2017年4月11日,中华人民共和国国家互联网信息办公室(以下简称“网信办”)发布了《个人信息和重要数据出境安全评估办法(征求意见稿)》(以下简称“《办法》”),并向社会公众征求意见。《办法》最初被解读为对《中华人民共和国网络安全法》(以下简称“《网络安全法》”)第37条有关关键信息基础设施的数据储存本地化规定的补充。第37条规定:“应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”。然而,目前的《办法》 并不只关注数据本地化义务与关键信息基础设施运营者进行个人信息及重要数据出境传输所应进行的安全评估的要求。《办法》在进一步扩大了所有的网络运营者的义务范围的同时,还进一步创设了补充数据本地化要求的新义务,形成了一个大范围实施个人信息和重要数据储存本地化与个人信息及重要数据出境传输规范化的法律框架。
首先需要注意的是,《办法》进一步细化并极大地扩大了数据存储本地化的范围,而《网络安全法》原本只规制由处于中国大陆境内的关键信息基础设施所收集和处理的个人信息和重要数据。
《网络安全法》第76条第5款直接界定了个人信息的概念,但却没有规定“重要数据”的原则,导致对于被认为是重要数据和被要求本地化储存的数据的范围产生不同的解读。《办法》第17条将重要数据界定为:“与国家安全、经济发展,以及社会公共利益密切相关的数据,具体范围参照国家有关标准和重要数据识别指南”。简而言之,该定义将由未来发布的国家标准和所提到的指南进行补充,很有可能在《办法》正式颁布时公布。
在数据本地化义务的对象中可以注意到数据本地化范围的重大转变,《网络安全法》在第37条中只针对关键信息基础设施,而《办法》第2条则大大超越了这个范围,规定“网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据,应当在境内存储。因业务需要,确需向境外提供的,应当按照本办法进行安全评估”。即网络运营者,无论其是否被认定为关键信息基础设施,都将必须遵守数据本地化义务和《办法》规定的不同的数据处理方式以保证其个人信息及重要数据出境传输的合法性。以将所有网络运营者纳入管理的方式,《办法》的确推动了中国大陆个人信息及重要数据出境传输的规范化。
如此,《办法》对非关键信息基础设施的网络运营者创设了新的数据储存本地化义务,其必须将在中国大陆范围内采集或产生的个人信息和关键数据存储在境内。但《办法》也同样为将个人信息或重要数据向海外传输的网络运营者增加了诸多义务,以完善并补充数据本地化义务。
《办法》中的关键义务之一是进一步强调取得个人信息所有者的同意并对所要求的同意进一步的细化规定。为了构成《网络安全法》第41条项下有效的同意,信息收集的目的、收集的方式和范围、个人信息的使用都必须在收集和使用个人信息之前向个人信息所有者进行披露,《办法》第4条强化了《网络安全法》的要求,增加了以下需要向个人信息所有者披露的内容:
数据出境的目的
数据出境的范围
数据出境的内容
个人信息出境传输的网络运营者所在的国家或地址
个人信息接收方所在的国家或地址
此外,《办法》特别规定了当个人信息所有者为第4条规定的未成年人的情形下,要求网络运营者确保已经取得未成年人监护人的同意。
除了进一步告知个人信息所有者以取得其知情同意的义务,《办法》同样也对所有的网络运营者在满足《办法》第9条所设置的、就个人信息在海外传输或储存所设置的以下任一标准的情况下,创设了新的申报义务:
含有或累计含有50万人以上的个人信息
数据量超过1000GB
包含核设施、化学生物、国防军工、人口健康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等
包含关键信息基础设施的系统漏洞、安全防护等网络安全信息
关键信息基础设施运营者向境外提供个人信息和重要数据
其他可能影响国家安全和社会公共利益,行业主管或监管部门认为应该评估
如果网络运营者存在以上任一情形的,其应当报请有关行业主管或监管部门,或在行业主管或监管部门不明确的情况下,报请国家网信办,以进行安全评估。
毫无疑问,《办法》的核心要求之一是有关网络运营者就将个人信息及重要数据向境外传输进行安全评估的义务。
《办法》进一步说明了安全评估的形式、时间及要求。首先,《办法》在第7条明确说明安全评估必须在个人信息和重要数据向境外传输之前进行。如此,安全评估必须设置在数据传输的之前进行。第7条还进一步对安全评估的方式进行规定,明确说明,除非网络运营者满足第9条规定的标准,安全评估将由网络运营者自行组织完成。如果满足第9条,则安全评估将由有关的行业主管或监管部门,或在行业主管或监管部门不明确的情况下,由国家网信办组织进行。当安全评估是由网络运营者自行进行的情况下,其必须遵循《办法》第8条所设置的标准与行业主管或监管部门未来根据第6条及第8条第7款设置的更多行业要求。值得注意的是,根据《网络安全法》推断,安全评估将由某个第三方进行,而根据《办法》第7条,网络运营者自行组织对数据出境进行安全评估,并对评估结果负责,在绝大多数场合下将为网络运营者提供更大的弹性。就其本身而言,其没有进一步详细说明安全评估是否可以由第三方代表网络运营者进行,但这个问题可能会在未来对《办法》的补充中进行规定。
此外,必须承认的是数据出境的安全评估并不是一项一劳永逸的评估。《办法》第12条规定了该流程必须在年度基础上重复进行,且在每次数据传输发生满足第12条第2款规定标准的较大变化时重新进行。
当《办法》被高度期待对《网络安全法》中的数据本地化规定作出进一步阐释,而目前的草案大大地超过了期待的范围。通过扩大所覆盖的网络运营者的范围和阐明关于个人信息及重要数据的收集、储存、传输的条文,《办法》本身成为中国个人信息和重要数据出境传输条款和国际通行做法接轨的标志。这也体现在第15条中,其规定,如果中国政府与其他国家、地区签署关于数据出境协议的,按照协议的规定执行。可以预见,中国与世界其他国家、地区可能在未来签署双边数据传输协议。
鸣谢:上海市瑛明律师事务所,本文著作权归作者所有
关于我们:
“金融法视界”(FinancialLaw View)公共账号旨在传播和分享金融及资本市场原创或深度的文章、视点及热点资讯,为金融和资本业界人士提供信息交流平台。
1.01365=37.8;跬步千里,每天进步0.01,一年可进步37.8
0.99365=0.03;不进则退,每天退步0.01,一年则退至0.03
“金融法视界”伴您每天进步1点点!
关注我们:
1、查找“金融法视界”或“flview”
2、扫描二维码
分享:
“你有一个苹果,我有一个苹果,我们交换一下,还是一个苹果;你有一个思想,我有一个思想,我们交换一下,一个人就有两个以上的思想”。知识分享是我们前进的动力,如果您喜欢这篇文章,欢迎分享至朋友圈;点击右上角按钮→分享到朋友圈。同时我们热切希望聆听您的见解,热切欢迎您的投稿,联系邮箱[email protected]
创始人兼总编陈贵 微信账号:adamchen2
免责声明:
《金融法视界》所载信息仅供一般参考,并非适用于某具体案件或情形。虽然本平台已致力于提供准确和及时的资料和信息,但本平台不能保证其准确性,亦不对其中任何观点、内容或版式给阁下造成的任何损失承担责任。©版权所有,转载务必注明来源。
