臺正式版。不難發現，征求意見稿的發文機構為App專項治理工作組，而正式版的發文機構則調整為國家互聯網信息辦公室秘書局、工業和信息化部辦公廳、公安部辦公廳和國家市場監督管理總局辦公廳。有觀點認為，《App違法違規認定辦法》的制定機關是“國家互聯網信息辦公室秘書局、工業和信息化部辦公廳、公安部辦公廳及國家市場監督管理總局辦公廳”，發文字號為“國信辦秘字”，根據《立法法》第84條第1款“部門規章應當經部務會議或者委員會會議決定”和第85條第1款“部門規章由部門首長簽署命令予以公布”的規定可知，《App違法違規認定辦法》并不符合部門規章的發文主體要求，其效力層級不屬于規章，而僅是執法機關在執法過程中可以參考適用的文件，法律強制力存疑。[10]

（四）《個人信息范圍規定》

1.出臺背景

《網絡安全法》規定“網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則”“網絡運營者不得收集與其提供的服務無關的個人信息”，對必要性作出了原則性的規定。但實踐中，App超出必要范圍收集使用個人信息的情況屢見不鮮，例如，部分App在注冊環節就收集用戶的身份證號碼、部分日歷類App收集用戶的通訊錄，對此，急需加以有效的、針對性的規范。

在此基礎上，國家互聯網信息辦公室、工業和信息化部、公安部、國家市場監督管理總局聯合制定了《個人信息范圍規定》。

2.具體內容

《個人信息范圍規定》明確了地圖導航類、網絡約車類、即時通信類、網絡社區類等39種常見類型移動互聯網應用程序的基本功能服務和必要個人信息范圍，要求移動App運營者不得因用戶不同意收集非必要個人信息，而拒絕用戶使用App基本功能服務。

值得關注的是，該規定第2條明確“App包括移動智能終端預置、下載安裝的應用軟件，基于應用軟件開放平臺接口開發的、用戶無需安裝即可使用的小程序”，首次將小程序明確納入App收集個人信息的監管范圍。

對于該規定，可能出現兩個常見誤區：第一，非基本功能服務可以隨意收集用戶個人信息；第二，39種常見類型之外的App可以隨意收集用戶個人信息。這兩個常見誤區，都是對《個人信息范圍規定》精神的錯誤把握，系試圖“鉆法律的空子”的表現。

3.不足之處

雖然《個人信息范圍規定》劃定了39種常見類型移動互聯網應用程序的基本功能服務和必要個人信息范圍，但其可執行性可能存在爭議。在《個人信息保護法》尚未正式出臺，收集使用個人信息的合法性基礎尚未擴張的情況下，該規定與現有的合法性基礎即同意，在適用方面可能存在沖突。

對于運營者而言，如果嚴格按照該規定執行，其需要改動的不僅是隱私政策的同意設計，更多的是對整個App頁面的分區調整，改動之大之復雜可想而知。

（五）《數據安全管理辦法（征求意見稿）》

1.出臺背景

早在2015年發布的《促進大數據發展行動綱要》中，國務院便已經將數據定性為國家基礎性戰略資源，并從國家大數據發展戰略全局的高度，提出了我國大數據發展的頂層設計。基于其基礎性戰略資源的定位，數據安全自然也成了國家重點關注的話題。

現行立法層面，《網絡安全法》也對數據安全、個人信息保護等內容作出了原則性的規定，但上述內容多為基礎性的表述，缺乏具體、細化的規則內容，且缺少對重要數據保護問題的相關規定。《網絡安全法》采用原則性、綱領性規定的目的或在于為后續立法留足細化和解釋的空間，但由于《數據安全法》的出臺尚需時日，現有的規范性文件在打擊數據違法行為、保護數據安全方面稍有不足。出于完善數據安全監管體系的需要，《數據安全管理辦法（征求意見稿）》應運而生。

