網上投稿
2017年4月11日,國家互聯網信息辦公室發布了關于《個人信息和重要數據出境安全評估辦法(征求意見稿)》(以下簡稱“《數據出境辦法(征求意見稿)》”)公開征求意見的通知。根據我國既往的立法實踐,規范性文件的征求意見稿往往與最后實施的正式文件在內容上差異不大,故而通過對《數據出境辦法(征求意見稿)》條文的梳理與探討,有助于企業及時預判立法與執法動態、提前做好合規工作。《數據出境辦法(征求意見稿)》共計十八條,結合其具體內容,我們認為有以下幾個方面值得關注。
一、上位法的依據: 《國家安全法》、《網絡安全法》
《數據出境辦法(征求意見稿)》第一條明確指出其依據為《中華人民共和國國家安全法》(以下簡稱“《國家安全法》”)《中華人民共和國網絡安全法》(以下簡稱“《網絡安全法》”)等法律法規,《數據出境辦法(征求意見稿)》將出境數據須評估的范圍界定為個人信息以及重要數據具有上位法依據。《國家安全法》第十六條規定國家“保障公民的生命財產安全和其他合法權益”,個人信息具有數據和公民權益雙重屬性:第二十五條明確規定國家“實現網絡和信息核心技術、關鍵基礎設施和重要領域信息系統及數據的安全可控”,重要數據即對應“關鍵基礎設施和重要領域信息系統及數據”。因此,《數據出境辦法(征求意見稿)》并非僅僅是《網絡安全法》第三十七條的細化配套實施辦法。這一認識有助于我們正確解讀數據出境的相關要求。
二、規范的主體: 網絡運營者的內涵
根據《數據出境辦法(征求意見稿)》第二條[1]的內容,該辦法規范的主體系“網絡運營者”。《數據出境辦法(征求意見稿)》在“網絡運營者”的定義上與《網絡安全法》保持了一致,是指“網絡的所有者、管理者和網絡服務提供者”。全國人大法工委經濟法室副主任楊合慶先生在其主編的《中華人民共和國網絡安全法解讀》中指出,“在本法制定前的法律中,更多的使用網絡服務提供者的概念,它包括網絡接入服務提供者(ISP)和網絡內容服務提供者(ICP)兩類。由于網絡安全法規定的網絡除互聯網外還包括局域網和工業控制系統,它們很多不向社會提供商業或公共服務,但其所有者和控制者也必須承擔相應的安全義務,防范網絡安全風險,保障網絡安全穩定運行。”由此可見,“網絡運營者”的概念比“網絡服務提供者”的概念更為寬泛,值得讀者予以關注。
|
對應的部門
|
規定的名稱
|
使用的概念
|
|
立法部門
|
《網絡安全法》(主席令第53號)
|
網絡運營者
|
|
行政部門
|
《信息網絡傳播權保護條例》(國務院令第634號)
|
網絡服務提供者
|
|
《互聯網信息服務管理辦法》(國務院令第588號)
|
互聯網信息服務提供者
|
|
|
司法部門
|
《最高人民法院關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》(法釋[2014]11號)
|
網絡服務提供者
|
“互聯網信息服務提供者”<“網絡服務提供者”<“網絡運營者”
此外,《數據出境辦法(征求意見稿)》第十六條規定“其他個人和組織在中華人民共和國境內收集和產生的個人信息和重要數據出境的安全評估工作參照本辦法執行”,因此,除了網絡運營者之外,《數據出境辦法(征求意見稿)》將所有主體都“一網打盡”。
三、規范的適用: 范圍、行為與對象
(一)適用的范圍
依據《數據出境辦法(征求意見稿)》的定義,“數據出境”是指網絡運營者將在中華人民共和國境內運營中收集和產生的個人信息和重要數據, 提供給位于境外的機構、組織、個人。對于“境內”一詞的理解,我們認為有以下兩點值得注意:
第二,“境內運營中收集和產生的個人信息和重要數據”的表述沒有明確“境內”的涵義,即具體是網絡運營者位于境內或“收集和生產”信息或數據的服務設備位于境內,還是被收集信息或數據的服務對象位于境內,在《數據出境辦法(征求意見稿)》中并未明確定義。我們理解,“運營”一詞具有寬泛的含義,同時互聯網本身具有跨地域的屬性,“境內”+“運營”的表述在理解上容易引發歧義,有待《網絡安全法》正式施行后的司法案例或有關部門出臺細則予以釋明。
