网络安全法时代数据出境合规法律风险探讨
作者:贾毅冰、章艳秋 2018-08-13引言
在大数据时代下,数据已然成为经济中的重要组成部分,对数据进行收集处理成为众多企业业务环节中不可缺少的重要一环。大型商业服务企业希望为客户提供更好地服务以增强自身竞争优势,需对客户账号信息、身份信息、交易记录等相关信息进行大数据处理并对客户潜在购买需求做出分析。处于专业考虑,很多企业会将数据处理工作交由境外专业数据分析机构实施,在此情况下涉及到数据出境的问题。
2017年6月1日生效的《网络安全法》第37条即对数据出境做出限制,要求数据出境时需要进行安全评估。本文将探讨分析在网络安全法律体系下,哪些企业会受到数据出境的限制并负有安全评估义务。
《网络安全法》第37条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
1.关键信息基础设施
我国网安法目前仅要求关键信息基础设施(CII)的网络运营者对境内收集产生的个人信息和数据在境内储存并在数据出境时进行安全评估。因此判断识别关键信息基础设施是首要步骤。
根据《网安法》第31条的规定,关键基础设施是指国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施。仅依据这一条规定我们对于重要行业和领域仍存有疑问,可以参考中央网信办《关键信息基础设施识别指南》中的规定。《识别指南》中规定了确定方法并对网站类和平台类列举了认定标准,若网站的日均访问量达到100万人次及平台的注册用户达到1000万人,则应当注意CII运营中的数据出境限制及安全评估义务,不可直接将个人信息和重要数据运送出境。
但在《个人信息和重要数据出境安全评估办法(征求意见稿)》中规定评估办法的适用主体为“网络经营者”。网络经营者是指网络的所有者、管理者和网络服务提供者。根据立法趋势,即使是非CII的网络运营者也有必要提高数据保护合规意识,在《评估办法》生效实施前后防范数据保护合规风险,做好数据出境时的安全评估工作。
(a) 注册用户数超过1000万,或活跃用户(每日至少登陆一次)数超过100万;
2.个人信息和重要数据
关键基础设施的网络运营者并非在所有情况下均负有数据出境,网安法第37条规定的是在境内运营中收集和产生的个人信息和重要数据需要进行数据出境安全评估,此处对出境的数据做了两个限制:
一是该数据是在境内运营中收集和产生的,如果数据是在境外收集和产生后运输到境内,且境内运营中并未对该数据做进一步的处理,则该数据不受数据出境的限制。关于境内运营的判断,我们可以参考《信息安全技术 数据出境安全评估指南(征求意见稿)》中的定义,境内运营的判断标准包括使用中文、以人民币为结算货币、向中国境内配送物流等等。3.2 境内运营 domestic operation
网络运营者在中华人民共和国境内开展业务,提供产品或服务的活动。
注1:未在中华人民共和国境内注册的网络运营者,但在中华人民共和国境内开展业务,或向中华人民共和境内提供产品或服务的,属于境内运营。判断网络运营者是否在中华人民共和国境内开展业务,或向中华人民共和境内提供产品或服务的参考因素包括但不限于:使用中文;以人民币作为结算货币;向中国境内配送物流等。
注2:中华人民共和国境内的网络运营者仅向境外机构、组织或个人开展业务、提供商品或服务,且不涉及境内公民个人信息和重要数据的,不视为境内运营。
二是该数据只包括个人信息和重要数据,个人信息在网安法中的定义为“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”,并未对重要数据做法律定义。《个人信息和重要数据出境安全评估办法(征求意见稿)》和《信息安全技术数据出境安全评估指南(征求意见稿》对“重要数据”的定义均为“与国家安全、经济发展, 以及社会公共利益密切相关的数据”,《评估指南》还在附录《重要数据识别指南》中进行了列举,并将电子商务中个人和企业的注册信息、个人消费习惯偏好等相关数据纳入到了重要数据的范围。因此电子商务类的企业需要加强在数据保护方面的工作,为数据出境安全评估做好准备,避免因数据管理制度和保护措施未达到出境要求而无法保证数据及时出境。
a)个人在电子商务平台的注册信息,包括姓名、性别、年龄、住址、婚姻、学历、职业、收入、账户、联系方式等;
b)企业在电子商务平台的注册信息,包括企业名称、住址、证照编号、经营范围、账户、联系方式等;
c)电子商务交易记录以及相关的个人消费习惯及偏好和企业经营数据等;
d)电子商务交易记录以及相关的个人消费习惯及偏好和企业经营数据等;
h)对上述数据进行加工形成的涉及国计民生的全国或区域经济运行、行业发展情况的统计分析报告等。
3.数据出境
CII的网络运营者在境内运营中收集和产生个人信息和重要数据只有在数据需要向境外的个人、机构或组织提供时方需受到数据出境的限制并进行数据出境安全评估,但何谓数据出境,《网络安全法》并无明确定义,因此很多人以为数据出境就是指网络经营者将个人信息和重要数据记录在有形载体上并将该载体运送出境的行为。
从《网络安全法》原文“因业务需要,确需向境外提供的”来看,数据出境的认定不仅仅包括有形载体出境,还应当包括其他向境外提供、可以使境外访问查看的方式,如远程访问。根据《信息安全技术 数据出境安全评估指南(征求意见稿)》第3.7条的规定,即时数据未转移到境外,但境外可以对该数据访问查看的也属于数据出境的一种方式。
此外,网络经营者向境内的机构、组织、个人提供数据时,若该境内主体不属于境内司法管辖或者并未在境内注册,则也属于数据出境的情形。如果网络运营者向境外转移的数据并不涉及到境内运营中收集和产生的个人信息和重要数据,则不属于《网络安全法》中的“向境外提供”,可直接出境。
《评估指南》目前虽尚未生效,但可作为网络运营者在涉及到个人信息和重要数据出境时的参考。
网络运营者通过网络等方式,将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据,通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动。
a)向本国境内,但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要数据;
b)数据未转移存储至本国以外的地方,但被境外的机构、组织、个人访问查看的(公开信息、网页访问除外);
c)网络运营者集团内部数据由境内转移至境外,涉及其在境内运营中收集和产生的个人信息和重要数据的。
注2:非在境内运营中收集和产生的个人信息和重要数据经由本国出境,未经任何变动或加工处理的,不属于数据出境。
注3:非在境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后出境,不涉及境内运营中收集和产生的个人信息和重要数据的,不属于数据出境。
4.总结
如上文所述,由于《评估办法》和《评估指南》目前尚未生效,相关部门也没有发布有关的实施细则,因此关于数据出境的法律法规中,《网络安全法》是基本的生效依据。在开展数据出境合规审查及相关工作时,网络运营者,尤其是属于关键信息基础设施的网络运营者,应当根据《网络安全法》及相关配套法律法规的规定,在收集处理用户账号、交易记录、身份和支付信息、潜在需求分析等个人信息和重要数据时需要注意数据所接触到的相关人员,如果因业务原因需要向境外的人员和机构组织提供上述数据,则应当按照《网络安全法》和相关生效法律法规的规定做好数据出境前的准备,防范数据出境合规风险。