2.具體內容

《數據安全管理辦法（征求意見稿）》在總則部分將在中華人民共和國境內利用網絡開展數據收集、存儲、傳輸、處理、使用等活動統一定義為“數據活動”，并明確數據活動、數據安全的保護和監督管理均受該辦法管轄。在個人信息保護層面，其充分吸收了2019年2月發布的《個人信息安全規范（草案）》中的相關合規要求，明確為網絡運營者設定了相應的義務。在重要數據保護層面，其試圖通過重要數據的收集備案、向第三方提供重要數據的批準管理、向境外提供重要數據前的安全評估等制度填補現行法在重要數據保護方面的具體規則空白。同時，《數據安全管理辦法（征求意見稿）》系統地規定了網絡運營者數據收集、數據處理使用、數據安全監督管理等覆蓋數據全生命周期的綜合合規要求，直面強制捆綁授權、網絡爬蟲、定向推送、自動化洗稿、算法歧視等新型數據安全問題，以期為企業的數據收集、處理及管理活動提供有益的合規指引。

針對實踐中發現的算法歧視行為，《數據安全管理辦法（征求意見稿）》第13條明確予以禁止，強調網絡運營者不得根據個人信息收集情況對個人信息主體采取歧視行為。相較于網絡運營者，個人信息主體處于相對弱勢的地位，本條實際上限制了網絡運營者對個人信息主體不配合提供個人信息的“報復”行為，有利于制止網絡運營者運用算法等技術手段通過“歧視”變相逼迫個人信息主體同意對其個人信息的收集和使用。

實踐中，爬蟲使用已經成為普遍現象，因網絡爬蟲引起的流量和不正當競爭糾紛屢見不鮮。針對網絡爬蟲問題，《數據安全管理辦法（征求意見稿）》第16條明確了網絡爬蟲等自動化手段訪問收集網站數據的紅線要求，要求網絡爬蟲等自動化手段訪問收集網站數據不得妨礙網站正常運行。此外，該規定采用了標準界定加舉例的方式限制自動化手段的使用，如自動化訪問收集流量不得超過網站日均流量三分之一。

針對定向推送問題，《數據安全管理辦法（征求意見稿）》第23條強調網絡運營者應以明顯方式向用戶提示所推送的信息為“定推”并提供用戶停止接收定向推送信息的功能，若用戶選擇停止接收定向推送信息，該條在吸收《個人信息安全規范（征求意見稿）》第7.4條“向個人信息主體提供刪除或匿名化定向推送活動所基于的個人信息的選項”的基礎上，進一步明確了網絡運營者應當停止推送并刪除已收集的用戶數據和個人信息的義務，并且將已經收集的設備識別碼作為用戶數據和個人信息的典型代表單獨強調。同時，該條文明確禁止在定向推送中實施歧視行為。

針對自動合成信息問題，《數據安全管理辦法（征求意見稿）》第24條明確了對網絡運營者利用大數據、人工智能等技術自動合成信息的限制。該條指出，使用自動合成的信息時需以顯著方式標明“合成”字樣。同時，該條亦對自動合成信息的適用場景進行限制，明確規定不得以“謀取利益或損害他人利益”為目的。這有助于預防自動合成信息的不當使用，對于促進網絡空間的生態治理具有積極意義。

3.不足之處

然而，由于《數據安全管理辦法（征求意見稿）》試圖將同數據相關的各種活動都納入其規制范圍之中，不可避免地導致其部分規定略顯粗糙，同業務開展的商業邏輯不相一致，未充分考慮到數據商業運用與數據安全之間的平衡，若付諸實施則可能為合理數據的商業運用帶來不確定性。

例如，第23條在規范定向推送的相關問題時，未顯著區分新聞信息和商業廣告，采用了“一刀切”的方式進行統一規定，一旦落地可能對互聯網企業的廣告業務開展產生較大的影響。再如，第15條明確了在以經營為目的的情形下，網絡運營者收集重要數據和個人敏感信息必須履行相應的備案要求，但卻并未明確“以經營為目的”具體指向何種互聯網場景。考慮到個人敏感信息的定義較為廣泛，且在實踐中運用也較為多元，若在一般的業務經營過程中收集個人敏感信息均需要備案，一方面加重了網絡運營者的合規義務，另一方面也可能大量增加地方網信部門的工作負擔。

