《网络安全法》时代数据跨境传输的企业合规挑战

2017-06-09 14:01邓志松戴健民
关键词:网络安全法网信国务院

邓志松,戴健民

(北京大成律师事务所,北京 100020)

《网络安全法》时代数据跨境传输的企业合规挑战

邓志松,戴健民

(北京大成律师事务所,北京 100020)

近年来,中国政府已开始逐渐关注数据跨境传输问题。《中华人民共和国网络安全法》的通过标志着中国从法律层面首次对数据的跨境传输进行限制。虽然世界各国在限制数据的跨境传输方面有着不同的规范体系及模式,但《网络安全法》仅对“关键信息基础设施”的数据跨境传输进行限制。目前中国的网络安全法律体系已经初步建立,但“关键信息基础设施”的具体范围尚不明确,有待后续规定的落实。可以预见,《网络安全法》的有关规定将为在华运营的企业,尤其是跨国公司带来新的合规挑战。在商业运营中,企业应完善自身合规制度,密切关注后续实施细则的制定与实施,依法进行跨境数据传输的安全评估工作,并做好数据本地化的技术准备。

网络安全法;企业合规;数据跨境传输;数据本地化

邓志松 (1978-),男,江西进贤人,法学博士,北京大成律师事务所高级合伙人

戴健民 (1978-),男,广东新会人,法学硕士,北京大成(上海)律师事务所合伙人

一、数据跨境传输的崭新变局

2016年11月7日,《中华人民共和国网络安全法》(以下简称“《网络安全法》”)经三次审议后于十二届全国人大常委会第24次会议正式通过,2017年6月1日起施行。《网络安全法》共包括七章,七十九条,其首次对网络安全等级保护制度、关键信息基础设施保护和用户个人信息保护制度等从法律层面上进行了规定。其中,限制关键信息基础设施的数据跨境传输的有关规定自《网络安全法(草案)》初次审议(以下简称“一审稿”)并公布以来一直倍受全球范围的广泛关注,直至近日终于落地。

作为中国网络安全领域的基本法律,《网络安全法》第三十七条规定,“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”这一规定将为在华运营的企业,尤其是跨国公司带来新的合规挑战,应当予以高度重视并持续关注后续相关立法进程。需要明确的是,跨国公司并不仅限于传统意义上的“外企”,随着中国企业在海外业务的不断拓展,许多中国企业也已加入到跨国公司的行列,也将同样面临数据跨境传输的法律限制。

近年来,中国政府已开始逐渐关注数据跨境传输问题,但先前已有的法规在规制的数据类型及领域等方面还比较局限。例如,2013年1月21日国务院公布的行政法规《征信业管理条例》第二十四条规定,“征信机构在中国境内采集的信息的整理、保存和加工,应当在中国境内进行。征信机构向境外组织或者个人提供信息,应当遵守法律、行政法规和国务院征信业监督管理部门的有关规定”;2011年1月21日中国人民银行发布的部门规章《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》第六条规定,“在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外,银行业金融机构不得向境外提供境内个人金融信息”。可以看出,以上两部法规所针对的领域仅限于征信领域及银行业金融领域,涉及的数据范围也较为局限。

此外,作为中国首个个人信息保护国家标准的《信息安全技术公共及商用服务信息系统个人信息保护指南》在第5.4.5条规定,“未经个人信息主体的明示同意,或法律法规明确规定,或未经主管部门同意,个人信息管理者不得将个人信息转移给境外个人信息获得者,包括位于境外的个人或境外注册的组织和机构”。显然,该指南涵盖的领域与数据范围要比前述两部法规广很多,但该指南作为“指导性技术文件”对相关企业及个人并不具有强制力。

相比而言,《网络安全法》系首次从国家法律层面限制数据的跨境传输,无论是从法律层级、规制领域范围、数据类型,还是规制程序、法律责任等角度来看,都显著超越之前的规范性文件。

二、立法过程及背景

《网络安全法》的立法进程可谓一直在“加速前进”。2015年6月,全国人大常委会对草案进行了初次审议并在接下来的一个月内完成了草案的意见征集。2016年6月,仅一年之后,全国人大常委会对二次审议稿(“二审稿”)进行了第二次审议。2016年10月,在全国人大常委会第二十四次会议上,原本不在预先公布的草案审议议程中的《网络安全法(草案)》在开幕首日便提请审议,①新华网.十二届全国人大常委会第二十四次会议分组审议网络安全法草案[EB/OL].[2016.11.1] http://www.qianhuaweb.com/2016/1101/3561040.shtml.并最终获得通过。从2015年6月草案一审到最终审议通过,历时仅短短一年半左右的时间。

