LCOUNCIL推荐| 案例解析网络运营者在数据跨境转移将面临的“安全评估义务”
流量经济时代,数据成为企业的重要估值标准。《网络安全法》(下称“《网安法》”)甫一出台,如何在合规前提下,最大化利用信息和数据,便成为炙手可热的法律议题。
日前,国家互联网信息办公室又发布《个人信息和重要数据出境安全评估办法(征求意见稿)》(下称“《评估办法》”),对《网安法》确立的针对“关键信息基础设施”进行“本地信息部署+跨境传输评估”的管理模式做进一步解读并很快引起各方关注,观点主要集中在对网络运营者施以广泛的评估义务以及仍待明确的实践操作指引。
方达合规团队将通过对三个案例的分析,为您解读《个人信息和重要数据出境安全评估办法(征求意见稿)》,共同探讨网络运营者在数据跨境转移时将面临的“安全评估义务”。
▌案例一
某境外服装品牌最近刚刚开通面对中国消费者的电商平台,用户注册时需提供姓名、电话、地址,即可享受全球购服务。上线三个月后注册用户已达到20万且以较快速度增长。该品牌在中国境内没有分支机构和人员,服务器部署在境外,收集的信息由总部统一处理。
➤ 案例评析
该电商平台属于《评估办法》下的网络运营者,用户的注册信息符合个人信息定义。因该平台的服务器部署在境外,中国境内用户提交注册信息时相应数据即被传输至境外,应当按照《评估办法》进行安全评估。
当前阶段,因在中国收集的个人信息数量有限,采取自行评估即可。但未来如果业务持续迅速发展,则可能需要由监管机构进行评估;随着公司业务的发展,向境外传输数据的请求也有可能受到质疑。
➤ 《评估办法》
相较于《网安法》,《评估办法》进一步扩张了规制对象的范围。《网安法》下数据跨境传输的规制对象是“关键信息基础设施的运营者”(《网络安全法》第37条)。而此次《评估办法》第二条将管制对象范围扩展到所有“网络运营者”(《评估办法》第2条)。
《评估办法》和《网安法》定义的“网络运营者”,是指“网络的所有者、管理者和网络服务提供者”,该电商平台属于网络运营者。《评估办法》还规定,“其他个人和组织”相关的数据跨境传输安全评估工作也参照本办法执行(《评估办法》第16条),进一步延伸了有义务进行安全评估的对象范围。
中国信息安全研究院副院长,网络安全法专家左晓栋也表示,“这意味着监管部门有了追责依据,普通人在涉及到个人信息和重要数据出境时也要‘掂量掂量’。”
安全评估的数据类型,系在中国境内收集或产生的:
● 个人信息
● 重要数据
“个人信息”基本沿袭了《信息安全技术公共及商用服务信息系统个人信息保护指南》(下称“《个人信息保护指南》”)、《网安法》及其他相关法律中的定义,指“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”。该电商所收集的用户姓名、电话、地址信息单独或结合起来能够识别个人身份,属于个人信息。
《评估办法》提出安全评估采取“自行评估”和“机构组织”两类。“自行评估”为一般性规则,在数据出境前,网络运营者需自行组织安全评估,并对评估结果负责(《评估办法》第7条)。
“机构组织”是在六种情况下(《评估办法》第8条),网络运营者应报请行业主管或监管部门组织安全评估。这六种情况主要从数据量、敏感性和关键信息基础设施角度进行界定。
从数据量考量,达到传输“含有或累计含有50万人以上的个人信息”即应报请监管机构组织评估。应当注意的是,前述“50万人以上个人信息”可以累积,案例中的电商上线三个月即有注册会员20万人,随时间推移累积达到50万人以上信息量并不难。
《评估办法》第八条列举了七项数据出境安全评估应重点评估的内容(《评估办法》第9条),但目前尚缺乏评估标准的指引。
例如,《评估办法》要求评估数据出境必要性,但对于必要性的考量因素尚不清晰。案例中,因为公司在中国境内没有分支机构和人员,只有跨境传输数据才可能开展业务,数据出境的必要性比较明显。
如果未来公司业务在中国蓬勃发展,从而可以在境内完成下单、订单处理、配送、售后,则从业务便利和成本控制角度都难以支持数据出境必要性的要求。
▌案例二
境外某基因研究机构在中国设立基因检测机构。检测结果会被传输至该研究机构,但传输前会对信息进行处理,确保无法识别特定个人且不能复原。该机构依据收集信息在其公众号上发布中国人基因研究报告,并在文中提供该机构研制的针对国人基因缺陷的保健品的购买链接。该等保健品尚未获得在中国市场销售的批文。
➤ 案例评析
案例涉及信息虽经脱敏后不属于《评估办法》下的个人信息,但可能符合“重要数据”的定义,从而向境外研究机构传输该等数据应进行安全评估。基因检测结果因其数据的敏感性,可能需由监管机构进行评估。研究机构在公众号上发布基因研究报告可能误导大众、售卖未经审批的保健品的行为违反监管规定,但能否禁止检测数据出境则具有讨论空间。
➤ 《评估办法》