《數據安全管理辦法（征求意見稿）》于2019年5月28日發布并公開征求意見，至今尚未落地。其后續對數據保護可能起到的作用和對企業合規的影響還有待正式版落地并實施后檢驗。

（六）《網絡安全等級保護條例（征求意見稿）》

1.出臺背景

《網絡安全法》第21條明確要求網絡運營者應當按照網絡安全等級保護制度的要求，履行安全保護義務，首次明確將網絡安全等級保護制度上升為法律層面的要求。事實上，網絡安全等級保護制度確立于1994年，在被寫入《網絡安全法》之前，該制度已經發展并運行了20余年。但由于在法律層面缺乏相應的規范性文件支撐，其在實踐中實施效果有限，且由于缺乏強制力對公安機關等網絡安全職能部門行政執法也產生了一定的不利影響。

《網絡安全等級保護條例（征求意見稿）》的出臺有利于緩解這一實踐中的困境。作為《網絡安全法》的配套規則，《網絡安全等級保護條例（征求意見稿）》的頒布和征求意見，一方面完善了《網絡安全法》相關的規范體系，另一方面也有利于在規范層面為網絡安全治理提供有益指導。

2.具體內容

從內容上看，《網絡安全等級保護條例（征求意見稿）》明確其適用于除個人及家庭自建自用的網絡外，在中華人民共和國境內建設、運營、維護、使用網絡的所有行為。換言之，所有網絡運營者都要針對其網絡活動開展等級保護工作。同時，其明確了等級保護工作開展過程中網絡安全的三同步原則，即網絡運營者在網絡建設過程中，應當同步規劃，同步建設，同步運行網絡安全保護、保密和密碼保護措施。并基于此對網絡運營者提出了一系列具體的要求，包括網絡定級備案、安全建設整改、等級測評和自查等。此外，《網絡安全等級保護條例（征求意見稿）》亦明確了公安機關、行業主管（監管）部門等在網絡安全監督管理中的職責和監管要求，并就安全檢查及處置、重大隱患處置、關鍵人員管理、保密監督管理、網絡安全約談制度等分別作了明確規定。

（七）《關鍵信息基礎設施安全保護條例》

1.出臺背景

《網絡安全法》的一大亮點是在提出在網絡安全等級保護制度的基礎上，針對關鍵信息基礎設施實行重點保護。換言之，對于關鍵信息基礎設施，除了普遍意義上的網絡安全等級保護之外，還需要施以更高層次的保護。早在2016年，“建立關鍵信息基礎設施保護制度”便已被寫入“十三五綱要”中。關鍵信息基礎設施往往屬于涉及國計民生的重要行業，一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益，這是《網絡安全法》提出更高程度保護要求的內在原因。但對于保護的具體實施方式，《網絡安全法》作為網絡安全領域的基礎性法律，并未作出明確的規定。為此，我國特別制定了《關鍵信息基礎設施安全保護條例》，對于上述立法空白進行了填補。

2017年7月11日，國家互聯網信息辦公室發布《關鍵信息基礎設施安全保護條例（征求意見稿）》，向社會公開征求意見。2020年7月10日，國務院辦公廳印發了《國務院2020年立法工作計劃》，并將《關鍵信息基礎設施安全保護條例》納入其中。2021年4月27日，國務院第133次常務會議通過了《關鍵信息基礎設施安全保護條例》，并于7月30日由國務院總理李克強正式簽署。2021年8月17日，《關鍵信息基礎設施安全保護條例》正式公布，并于2021年9月1日起正式實施，該條例對關鍵信息基礎設施的認定、運營者的責任義務、監管部門在關鍵信息基礎設施保護中的職責等方面都進行了細致、具體的規定。

