将于2017年6月1日生效的中国新《网络安全法》引入的数据本地化要求引发了在华跨国公司的质疑和担忧。
为了实施数据本地化的要求,国家互联网信息办公室(国家网信办)于2017年4月11日发布了《个人信息和重要数据出境安全评估办法(征求意见稿)》(《草案》)公开征求意见。
《网络安全法》对“关键信息基础设施”的运营者施加了存储“在中华人民共和国境内运营中收集和产生的个人信息和重要数据”(境内数据)的义务,并要求关键信息基础设施运营者在向境外提供该等数据之前进行安全评估。不过,《草案》似乎将数据本地化要求的适用范围由关键信息基础设施的运营者扩大到了全部的“网络运营者”。
《草案》重复了《网络安全法》对“网络运营者”的定义。“网络运营者”是指网络的所有者、管理者和网络服务提供者。根据这个宽泛的定义,可以说在中国使用连接到通信网络的计算机系统的实体都会被认为是网络运营者,因此都需要遵守《网络安全法》规定的数据本地化要求。如果最终按照《草案》执行,事实上所有在中国设立并且在经营活动中使用网络的实体都会被要求在中国存储境内数据的备份。
安全评估
根据《草案》,如果网络运营者因业务需要,确需向境外提供境内数据的,网络运营者应当遵循“公正、客观、有效”的原则进行安全评估。
《草案》规定了两类安全评估:自行组织的评估和政府组织的评估。作为基本原则,网络运营者必须在数据出境前,自行组织对数据出境进行安全评估(除非触发政府组织的安全评估),并对评估结果负责。
如果出境数据存在以下情况之一的,网络运营者应报请行业主管或监管部门组织安全评估:(1)含有或累计含有50万人以上的个人信息;(2)数据量超过1,000GB;(3)包含核设施、化学生物、国防军工、人口健康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等;(4)包含关键信息基础设施的系统漏洞、安全防护等网络安全信息;(5)关键信息基础设施运营者向境外提供个人信息和重要数据;(6)其他可能影响国家安全和社会公共利益,行业主管或监管部门认为应该评估。《草案》规定行业主管或监管部门组织的安全评估,应当于六十个工作日内完成,并报国家网信部门。
虽然现行法律和法规已经对某些领域的数据(包括人口健康和敏感地理信息数据)出境进行了限制,但《草案》似乎显著扩大了政府组织的安全评估要求的适用范围。首先,《草案》在触发政府组织的安全评估情形中增加了数量标准(即50万人或者1,000 GB),这似乎是比较低的标准。其次,拟定的数量标准没有明确的行业或业务领域限制,这可能会覆盖许多行业和领域的公司。第三,《草案》并没有进一步对《网络安全法》下的宽泛规定的“关键信息基础设施”进行澄清。最后,《草案》的兜底条款涵盖了可能影响“国家安全和社会公共利益”的数据,这给国家互联网信息办公室相当大的自由裁量权。
根据《草案》,自行组织的或者政府组织的数据出境安全评估应重点评估以下内容:(1)数据出境的必要性;(2)出境数据的数量、范围、类型及敏感程度等;(3)数据接收方的安全保护措施、能力和水平,以及所在国家和地区的网络安全环境等;(4)数据出境及再转移后被泄露、毁损、篡改、滥用等风险;(5)数据出境及出境数据汇聚可能给国家安全、社会公共利益、个人合法利益带来的风险。
此外,网络运营者应根据业务发展和网络运营情况,每年对数据出境至少进行一次安全评估,及时将评估情况报行业主管或监管部门。除了每年进行安全评估外,网络运营者应当在发生以下情形时重新进行安全评估:(1)当数据接收方出现变更,或者数据出境目的、范围、数量、类型等发生较大变化,或者(2)数据接收方或出境数据发生重大安全事件。进行年度安全评估的要求有些令人困惑,因为这可以被解释为只要网络运营者对个人信息和重要数据出境自行进行了安全评估,那么除非并直至触发了《草案》规定的新的安全评估情形,否则该自行安全评估对于数据出境就足够了。
《草案》规定,行业主管或监管部门负责组织和管理安全评估度工作。如果需要进行评估但行业主管或监管部门不明确的,由国家网信部门组织评估。
《网络安全法》没有对“重要数据”进行定义,由于数据本地化的要求,这引起了许多关注。《草案》澄清了“重要数据”是指与国家安全、经济发展,以及社会公共利益密切相关的数据。虽然了解到“重要数据”的范围没有此前担心的那么广是很有用的,但是《草案》也规定了参照国家有关标准和重要数据识别指南,这表明重要数据的具体范围会受限于进一步的法律规定。
提前同意
《网络安全法》笼统地要求网络运营者应当向被收集者明示收集、使用个人信息的目的、方法和范围,并且取得被收集者同意。与该一般性规定一致,《草案》规定为了进行个人信息出境,网络运营者必须向个人信息主体说明数据出境的目的、范围、内容和接收方(及接收方所在国家或地区),并经其同意。如果个人信息主体是未成年人,其个人信息出境须经其监护人同意。
鉴于云技术的广泛使用以及许多企业在地理上的扩展,该等同意要求增加了现实挑战和障碍。比如,网络运营者是否在每次个人信息出境时都必须向个人信息主体说明并取得个人信息主体的同意,这一点并不完全清楚。此外,年龄核查可能也会是一个挑战,具体要看如何实际执行该要求。在涉及到公司客户时,要网络运营者要求公司客户的联系人就为了商业目的向境外提供其个人信息(姓名、电话号码和/或电子邮箱地址)做出单独的同意是非常麻烦而且不现实的。更广泛地说,鉴于该提前同意要求,为了保证合规性,需要将在境内收集的个人信息传输出境的网络运营者,应当审查和修改现行隐私政策或声明。
禁止出境
根据《草案》,存在以下情况之一的,数据不得出境:(1)个人信息出境未经个人信息主体同意,或可能侵害个人利益;(2)数据出境给国家政治、经济、科技、国防等安全带来风险,可能影响国家安全、损害社会公共利益;(3)其他经国家网信部门、公安部门、安全部门等有关部门认定不能出境的。
《商法摘要》由贝克·麦坚时律师事务所协助提供,内容仅供参考之用。读者如欲开展与本栏内容相关之工作,须寻求专业法律意见。读者可通过以下电邮与贝克·麦坚时联系:张大年(上海)danian.zhang@bakermckenzie.com
