今天是中国网络安全非常重要的日子——《中华人民共和国网络安全法》(以下简称“网安法”)开始正式生效。与之相关的配套法规、指南或者已经正式发布,或者仍在紧张、有序的制定过程中。
日前,国家互联网信息办公室网络安全协调局负责人在接受记者采访时就表示,“《中华人民共和国立法法》要求,法律规定明确要求有关国家机关对专门事项作出配套的具体规定的,有关国家机关应当自法律施行之日起一年内作出规定。”目前,“《网络产品和服务安全审查办法(试行)》等配套制度文件已经公开发布。国家标准化部门正抓紧组织制定《个人信息安全规范》等国家标准。” 因此可以预见的是,未来一年将是网络安全法律法规体系不断完善的一年,各企业和机构必须保持密切关注,确保满足合规要求。
以关键信息基础设施保护 —— 网安法确立的一项重要制度为例,该负责人就透露“关键信息基础设施保护办法有望近期公开征求意见。” 在配套法规出台之前,该负责人“建议相关企业、机构等抓紧做好法律实施的准备工作,自觉用法律规范网络行为。”关于如何加强关键信息基础设施保护,该负责人给出了如下建议:“首先是按照《网络安全法》的要求,抓紧制定相关配套制度和标准。要重点做好以下几方面工作:一是要加强关键信息基础设施保护工作的统筹,强化顶层设计和整体防护,避免多头分散、各自为政的情况发生。二是要建立完善责任制,政府主要是加强指导监管,关键信息基础设施运营者要承担起保护的主体责任。三是要加强对从业人员的网络安全教育、技术培训和技能考核,切实提高网络安全意识和水平。四是要做好网络安全信息共享、应急处置等基础性工作,提升关键信息基础设施保护能力。五是要加强关键信息基础设施保护中的国际合作。”由此可以看出,监管机构期望相关企业和机构能够多层次、全方位地做好网络安全相关规划和实践,将网安法相关要求有效落到实处,从而提高网络安全保护水平。
网安法中关于数据本地化和数据出境的规定一直是企业关注的重点,尤其是跨境经营企业。该负责人表示:“《网络安全法》做出这样的规定,目的是为了维护国家网络安全,保护人民群众利益。
落实法律要求,要把握以下几点:
这是对关键信息基础设施运营者提出的要求,而不是对所有网络运营者的要求。
不是所有的数据,只限于个人信息和重要数据,这里的重要数据是对国家而言,而不是针对企业和个人。
对于确需出境的数据,法律作了制度上的安排,经过安全评估认为不会危害国家安全和社会公共利益的,可以出境。
经个人信息主体同意的,个人信息可以出境。特别要说明的是,拨打国际电话、发送国际电子邮件、通过互联网跨境购物以及其他个人主动行为,视为已经个人信息主体同意。”
从配套法规来看,2017年04月11日,国家互联网信息办公室有针对性地发布了《个人信息和重要数据出境安全评估办法(征求意见稿)》(以下简称“评估办法”)。定稿尚未完成,全国信息安全标准化技术委员会于2017年5月27日发布了国家标准《信息安全技术 数据出境安全评估指南(草案)》(以下简称“评估指南”)。该指南是对评估办法在评估工作要求、方法流程、评估内容和结果判定方面的具体化。从适用范围看,评估指南与评估办法均涵盖了网络运营者(而非仅仅上文所提到的关键信息基础设施运营者)。评估指南还明确了一些重要概念的定义,比如在附录A(即是评估办法所提及的“重要数据识别指南” )中,“重要数据”的定义更为详细,还按行业进行举例说明,并指明了各个行业的主管部门或监管部门。这为企业在识别重要数据时提供了更具可操作性的参考。
作为评估的第一步,评估指南特别要求网络运营者应首先制定“数据出境计划”,该计划包括:a) 数据出境目的、范围、类型、规模;b) 涉及的信息系统;c) 中转国家和地区(如存在);d) 数据接收方及其所在的国家或地区的基本情况;e) 安全控制措施等。所有评估工作将实际围绕该计划展开。
评估要点包括“合法正当”和“风险可控”两个方面。如果不能满足其中之一,则评估指南要求数据不得出境。这一要求与评估办法规定实际上是一致的。
“合法正当” 包括“合法”和“正当”两个层面。“合法”这一要点可谓不言自明,包括法不禁止、监管机构不禁止、个人信息主体授权、符合数据出境条约/协议等要求;“正当”则要求数据出境为企业合法经营、履行合同或法律义务、协助司法等所必需。