2.具體內容

就關鍵信息基礎設施的范圍而言，《關鍵信息基礎設施安全保護條例》第2條以非窮盡的方式列舉了部分行業，并沿用《網絡安全法》的規定，明確判斷原則為“一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益”。在此基礎上，《關鍵信息基礎設施安全保護條例》要求各重要行業和領域的主管部門、監督管理部門結合本行業、本領域實際，制定關鍵信息基礎設施的認定規則，并要求制定過程中應當考慮“網絡設施、信息系統等對于本行業、本領域關鍵核心業務的重要程度”“網絡設施、信息系統等一旦遭到破壞、喪失功能或者數據泄露可能帶來的危害程度”以及“對其他行業和領域的關聯性影響”等因素。

就關鍵信息基礎設施運營者自身的責任義務而言，《關鍵信息基礎設施安全保護條例》明確運營者主要負責人對關鍵信息基礎設施安全保護負總責，并要求設置專門的安全管理機構以便履行各項安全保護工作職能，機構負責人和關鍵崗位人員必須進行安全背景審查。此外，運營者還應當每年至少進行一次網絡安全檢測和風險評估，對發現的安全問題及時整改，并按照保護工作部門要求報送情況。在發生重大網絡安全事件或者發現重大網絡安全威脅時，應當按規定向保護工作部門、公安機關報告。最后，運營者應當優先采購安全可信的網絡產品和服務，并與提供者簽訂安全保密協議，如涉及可能影響國家安全的情形，應當按規定通過安全審查。

除上述內容外，本次立法的一項特點是明確建立網絡安全信息共享機制，其中涉及運營者的信息上報義務、各部門之間的信息共享制度，以及保護工作部門的信息預警通報制度等多個方面。實現網絡安全信息共享，各主體不僅能夠互通有無，更能準確地把握當下的風險點，也能夠避免重復排查，以便對資源進行更合理、高效的分配。

如不再強調個人信息跨境傳輸需進行安全評估、除新聞信息服務外不再強制要求向信息主體提供關閉個性化展示的選項等。從某種程度上說，正是由于推薦性國家標準的屬性，《個人信息安全規范》反而具有了充分的靈活性，可以及時根據實踐的發展變化靈活調整對企業的規范要求，從而更好地實現對個人信息的保護。

（八）《個人信息出境辦法（征求意見稿）》

1.出臺背景

在數據活動的全生命周期中，個人信息的出境是一個頗為特殊的環節。個人信息出境是數據流轉過程中對權利人保護最弱的場景之一。這主要歸因于以下幾點：首先是數據控制者的改變，這必然導致對數據的保護能力發生變化；其次是權利維護能力的改變，對于一般自然人而言，個人信息出境往往意味著一旦發生數據安全事件，其維權能力將大大被削弱；再次是監管能力的改變，基于當前國際實踐，作為監管部門的行政機關大多無法直接行使域外管轄權對域外的主體進行監管，而不同法域的監管部門監管能力上并不相同，會在一定程度上影響個人信息的保護力度；最后是適用法律的改變，個人信息出境往往意味著適用法律的變化，而不同法域對個人信息的保護力度有強有弱，也可能嚴重影響信息主體所享有的權利。同時，個人信息出境往往又是經濟活動和交往活動所必需的，信息流動自由化也是國際實踐中確立的一項基本原則。為了在保障信息流動自由化的同時充分保護個人信息安全，對于個人信息出境，往往需要專門的法律制度加以保護。如歐盟在《一般數據保護條例》（General Data Protection Regulation，GDPR）中便分別確立了標準合同條款（Standard Contract Clause，SCC）、約束性企業規則（Binding Corporate Rules，BCR）、充分性認定（Adequacy Decisions）等相關制度調整數據出境問題。

