通力法律评述 | 管窥《个人信息和重要数据出境安全评估办法(征求意见稿)》: 规范的梳理与探讨
作者:通力律师事务所 陈巍 | 潘永建 | 李天航
2017年4月11日, 国家互联网信息办公室发布了关于《个人信息和重要数据出境安全评估办法(征求意见稿)》(以下简称“《数据出境办法(征求意见稿)》”)公开征求意见的通知。根据我国既往的立法实践, 规范性文件的征求意见稿往往与最后实施的正式文件在内容上差异不大, 故而通过对《数据出境办法(征求意见稿)》条文的梳理与探讨, 有助于企业及时预判立法与执法动态、提前做好合规工作。《数据出境办法(征求意见稿)》共计十八条, 结合其具体内容, 我们认为有以下几个方面值得关注。
一、上位法的依据: 《国家安全法》、《网络安全法》
《数据出境办法(征求意见稿)》第一条明确指出其依据为《中华人民共和国国家安全法》(以下简称“《国家安全法》”)《中华人民共和国网络安全法》(以下简称“《网络安全法》”)等法律法规, 《数据出境办法(征求意见稿)》将出境数据须评估的范围界定为个人信息以及重要数据具有上位法依据。《国家安全法》第十六条规定国家“保障公民的生命财产安全和其他合法权益”, 个人信息具有数据和公民权益双重属性; 第二十五条明确规定国家“实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”, 重要数据即对应“关键基础设施和重要领域信息系统及数据”。因此, 《数据出境办法(征求意见稿)》并非仅仅是《网络安全法》第三十七条的细化配套实施办法。这一认识有助于我们正确解读数据出境的相关要求。
二、规范的主体: 网络运营者的内涵
根据《数据出境办法(征求意见稿)》第二条[1]的内容, 该办法规范的主体系“网络运营者”。《数据出境办法(征求意见稿)》在“网络运营者”的定义上与《网络安全法》保持了一致, 是指“网络的所有者、管理者和网络服务提供者。”全国人大法工委经济法室副主任杨合庆先生在其主编的《中华人民共和国网络安全法解读》中指出,”在本法制定前的法律中, 更多的使用网络服务提供者的概念, 它包括网络接入服务提供者(ISP)和网络内容服务提供者(ICP)两类。由于网络安全法规定的网络除互联网外还包括局域网和工业控制系统, 它们很多不向社会提供商业或公共服务, 但其所有者和控制者也必须承担相应的安全义务, 防范网络安全风险, 保障网络安全稳定运行。”由此可见,”网络运营者”的概念比“网络服务提供者”的概念更为宽泛, 值得读者予以关注。
此外, 《数据出境办法(征求意见稿)》第十六条规定“其他个人和组织在中华人民共和国境内收集和产生的个人信息和重要数据出境的安全评估工作参照本办法执行”, 因此, 除了网络运营者之外, 《数据出境办法(征求意见稿)》将所有主体都“一网打尽”。
三、规范的适用: 范围、行为与对象
(一)适用的范围
依据《数据出境办法(征求意见稿)》的定义,”数据出境”是指网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据, 提供给位于境外的机构、组织、个人。对于“境内”一词的理解, 我们认为有以下两点值得注意:
第一, 当“境内”与“境外”相对时, 主要根据物理空间(地域位置)来界定,”境内”即为中国大陆地区,”境外”包括我国的港澳台地区及其他国家;
第二,“境内运营中收集和产生的个人信息和重要数据”的表述没有明确“境内”的涵义, 即具体是网络运营者位于境内或“收集和生产”信息或数据的服务设备位于境内, 还是被收集信息或数据的服务对象位于境内, 在《数据出境办法(征求意见稿)》中并未明确定义。我们理解,”运营”一词具有宽泛的含义, 同时互联网本身具有跨地域的属性,”境内”+“运营”的表述在理解上容易引发歧义, 有待《网络安全法》正式施行后的司法案例或有关部门出台细则予以释明。
除了上述地域层面的规范适用问题外, 《数据出境办法(征求意见稿)》的适用位阶问题也值得读者关注。根据《数据出境办法(征求意见稿)》第二条、第十五条[2]、第十六条[3], 就数据出境的法律适用, 结合《网络安全法》第三十七条[4],以及《国家安全法》第二十五条, 我们可以得出以下两点结论:
第一, 对照《数据出境办法(征求意见稿)》第二条与《网络安全法》第三十七条以及《国家安全法》第二十五条, 我们理解前者对应的规范性文件是后者规定的具体化, 在适用时遵照《数据出境办法(征求意见稿)》修订生效施行后的正式文件;
第二, 我国政府与其他国家或地区签署的关于数据出境的协议、涉及国家秘密信息的具体规定或其他个人和组织涉及数据出境的具体规定, 在适用时会优位于《数据出境办法(征求意见稿)》修订生效后的正式文件。
(二)适用的行为
依据《数据出境办法(征求意见稿)》的定义, 网络运营者在“提供”相关信息或数据时, 将适用该办法。实践中,”提供”在形态上区分为主动提供与被动提供, 在模式上区分为线上提供与线下提供。对于“提供”一词的理解, 我们认为有以下两点值得注意:
第一, 我们理解, 网络运营者直接通过网络将相关信息或数据传输给境外机构、组织或个人的情形, 显而易见系属于“提供”行为, 网络运营者允许前述境外主体通过网络访问、读取相关信息或数据, 在行为效果上与主动提供一致, 故而类似“被动提供”的行为受到该办法的规范也应是题中之义;
第二, 尽管“数据出境”的措辞容易使读者联想到网络, 但《数据出境办法(征求意见稿)》的第一条[5]明确了该办法的立法依据除了《网络安全法》之外, 还包括《国家安全法》, 我们理解, 尽管《数据出境办法(征求意见稿)》修订生效后的正式文件适用于数据被线下带出境的情形在实践中可操作性较低(例如: 民航在安检时核查乘客携带的信息或数据存储介质的合理性及合法性可能存在争议), 但在文义理解上, 依然无法排除该办法不适用于线下的数据出境。
【注】箭头方向代表《数据出境办法(征求意见稿)》修订生效后的正式文件的适用性由强到弱。
(三)适用的对象
在这里,”适用的对象”是个广义的概念, 包括“个人信息和重要数据”(标的), 也包括“位于境外的机构、组织、个人”(对象)。关于对“个人信息和重要数据”的理解, 我们认为有以下两点值得注意:
第一, 这里的“个人信息”并非指所有与个人有关的信息, 而是指与个人有关且可以识别身份的信息, 属于相对狭义的概念。具体而言, 《数据出境办法(征求意见稿)》在定义上, 沿用了《网络安全法》的相关规定, 明确“个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息, 包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。故而, 经过脱敏处理的个人信息不属于该办法中定义的个人信息。但值得注意的是, 如果巨量的脱敏信息使得信息获得方可以通过该类脱敏信息获得与国家安全、经济发展, 以及社会公共利益密切相关的数据, 则可能属于“重要数据”。
第二, 这里的“重要数据”的具体内涵有赖于后续颁布的“国家有关标准和重要数据识别指南”。我们理解, 《网络安全法》中关于“重要数据”的规定确立了处置数据出境问题的基本原则, 《数据出境办法(征求意见稿)》修订生效后的正式文件将在基本原则上进一步明确处置的程序(评估、报告等), 而“重要数据”的内涵可能会先在政府层面的政策方针中予以明确, 再具体落实到法律法规中。在相关规定没有出台前, 读者可关注中国网信网(中共中央网络安全和信息化领导小组办公室官方网站, 链接地址: http://www.cac.gov.cn/)中的相关时评以及国际惯例。
对于“位于境外的机构、组织、个人”的理解, 我们认为值得注意的是“机构”一词。“机构”从广义角度而言, 包括政府机构。在实践中, 如果网络运营者需要向境外政府机构提供相关信息或数据, 可能涉及两部乃至多部法律的适用。前文所述的数据出境的双边或多边协议会在一定程度上解决该问题, 但在具体的协议出台前, 依据属地原则, 网络运营者仍需适用我国关于数据出境的管理办法。如果境外对数据传输另有规定且与我国的规定有所冲突, 我们建议相关网络运营者及时与我国网信主管部门沟通, 明确相关规定或评估程序豁免适用的条件或情形。
四、外部评估的前提: 禁止规定以及启动条件