在三次公布的草案审议稿中,有关数据跨境传输的规定也一直在不断变化,具体体现在对“关键信息基础设施”的定义与范围规定的不同。一审稿中,关键信息基础设施有明确的范围,包括1.基础信息网络,主要包括广电网、电信网、互联网;2.重要行业和公共服务领域的重要信息系统,例如核岛控制系统、银联交易系统、智能交通系统、供水管网信息管理系统、社保信息系统等;3.军事网络,例如军事通信网、军队指挥自动化系统等;4.地市级以上政务网络,例如电子政务系统、政府门户网站等;5.用户数量众多的网络服务商系统。②尹丽波.网络安全法将促进国家关键信息基础设施保护新局面[EB/OL].[2015-9-1] http://theory.people.com.cn/ n/2015/0901/c387081-27537618.html而在公布的二审稿中,对关键信息基础设施的概念采取了概括性规定,并删除了有关关键信息基础设施的具体范围的表述,规定具体范围由国务院进行制定。最终通过的《网络安全法》将一审稿与二审稿的表述进行结合,进一步界定了关键基础设施的范围,既列举了一些具体行业和领域,如公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务,又用“其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施”进行了兜底规定,具体范围仍然授权国务院进行制定。

三、数据跨境传输主管部门、规范体系与发展趋势

《网络安全法》规定关键信息基础设施的范围由国务院制定,在中国网络安全领域问题逐渐突出,立法需求逐渐增强,立法进程逐步加快的背景之下,可以预见国务院的后续相关规范也会在不远的将来落地。届时,结合已有的《征信业管理条例》、《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》等行政法规和规范性文件,中国的数据跨境传输规范体系将初步建成。

从国际上来看,数据跨境传输的不同规范模式已经基本形成。如美国基于其信息产业的优势地位以及对数据自由流动的依赖性,在法律层面并没有对数据跨境传输做出限制性规定。而针对特定行业的外国资本进入,美国则通过与其签订安全协议的形式对数据本地化(Data Localization)作出要求。①石月.国外跨境数据流动管理制度及对我国的启示[EB/OL].[2015-7-23]http://gb.cri.cn/42071/2015/07/23/661 1s5041096.htm.

欧盟虽然不禁止数据的跨境传输,但即将生效的《一般数据保护条例》(General Data Protection Regulation)对向欧盟境外的国家传输做出了非常严格的条件,其中之一即为由欧盟委员会对接收国的数据保护体系作出“充分保护认定”(Adequate Decision),确认接收国可以为数据提供充分的保护后才可传输。看上去充分保护认定与中国《网络安全法》第三十七条中“因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”的规定略有相似。在将来中国的数据传输的安全评估体系中,对充分保护的类似认定也可能会作为考量因素之一。

其他一些国家如澳大利亚则采取禁止特定领域的数据跨境传输的规制模式,与之相反,俄罗斯的《个人数据法》中的数据本地化要求则普遍适用于在境内收集个人数据的企业。中国的数据跨境传输规范会采取哪种形式,有待国务院及相关部门出台各类规定和实施细则。

《网络安全法》第八条第一款规定,“国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。”由此条款可知,《网络安全法》在国家层面的实施将至少涉及国家网信部门、国务院电信主管部门和公安部门,这和网络安全本身牵涉甚广的现实是相符的,相关配套规范的研究制定及后续执法工作,尚需各相关部门的相互协调与通力合作。此外,通观整部法律,有关“网信部门”的描述(含近似描述)共在条文中出现13次,所涉职权包括负责统筹协调网络安全工作和相关监督管理工作;会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测;对关键信息基础设施的运营者采购的可能影响国家安全的网络产品和服务,会同国务院有关部门组织的国家安全审查等等。可见,网信部门在《网络安全法》相关配套规范制定及实施监管中担任着十分重要的角色,其在以往出台和正在制定的相关规范文件及执法实践,亦值得企业重点关注与参考。