|
條文表述
|
有待釋明的情形
|
需要探討的原因
|
|
“網絡運營者將在中華人民共和國境內運營中收集和產生的個人信息和重要數據”
|
網絡運營者的辦公地點不在境內是否適用
|
目前法律尚未明確“信息”的法律地位,僅側重保護個人信息的收集與利用,使得在處理具體問題時, 信息或數據是附屬于服務對象或附屬于存儲介質或附屬于歸集主體尚不明確
|
|
網絡運營者的辦公地點在境內,收集和生產信息或數據的服務設備不在境內是否適用
|
||
|
網絡運營者的服務對象不在境內是否適用
|
除了上述地域層面的規范適用問題外,《數據出境辦法(征求意見稿)》的適用位階問題也值得讀者關注。根據《數據出境辦法(征求意見稿)》第二條、第十五條[2]、第十六條[3], 就數據出境的法律適用,結合《網絡安全法》第三十七條[4],以及《國家安全法》第二十五條, 我們可以得出以下兩點結論:
第一,對照《數據出境辦法(征求意見稿)》第二條與《網絡安全法》第三十七條以及《國家安全法》第二十五條,我們理解前者對應的規范性文件是后者規定的具體化,在適用時遵照《數據出境辦法(征求意見稿)》修訂生效施行后的正式文件;
第二,我國政府與其他國家或地區簽署的關于數據出境的協議、涉及國家秘密信息的具體規定或其他個人和組織涉及數據出境的具體規定,在適用時會優位于《數據出境辦法(征求意見稿)》修訂生效后的正式文件。
|
適用性(先)
|
適用性(中)
|
適用性(后)
|
|
我國政府與其他國家或地區簽署的關于數據出境的協議
|
《數據出境辦法(征求意見稿)》修訂生效后的正式文件【操作性較強】
|
《網絡安全法》第三十五條以及《國家安全法》第二十五條【原則性較強、操作性較弱】
|
|
涉及國家秘密信息的具體規定
|
||
|
其他個人和組織涉及數據出境的具體規定
|
(二)適用的行為
依據《數據出境辦法(征求意見稿)》的定義,網絡運營者在“提供”相關信息或數據時,將適用該辦法。實踐中,“提供”在形態上區分為主動提供與被動提供,在模式上區分為線上提供與線下提供。對于“提供”一詞的理解,我們認為有以下兩點值得注意:
第一, 我們理解, 網絡運營者直接通過網絡將相關信息或數據傳輸給境外機構、組織或個人的情形,顯而易見系屬于“提供”行為,網絡運營者允許前述境外主體通過網絡訪問、讀取相關信息或數據,在行為效果上與主動提供一致,故而類似“被動提供”的行為受到該辦法的規范也應是題中之義;
第二,盡管“數據出境”的措辭容易使讀者聯想到網絡,但《數據出境辦法(征求意見稿)》的第一條[5]明確了該辦法的立法依據除了《網絡安全法》之外,還包括《國家安全法》,我們理解,盡管《數據出境辦法(征求意見稿)》修訂生效后的正式文件適用于數據被線下帶出境的情形在實踐中可操作性較低(例如:民航在安檢時核查乘客攜帶的信息或數據存儲介質的合理性及合法性可能存在爭議), 但在文義理解上, 依然無法排除該辦法不適用于線下的數據出境。
【注】箭頭方向代表《數據出境辦法(征求意見稿)》修訂生效后的正式文件的適用性由強到弱。
(三)適用的對象
在這里,“適用的對象”是個廣義的概念,包括“個人信息和重要數據”(標的),也包括“位于境外的機構、組織、個人”(對象)。關于對“個人信息和重要數據”的理解,我們認為有以下兩點值得注意:
第一,這里的“個人信息”并非指所有與個人有關的信息,而是指與個人有關且可以識別身份的信息,屬于相對狹義的概念。具體而言,《數據出境辦法(征求意見稿)》在定義上,沿用了《網絡安全法》的相關規定,明確“個人信息”是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息,包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。故而,經過脫敏處理的個人信息不屬于該辦法中定義的個人信息。但值得注意的是, 如果巨量的脫敏信息使得信息獲得方可以通過該類脫敏信息獲得與國家安全、經濟發展,以及社會公共利益密切相關的數據,則可能屬于“重要數據”。