《数据出境办法(征求意见稿)》的第十一条[6]明确了数据禁止出境的情形, 主要包括: 第一, 个人信息出境未经个人信息主体或作为未成年人的信息主体的监护人的同意, 或可能侵害个人利益; 第二, 数据出境给国家政治、经济、科技、国防等安全带来风险, 可能影响国家安全、损害社会公共利益。围绕个人信息, 最近公布的《中华人民共和国民法总则》(以下简称“《民法总则》”)第一百一十一条明确规定, 自然人的个人信息受法律保护; 任何组织和个人需要获取他人个人信息的, 应当依法取得并确保信息安全, 不得非法收集、使用、加工、传输他人个人信息, 不得非法买卖、提供或者公开他人个人信息。结合《中华人民共和国合同法》关于格式条款的规定, 我们理解网络运营者在信息收集和产生的过程中, 通过电子方式拟定授权条款时应当符合相关法律的规定。此外,“影响国家安全、损害社会公共利益”是个相对宽泛的概念, 网络运营者在签订数据出境协议时于风险提示与承担的条款中应对有关情形予以明确约定。
《数据出境办法(征求意见稿)》的第九条[7]规定了安全评估的启动程序, 从拟出境数据涉及的规模、领域与重要性等方面明确数据出境前实施前置安全评估的条件。
五、评估的内容: 国家与个人的两个层面
《数据出境办法(征求意见稿)》的第八条[8]规定了数据出境安全评估的重点评估内容。该条第一款第一项指出了“数据出境的必要性”。目前, 该办法尚在征求意见的立法步骤中, 我们尚不清楚立法者对于“必要性”的态度, 即没有必要出境的数据是否就无法通过安全评估。依据《数据出境办法(征求意见稿)》第三条的规定, 数据出境安全评估应遵循公正、客观、有效的原则, 保障个人信息和重要数据安全, 促进网络信息依法有序自由流动。故而, 我们理解立法者对于数据出境的态度依然是中性的, 侧重于数据安全与信息自由的平衡。同时, 对于评估后的处置程序亦未明确, 从评估的立法本意来看, 对于评估后的处置并非仅有可以出境与否的两种答案, 是否可以根据评估状况, 由网络运营者辅之以相应措施后亦可出境, 期望在后续的立法进程中予以明确。
六、评估的机制: 主体、模式与要求
《数据出境办法(征求意见稿)》的第五条至第七条、第十二条对安全评估的主体、模式与要求作出了规定, 安全评估的机制主要包括内部评估、外部评估、年度评估、二次评估等。
由评估的方式来看, 网络运营者开展内部评估、年度评估以及二次评估的系其自我评估, 在不涉及《数据出境办法(征求意见稿)》第九条和第十一条规定情形下, 均采取自我评估的方式, 因此, 网络运营者自我评估的能力和水平关乎企业的正常运营。
结合前述对《数据出境办法(征求意见稿)》中相关条文的梳理与探讨, 我们就数据出境问题给出以下几点建议:
第一, 网络安全已经成为我国政府高度关注的问题, 并上升到了“空间主权”的层面予以规范, 网络运营者或者涉及网络运营的其他企业应当尽快对自身网络安全工作进行一次合规性审查, 尤其是在近期有投融资规划, 或者金融资本近期拟进入网络科技领域的企业, 我们建议将网络安全作为合规管理、尽职调查的重要事项之一予以对待。
第二, 数据出境对应的安全评估涉及自我评估的环节, 对于在技术资质、法律合规环节把控能力较弱的企业, 我们建议聘请外部专业机构进行独立评估, 从而降低企业风险。
第三, 2016年10月国家税务总局起草并对外发布了《非居民金融账户涉税信息尽职调查管理办法(征求意见稿)》, 而此次的《数据出境办法(征求意见稿)》再次提及“与其他国家、地区签署的关于数据出境的协议”。我们理解以数据为核心的资产管理观念正在国家层面形成, 建议网络运营者或者涉及网络运营的其他企业应积极响应, 以应对外部政治、商业环境的实时变化。
【注释】
[1]《个人信息和重要数据出境安全评估办法(征求意见稿)》第二条规定, 网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据, 应当在境内存储。因业务需要, 确需向境外提供的, 应当按照本办法进行安全评估。
[2]《个人信息和重要数据出境安全评估办法(征求意见稿)》第十五条规定, 我国政府与其他国家、地区签署的关于数据出境的协议, 按照协议的规定执行。涉及国家秘密信息的按照相关规定执行。
