新闻动态
NEWS


 

  《网络安全法》体系下的数据跨境传输监管框架简述

 

前言

 

近年以来,随着中国对网络安全、数据安全和个人信息保护领域规则规范的不断重视,立法机构及有关政府主管部门出台了一系列与该等领域相关的法律或监管规则。其中,数据的跨境传输经常被理解为属于关系到国家网络安全、数据安全最重要和敏感的领域之一。与此同时,大量企业(特别是在中国设有机构的跨国企业)长久以来存在数据跨境传输需求,格外关注这一领域的立法和监管动态。

 

中国的数据跨境监管立法总体而言可以被分为“局部监管”和“全局监管”两个维度。“局部监管”这个维度侧重于对某些特定行业、特定领域、特定业务的数据跨境传输进行局部性质的监管,要求将该等特定行业、领域、业务涉及的数据资源和IT资源(例如服务器、存储设备、处理利用活动等)部署在中国境内,并可能同时限制有关的数据跨境传输(一般而言,对数据资源和IT资源进行本地部署的相关要求与数据跨境传输管理具有高度相关性,所以本文的描述不另行单独区分)。而“全局监管”这个维度侧重于就全体网络运营者涉及的数据跨境传输行为确立一般性的、全局性的管理规则。

 

2016年11月颁布的《中华人民共和国网络安全法》(“《网络安全法》”)、2017年4月11日刚刚发布征求意见的《个人信息和重要数据出境安全评估办法》(征求意见稿)(“《数据出境评估办法》(征求意见稿)”)以及早先在2013年发布的《信息安全技术公共及商用服务信息系统个人信息保护指南》(“《个人信息保护指南》”)等文件构成了数据跨境传输“全局监管”维度的重要代表和基石规则。本文主要通过分析《网络安全法》和《数据出境评估办法》(征求意见稿)的相关规则,梳理“全局监管”维度下的数据跨境传输管理的核心框架和重点、难点,以期对《网络安全法》体系下的全局数据跨境传输监管框架进行简要综述。值得注意的是,上述《网络安全法》序列下的“全局监管”维度相关规则建立时间短,主要的实施细则之一《数据出境评估办法》(征求意见稿)也仍然处于征求意见阶段,所以该领域的具体企业行为指引还有赖于主管机关在规则制定层面或实务操作层面给予进一步的细化规则或指导。但是,通过上述已经正式颁布或征求意见的规定,在“全局监管”维度的相关规则下的总体监管思路已经初现端倪。

 

与上述相对应,在过去的几年中,有关监管机构发布的一系列行业和业务导向的监管规则构成了“局部监管”维度的代表,包括但不限于《征信业管理条例》、《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》、《金融消费者权益保护实施办法》、《网络预约出租汽车经营服务管理暂行办法》、《网络出版服务管理规定》、《地图管理条例》、《人口健康信息管理办法(试行)》、《保险公司开业验收指引》等规范性文件以及《互联网域名管理办法》(修订征求意见稿)、《关于规范云服务市场经营行为的通知》(公开征求意见稿)等征求意见阶段的规范当中包含的相应规定。由于上述“局部监管”维度的监管思路和模式与“全局监管”维度有所不同,而本文主要旨在就“全局监管”模式进行分析,所以本文不具体分析“局部监管”维度的相关规范细节,而有待择机另行讨论。

 

另外,以《中华人民共和国保守国家秘密法》为代表的国家秘密相关规则也涉及对信息跨境传输的控制,但由于上述系列规则的思路与一般业务监管和网络运营管理意义上的数据跨境监管有所区别,所以本文不做引用或分析。

 

 

一、   《网络安全法》的数据跨境传输监管框架

 

1.  《个人信息保护指南》眼中的数据跨境流动监管

 

2013年,《个人信息保护指南》首次明确在“个人信息保护”部分明确提出,未经个人信息主体的明示同意,或法律法规明确规定,或未经主管部门同意,个人信息管理者[1]不得将个人信息转移给境外个人信息获得者,包括位于境外的个人或境外注册的组织和机构。