四、企业风险管理

贸易全球化与企业运营国际化的当下,信息的跨境传输每时每刻都在世界各地发生,尤其对跨国公司来说,海量信息伴随着其内部运营、现金流转、业务往来等在各国、各地区间频繁传递。根据《网络安全法》第六十六条的规定,“关键信息基础设施的运营者违反本法第三十七条规定,在境外存储网络数据,或者向境外提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。”违反有关限制数据跨境传输的规定,不但将面临网信部门的行政调查和罚款,更严重的法律后果包括吊销有关许可证和执照,从而对企业的跨境运营造成根本性影响。

尽管《网络安全法》中最终删掉了一审稿中“用户数量众多的网络服务提供者所有或管理的网络和系统”的具体表述,但这并不意味一般企业就不会成为限制数据跨境传输的规制对象。首先,“公共通信和信息服务”的表述可以做广泛的解释。仅就信息服务业而言,其本身所涉范围甚广,一般认为可分为三大类:即信息传输服务业;IT服务业(信息技术服务业);信息资源产业(主要指信息内容产业)。其次,国务院在出台后续规范时,会将“关键信息基础设施”、“重要数据”等圈定在多大的范围之内尚不明确。

因此,就数据跨境传输方面,我们对企业的提出如下合规建议:

(1)密切关注后续规定、实施细则的制定与实施

《网络安全法》授权国务院对关键信息基础设施的具体范围和保护办法进行制定,目前虽尚未从公开渠道获取国务院在此方面的制定动向,但可以预见相关规范会在不远的将来相继出台。企业应对相关规范的制定与实施进行密切关注,并可在必要时通过合法途径提出合理建议和意见。此外,《网络安全法》还授权国家网信部门和国务院有关部门就因业务需求确实需要向境外传输时进行安全评估,安全评估的相关依据文件相信也在制定当中,企业应当一并予以高度关注。

(2)依法进行跨境数据传输的安全评估工作

《网络安全法》第三十七条明确要求“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定”。有关数据跨境传输安全评估制度的确立在一定程度上强化了对信息保护的力度,同时也对相关企业提出了更高的合规要求。在日后的运营中,相关企业因业务需要需向境外传输相关信息的,应注意依法配合进行安全评估工作。

(3)做好信息本地化的技术准备

梳理本企业进行跨境传输的信息和数据,准确识别所涉“个人信息与重要数据”。对于那些可以本地化存储和加工的信息和数据,做好在中国境内存储相关信息的技术准备。对于调整经营模式可以缩小跨境传输范围的数据,则应提前做好相关技术准备。如果企业运营确实需要跨境传输部分业务,而企业有可能被包括在关键信息基础设施经营者范围之内,则应区分不同具体情况:可以将关键信息基础设施剥离处置的应当尽早准备预案,对于无法剥离和隔离的,则应制定合规手册,以适应《网络安全法》的评估和报备要求。

(责任编辑:李晓晖)

The Challenges of Corporate Compliance in Terms of Crossborder Data Flow in the Age of the Implementation of Cybersecurity Law of the People's Republic of China

DENG Zhi-song,DAI Jian-min

In recent years the Chinese government has been increasingly focusing on the issue of cross-border data fl ow.The recently passed Cybersecurity Law of the People’s Republic of China marks its fi rst attempt to regulate this issue at a national law level.Though various countries have different systems and modes of regulation,the China Cybersecurity Law only restricts the crossborder data fl ow of “critical information infrastructure’’,the scope of which is currently unclear,pending further clari fi cation by relevant policies.It is reasonably foreseeable that the Cybersecurity Law will impose new challenges in terms of compliance to businesses operating in China,especially international enterprises.It is advisable for enterprises to keep improving its compliance program,closely follow the progress of the enactment of relevant policies,prepare to initiate the safety evaluation in accordance with the law,and prepare technically for data localization.

Cybersecurity Law of the People's Republic of China,Corporate Compliance,Crossborder Data Flow,Localization of Data

D922

A

1001-4225(2017)05-0070-04

猜你喜欢
网络安全法网信国务院
北京国泰网信科技有限公司
我刊编辑参加网信工作培训会
浅谈推进网信军民一体化发展
国务院明确取消投标报名
论《网络安全法》对信息经济的保障支撑作用
《网络安全法》六大亮点助力网络强国
政治施压《网络安全法》行不通
国务院确定2016年深化医改重点
高屋建瓴 构建网信安全大战略
中国《网络安全法》草案引热议