跨國公司數據存儲及應用的法律風險控制---網絡安全法(草案)評述之一
作者:吳衛明 2016-08-02近日,全國人大公布了《中華人民共和國網絡安全法(草案)》(簡稱《網絡安全法草案》)二次審議稿,并向全國征求意見。該草案公布后,引發了社會各界的關注和熱議,各方面紛紛以自己的方式向全國人大提出建議和意見。網絡安全法有哪些特別值得關注的內容呢?對于企業的經營行為又會有哪些影響呢?本文作者選擇其中較為重要和對企業經營具有直接影響的問題進行評述。
一、網絡空間納入主權范疇
由于互聯網的發展總體上屬于新生事物,雖然網絡得到了飛速發展,但是與傳統的主權原則、政治制度、財產權法律制度等相對成熟的人類文明制度相比,人們對于網絡的諸多制度和原則依然處于摸索階段。網絡不是簡單的復制線下世界的規則,但也不能完全脫離傳統規則。
由于網絡傳播的無形性、迅捷性,網絡信號和數據使得物理空間、邊界、國界概念淡化,網絡空間似乎成為一個失去傳統地域束縛,甚至是國界束縛的范疇。
雖然網絡具有廣域性的特征,甚至網絡上的信息傳播在事實上也已經跨越了國界的限制,甚至主權國家對于網絡信息的跨境傳播也缺乏必要的制約措施和法律依據。但是可以預見的是,主權國家、經濟實體、族群利益的概念也許會在一定程度上隨著經濟全球化和信息全球化傳播的趨勢而淡化,但在可以預見的未來,這些概念并不會隨著網絡的發展而消失。因此,網絡主權概念在人們進一步理性思考互聯網帶來的信息自由化的同時,反而成為一個值得關注的問題,并逐漸被一些國家所接受。
《網絡安全法草案》即體現了網絡主權的原則。該草案第一條開宗明義的規定:“為了保障網絡安全,維護網絡空間主權和國家安全、社會公共利益、保護公民、法人和其他組織的合法權益,促進經濟社會信息化健康發展,制定本法。”該條款是繼《國家安全法》提出“網絡空間主權”后,又一部在全國人大的立法層面提出了“網絡空間主權”的法律文件,將虛擬的網絡空間進一步納入主權管轄范疇。
二、公民個人信息成為主權保護的重要內容
除了宏觀的網絡空間主權和網絡空間安全外,《網絡安全法草案》制度關注的是,將公民個人信息作為國家網絡空間主權保護的重要內容。這一點,是對《國家安全法》所確定的“維護國家網絡空間主權”原則的進一步具體化。
《網絡安全法草案》第三十五條規定:“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的公民個人信息和重要業務數據應當在境內存儲。因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估”。錦天城律師認為,這一規定,確定了以下三個具體原則:
1、個人信息跨境限制原則
關鍵信息基礎設施的運營者在中華人民共和國境內開展業務所收集的公民個人信息及重要業務數據,屬于主權管制的范疇。也就是說,個人信息及重要業務數據,不再簡單的歸入民事財產或商業資產范圍,而是同時受到主權規則的規制。
2、服務器境內化原則
本條特別強調信息和數據的境內存儲,這意味著存儲上述信息和數據的服務期應位于中華人民共和國境內。雖然信息可以全球傳遞,但是相關經營者在法律上將負有將信息和數據存儲于物理上歸屬于中國境內的存儲設備。
3、關鍵信息和數據跨境流動的審核原則
對于因為業務需要而向境外提供的,由國家網信部門及國務院相關部門制定辦法進行安全評估。
三、跨國企業的應對之策
對于個人信息和業務數據境內存放及跨境限制的法律規則,一旦全國人大審議通過,則跨國企業將面臨數據“切斷”的法律后果。即,跨國獲取的數據,不僅不會成為“大數據”應用的財富,還將面臨數據保存、數據遷移的國家安全審查。錦天城律師認為,跨國企業需要在以下幾個方面考慮應對策略:
1、密切關注“關鍵信息基礎設施” 運營者名錄
《網絡安全法草案》第三十五條限制的是“關鍵信息基礎設施運營者”。根據《網絡安全法草案》第二十九條規定:“一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施實行重點保護”。而關鍵基礎設施的具體范圍由國務院制定。據此,網絡運營者應關注國務院的相關規則,對于其身份是否屬于關鍵信息基礎設施運營者進行判斷,以確定是否適合于第三十五條的限制。
2、物理存儲空間放置在中國境內
對于存放數據的服務器或者其他備份存儲設備,應嚴格遵循物理位置位于中國境內的原則,且數據在物理上與境外的關聯機構服務器、存儲設備隔離。
3、建立嚴格的內部數據安全管理制度
對于納入中國網絡空間主權管理范圍的上述信息和數據,嚴格實行數據安全管理和數據傳輸管制制度,在獲得相關部門安全評估之前,嚴禁內部任何人員實施數據傳輸。
《網絡安全法》是《國家安全法》在網絡空間的延伸,也是效力層級較高且具有很強國家強制力色彩的法律。
網絡很難劃清國界,但是服務器和數據卻可以有國界,并且可以納入主權管轄范疇。對于需要跨境使用數據的企業而言,應審慎對待《網絡安全法草案》所帶來的法律風險,并以合理、合法的措施提升自身因數據應用而帶來的商業利益。