 

不过,毕竟由于《个人信息保护指南》只是行业规范,并不是法律或其他具有强制执行力的规范性文件,所以上述规定更多地被理解为政策鼓励和倡导的方向,有关的违反行为并不直接对应强制性罚则。

 

2.  《网络安全法》对数据跨境传输的管理要求

 

a.      《网络安全法》的基本规则

 

2016年11月《网络安全法》的横空出世引起了广泛热烈的讨论。作为网络安全领域的“基本法”,《网络安全法》特别使用大量篇幅对“关键信息基础设施”进行了规定,对“关键信息基础设施运营者”提出了一系列要求。其中,特别引人关注的是对关键信息基础设施运营者收集的数据信息的跨境传输奠定了“本地部署+传输评估”的基本管理模式。

 

具体而言,《网络安全法》第37条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。上述条文对自身有一个最重要的限制,就是“本地部署+传输评估”这一限制的对象应当是关键信息基础设施的运营者。

 

b.      “关键信息基础设施”及其运营者

 

(i)                 《网络安全法》的界定

 

“关键信息基础设施”是《网络安全法》颁布以来讨论最多、不确定性最大的制度之一。《网络安全法》对“关键信息基础设施”赋予了开放性定义,即指“对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施。”

 

(ii)               《国家网络空间安全战略》的界定

 

此后,2016年12月由国家互联网信息办公室(“网信办”)发布的《国家网络空间安全战略》(“《安全战略》”)进一步将关键信息基础设施释明为“是指关系国家安全、国计民生,一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施,包括但不限于提供公共通信、广播电视传输等服务的基础信息网络,能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统,重要互联网应用系统等。”

 

《安全战略》与《网络安全法》相比,在含义描述的顺序上相对更加清晰并容易理解。《网络安全法》在描述上采用了先列举行业领域、后进行“一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益”性质描述的界定方式,使得一段时间以来有一种理解认为在列举的“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域”内的信息基础设施可能都属于“关键信息基础设施”。相比之下,《安全战略》采用先界定性质、后进行不穷尽列举的方式,并明确了在列举的行业领域,评定为关键信息基础设施的基础设施也需要是符合条件的“基础信息网络”、“重要信息系统”或者“重要互联网应用系统”,从而确认了,在认定“关键信息基础设施”这一问题上,应当以“基础设施”作为认定基准单位,而非以行业或者运营主体作为认定基准单位。

 

(iii)             《国家网络安全检查操作指南》的界定

 

除上述文件明确界定的含义外,通过互联网等公开渠道可以在若干地方政府网站检索到标有“2016年6月”由“中央网络安全和信息化领导小组办公室”发布的《国家网络安全检查操作指南》[2](下称“《安全检查操作指南》”)。《安全检查操作指南》对“关键信息基础设施”进行了非常明确的界定和列举。

 

首先,该指南规定“关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统,且这些系统一旦发生网络安全事故,会影响重要行业正常运行,对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。”从这一概念来看,其规定的设施重要程度(包括事故出现时造成的危害程度)的有关要求是略低于《网络安全法》和《安全战略》的要求的。

 

其次,《安全检查操作指南》明确列举,关键信息基础设施包括网站类,如党政机关网站、企事业单位网站、新闻网站等;平台类,如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台;生产业务类,如办公和业务系统、工业控制系统、大型数据中心、云计算平台、电视转播系统等。此外,《安全检查操作指南》非常详尽地列举了认定“关键信息基础设施”所参考的业务或影响指标。

 

上述标准的范围总体来说可能比严格依据《网络安全法》和《安全战略》的定义所能界定的范围来得更加宽泛。同时,由于《安全检查操作指南》的成文时间早于《网络安全法》的颁布时间,所以《安全检查操作指南》在时间顺序上不会是《网络安全法》就“关键信息基础设施”这一制度的实施细则。但是,作为在法律颁布前明确就全国范围内的同一事项进行检查的统一指导性文件,其可能在主管机关就关键信息基础设施起草实施细则条例的过程中提供所需的甚至是重要的参考。