數據出境的安全評估系《網絡安全法》重要的配套法律制度。由于其對于企業的跨境經營有重要影響，在《網絡安全法》施行以來一直受到企業的廣泛關注。早在2017年4月11日，國家網信辦便已發布了《個人信息和重要數據出境安全評估辦法（征求意見稿）》（以下簡稱《個人信息和重要數據出境辦法（征求意見稿）》），對個人信息和重要數據的出境進行了統一規制。但該等規制未顯著區分個人信息出境和重要數據出境的區別，并未在監管流程上進行顯著的區分。實踐中，重要數據出境主要影響國家安全、網絡空間主權和社會公共利益，個人信息出境更多地影響個人信息的安全。或是基于此，《個人信息和重要數據出境辦法（征求意見稿）》征求意見兩年有余仍未落地。直到2019年6月13日《個人信息出境辦法（征求意見稿）》的出臺，意味著重要數據和個人信息出境就此區分對待，數據出境的立法也由此進入了一個新的階段。

2.具體內容

在《網絡安全法》的框架下，個人信息收集、使用或對外提供的合法性基礎主要是“同意”。但在個人信息出境的場景下，信息主體的同意不足以充分應對個人信息出境可能帶來的上述風險。《個人信息出境辦法（征求意見稿）》的出臺便是為了回應這一問題，并通過一系列制度設計降低個人信息出境可能面臨的安全風險。

首先，《個人信息出境辦法（征求意見稿）》明確了網絡運營者但凡進行個人信息出境均需報請評估，且評估的內容應包括合同條款是否能夠充分保障個人信息主體合法權益、合同能否得到有效執行、網絡運營者或接收者是否有損害個人信息主體合法權益的歷史、是否發生過重大網絡安全事件等涉及個人信息主體權益保障的內容，以重點分析接收者的數據安全能力。

其次，《個人信息出境辦法（征求意見稿）》仿效歐盟的標準合同條款，通過對網絡運營者與個人信息接收者簽訂的合同內容進行全面、細致規定的方式，實現對個人信息接收者保護出境個人信息安全的要求。其中涉及許多為網絡運營者和接收者新增義務的條款，包括“接收者所在國家法律環境發生變化時終止合同或重新進行安全評估”“應個人信息主體請求提供合同副本”等特殊的制度安排。

再次，《個人信息出境辦法（征求意見稿）》試圖通過制度設計加強對境外接收者的監督：一方面，其為數據提供方設計了一系列義務，包括運營者代接收者先行賠付、要求接收者暫停或終止向境外提供個人信息等；另一方面，其明確了境外的網絡運營者應在境內通過法定代表人或機構履行網絡運營者的責任和義務，確保境外網絡運營者通過其境內實體承擔相應的責任和義務。

最后，《個人信息出境辦法（征求意見稿）》還為個人信息主體在出境場景下知情權等權利的履行提供了保障。《個人信息和重要數據出境辦法（征求意見稿）》并未涉及這方面的內容，而《個人信息出境辦法（征求意見稿）》則從多個層次保障了個人信息主體對于其個人信息出境情況的知情權、訪問更正刪除個人信息權，并設置了索賠保障機制。

3.不足之處

當然，作為征求意見稿，《個人信息出境辦法（征求意見稿）》可能仍存在一些不足。例如，其并未為個人信息出境的安全評估設計任何例外，任何個人信息出境均通過安全評估是否合理還有待考量。這不僅意味著企業合規成本和監管負擔的增加，若存在同類型個人信息向境外同一主體多次進行傳輸的情況，要求每次傳輸均通過安全評估似乎也缺乏合理性。再如，企業在未履行安全評估義務時的法律責任也并未明確。實踐中，企業主動進行個人信息出境安全評估的意愿可能相對不足，若沒有相應的責任機制，可能難以對企業產生足夠的約束力，引導企業積極進行安全評估。

一旦《個人信息出境辦法（征求意見稿）》落地，其可能對企業日常運營產生較大影響，能否有效規范個人信息出境和保障數據跨境流動中的個人信息安全取決于正式版的內容和監管部門的執行口徑。