关于个人信息处理者用户规模的量级
2021-10-29
来源:网安寻路人
《数据出境安全评估办法(征求意见稿)》中规定:
第四条 数据处理者向境外提供数据,符合以下情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
(一)关键信息基础设施的运营者收集和产生的个人信息和重要数据;
(二)出境数据中包含重要数据;
(三)处理个人信息达到一百万人的个人信息处理者向境外提供个人信息;
(四)累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息;
(五)国家网信部门规定的其他需要申报数据出境安全评估的情形。
其中一百万、十万和一万,分别指向不同的情形。按照本办法,
1、如果境内处理超过100万人的个人信息了,个人信息处理者对外提供任何数量的个人信息,都应当申报出境安全评估。
2、如果境内处理不到100万人的个人信息,但是累计向境外提供超过10万人以上个人信息或者1万人以上敏感个人信息,这时候个人信息处理者也应当申报出境安全评估。
再看《个人信息保护法》第40条,“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定”。
很自然就会得到一个推论:第40条中的“处理个人信息达到国家网信部门规定数量的个人信息处理者”中,国家网信部门规定的数量,是不是就是100万?因为要特别考虑到一个场景,就是假设一个个中国用户自己注册了某个外国网站的用户【注意,这个不属于要出境评估的场景】,随着时间的累计,外国网站发现自己的中国用户数量已经超过了100万人,这时候,是不是按照第40条规定,外国网站必须将服务器挪到中国?或者至少在国内建立一个个人信息存储副本?
让我们再看看市场监管总局今天公开的两个文件。在《互联网平台分类分级指南》中,存在以下三个层级的划分:
在《互联网平台落实主体责任指南》中,存在以下划分:
很有意思,在一天之内,出现了对个人信息处理者所处理的个人信息规模的不同划分方式:
首先,在数据出境这个场景中,如果个人信息保护法第40条中“国家网信部门规定的数量”就是100万,那么100万用户的个人信息处理者,其重要性和关键信息基础设施运营者是等量齐观的。
在市场监管总局的两个文件中,大型平台或超大型平台是5000万活跃用户(即个人)。
两者并列看,大型平台或超大型平台,就要比关键信息基础设施还要来的重要。
当然,这么简单比也许没有任何科学性(也很无聊),就是一点观察,供大家拍砖。(完)