 

(iv)             关于“关键信息基础设施”的小结

 

从以上分析可以看出,《网络安全法》和《安全战略》为“关键信息基础设施”提供了开放性的、宽泛的定义。通过公开渠道检索的《安全检查操作指南》虽然对“关键信息基础设施”进行了非常详尽的界定,但是鉴于其发布时间、发布背景等原因,所以也可能不会被镜像复制到关键信息基础设施制度最终的实施细则当中。值得注意的是,国务院办公厅《关于印发国务院2016年立法工作计划的通知》(国办发〔2016〕16号)已经明确列明网信办起草《关键信息基础设施安全保护条例》。业界期待该条例对关键信息基础设施的定义、范围、规则适用、运营者义务等一系列问题提供明确、系统的规定。             

 

c.       《网络安全法》对数据跨境传输管制主体的自我限制

 

不论“关键信息基础设施”概念最终会落脚在怎样的范围之内,明确的是,关键信息基础设施有自身的评估标准,一定不是任何网络设施都可以被认定为关键信息基础设施;或者说,一定是具有很高重要性、满足上述定义描述情况的设施,才是关键信息基础设施。

 

《网络安全法》上述对关键信息基础设施运营者在中国境内收集的个人信息和重要数据所奠定的“本地部署+传输评估”规则,首次在国家法律层面确立了“全局监管”维度的数据信息跨境传输规范。

 

 

二、   《数据出境评估办法》(征求意见稿)的细则规定和监管路径

 

《数据出境评估办法》(征求意见稿)通过总共十八条的规定,对《网络安全法》提出的数据跨境传输监管模式下的传输管制主体、数据出境要求、出境评估模式等重要问题进行了详细规定,也留下一些有待进一步细化或者在实践中予以明确的事项。虽然还在征求意见阶段,但是该征求意见稿反映了当前监管部门在全局性的数据跨境传输领域的主要理解和监管倾向。

 

1.  管制主体的全面延伸:不加关键信息基础设施前缀的网络运营者及其他个人和组织

 

《数据出境评估办法》(征求意见稿)第2条规定,对于网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据,应当在境内存储。因业务需要,确需向境外提供的,应当按照该办法进行安全评估。

 

上述规定和《网络安全法》第37条关于跨境传输主体的规定有一个显著不同,就是《网络安全法》呈现的被规制主体自带限制,即“关键信息基础设施的运营者”进行数据部署和传输,受有关条文约束。《数据出境评估办法》(征求意见稿)并没有上述限制,而是将管制对象界定为“网络运营者”。

 

《网络安全法》和《数据出境评估办法》(征求意见稿)项下的“网络运营者”概念比较宽泛,指“网络的所有者、管理者和网络服务提供者”。其中使用的“网络”概念,在《网络安全法》框架下也较为宽泛,指“由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统”。上述两个宽泛的概念作文意解读可以指向较为宽泛的对象。

 

例如,“网络运营者”这一概念字面上没有区分互联网、公用通信网、局域网或其他性质的网络。所以其潜在涵盖对象并不限于涉及互联网的相关主体,也包括涉及公用通信网、局域网或其他性质的网络的主体。

 

再如,“网络运营者”包括了网络的所有者、管理者和网络服务提供者。尤其是其中的网络服务提供者,并没有如《互联网信息服务管理办法》等互联网或增值电信服务相关管理规范一样明确区分所提供服务是“经营性”还是“非经营性”。所以,“网络运营者”也可能包括了广泛的“企业自用”网络以及“公共服务”网络的运营者。  

 

因此,《数据出境评估办法》(征求意见稿)规定的管制对象,由于在条文文字层面并不自然带有“关键信息基础设施”这一前提限制,所以就规定本身而言,可以被解读为面向广泛的“网络运营者”,比《网络安全法》规定的管制对象要宽泛许多。在没有进一步实践执法案例予以释明的情况下,上述“网络运营者”可能涵盖对数据跨境传输存在大量需求的跨国公司在中国设立的主体和机构。

