本刊编辑部
《个人信息和重要数据出境安全评估办法(征求意见稿)》各方解读
本刊编辑部
全球企业在迈向国际市场的同时,都将通过多国市场整合、统一分配来实现节约成本、提升业绩的目的,其数据进行跨境流动是大势所趋。本文从数据跨境流动的市场背景、立法背景和研究背景,综合各方观点评述解读《个人信息和重要数据出境安全评估办法(征求意见稿)》。
数据跨境流动;网络安全法;个人信息
1.数据跨境流动市场背景:
随着新一代信息通信技术的应用普及,人类社会正快速步入“信息随心至,万物触手及”的万物互联时代,人与人、人与物、物与物呈现实时互联,数据成为万物互联的中心,数据日趋多样、复杂和庞大。数据天然具有全球化属性,数据跨境流动是必然常态,全球经济已经从物质贸易向数据贸易发生转变。
根据麦肯锡的研究报告,2014年全球货物流动、外国直接投资和数据使用为全球GDP总值增加了7.8万亿美元,其中跨境数据流动产生了2.8万亿的价值,并预测到2025年,跨境数据会产生11万亿美元的价值。
如果欧盟禁止跨境数据流动,可能对欧盟GDP产生0.8-1.3%的负面影响(经济衰减幅度大约是欧洲在2012年经济下行时的三至四倍);欧盟向美国服务出口下跌6.7%,欧盟向美国制造业出口下跌11%;欧盟消费者福利损失1020亿至1700亿美元——相当于每一欧盟市民损失338美元。①数据来源:Information Technology Industry Council
目前,我国互联网公司积极开拓海外市场,数据跨境是不可避免的。跨境数据流动对国际贸易的影响是非常显而易见的,跨境数据流动的规则正逐渐成为一个核心规则。
2.立法背景:
为保障个人信息和重要数据安全,促进网络信息依法有序自由流动,国家互联网信息办公室(以下简称国家网信办)在4月11日发布了《个人信息和重要数据出境安全评估办法(征求意见稿)》(以下简称“《办法》”)。
《办法》共有十八项条文,从立法宗旨、适用范围、适用条件、评估对象、评估机制以及相应的法律责任等核心方面,对于《网络安全法》(以下简称“《网安法》”)有关数据出境安全评估的要求作了进一步明确和细化,对《网安法》确立的针对“关键信息基础设施”进行“本地信息部署+跨境传输评估”的管理模式做进一步解读。
纵览办法全文,针对个人信息和重要数据出境的场景提出了明确的管理要求,办法既是对《网安法》的一种延伸,又对《网安法》进行了相应的补充。办法中,第八条对数据出境安全评估的重点内容进行了明确,第九条对必须由监管部门进行评估的情况进行了界定,此外,还对评估周期、评估时间等内容都做出详细规定。办法将网络安全法对数据出境的条款进行了具体化,延伸成为可执行落地的规章。
此外,办法的第十一条还对哪些特定情况下数据不得出境进行了说明。在网络安全法中对不能出境的情况并没有做出规定,因此,办法的第十一条是对网络安全法的一种补充,使得我国的网络安全监管体系更加完善。
3.研究背景:
《办法》甫一出台,迅速成为了网络安全行业讨论的热点话题,并引发了广泛的研究和讨论。为此,中国互联网协会研究中心、互联网实验室联合主办了“网络安全执法视野下的跨境数据风险防控研讨会”,特邀政府主管领导、业内专家学者、企业代表围绕万物互联时代下数据本地化立法的关键考量因素、执法将面临的实务难点等数据跨境流动制度建设的重点问题进行深入探讨,期冀为我国数据跨境流动的立法与执法工作提供建设性参考。
(一)各方关注的焦点问题
会议中各部门专家的研讨主要集中在有关跨境数据的四个方面:1.实时追踪的全球规则研究;2.围绕价值的顶层设计建构;3.依据性质的差别规范设计;4.基于行业的利益平衡规则。
1.实时追踪的全球规则研究
2011年3月29日,韩国颁布《个人信息保护法》,废除了1999年《公共机关个人信息保护法》,新法适用范围涵盖公共与私人部门管理的所有个人数据信息。
国家网信办网络安全协调局副局长胡啸指出,个人信息出境要经过个人同意,在国际上也是通行的做法,相关国家法律法规都有类似的要求。
在管理范围上强调政府和公共部门数据的跨境管理,一些国家已经着手制定专门的制度。如:澳大利亚制定《政府信息外包、离岸存储和处理ICT安排政策与管理指南》,对政府数据的离岸存储及其风险管理作出了明确的规定。
