網絡安全法時代數據出境合規法律風險探討
作者:賈毅冰、章艷秋 2018-08-13引言
在大數據時代下,數據已然成為經濟中的重要組成部分,對數據進行收集處理成為眾多企業業務環節中不可缺少的重要一環。大型商業服務企業希望為客戶提供更好地服務以增強自身競爭優勢,需對客戶賬號信息、身份信息、交易記錄等相關信息進行大數據處理并對客戶潛在購買需求做出分析。處于專業考慮,很多企業會將數據處理工作交由境外專業數據分析機構實施,在此情況下涉及到數據出境的問題。
2017年6月1日生效的《網絡安全法》第37條即對數據出境做出限制,要求數據出境時需要進行安全評估。本文將探討分析在網絡安全法律體系下,哪些企業會受到數據出境的限制并負有安全評估義務。
《網絡安全法》第37條 關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估;法律、行政法規另有規定的,依照其規定。
1.關鍵信息基礎設施
我國網安法目前僅要求關鍵信息基礎設施(CII)的網絡運營者對境內收集產生的個人信息和數據在境內儲存并在數據出境時進行安全評估。因此判斷識別關鍵信息基礎設施是首要步驟。
根據《網安法》第31條的規定,關鍵基礎設施是指國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施。僅依據這一條規定我們對于重要行業和領域仍存有疑問,可以參考中央網信辦《關鍵信息基礎設施識別指南》中的規定。《識別指南》中規定了確定方法并對網站類和平臺類列舉了認定標準,若網站的日均訪問量達到100萬人次及平臺的注冊用戶達到1000萬人,則應當注意CII運營中的數據出境限制及安全評估義務,不可直接將個人信息和重要數據運送出境。
但在《個人信息和重要數據出境安全評估辦法(征求意見稿)》中規定評估辦法的適用主體為“網絡經營者”。網絡經營者是指網絡的所有者、管理者和網絡服務提供者。根據立法趨勢,即使是非CII的網絡運營者也有必要提高數據保護合規意識,在《評估辦法》生效實施前后防范數據保護合規風險,做好數據出境時的安全評估工作。
(a) 注冊用戶數超過1000萬,或活躍用戶(每日至少登陸一次)數超過100萬;
2.個人信息和重要數據
關鍵基礎設施的網絡運營者并非在所有情況下均負有數據出境,網安法第37條規定的是在境內運營中收集和產生的個人信息和重要數據需要進行數據出境安全評估,此處對出境的數據做了兩個限制:
一是該數據是在境內運營中收集和產生的,如果數據是在境外收集和產生后運輸到境內,且境內運營中并未對該數據做進一步的處理,則該數據不受數據出境的限制。關于境內運營的判斷,我們可以參考《信息安全技術 數據出境安全評估指南(征求意見稿)》中的定義,境內運營的判斷標準包括使用中文、以人民幣為結算貨幣、向中國境內配送物流等等。3.2 境內運營 domestic operation
網絡運營者在中華人民共和國境內開展業務,提供產品或服務的活動。
注1:未在中華人民共和國境內注冊的網絡運營者,但在中華人民共和國境內開展業務,或向中華人民共和境內提供產品或服務的,屬于境內運營。判斷網絡運營者是否在中華人民共和國境內開展業務,或向中華人民共和境內提供產品或服務的參考因素包括但不限于:使用中文;以人民幣作為結算貨幣;向中國境內配送物流等。
注2:中華人民共和國境內的網絡運營者僅向境外機構、組織或個人開展業務、提供商品或服務,且不涉及境內公民個人信息和重要數據的,不視為境內運營。