 

更进一步的是,《数据出境评估办法》(征求意见稿)第16条进一步规定,“其他个人和组织”在中华人民共和国境内收集和产生的个人信息和重要数据出境的安全评估工作参照本办法执行。这一规定潜在地将《数据出境评估办法》(征求意见稿)的触角进一步延伸,即在“网络运营者”这一管理对象框架以外,进一步将有关规范义务的对象扩展到“其他个人和组织”。但是,其中对于“参照本办法执行”的具体要求以及不执行的情况下的违法后果没有进一步规定,有待于法规文本进一步澄清或者在实践案例中进一步明晰。

 

2.  管制规则的细化

 

《数据出境评估办法》(征求意见稿)在个人信息和重要数据“确需出境、应当评估”这一“评估原则”的方向上,同时遵循《网络安全法》关于个人信息保护的立法逻辑,确立了个人信息出境同样适用“知情同意”原则,也明确地规定了有关个人信息或者数据不能出境的禁止情况。

 

a.      个人信息出境的知情同意原则

 

《网络安全法》规定了个人信息收集、使用和保护的若干基本原则,其中之一是“知情同意”原则,即网络运营者收集、使用个人信息,应当公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。

 

《数据出境评估办法》(征求意见稿)基于上述原则,在个人信息出境的情境下进行了适用细化,规定个人信息出境,应向个人信息主体说明数据出境的目的、范围、内容、接收方及接收方所在的国家或地区,并经其同意;并且,同时规定,未成年人个人信息出境须经其监护人同意。

 

b.      跨境传输的禁止情况

 

在适用“确需出境、应当评估”这一“评估原则”的基础上,《数据出境评估办法》(征求意见稿)第11条规定了三种禁止数据出境的情形:

 

(i)                 个人信息出境未经个人信息主体同意,或可能侵害个人利益

 

本条限制在概念上与个人信息收集和使用的“知情同意”原则相一致。但是,其规定在“或可能侵害个人利益”的情况下,也禁止信息出境,在实践适用中可能给参与主体带来一定的不确定性。例如,不同主体对如何具体界定“可能侵害”的程度的理解可能就不尽一致。

 

(ii)               数据出境给国家政治、经济、科技、国防等安全带来风险,可能影响国家安全、损害社会公共利益

 

本条限制的政策倾向和逻辑结论都在情理之中,但是可能需要依靠更多的监管意见和执行先例来提供更丰富和更有信息量的参考,以便参与主体更好地划定“给国家政治、经济、科技、国防等安全带来风险”或者“可能影响国家安全、损害社会公共利益”等上位概念或宏观规则的界限。

 

(iii)             其他经国家网信部门、公安部门、安全部门等有关部门认定不能出境的

 

本条限制是比较惯常的兜底条款,即有关部门另行认定的不能出境的信息,禁止出境。

 

3.  评估规则的制度化:自我评估+外部评估双层评估模式

 

《数据出境评估办法》(征求意见稿)使用相当长的篇幅详尽地规定了数据出境评估制度。

 

a.      自我评估+外部评估双层评估制度

 

《数据出境评估办法》(征求意见稿)第7条规定,网络运营者应在数据出境前,自行组织对数据出境进行安全评估,并对评估结果负责。

 

《数据出境评估办法》(征求意见稿)第9条规定,出境数据存在规定情况之一的,网络运营者应报请行业主管或监管部门组织安全评估。

 

b.      应当适用外部评估的情形

 

《数据出境评估办法》(征求意见稿)第9条规定,出境数据存在以下情况之一的,网络运营者应报请行业主管或监管部门组织安全评估:

 

(i)                 含有或累计含有50万人以上的个人信息;

(ii)               数据量超过1000GB;

(iii)             包含核设施、化学生物、国防军工、人口健康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等;

(iv)             包含关键信息基础设施的系统漏洞、安全防护等网络安全信息;