大成律师事务所高级合伙人邓志松表示,数据根据分类分为:①不可披露的数据;②不会影响到商业和个人的利益的数据,可以自由流动,没有限制跨境传输的必要;③限制流动的数据。
而根据数据流动规制强度档次,目前世界主要国家分为以下几种类型:①强烈要求有关数据必须储存在境内服务器上;②欧盟,相当于数据本地化。③限制传输递减,主要是美国。中国的数据跨境传输还没有清晰的界定,有关数据跨境传输的规制还不是非常系统,而且在整个法律体系中侧重于限制数据的出境。
跨境数据流动对国际贸易的影响是显而易见的,跨境数据流动的规则正逐渐成为一个核心规则。保护个人信息的隐私以及数据可以采取例外措施,是我国家跟其他国家交往中所提出跨境数据限制的一些主观因素。国际规则和国内规则需要相互协同,需要平衡数据本地化的主权利益与跨境数据超主权的诉求,从而平衡贸易壁垒和贸易自由化的关系。
中国信息安全研究院副院长左晓栋认为,《办法》能够很好的平衡安全和发展的关系,以自评估为主,只有达到一定条件才由主管部门进行评估,这为促进数据的跨境流动提供了很大的支持,比欧洲的GDPR宽松很多。我们对于数据出境概念的理解应该更宏观一些,出口管控的这些东西相当多的是以知识产权的形式体现,可以广义理解为数据。
目前很难找到某个国家出台专门文件针对非个人信息的重要数据或者其他数据的保护和流动。原因有二:其一,难以确定这些重要数据里面不包含个人信息。其二,很多国家对于非个人信息的数据管理是散见于各类规章制度的。
2.围绕价值的顶层设计建构
国家网信办网络安全协调局副局长胡啸表示,制定《办法》是《网安法》的明确要求,是为了保护国家安全,保护公民、法人及其他组织的合法权益,促进网络信息依法有序自由流动。
针对有专家提出,《办法》第二条把《网安法》里面的关键信息基础设施运营者改成了网络运营者,①第二条 网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据,应当在境内存储。因业务需要,确需向境外提供的,应当按照本办法进行安全评估。这样的改动是不是扩大了评估对象范围的问题,胡啸回应说:《办法》首先要考虑立法的初衷,立法的初衷都是为了保障个人信息和重要数据的安全。如果不把关键信息基础设施运营者之外的其他网络运营者控制的个人信息和重要数据出境纳入评估范围,可能因为运营者对数据的控制减弱难以保障个人信息和数据安全。
《办法》第8条明确指出评估对象,重点评估以下内容,②第八条 数据出境安全评估应重点评估以下内容:(一)数据出境的必要性;(二)涉及个人信息情况,包括个人信息的数量、范围、类型、敏感程度,以及个人信息主体是否同意其个人信息出境等;(三)涉及重要数据情况,包括重要数据的数量、范围、类型及其敏感程度等;……第一个数据出境是不是必要,必要性怎么样。第二个涉及个人信息情况,尤其是提到了个人信息主体是否同意其个人信息出境,也提到了要评估涉及重要数据的情况,还重点要去评估数据接收方安全保护措施、能力和水平,以及所在国家、地区网络安全环境等等。还有数据出境及再转移后被泄漏、损毁、篡改、滥用等风险。当然还有其他评估内容。
评估内容里面,个人信息怎么界定,重要数据怎么界定?政府正在做的还有两项工作,一个是正在制定《个人信息安全规范》国家标准,还做了一个《重要数据识别指南》,是文件来指导,来识别有没有重要数据。
国家创新与发展战略研究会会长郝叶力强调,安全的问题最后落到实处是如何看待数据的跨境流动。在国家出台了一项法律政策之后,有必要立刻引起官方的,体制内、体制外企业,甚至于国内外的上下互动。谈论范围不仅要有体制内的,还有更多体制外的,企业的,微软的,美国的等。实际的跨境流动想要安全稳定的发展,就需要达到一个平衡,需要在一个大范围内广泛的交流、沟通。目的就是为了在全球化时代促进信息共享,促进数字经济的发展,在安全的前提下不阻碍数据的流动、信息的流动。
3.依据性质的差别规范设计
西安交通大学信息安全法律研究中心主任马民虎认为,各国根据自己不同的数据保障能力以及工业技术发展水平,针对本地化政策提出了三种主要模式:1.第一种是禁止数据离境;2.第二种模式是将数据中心建在境内,增加的国家对数据的控制力,便利执法;3.第三种是在数据传输前进行安全评估。
评估方式:1.可能侵害个人利益的个人信息或者是没有经过数据主体同意,或是对于国家有一些危害的;2.数据离境前进行安全评估。
