查看原文
其他

中伦观点 | 当信息保护遇见国家主权

李俊杰 中伦视界 2022-03-20

欢迎点击上方 中伦视界 关注我们

在Facebook“数据门”事件持续发酵的同时,最近美国在信息安全与保护领域还有一件事同样值得关注。美国时间3月23日,CLOUD(Clarifying Lawful Overseas Use of Data)法案(下称“云法案”)经特朗普总统签署后生效,至此宣告美国政府与微软公司之间一项长达五年的拉锯战终将进入尾声。读者们也许不明白云法案与微软的关系,且听笔者细细道来。


2013年,为调查一起毒品案,美国政府要求微软提供涉案的一个Outlook邮箱中的信息;但由于该邮箱信息存储在微软位于爱尔兰的数据中心,微软拒绝提供,表示美国政府应通过司法协助途径在爱尔兰政府的帮助下获取该信息(这也是爱尔兰政府的立场)。为此,美国政府将微软告上法庭。美国一审法院支持了政府方的立场,而二审法院推翻了一审判决,支持微软的立场。美国最高法院接受了政府方的上诉,并于今年2月27日开庭审理。云法案就是在美国最高法院接受二审上诉后由国会议员提出,并在美国最高法院开庭审理之后、宣判之前由国会通过的。


云法案规定

云法案规定,即使对于存储在美国境外服务器上的信息,美国执法机构仍有权要求美国服务商提供,除非(1)所涉用户不是美国人士且不居住在美国,(2)服务器所在国与美国签署了云法案所要求的数据信息获取的相关协定,且(3)服务商直接提供信息将造成违反服务器所在国法律的重大风险。云法案希望促使其他国家与美国签署信息获取的协定,而在没有这种协定的情况下,云法案则授权美国司法机构通过对美国运营商执法获取其存储在美国境外的信息[1]。也就是说,云法案在一定条件下将美国执法机构获取信息的权力延展到了美国境外。 


如何在网络时代看待云端数据、云服务提供商、以及国家主权和司法管辖权的边界,是一个全新的问题,微软邮件信息案也因此轰动一时。在这方面,我国早在1996年就发布了《计算机信息网络国际联网安全保护管理办法》。2015年的《国家安全法》明确提出要“维护国家网络空间主权、安全和发展利益”。2017年6月我国实施了《网络安全法》,其目的就是“保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展”。


我们不妨提个假设性问题:如果微软邮件信息案中的服务器是在中国,中国法律会怎么处理呢?

《网络安全法》第三十七条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。”2017年4月,国家互联网信息办公室公布了《个人信息和重要数据出境安全评估办法(征求意见稿)》(下称“《评估办法》”),更是将《网络安全法》中对“关键信息基础设施的运营者”的安全评估要求扩大到所有“网络运营者”(指“网络的所有者、管理者和网络服务提供者”)。


何为“关键信息基础设施”?

《网络安全法》从两方面做了原则性的规定:


一方面罗列了公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等特定行业和领域;


另一方面则通过危害后果加以界定,即一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益。


此前,国家网络安全和信息化领导小组办公室于2016年6月公布的《国家网络安全检查操作指南》规定:

“关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统,且这些系统一旦发生网络安全事故,会影响重要行业正常运行,对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。关键信息基础设施包括:

网站类

如党政机关网站、企事业单位网站、新闻网站等;

平台类

如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台;

生产业务类

如办公和业务系统、工业控制系统、大型数据中心、云计算平台、电视转播系统等。”


2017年7月国家互联网信息办公室公布的《关键信息基础设施安全保护条例(征求意见稿)》则规定:

“下列单位运行、管理的网络设施和信息系统,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的,应当纳入关键信息基础设施保护范围:


(一)政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位;


(二)电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位;


(三)国防科工、大型装备、化工、食品药品等行业领域科研生产单位;


(四)广播电台、电视台、通讯社等新闻单位;


(五)其他重点单位。”

可见,这些法律和规定都是从所涉行业和危害后果两方面对关键信息基础设施加以界定的。


尽管上述法律和规定中对于“关键信息基础设施”的表述不尽相同,也都存在一定的模糊性,但如果用来分析微软邮件信息案,微软向用户提供的网络邮件服务很可能会落入其中列举的行业范畴[2],如果它被大量用户使用,也就可能因此被认定为一旦遭到破坏或数据泄露会造成严重危害,从而构成“关键信息基础设施”,使得相关信息出境需要进行《网络安全法》所规定的安全评估。此外,如果被认定为关键信息基础设施,其运营者还将承担其他一系列的义务,包括系统建设、安全保护、采购中的安全审查和保密、以及年度安全检测评估等方面。

 

当然,如果《评估办法》按现行的版本实施,对数据出境的安全评估将适用于任何“网络运营者”,而不限于“关键信息基础设施运营者”。《评估办法》还进一步明确了有关数据出境安全评估的两个关键问题:

 

1)评估什么?

