2017
年4月11日,中华人民共和国国家互联网信息办公室(以下简称“
网信办
”)发布了《个人信息和重要数据出境安全评估办法(征求意见稿)》(以下简称“
《办法》
”),并向社会公众征求意见。《办法》最初被解读为对《中华人民共和国网络安全法》(以下简称“
《网络安全法》
”)
第37条
有关关键信息基础设施的数据储存本地化规定的补充。
第37条
规定:“应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”。然而,目前的《办法》 并不只关注数据本地化义务与关键信息基础设施运营者进行个人信息及重要数据出境传输所应进行的安全评估的要求。《办法》在进一步扩大了所有的网络运营者的义务范围的同时,还进一步创设了补充数据本地化要求的新义务,形成了一个大范围实施个人信息和重要数据储存本地化与个人信息及重要数据出境传输规范化的法律框架。
首先需要注意的是,《办法》进一步细化并极大地扩大了数据存储本地化的范围,而《网络安全法》原本只规制由处于中国大陆境内的关键信息基础设施所收集和处理的个人信息和重要数据。
《网络安全法》
第76条第5款
直接界定了个人信息的概念,但却没有规定“重要数据”的原则,导致对于被认为是重要数据和被要求本地化储存的数据的范围产生不同的解读。《办法》
第17条
将重要数据界定为:“与国家安全、经济发展,以及社会公共利益密切相关的数据,具体范围参照国家有关标准和重要数据识别指南”。简而言之,该定义将由未来发布的国家标准和所提到的指南进行补充,很有可能在《办法》正式颁布时公布。
在数据本地化义务的对象中可以注意到数据本地化范围的重大转变,《网络安全法》在
第37条
中只针对关键信息基础设施,而《办法》
第2条
则大大超越了这个范围,规定
“网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据,应当在境内存储。因业务需要,确需向境外提供的,应当按照本办法进行安全评估”。即网络运营者,无论其是否被认定为关键信息基础设施,都将必须遵守数据本地化义务和《办法》规定的不同的数据处理方式以保证其个人信息及重要数据出境传输的合法性。以将所有网络运营者纳入管理的方式,《办法》的确推动了中国大陆个人信息及重要数据出境传输的规范化。
如此,《办法》对非关键信息基础设施的网络运营者创设了新的数据储存本地化义务,其必须将在中国大陆范围内采集或产生的个人信息和关键数据存储在境内。但
《办法》
也同样为将个人信息或重要数据向海外传输的网络运营者增加了诸多义务,以完善并补充数据本地化义务。
《办法》中的关键义务之一是进一步强调取得个人信息所有者的同意并对所要求的同意进一步的细化规定。为了构成《网络安全法》
第41条
项下有效的同意,信息收集的目的、收集的方式和范围、个人信息的使用都必须在收集和使用个人信息之前向个人信息所有者进行披露,《办法》
第4条
强化了《网络安全法》的要求,增加了以下需要向个人信息所有者披露的内容:
-
数据出境的目的
-
数据出境的范围
-
数据出境的内容
-
个人信息出境传输的网络运营者所在的国家或地址
-
个人信息接收方所在的国家或地址
此外,《办法》特别规定了当个人信息所有者为
第4条
规定的未成年人的情形下,要求网络运营者确保已经取得未成年人监护人的同意。
除了进一步告知个人信息所有者以取得其知情同意的义务,《办法》同样也对所有的网络运营者在满足《办法》
第9条
所设置的、就个人信息在海外传输或储存所设置的以下任一标准的情况下,创设了新的申报义务:
-
含有或累计含有50万人以上的个人信息
-
数据量超过1000GB
-
包含核设施、化学生物、国防军工、人口健康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等
-
包含关键信息基础设施的系统漏洞、安全防护等网络安全信息
-
关键信息基础设施运营者向境外提供个人信息和重要数据
-
其他可能影响国家安全和社会公共利益,行业主管或监管部门认为应该评估
如果网络运营者存在以上任一情形的,其应当报请有关行业主管或监管部门,或在行业主管或监管部门不明确的情况下,报请国家网信办,以进行安全评估。