评估保障措施:1.行业主管部门定期进行安全检查;2.网络运营者至少每年一次的安全评估以及接收方发生重大变化的时候重新进行评估;3.安全评估办法也赋予和公民和组织的举报权。
中国人民大学网络犯罪与安全研究中心秘书长谢君泽指出,建议采用《网络法》原来的写法,其他的运营者参照法律的技术性,或者法律解释体系。数据评估后出境,国外的机构用以违法犯罪活动,我国是否有追究它的能力,这涉及到国家司法管辖权,如何基于传统的管辖原则建立起数据的管辖原则。
简单归纳有四种意义,第一,对于境外获取或者购买者有约束力。第二是救济。第三个是对数据主权的宣誓。最后,在学理上的意义,这是信息时代或者网络时代非常有特色的,无论是国际法层面,还是国内法层面,非常值得探究,应该是中国首创的。
北京理工大学计算机学院院长助理、网络与信息安全学科方向责任教授祝烈煌表示,数据共享交换带来的好处是显而易见的,所以数据分享是不可避免的,这种情况下将会带来个人隐私泄漏或者是数据泄漏。
祝烈煌针对《办法》中的评估机制提①第七条 网络运营者应在数据出境前,自行组织对数据出境进行安全评估,并对评估结果负责。出两点,一是网络运营者自己有没有能力进行评估,或是否意识到应该做评估。如果借助第三方,第三方的能力怎么认定。第二是数据出境后责任主体确认问题。比如泄露平台与服务平台责任主体如何界定。被动泄漏从法律上如何归责。二是《办法》提到数据出境可能要得到用户主体的确认,②第八条 数据出境安全评估应重点评估以下内容:(一)数据出境的必要性;(二)涉及个人信息情况,包括个人信息的数量、范围、类型、敏感程度,以及个人信息主体是否同意其个人信息出境等;]但实施过程中,存在效率低,或用户未注意到的情况,这类问题该如何处理。在云服务里面出境的位置如何界定,以及数据在加密后处于何种地位。同时,区块链本身是全球共享的技术,共享与数据安全该如何平衡。
4.基于行业的利益平衡规则
国家网信办网络安全协调局副局长胡啸表示:
1.评估办法由谁来评估的问题。除了网络运营者自行评估之外,行业主管部门和监管部门在满足一定情况下也要进行安全评估。当然这里面提了一些条件,不是所有数据出境都要由行业和主管部门进行评估。
2.如果含有或者累计含有50万人以上的个人信息要报行业主管部门进行评估;数据超过一千GB的情况要报行业主管部门进行评估;包含核设施、化学生物、国防军工、人口健康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等都要经过主管部门进行评估;③第九条 出境数据存在以下情况之一的,网络运营者应报请行业主管或监管部门组织安全评估:(一)含有或累计含有50万人以上的个人信息;(二)数据量超过1000GB;(三)包含核设施、化学生物、国防军工、人口健康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等;(四)包含关键信息基础设施的系统漏洞、安全防护等网络安全信息;(五)关键信息基础设施运营者向境外提供个人信息和重要数据;(六)其他可能影响国家安全和社会公共利益,行业主管或监管部门认为应该评估。行业主管和监管部门不明确的由国家网信部门来组织评估。很多专家都会对50万人提出质疑,凭什么50万人要报行业主管部门评估?我们认为这两个数据都是为了提高可操作性,听过专家、各方面意见的一个结果。如果没有一个量的限制,没有一个量的提法也很难操作,所以这是一个平衡之后的结果。
3.行业主管和监管部门做这个安全评估应当于60个工作日内完成,同时及时向网络运营者反馈安全评估情况。④第十条 行业主管或监管部门组织的安全评估,应当于六十个工作日内完成,及时向网络运营者反馈安全评估情况,并报国家网信部门。在这条上面立法时认真考虑到了企业的诉求。
4.如何进行评估?首先是自行评估,另外现在有很多专业服务机构,所以也可以委托别人来进行评估。
5.制定《办法》过程中政府力图平衡、保障个人信息和重要数据安全与保护网络信息的合法有序自由流动,我们也力图平衡部门、专家、企业各方面的关切。
微软亚太研发集团总经理罗立凡表示,要形成一个平衡,如果限制跨境数据流动越强,虽然降低了个人数据被滥用的风险,外商一定要在境内投资,促进本国相关产业的发展,防止资源被外国控制等等,但是同样也会影响新技术的引进,阻碍本国信息产业走向全世界。