《评估办法》对“重要数据”仅概括性地定义为“与国家安全、经济发展,以及社会公共利益密切相关的数据”,具体需关注未来出台有关标准和重要数据识别指南。结合《网安法》起草过程中对数据类型的措辞沿革,“重要数据”的定义留白可能会给未来执法留下更大解释空间。
《网安法》草案一稿对数据类型的表述为“公民个人信息等重要数据”,二、三稿表述变为“公民个人信息和重要业务数据”,最终出台的《网安法》则定稿为“个人信息和重要数据”。
可见,一稿将个人信息作为重要数据的主要内涵,二、三稿则局限为业务相关的重要数据,最终《网安法》和《评估办法》去掉“业务”二字,实是给未来留下了更大的解释空间。案例中的基因检测数据因事关国家和公共利益可能会被定义为“重要数据”。
如前所述,如果数据性质敏感,即使数据量不大、也不是关键信息基础设施,也应报请行业主管或监管部门组织安全评估。
本案所涉基因检测结果可能会被划入人口健康信息而具有敏感性,其他类似数据还包括核设施、化学生物、国防军工等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等。
《评估办法》规定,数据出境给国家政治、经济、科技、国防等安全带来风险,可能影响国家安全、损害社会公共利益的,数据不得出境。本条限制的合理性不言而喻,但具体判断时应结合实际情况分析。
以本案为例,不当的销售行为只是损害某些个人的利益,难以上升至关系到社会大多数成员的所谓社会公共利益,且数据出境与销售行为并没有直接因果关系。
开展科学研究无可非议,但因为题材的特殊性,将民间研究报告公开发布可能误导公众。单就基因检测数据跨境传输而言,如果涉及规模庞大的人口基因信息跨境传输,其本身所带来的宏观风险也值得思考。
▌案例三
某跨国药企对其药品在中国产生的治疗数据进行收集后传回总部,主要用于药物效果追踪。数据传输前会做处理,确保无法识别特定个人且不能复原,也做了安全评估。最近,该公司在本国涉及一起诉讼案件,需要向法院提供来自中国的部分原始治疗数据。
➤ 案例评析
本案中,跨国公司在向境外法院提供原始治疗数据前需要征得个人信息主体的同意。虽然之前曾做过安全评估,但因为数据接收方出现变更、数据的出境目的也发生了变化,应当及时重新进行安全评估。法院方面的安全保护措施、能力和水平可能也在评估之列。
➤ 《评估办法》
《评估办法》要求在个人信息出境前,向信息主体说明数据出境的目的、范围、内容、接收方及接收方所在的国家或地区,并经其同意(《评估办法》第4条)。本案中,传回总部的治疗数据因为已经进行了脱敏处理而无须获得个人同意。但如果需要向法院提交包括个人信息在内的原始数据,需获取患者的同意。
网络运营者原则上每年对数据出境至少应进行一次安全评估。本案中,因为数据接收方从公司总部变成当地法院,数据出境的目的由疗效跟踪变为诉讼程序中的证据提交,应结合新情况重新进行评估。(《评估办法》第12条)
当然,本案中对境外部分的评估可能存在一定难度。《评估办法》要求对接收方、接受目的地以及数据出境后的风险、安全措施和安全环境进行评估。
国家网信办网络安全协调局局长赵泽良曾表示,将来在评估信息能否出境的时候,“要充分考虑目的地是否有能力、有诚意来确保我们的数据信息安全。”(国家网信办:正在制定有关数据出境评估办法)
评估时不仅需考察数据接收方所在国家和地区的网络安全环境,还应具体对接收方做安全评估。实践中,如果境外接收方是外国政府机构,能否以及如何对其顺利开展评估仍待实践检验。
杨建媛
方达资深律师,具备多年争议解决经验,深耕于合规相关的内部调查、投资尽调、政府执法和政策建设。
郑 南
方达律师,服务医药、零售、金融等行业的多家跨国企业以及在海外上市的中国大中型企业,为客户提供内部调查、反腐败尽职调查等服务。
LCOUNCIL成立于2010年,秉承“专业分享,价值创造”为平台500多家在华跨国企业及本土大型民营上市企业长期提供专业法律服务:
分别为:反垄断、合规与反腐败、兼并与收购、银行金融、食品药品政府监管、证券与资本市场、反不正当竞争、劳动法、合同法、公司法、争议解决、知识产权、海关与贸易合规、广告合规、消费者权益保护、房地产与建设工程、政府调查与刑事辩护、信息技术与电子商务和法务管理与技能。
分别为:在线直播/视频直播、多功能网站、Synergy Group、Work Shop、High Table Group、闭门会议、良师益友、企业走访、年度高峰论坛、法律咨询、内训定制、平台合作项目、《每月速递》、专题研究报告、社交活动。
如您想了解LCOUNCIL更多资讯、报名参加活动或订阅LCOUNCIL《每月速递》,请点击官方网站链接(http://www.lcouncil.com)或与LCOUNCIL客服人员联系。
分享或评论 | 欢迎转发此文到您的朋友圈,并通过微信回复到LCOUNCIL微信公众账号,或联系我们即刻获得此互动安排。
关注 | 点击本文标题下方蓝色“LCOUNCIL”即可关注-微信号:LCOUNCIL2014