“风险可控”的内容则更加丰富,又进一步细分为两个维度:“出境数据的属性”和“数据出境发生安全事件”。在“出境数据的属性”中,尤其提到出境数据范围必须符合“最小化原则”。具体而言,向境外传输的个人信息和重要数据应与出境目的相关的业务功能有直接关联(直接关联是指没有该信息的参与,相应功能无法实现); 向境外自动传输的数据频率和传输的数据数量应当是与数据出境目的相关的业务功能所必需的最低、最少水平。“数据出境发生安全事件”这一维度则对数据发送方和接收方的制度保障能力、技术保障能力作了具体要求,另外还对数据接收方提出了“主体审查”要求,除了要求数据接收方应具有合法资质、无重大违法记录、经营范围应与接收数据的类型和内容相一致以外,针对重要数据,还要求对数据接收方的背景关系进行评估。
附录B“个人信息和重要数据出境安全风险评估方法”则按照“风险可控”的上述两个维度介绍了风险评级方法。最终风险评级可以分为低、中、高、极高四档。最后两档被认为风险不可控,将导致数据被禁止出境。
需要注意的是,虽然这份评估指南更加详细,但是有一些内容并未提及。比如:
评估指南中的“数据” 是指“网络运营者在中华人民共和国境内运营中收集和产生的电子形式的个人信息和重要数据。”也就是说,非电子形式(比如纸媒)存储的个人信息和重要数据不在此评估指南范围之内。注意网安法和评估办法并无此限制,因此最简单直接的处理方式就是网络运营者禁止非电子形式的数据出境。
和评估办法一样,评估指南也要求在出境数据的“目的、范围、类型、数量等方面发生较大变化、数据接收方变更或发生重大安全事件的”情况下,网络运营者需要重新进行数据出境的安全评估。对于“较大变化”、“重大安全事件”仍然缺乏明晰定义,可能会影响企业的实际操作。
与评估办法不同的是,后者要求数据出境安全评估内容要包括重要数据的敏感程度,这一点未包括在评估指南中。不过我们认为这一点不会对评估工作造成实质性影响,因为重要数据的定义和范围实际上已经考虑了其敏感程度。
对于企业的建议:
切勿一味等待评估办法、评估指南的正式稿发布,也不要期待正式稿要求会更加宽松,甚至幻想网安法及其配套法规或指南会推迟实施。正如国家互联网信息办公室网络安全协调局负责人在接受记者采访时所言:“借鉴国际通行做法,根据本国国情,制定相关法律、行政法规,并依法对网络进行管理,完全是各国主权范围内的事情。制定和实施《网络安全法》,其目的是要维护国家网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的权益。”在网络安全已经上升到国家战略高度的大背景下,结合最近WannaCry勒索软件攻击事件,中国唯有继续加快、加强网络安全建设,而不会放慢速度或降低要求。
立即开展数据映射(Data Mapping)工作,识别是否存在个人信息出境的情况。如果企业属于评估指南附录A中所列的27个行业之一,或者企业所收集数据满足该附录中所列的重要数据一般性判断规则,则该数据映射工作必须扩大到所有重要数据。
按照评估指南要求编制数据出境计划。
按照评估指南要求开展并记录自我评估。需要注意的是,评估报告应当为中文且需要保存至少5年。
在数据出境计划和评估工作中需要考虑的两个重要的因素就是数据出境的“正当性”(或者说数据出境的“必需性”)和“最小化原则”。前者有关数据出境与否,后者有关数据出境多少,均需要企业从业务需求出发认真评估。
引入法律顾问和咨询顾问,让专业人士审阅数据出境计划和评估工作,寻求专业建议,以确定是否需要进行数据本地化处理或者在数据出境前进行脱敏处理。
更多交流,请联系:
张俊贤
普华永道中国中区网络安全与隐私保护服务合伙人
电话:+86 (21) 2323 3927
邮箱:[email protected]
刘洋
普华永道中国中区网络安全与隐私保护服务高级经理
电话:+86 (21) 2323 6704
邮箱:[email protected]
刘广坤
普华永道中国中区网络安全与隐私保护服务高级经理
电话:+86 (21) 2323 3261
邮箱:[email protected]
冼嘉乐
普华永道中国北区网络安全与隐私保护服务合伙人
电话:+86 (10) 6533 2937
邮箱:[email protected]
颜国定
普华永道中国南区网络安全与隐私保护服务合伙人
电话:+(852) 2289 1935
邮箱:[email protected]