(v)               关键信息基础设施运营者向境外提供个人信息和重要数据;

(vi)             其他可能影响国家安全和社会公共利益,行业主管或监管部门认为应该评估。

(vii)           行业主管或监管部门不明确的,由国家网信部门组织评估。

 

其中:

 

-          上述情形(i)以所涉及的个人信息数量判断“重要性”进而规定适用外部评估。规则本身有一定的合理性。但是在实践操作中,可能会给跨国企业,尤其是涉及到“to C”(面向消费者)导向的跨国企业,带来特别的挑战。

 

跨国企业一般对数据跨境传输有较强需求,常见的情况是部分IT基础设施(甚至是主要IT基础设施)部署在境外,日常经营需要进行大量的个人信息跨境传输;而“to C”导向的跨国企业涉及到的传输量达到“50万人以上的个人信息”这一量级往往并不少见。特别值得注意的是,就该规模标准,《数据出境评估办法》(征求意见稿)采用的口径是“含有或累计含有”50万人以上的个人信息,即一次性传输规模不足50万人相关数据,但是与历史累积相加达到或超过50万人规模信息的,也应当组织进行外部评估,使得这一标准适用的情形更加普遍。

 

就上述情况而言,如果执行中严格适用上述规则,则在此类跨国企业将主要IT资源部署在中国境内之前,可能使得此类跨国企业询行业主管或监管部门组织安全评估成为常态。

 

-          上述情形(ii)以传输的数据量判断“重要性”进而决定是否适用外部评估,也有一定的合理性。但是以数据量本身来判断重要性,没有进一步区分传输数据的不同性质。例如,传输音频、视频等数据,较为容易超过上述规定容量。如果传输纯文本个人信息或数据,则尽管数据本身可能十分重要,但是也不一定容易达到1000GB的容量规模。此外,与上述情形(i)相比,本条对数据容量的要求没有采用“含有或累计含有”的标准,则从字面条文分析,一种可能的理解是如果每一次传输的数据量不足1000GB,则不必然需要报外部评估。当然,主管机关在《数据出境评估办法》的正式发布稿或者该规定的实际的实践适用中是否会采取更严格明晰的解读,也是一个值得观察的要点。

 

 

-          上述情形(v)原版复刻了《网络安全法》第37条提及的需要对关键信息基础设施运营者的数据跨境行为进行管理的情况。也从侧面印证了,至少在规则确立的倾向上,《数据出境评估办法》(征求意见稿)可能意在扩展《网络安全法》第37条限定的数据跨境传输管理范围。

 

c.       出境评估的重点内容

 

《数据出境评估办法》(征求意见稿)第8条规定,数据出境安全评估应重点评估以下内容:

 

(i)                 数据出境的必要性;

(ii)               涉及个人信息情况,包括个人信息的数量、范围、类型、敏感程度,以及个人信息主体是否同意其个人信息出境等;

(iii)             涉及重要数据情况,包括重要数据的数量、范围、类型及其敏感程度等;

(iv)             数据接收方的安全保护措施、能力和水平,以及所在国家和地区的网络安全环境等;

(v)               数据出境及再转移后被泄露、毁损、篡改、滥用等风险;

(vi)             数据出境及出境数据汇聚可能对国家安全、社会公共利益、个人合法利益带来的风险;

(vii)           其他需要评估的重要事项。

 

其中:

 

-          上述标准(i)在跨国企业内部进行数据跨境必要性评估的过程中,可能是最主要的考虑因素之一,也可能构成“确需跨境”的主要原因。如上文所述,有一部分跨国企业在中国设立的机构的主要IT资源(如服务器、信息处理平台)仍部署在境外,如果不进行跨境传输,可能导致主要业务根本无法开展,从而主张属于数据“有必要”出境的原因。但是,上述理由是否对任何情形和任何持续时间跨度都适用,也有很大不确定性。例如,主管机关可能认为,刚涉及中国业务的跨国公司,或者中国业务规模不大的跨国公司,单独在中国部署IT资源对其而言在商业和经济上不合理;但是,如果对于在中国经营业务时间久或者业务规模较大的公司,商业上可能可以、甚至有必要在中国本地部署IT资源,这种情况下跨国公司如果仍以上述原因主张数据“确需跨境”,则其合理性可能面临较大质疑。