《评估办法》罗列了应重点评估的内容,包含了数据出境的必要性,涉及的个人信息或重要数据的数量、范围、类型、敏感程度,以及数据出境可能带来的风险等。

 

2)谁来评估?

网络运营者应在数据出境前,首先自行进行安全评估。如果拟出境数据数量或涉及人数达到一定规模、或涉及敏感领域或网络安全防护,或存在其他可能影响国家安全和社会公共利益的情形,网络运营者应报请行业主管或监管部门组织安全评估。特别地,《评估办法》规定,关键信息基础设施运营者向境外提供个人信息和重要数据应报请行业主管或监管部门组织安全评估。也就是说,如果微软邮件信息案中向用户提供的网络邮件服务被认定为“关键信息基础设施”,则用户邮件信息的出境应经行业主管或监管部门的安全评估。


对于安全评估的具体操作,2017年8月全国信息安全标准化技术委员会发布的《信息安全技术 数据出境安全评估指南(征求意见稿)》(下称“《评估指南》”),给出了更详细的指引,且分别对安全自评估及主管部门评估的流程进行了描述。

 

1)安全自评估:

凡是涉及数据出境的,网络运营者即应开展安全自评估。安全自评估的主要流程可参见下图:  


2)主管部门评估:

具有下列情形之一的,国家网信部门、行业主管部门可启动主管部门评估:


(1)一年内出境的个人信息数量达到国家网信部门、行业主管部门上报要求的;


(2)包含核设施、生物化学、国防军工、人口健康等领域数据,大型工程活动、海洋环境、敏感地理信息数据,以及其他重要数据的;


(3)涉及关键信息基础设施的安全缺陷、具体安全防护措施等网络安全信息的;


(4)关键基础设施运营者数据出境的;


(5)其他可能影响国家安全、经济发展和社会公共利益的;


(6)大量用户投诉、举报的;


(7)全国性行业协会建议的。主管部门评估的主要流程可参见下图:


微软邮件信息案和云法案受到广泛关注,也提高了对数据保护和网络主权问题的敏感和重视。前不久,在中国注册的苹果手机用户纷纷收到iCloud服务变更的提醒,自2018年2月28日起该服务将改由国有独资的云上贵州大数据产业发展有限公司运营。在各国加强保护网络安全和数据资源的大势下,企业尤其是跨境运营企业在数据采集、保护、存储和传输等方面需要更为审慎。

 

近期一系列新规的出台和征求意见稿的公布,使得我国有关网络安全和数据保护的法律体系日趋完善。笔者认为,监管部门在制定相关规定时,应尽可能清晰明确,以成为企业合规运营的可靠指导;而且,在推进网络安全和数据保护的同时,也应考虑商业便利和营商成本的因素,找到合理的平衡点。


(等等!还没完!往下看依然有福利)

截止发稿日,笔者将与个人信息和数据出境比较相关的法律法规都总结在这儿了!不用谢!


法 规 名 称

颁 布 部 门

颁 布 时 间

《国家安全法》

全国人大常委会

2015.07.01

《网络安全法》

全国人大常委会

2016.11.07

《个人信息和重要数据出境安全评估办法》(征求意见稿)

国家互联网信息办公室

2017.04.11

《关键信息基础设施安全保护条例》(征求意见稿)

国家互联网信息办公室

2017.07.10

《信息安全技术 数据出境安全评估指南》(征求意见稿)

全国信息安全标准化技术委员会

2017.08.30

《信息安全技术 关键信息基础设施安全检查评估指南》(征求意见稿)

全国信息安全标准化技术委员会

2017.08.30

《信息安全技术 关键信息基础设施安全保障评价指标体系》(征求意见稿)

全国信息安全标准化技术委员会

2017.08.30

THE END

注:

[1]见Clarifying Lawful Overseas Use of Data Act§2713. 此前美国在这方面的法律是颁布于1986年的《电子通讯隐私法》(Electronic Communications Privacy Act),它过于陈旧,仅为美国执法机构要求美国服务商提供美国境内服务器上的信息提供了明确的法律依据。

[2]比如《网络安全法》中所述的“公共通信和信息服务”,《国家网络安全检查操作指南》中所述的“网络信息服务”,和《关键信息基础设施安全保护条例(征求意见稿)》中所述的“大型公共信息网络服务”。

特别声明:

以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。


如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等试听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。

作者简介:

李俊杰      律师

合伙人      上海办公室


业务领域:私募股权与投资基金, 资本市场/证券, 一带一路与海外投资

长按识别图中二维码,可查阅该合伙人简历详情。



作者往期文章:

《数据保护,你们准备好了吗?》

点击“阅读原文”,可查阅官网专业文章。


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存