第二,這里的“重要數據”的具體內涵有賴于后續頒布的“國家有關標準和重要數據識別指南”。我們理解,《網絡安全法》中關于“重要數據”的規定確立了處置數據出境問題的基本原則,《數據出境辦法(征求意見稿)》修訂生效后的正式文件將在基本原則上進一步明確處置的程序(評估、報告等),而“重要數據”的內涵可能會先在政府層面的政策方針中予以明確,再具體落實到法律法規中。在相關規定沒有出臺前,讀者可關注中國網信網(中共中央網絡安全和信息化領導小組辦公室官方網站, 鏈接地址:
http://www.cac.gov.cn/)中的相關時評以及國際慣例。
|
《網絡安全法》
(已頒布)
|
《個人信息和重要數據出境安全評估辦法》
(征求意見中)
|
“重要數據識別指南”
(待頒布)
|
|
確立處置數據出境問題的基本原則
|
明確處置數據出境問題的程序(評估、報告等)
|
明確“重要數據”的內涵(即政府監管的信息邊界)
|
對于“位于境外的機構、組織、個人”的理解,我們認為值得注意的是“機構”一詞。“機構”從廣義角度而言,包括政府機構。在實踐中,如果網絡運營者需要向境外政府機構提供相關信息或數據,可能涉及兩部乃至多部法律的適用。前文所述的數據出境的雙邊或多邊協議會在一定程度上解決該問題,但在具體的協議出臺前,依據屬地原則,網絡運營者仍需適用我國關于數據出境的管理辦法。如果境外對數據傳輸另有規定且與我國的規定有所沖突,我們建議相關網絡運營者及時與我國網信主管部門溝通,明確相關規定或評估程序豁免適用的條件或情形。
四、外部評估的前提: 禁止規定以及啟動條件
《數據出境辦法(征求意見稿)》的第十一條[6]明確了數據禁止出境的情形,主要包括: 第一,個人信息出境未經個人信息主體或作為未成年人的信息主體的監護人的同意,或可能侵害個人利益;第二,數據出境給國家政治、經濟、科技、國防等安全帶來風險, 可能影響國家安全、損害社會公共利益。圍繞個人信息,最近公布的《中華人民共和國民法總則》(以下簡稱“《民法總則》”)第一百一十一條明確規定,自然人的個人信息受法律保護;任何組織和個人需要獲取他人個人信息的,應當依法取得并確保信息安全,不得非法收集、使用、加工、傳輸他人個人信息, 不得非法買賣、提供或者公開他人個人信息。結合《中華人民共和國合同法》關于格式條款的規定,我們理解網絡運營者在信息收集和產生的過程中,通過電子方式擬定授權條款時應當符合相關法律的規定。此外,“影響國家安全、損害社會公共利益”是個相對寬泛的概念,網絡運營者在簽訂數據出境協議時于風險提示與承擔的條款中應對有關情形予以明確約定。
|
數據禁止出境的情形
|
涉及的主要法律法規
|
網絡運營者需關注的合同條款
|
|
個人信息出境未經個人信息主體同意, 或可能侵害個人利益
|
《網絡安全法》
《民法總則》
|
授權許可類格式條款
|
|
數據出境影響國家安全、損害社會公共利益
|
《網絡安全法》
《國家安全法》
|
風險提示與分擔條款
|
《數據出境辦法(征求意見稿)》的第九條[7]規定了安全評估的啟動程序,從擬出境數據涉及的規模、領域與重要性等方面明確數據出境前實施前置安全評估的條件。
|
類型
|
條件
|
要求
|
|
數據對應的對象規模
|
含有或累計含有50萬人以上的個人信息
|
符合條件之一即需要申報安全評估
|
|
數據對應的容量規模
|
數據量超過1000GB
|
|
|
數據對應的相關領域
|
核設施、化學生物、國防軍工、人口健康等領域數據
|
|
|
數據對應的環境信息
|