[3]《个人信息和重要数据出境安全评估办法(征求意见稿)》第十六条规定, 其他个人和组织在中华人民共和国境内收集和产生的个人信息和重要数据出境的安全评估工作参照本办法执行。
[4]《中华人民共和国网络安全法》第三十七条规定, 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要, 确需向境外提供的, 应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估; 法律、行政法规另有规定的, 依照其规定。
[5]《个人信息和重要数据出境安全评估办法(征求意见稿)》第一条规定, 为保障个人信息和重要数据安全, 维护网络空间主权和国家安全、社会公共利益, 保护公民、法人和其他组织的合法利益, 根据《中华人民共和国国家安全法》《中华人民共和国网络安全法》等法律法规, 制定本办法。
[6]《个人信息和重要数据出境安全评估办法(征求意见稿)》第十一条规定, 存在以下情况之一的, 数据不得出境: (一)个人信息出境未经个人信息主体同意, 或可能侵害个人利益; (二)数据出境给国家政治、经济、科技、国防等安全带来风险, 可能影响国家安全、损害社会公共利益; (三)其他经国家网信部门、公安部门、安全部门等有关部门认定不能出境的。
[7]《个人信息和重要数据出境安全评估办法(征求意见稿)》第九条规定, 出境数据存在以下情况之一的, 网络运营者应报请行业主管或监管部门组织安全评估: (一)含有或累计含有50万人以上的个人信息; (二)数据量超过1000GB; (三)包含核设施、化学生物、国防军工、人口健康等领域数据, 大型工程活动、海洋环境以及敏感地理信息数据等; (四)包含关键信息基础设施的系统漏洞、安全防护等网络安全信息; (五)关键信息基础设施运营者向境外提供个人信息和重要数据; (六)其他可能影响国家安全和社会公共利益, 行业主管或监管部门认为应该评估。行业主管或监管部门不明确的, 由国家网信部门组织评估。
[8]《个人信息和重要数据出境安全评估办法(征求意见稿)》第八条规定, 数据出境安全评估应重点评估以下内容: (一)数据出境的必要性; (二)涉及个人信息情况, 包括个人信息的数量、范围、类型、敏感程度, 以及个人信息主体是否同意其个人信息出境等; (三)涉及重要数据情况, 包括重要数据的数量、范围、类型及其敏感程度等; (四)数据接收方的安全保护措施、能力和水平, 以及所在国家和地区的网络安全环境等; (五)数据出境及再转移后被泄露、毁损、篡改、滥用等风险; (六)数据出境及出境数据汇聚可能对国家安全、社会公共利益、个人合法利益带来的风险; (七)其他需要评估的重要事项。
[9]《个人信息和重要数据出境安全评估办法(征求意见稿)》第七条规定, 网络运营者应在数据出境前, 自行组织对数据出境进行安全评估, 并对评估结果负责。
[10]《个人信息和重要数据出境安全评估办法(征求意见稿)》第五条规定, 国家网信部门统筹协调数据出境安全评估工作, 指导行业主管或监管部门组织开展数据出境安全评估。
[11]《个人信息和重要数据出境安全评估办法(征求意见稿)》第六条规定, 行业主管或监管部门负责本行业数据出境安全评估工作, 定期组织开展本行业数据出境安全检查。
[12]《个人信息和重要数据出境安全评估办法(征求意见稿)》第十二条规定, 网络运营者应根据业务发展和网络运营情况, 每年对数据出境至少进行一次安全评估, 及时将评估情况报行业主管或监管部门。当数据接收方出现变更, 数据出境目的、范围、数量、类型等发生较大变化, 数据接收方或出境数据发生重大安全事件时, 应及时重新进行安全评估。
作者简介:
往期分享
通力快讯 | 通力律师事务所与中华联合人寿保险公司共同举办“民法总则的制度发展”专题研讨会
通力法律评述 | 《公开募集开放式证券投资基金流动性风险管理规定(征求意见稿)》初读
通力快讯 | 通力律师事务所承办本届“MOOT Shanghai”模拟仲裁赛相关赛事
通力荣誉 | 佘铭律师获评“汤森路透ALB 2017年中国十佳并购律师”
本土化资源|国际化视野
微信ID:LlinksLaw
网址:www.llinkslaw.com