脚注:
[1]《个人信息保护法》第五条:处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。
《个人信息保护法》第六条:处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
《个人信息保护法》第七条:处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。
《个人信息保护法》第六八条:处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。
《个人信息保护法》第九条:个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。
《个人信息保护法》第十条:任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。十一条:国家建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为,加强个人信息保护宣传教育,推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境。
《个人信息保护法》第十二条:国家积极参与个人信息保护国际规则的制定,促进个人信息保护方面的国际交流与合作,推动与其他国家、地区、国际组织之间的个人信息保护规则、标准等互认。
[2]去标示化:是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。
[3]《数据安全法》第三十一条规定,关键信息基础设施的具体范围和安全保护办法由国务院制定。
2021年9月1日生效的《关键信息基础设施安全保护条例》第二条规定,关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄漏,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
[4] 国家互联网信息办公室于2021年10月29日出台了关于《数据出境安全评估办法(征求意见稿)》,根据第四条规定,数据处理者向境外提供数据,符合以下情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:(1)关键信息基础设施的运营者收集和产生的个人信息和重要数据;(2)出境数据中包含重要数据;(3)处理个人信息达到一百万人的个人信息处理者向境外提供个人信息;(4)累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息;(5)国家网信部门规定的其他需要申报数据出境安全评估的情形。
第五条规定,数据处理者在向境外提供数据前,应事先开展数据出境风险自评估,重点评估以下事项:(1)数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;(2)出境数据的数量、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;(3)数据处理者在数据转移环节的管理和技术措施、能力等能否防范数据泄露、毁损等风险;(4)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;(5)数据出境和再转移后泄露、毁损、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等;(6)与境外接收方订立的数据出境相关合同是否充分约定了数据安全保护责任义务。
另外该办法还规定了数据出境安全评估重点评估数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险、数据处理者与境外接收方订立的合同内容、国家网信部门评估时间(四十五个工作日、最长不得超过六十个工作日)、有效期(二年)、有效期内重新评估的情形、安全评估提交材料、保密义务、法律责任等条款。