大型工程活動、海洋環境以及敏感地理信息數據
|
|
|
關鍵信息基礎設施的安全技術與實體內容
|
關鍵信息基礎設施的系統漏洞、安全防護等網絡安全信息
|
|
|
關鍵信息基礎設施運營者向境外提供個人信息和重要數據
|
五、評估的內容: 國家與個人的兩個層面
《數據出境辦法(征求意見稿)》的第八條[8]規定了數據出境安全評估的重點評估內容。該條第一款第一項指出了“數據出境的必要性”。目前,該辦法尚在征求意見的立法步驟中,我們尚不清楚立法者對于“必要性”的態度,即沒有必要出境的數據是否就無法通過安全評估。依據《數據出境辦法(征求意見稿)》第三條的規定,數據出境安全評估應遵循公正、客觀、有效的原則,保障個人信息和重要數據安全,促進網絡信息依法有序自由流動。故而,我們理解立法者對于數據出境的態度依然是中性的,側重于數據安全與信息自由的平衡。同時,對于評估后的處置程序亦未明確,從評估的立法本意來看,對于評估后的處置并非僅有可以出境與否的兩種答案,是否可以根據評估狀況,由網絡運營者輔之以相應措施后亦可出境,期望在后續的立法進程中予以明確。
|
數據出境安全評估的重點評估內容
|
|
|
數據出境的必要性(第一款第一項)
|
|
|
個人信息的要件(第一款第二項)
|
重要數據的要件(第一款第三項)
|
|
數據接收方的資質, 以及所在國家和地區的網絡安全環境(第一款第四項)
|
|
|
數據再轉移后可能帶來風險(第一款第五項)
|
出境數據匯聚后可能帶來風險(第一款第六項)
|
六、評估的機制: 主體、模式與要求
《數據出境辦法(征求意見稿)》的第五條至第七條、第十二條對安全評估的主體、模式與要求作出了規定,安全評估的機制主要包括內部評估、外部評估、年度評估、二次評估等。
|
評估機制
|
相關條文
|
具體要求
|
|
|
內部評估
|
第七條[9]
|
在數據出境前自行組織并對評估結果負責
|
|
|
外部評估
|
第五條[10]
第六條[11]
|
國家網信部門
|
統籌協調
|
|
行業主管或監管部門
|
組織開展
|
||
|
年度評估
|
第十二條[12]
|
根據業務發展和網絡運營情況, 每年至少進行一次安全評估
|
|
|
二次評估
|
第十二條
|
當數據接收方出現變更, 數據出境目的、范圍、數量、類型等發生較大變化, 數據接收方或出境數據發生重大安全事件時, 需要重新評估
|
|
由評估的方式來看,網絡運營者開展內部評估、年度評估以及二次評估的系其自我評估,在不涉及《數據出境辦法(征求意見稿)》第九條和第十一條規定情形下,均采取自我評估的方式,因此,網絡運營者自我評估的能力和水平關乎企業的正常運營。
七、建議
結合前述對《數據出境辦法(征求意見稿)》中相關條文的梳理與探討,我們就數據出境問題給出以下幾點建議:
第一,網絡安全已經成為我國政府高度關注的問題,并上升到了“空間主權”的層面予以規范,網絡運營者或者涉及網絡運營的其他企業應當盡快對自身網絡安全工作進行一次合規性審查,尤其是在近期有投融資規劃,或者金融資本近期擬進入網絡科技領域的企業, 我們建議將網絡安全作為合規管理、盡職調查的重要事項之一予以對待。
第二,數據出境對應的安全評估涉及自我評估的環節,對于在技術資質、法律合規環節把控能力較弱的企業,我們建議聘請外部專業機構進行獨立評估,從而降低企業風險。
第三,2016年10月國家稅務總局起草并對外發布了《非居民金融賬戶涉稅信息盡職調查管理辦法(征求意見稿)》,而此次的《數據出境辦法(征求意見稿)》再次提及“與其他國家、地區簽署的關于數據出境的協議”。我們理解以數據為核心的資產管理觀念正在國家層面形成,建議網絡運營者或者涉及網絡運營的其他企業應積極響應,以應對外部政治、商業環境的實時變化。
【注釋】