美国科文顿柏灵律师事务所高级顾问罗嫣表示,数据跨境从法律上来讲是一个全球的法律领域。首先,在技术层面,管理办法的出台并不足够。立法的时候,效率和公平,以及效率和更高的立法目标的平衡其实是很重要的。指南应该提出一个较为客观的细化标准。行业主管部门来评估数据出境是不是安全可控,但由于行业主管部门之间对于数据本身的跨境理解很可能会有参差不齐的情况,会造成在各个行业之间有一个不一样的执法尺度。数据出境以后输入方的保护水平,是不是足够,每一个行业主管部门是否都有一个比较平均的执法水平,需要在实践中得知。其次,安全评估办法采用的是企业运营中产生的数据,数据是一个生态系统,在新兴产业里,数据的归属很难判断,会存有非常多的争议。数据的主体会对处理方有不同的要求加以保证主体的合规义务,与此同时,主管部门的保护水平很难界定。
除了以上四个主要方面,研讨会中还有各种意见涉及《办法》的其他方面,主要包括:
有意见认为,数据的分类以及关键基础设施的数据,是我们国家重点防范的对象,应逐步加强国家数据标准模式;制定内部传输,数据的交换协议、通信协议的标准;监管部门、安全部门逐步完善数据的评估、监测;逐步加强自身的安全意识;跟进诸如加密等相关工具技术手段。
有意见建议,可以在具体的某个行业、某个产品的落地问题放宽,多给企业一些空间。
有意见强调需要1.把握安全和自由之间的平衡度;2.设普通程序和简易程序,具体情况具体分析;3.明确审查60日的起始点。
有意见认为,是否所有行业监管机构和监管部门都有这个能力去评估这件事情?如果经过了行业监管机构和行业主管评估之后如果真出了问题,这个行业主管机构要担责任吗?是不是可以考虑用民间的方式去解决?包括利用已有的认证、鉴证业务机构,以简化政府职能。
还有意见指出,1.国际上对于数据出境大概有两种理解,一种就是数据硬性出境,就是说数据传输到境外进行传输和处理。还有一种叫软性出境,数据保存在境内,但是国外公司或者主体对我过境内储存的数据进行访问。从数据出境的概念上来看好像没有明确说明除了硬性出境以外软性出境是不是适用《评估办法》。2.关于安全评估的时间和结果问题。60个工作日内完成,需要有一个申诉或者复议程序会在将来网络评估办法中有明确的规定。3.涉及到公司的用户敏感信息时,我们怎么在安全评估过程中处理好一个国外政府和国外公民的要求和审查之间的关系?
《网安法》将于2017年6月1日正式实施,这是我国在互联网立法上前进的重要一步,随之互联网涉及的个人信息保护、关键基础设施、跨境数据流动等都将明确制度。立法需国家上层重视,更需要社会各界的共同参与,只有不断的完善立法,明确规则,我国互联网才能迈向辉煌。
(整理:石博元 责任编辑:钟宇欢)
The Explain on the "Measures for the Assessment of Personal Information and Important Data Exit Security (Draft)"
Editorial Department
For the purpose of saving cost and improving performance,companies in the international market will inevitably integrated markets and unified distribution.Therefore,cross-border data fl ow will become the trend.Based on the market,legislative and research background of data cross-border flow,this paper reviewed and explained the "Measures for the Assessment of Personal Information and Important Data Exit Security (Draft)".
data cross-border fl ow,cybersecurity law,personal information
D922
A
1001-4225(2017)05-0074-05