 

-          上述标准(ii)和(iii)主要通过所涉及信息的影响和敏感程度来建立判断标准。其中,在判断第(ii)项的个人信息敏感程度时,2013年颁布的《个人信息保护指南》可能也是值得借鉴的参考来源之一。《个人信息保护指南》规定,个人信息可以分为个人敏感信息和个人一般信息。个人敏感信息指一旦遭到泄露或修改,会对标识的个人信息主体造成不良影响的个人信息。各行业个人敏感信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定。例如个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。

 

-          上述标准(iv)和(v)站在境外数据接收方的角度,以境外方面的安全保护措施、能力和水平,所在国家和地区的网络安全环境,数据出境及再转移后的风险作为评估视角。从这一角度,如果传输到公认的对个人信息和数据保护规定较为严格的国家或地区(例如欧盟),或者传输到有关的数据和信息基础设施比较完善的地区,则依据这两条标准主张数据出境的合理性可能相对较有说服力。

 

d.      外部评估的期限和定期评估要求

 

(i)                 “外部评估”的期限

 

《数据出境评估办法》(征求意见稿)第10条规定,行业主管或监管部门组织的安全评估,应当于六十个工作日内完成,及时向网络运营者反馈安全评估情况,并报国家网信部门。

 

上述规定对“外部评估”设定明确期限,有利于在保障信息跨境传输安全的同时明晰拟传输企业的可见预期。然而,在行业主管或监管部门完成评估并向网络运营者反馈评估情况后,还需要报国家网信部门;而从上述条文文本来看,报网信部门是并行动作,且没有要求网络运营者在网信部门有进一步反馈后才能采取传输行动。当然,如果主管部门在实践中对此有不同解释或操作,则也需要特别关注。

 

(ii)               定期评估要求和情况变更时的重新评估

 

《数据出境评估办法》(征求意见稿)第12条规定,网络运营者应根据业务发展和网络运营情况,每年对数据出境至少进行一次安全评估,及时将评估情况报行业主管或监管部门。

 

此外,当数据接收方出现变更,数据出境目的、范围、数量、类型等发生较大变化,数据接收方或出境数据发生重大安全事件时,应及时重新进行安全评估。

 

其中,上述情况变更情形下的重新评估义务的具体适用,有待在规定层面或者在实际操作层面进一步理解和落实。根据《数据出境评估办法》(征求意见稿)第7条的规定,网络运营者是在数据出境前自行或询主管部门进行评估。与本第12条的衔接过程中,如果根据第7条(或第9条,即外部评估的情形)已经评估完成、数据已经出境,但是又出现了第12条所述的情况变更,如果自行评估或报外部评估的结果确实反映不宜出境,网络运营者面临的法定义务存在不确定性。《数据出境评估办法》(征求意见稿)本身没有规定数据出境后的回撤机制和义务。而对于该情况下新进行的评估,似乎也不一定适用于下一次拟进行的跨境传输(如果下一次传输的接收方、目的、范围、数量、类型等又与本次评估背景不一致的话)。就这一点,可能也有赖于规则层面或操作层面的进一步理解和实践。

   

e.       “重要数据”及其规制内容

 

在《网络安全法》颁布后,讨论的热点之一也包括,在对“关键信息基础设施的运营者”进行数据跨境传输规制时,限制传输的对象有两个,一是法律和有关规定多次明确定义和标准的“个人信息”,二是新提出的“重要数据”这一概念。《网络安全法》没有对重要数据进行界定,而“重要数据”这一术语在文义层面也没有明确的指向性,只对“重要性”提出了要求,而且没有给出要求的参照系。

 