[1]《個人信息和重要數據出境安全評估辦法(征求意見稿)》第二條規定,網絡運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據,應當在境內存儲。因業務需要, 確需向境外提供的,應當按照本辦法進行安全評估。
[2]《個人信息和重要數據出境安全評估辦法(征求意見稿)》第十五條規定,我國政府與其他國家、地區簽署的關于數據出境的協議, 按照協議的規定執行。涉及國家秘密信息的按照相關規定執行。
[3]《個人信息和重要數據出境安全評估辦法(征求意見稿)》第十六條規定,其他個人和組織在中華人民共和國境內收集和產生的個人信息和重要數據出境的安全評估工作參照本辦法執行。
[4]《中華人民共和國網絡安全法》第三十七條規定,關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估;法律、行政法規另有規定的,依照其規定。
[5]《個人信息和重要數據出境安全評估辦法(征求意見稿)》第一條規定,為保障個人信息和重要數據安全,維護網絡空間主權和國家安全、社會公共利益,保護公民、法人和其他組織的合法利益,根據《中華人民共和國國家安全法》《中華人民共和國網絡安全法》等法律法規,制定本辦法。
[6]《個人信息和重要數據出境安全評估辦法(征求意見稿)》第十一條規定,存在以下情況之一的,數據不得出境: (一)個人信息出境未經個人信息主體同意,或可能侵害個人利益;(二)數據出境給國家政治、經濟、科技、國防等安全帶來風險,可能影響國家安全、損害社會公共利益;(三)其他經國家網信部門、公安部門、安全部門等有關部門認定不能出境的。
[7]《個人信息和重要數據出境安全評估辦法(征求意見稿)》第九條規定,出境數據存在以下情況之一的,網絡運營者應報請行業主管或監管部門組織安全評估: (一)含有或累計含有50萬人以上的個人信息;(二)數據量超過1000GB;(三)包含核設施、化學生物、國防軍工、人口健康等領域數據,大型工程活動、海洋環境以及敏感地理信息數據等;(四)包含關鍵信息基礎設施的系統漏洞、安全防護等網絡安全信息;(五)關鍵信息基礎設施運營者向境外提供個人信息和重要數據;(六)其他可能影響國家安全和社會公共利益,行業主管或監管部門認為應該評估。行業主管或監管部門不明確的,由國家網信部門組織評估。
[8]《個人信息和重要數據出境安全評估辦法(征求意見稿)》第八條規定,數據出境安全評估應重點評估以下內容: (一)數據出境的必要性;(二)涉及個人信息情況,包括個人信息的數量、范圍、類型、敏感程度,以及個人信息主體是否同意其個人信息出境等;(三)涉及重要數據情況,包括重要數據的數量、范圍、類型及其敏感程度等;(四)數據接收方的安全保護措施、能力和水平,以及所在國家和地區的網絡安全環境等;(五)數據出境及再轉移后被泄露、毀損、篡改、濫用等風險;(六)數據出境及出境數據匯聚可能對國家安全、社會公共利益、個人合法利益帶來的風險;(七)其他需要評估的重要事項。
[9]《個人信息和重要數據出境安全評估辦法(征求意見稿)》第七條規定,網絡運營者應在數據出境前,自行組織對數據出境進行安全評估,并對評估結果負責。
[10]《個人信息和重要數據出境安全評估辦法(征求意見稿)》第五條規定,國家網信部門統籌協調數據出境安全評估工作,指導行業主管或監管部門組織開展數據出境安全評估。
[11]《個人信息和重要數據出境安全評估辦法(征求意見稿)》第六條規定,行業主管或監管部門負責本行業數據出境安全評估工作,定期組織開展本行業數據出境安全檢查。
[12]《個人信息和重要數據出境安全評估辦法(征求意見稿)》第十二條規定, 網絡運營者應根據業務發展和網絡運營情況, 每年對數據出境至少進行一次安全評估, 及時將評估情況報行業主管或監管部門。當數據接收方出現變更, 數據出境目的、范圍、數量、類型等發生較大變化, 數據接收方或出境數據發生重大安全事件時, 應及時重新進行安全評估。
滬公網安備 31010402007129號