二是該數據只包括個人信息和重要數據,個人信息在網安法中的定義為“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息,包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等”,并未對重要數據做法律定義。《個人信息和重要數據出境安全評估辦法(征求意見稿)》和《信息安全技術數據出境安全評估指南(征求意見稿》對“重要數據”的定義均為“與國家安全、經濟發展, 以及社會公共利益密切相關的數據”,《評估指南》還在附錄《重要數據識別指南》中進行了列舉,并將電子商務中個人和企業的注冊信息、個人消費習慣偏好等相關數據納入到了重要數據的范圍。因此電子商務類的企業需要加強在數據保護方面的工作,為數據出境安全評估做好準備,避免因數據管理制度和保護措施未達到出境要求而無法保證數據及時出境。
a)個人在電子商務平臺的注冊信息,包括姓名、性別、年齡、住址、婚姻、學歷、職業、收入、賬戶、聯系方式等;
b)企業在電子商務平臺的注冊信息,包括企業名稱、住址、證照編號、經營范圍、賬戶、聯系方式等;
c)電子商務交易記錄以及相關的個人消費習慣及偏好和企業經營數據等;
d)電子商務交易記錄以及相關的個人消費習慣及偏好和企業經營數據等;
h)對上述數據進行加工形成的涉及國計民生的全國或區域經濟運行、行業發展情況的統計分析報告等。
3.數據出境
CII的網絡運營者在境內運營中收集和產生個人信息和重要數據只有在數據需要向境外的個人、機構或組織提供時方需受到數據出境的限制并進行數據出境安全評估,但何謂數據出境,《網絡安全法》并無明確定義,因此很多人以為數據出境就是指網絡經營者將個人信息和重要數據記錄在有形載體上并將該載體運送出境的行為。
從《網絡安全法》原文“因業務需要,確需向境外提供的”來看,數據出境的認定不僅僅包括有形載體出境,還應當包括其他向境外提供、可以使境外訪問查看的方式,如遠程訪問。根據《信息安全技術 數據出境安全評估指南(征求意見稿)》第3.7條的規定,即時數據未轉移到境外,但境外可以對該數據訪問查看的也屬于數據出境的一種方式。
此外,網絡經營者向境內的機構、組織、個人提供數據時,若該境內主體不屬于境內司法管轄或者并未在境內注冊,則也屬于數據出境的情形。如果網絡運營者向境外轉移的數據并不涉及到境內運營中收集和產生的個人信息和重要數據,則不屬于《網絡安全法》中的“向境外提供”,可直接出境。
《評估指南》目前雖尚未生效,但可作為網絡運營者在涉及到個人信息和重要數據出境時的參考。
網絡運營者通過網絡等方式,將其在中華人民共和國境內運營中收集和產生的個人信息和重要數據,通過直接提供或開展業務、提供服務、產品等方式提供給境外的機構、組織或個人的一次性活動或連續性活動。
a)向本國境內,但不屬于本國司法管轄或未在境內注冊的主體提供個人信息和重要數據;
b)數據未轉移存儲至本國以外的地方,但被境外的機構、組織、個人訪問查看的(公開信息、網頁訪問除外);
c)網絡運營者集團內部數據由境內轉移至境外,涉及其在境內運營中收集和產生的個人信息和重要數據的。
注2:非在境內運營中收集和產生的個人信息和重要數據經由本國出境,未經任何變動或加工處理的,不屬于數據出境。
注3:非在境內運營中收集和產生的個人信息和重要數據在境內存儲、加工處理后出境,不涉及境內運營中收集和產生的個人信息和重要數據的,不屬于數據出境。
4.總結
如上文所述,由于《評估辦法》和《評估指南》目前尚未生效,相關部門也沒有發布有關的實施細則,因此關于數據出境的法律法規中,《網絡安全法》是基本的生效依據。在開展數據出境合規審查及相關工作時,網絡運營者,尤其是屬于關鍵信息基礎設施的網絡運營者,應當根據《網絡安全法》及相關配套法律法規的規定,在收集處理用戶賬號、交易記錄、身份和支付信息、潛在需求分析等個人信息和重要數據時需要注意數據所接觸到的相關人員,如果因業務原因需要向境外的人員和機構組織提供上述數據,則應當按照《網絡安全法》和相關生效法律法規的規定做好數據出境前的準備,防范數據出境合規風險。