本次《数据出境评估办法》(征求意见稿)对“重要数据”提供了比较宽泛的概念,即规定“重要数据是指与国家安全、经济发展,以及社会公共利益密切相关的数据,具体范围参照国家有关标准和重要数据识别指南。”

 

上述概念一方面还是以比较宽泛的基础对“重要数据”的指向对象进行了描述,另一方面进一步引述到重要数据参照“国家有关标准”和“重要数据识别指南”。在规范性文件层面,上述进一步的引述并不十分明确,可能潜在指向一系列标准和指南。主管机关是否在规则和实践操作层面会提供进一步的指引还有待观察。值得特别一提的是,上文提到的《安全检查操作指南》在对“关键信息基础设施”进行明确界定的同时,也简单提及了对“重要数据”进行备份的要求。所以《数据出境评估办法》(征求意见稿)提到的“重要数据”所引述的“标准”或者“指南”,是否会与《安全检查操作指南》所界定的“关键信息基础设施”及其产生的相关数据有较密切的联系,也是一个值得关注的话题。

 

 

三、   期待和展望

 

强调数据运营、使用和数据资源部署的本地化是近年以来中国在网络安全立法领域的重要监管趋势。与该趋势相匹配和对应的是法律规则层面加强了对个人信息和重要数据跨境传输的管理。上述监管趋势和管理路径一方面有利于保护国家信息安全,另一方面也给需要对境外进行数据传输或进行一定数据资源部署的主体提出了新的课题或问题。

 

其中,鉴于跨国公司对数据跨境传输一直以来都拥有比较实际的需求,同时鉴于其历史上的全球IT资源分布和现有系统架构部署地点等原因,也可能存在着(或者可能在未来相当一段时间内存在)将公司中国业务IT资源和数据处理资源、甚至公司中国业务的重要IT资源和重要数据处理资源部署在境外的情况。

 

为应对上述监管趋势和数据跨境传输管理路径,跨国公司(或其他有重要跨境数据传输需求的企业)值得密切关注该领域的最新监管动态,并在日常运营(特别是IT资源部署)方面进行必要的准备或者调整。例如:

 

1.      调整IT和其他数据资源部署,在具备商业合理性的情况下,考虑减少对境外IT资源和其他数据资源(特别是数据处理资源)的依赖;更多地依靠中国本地IT资源支持维护公司业务发展。

 

2.      对于仍有跨境数据传输需求的企业,注意全面核查该领域的合规要求、排查潜在风险。关注点可以包括但不限于,在与用户个人信息的收集和传输有关的协议或用户条款中,明确加入关于跨境传输的目的、范围、内容、接收方及接收方所在国家/地区的条款,并取得用户的事先明确同意。

 

3.      注意自身数据出境安全评估机制的建立。其中,特别关注对数据跨境传输的必要性和潜在影响进行实质评估,避免继续抱有在过往数据使用和传输的“轻手监管”时代所可能持有的“境外部署、频繁传输”心态;在数据跨境传输这一领域,也类比适用个人信息收集的“正当性原则”、“必要原则”和“最少够用原则”,争取更好地适应数据跨境传输监管的新局面。

 

数据跨境传输管理以及网络和数据安全合规方面的其他问题是近年以来的立法热点,也是业界关注的重点。该领域法律合规实践对法规和政策的准确研判对企业以及其他相关主体而言至关重要,一方面有利于降低潜在的法律、政策风险(特别是涉及国家安全、网络安全、信息安全方面的风险),另一方面有助于降低企业的IT或数据资源部署开支,支持以大数据、物联网、云服务等为代表的企业“涉网”业务的加速发展。我们将对上述领域的监管规则和操作实践予以持续关注。

 

 

海问律师事务所

2017年4月12日



[1] 《个人信息保护指南》项下的“个人信息管理者”指决定个人信息处理的目的和方式,实际控制个人信息并利用信息系统处理个人信息的组织和机构。

[2] 根据该指南自身所载说明,其依据是《关于开展关键信息基础设施网络安全检查的通知》(中网办发(20163号),目的是指导关键信息基础设施网络安全检查工作。