应细化个人信息出境安全重新评估程序

——《个人信息出境安全评估办法（征求意见稿）》完善建议

□特约撰稿 高通

6月13日，国家互联网信息办公室发布《个人信息出境安全评估办法（征求意见稿）》（下称《办法》），向社会公开征求意见。意见反馈截止时间为2019年7月13日。

《办法》就个人信息出境安全评估的要求、程序以及合同内容要求等进行规范。《办法》第3条第3款规定了个人信息出境后的重新评估机制，当出现法定情形时应当重新进行评估。重新评估意味着个人信息出境安全评估并非是一劳永逸的，国家也将根据个人信息在境外的实际状况来重新启动安全评估机制。重新评估对保障个人信息安全和国家安全具有重要意义，但该条款在相关表述上仍存在进一步厘清或可商榷的地方。

第一，建议增加适用重新评估情形的兜底条款。依据《办法》第3条规定，重新评估包括两种情形：一是每两年进行一次重新评估，二是当个人信息出境目的、类型和境外保存时间发生变化时要进行重新评估。但这些情形是否涵盖所有的可能情形？其存在疑问。重新评估的目的在于监管并防范个人信息出境后的风险问题，体现了事先预防思路。因此，只要个人信息出境后可能对国家安全、社会公共利益或个人合法权益造成不利风险，就应当启动重新评估程序。“个人信息出境目的、类型和境外保存时间出现变化”的表述，虽然通常可用来表明个人信息可能会出现异常使用，但并非是全部表现形式。当然，可能有人认为“每两年”字样可弥补该漏洞，但“每两年”的重新评估是种常规性评估，其无法应对随时可能出现的重大风险。因此，建议在上述两种情形外增加重新评估的兜底性条款，即“其他可能出现影响国家安全、损害公共利益或难以有效保障个人信息安全风险的”。

第二，建议增加重新评估启动方式规定。《办法》第3条仅规定法定情形下应启动重新评估，但对于如何启动重新评估则语焉不详。依据《办法》第3条第1款规定，个人信息出境的安全评估是以网络运营者申报为启动条件，但重新评估则无法完全适用申请启动方式。首先，“每两年”的重新评估可适用申报启动制。因为这是个固定的时间节点，由网络运营者申报并不会存在太大问题。其次，因“个人信息出境目的、类型和境外保存时间出现变化”而重新评估，无法完全依赖网络运营者的申请启动。这是因为网络运营者可能会考虑到成本或效率等问题而不愿申报，网络运营者也可能会因未掌握相关信息而无法申报，所以应当允许省级网信部门作为重新评估的启动主体。当然，主动启动并非意味着网信部门去自行收集相应材料，网信部门仍可借助于要求网络运行者申请安全评估的方式实现。基于此，建议在《办法》第3条第3款后增加一句，“当出现重新评估情形时，网络运营者应向省级网信部门重新申报评估，省级网信部门也可要求网络运营者重新申报评估。”

第三，建议增加及时启动重新评估的要求。重新评估的目的在于防范可能发生的风险，而防范风险在于相应机制的前瞻性和及时性。故而，重新评估应当尽快进行，否则会使重新评估流于形式。《办法》未规定重新评估的启动时间，这不利于个人信息出境后的风险防范。但考虑到“个人信息出境目的、类型和境外保存时间出现变化”往往持续时间较长，且这些情形的审查认定也需要一定时间，设置一个较为固定的时间段反而不利于重新评估的启动。故而，为平衡迅速审查与实践需求，建议把“应当重新评估”的表述改为“应当及时重新评估”。

此外，《办法》第13条第3项中“除非证明没有责任”的表述也值得商榷。该项规定实际上是关于证明责任的分配。要合理分配证明责任，首先要明确网络运营者在此种情形下承担着何种责任。从“个人信息主体合法权益受到损害”的表述来看，该种责任属于侵权责任。侵权责任的归责原则通常有过错责任、无过错责任等形式，但“除非证明没有责任”的表述中并未明确该责任的归责原则。既然没有明确的归责原则，也就无法依此进行证明责任分配。当然，《办法》之所以采用“除非证明没有责任”这种表述，可能是因为《办法》自身的法律效力等级而无法对责任分配及证明责任进行规范。虽然这种考虑不无道理，但从用语精确性和可操作性角度来说，《办法》仍应对此处表述作出调整。

（作者系法学博士，南开大学法学院副教授）