查看原文
其他

个人信息和重要数据出境安全评估之“境内运营”

洪延青 网安寻路人 2019-07-06

《网络安全法》已经正式生效,就意味着其第37条关于关键信息基础设施运营者境内存储数据的要求已经生效。虽然《个人信息和重要数据出境安全评估办法》仍未正式发布,但数据出境安全评估这项制度已经是板上钉钉。


为了落实《网络安全法》和《个人信息和重要数据出境安全评估办法》,一些看似清晰但是细究起来其实模糊的问题亟待理清。本文专门探讨“境内运营”,供大家评论。


《网络安全法》第三十七条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。”


《个人信息和重要数据出境安全评估办法(征求意见稿)》也规定:“网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据......确需向境外提供的,应当按照本办法进行安全评估。”


但到底什么是境内运营?其实非常模糊。举例如下:


a. 中国公民从境内计算机登录美国一租车网站,注册账号,并预约租车。该美国租车网站在中国境内没有进行法律注册,其人员、服务器等均在美国。则该网络运营者是否为中华人民共和国境内运营?


评论:这样的情形,如果认定其属于境内运营,则几乎全球所有可公开访问的网站,均受我国数据出境安全评估的管辖。显然不合理。但是不管吧,有两个问题:


首先,毕竟其收集了我国公民的个人信息。再延伸一下,如果这样一个网络运营者,有超过50万名甚至更多的中国公民在上面注册。根据《个人信息和重要数据出境安全评估办法(征求意见稿)》的精神,这50万名中国公民的个人信息相当于“重要数据”,难道我国数据出境安全评估不应该给予关注吗?如果50万不够,那100万,1000万呢?又或者这样的情形并非数据出境安全评估来管辖,而应该有其他规定出马?


其次,如果不管,那会不会有中国的网络运营者看到这个空子,决定在境外注册成立公司,将人员、服务器等都搬到境外,那就不用做数据出境安全评估了。而且对在努力做到数据出境安全评估合规的公司来说也很不公平,因为那些外国的同行不用承担这样的义务也能继续从事原来的业务,双方不是在level playing ground上竞争。


b. 如果该美国租车网站设立专门的中文界面,其支持以人民币为结算货币,但在中国境内没有进行法律注册,其人员、服务器等均在美国。则该网络运营者是否为中华人民共和国境内运营?


评论:这样的情形,根据欧盟《通用数据保护条例》的规定,应受《通用数据保护条例》。如果学习欧盟的做法,将这个租车网站认定属于境内运营,似乎可以减轻前一个例子中在同一个水平线上竞争的问题。


但是另外一个问题马上就来了,谁来发起评估?租车网站会说,这是个人主动登录服务器位于美国的网站并注册账户,应当视为个人主动向境外提供个人信息。而无论是《网络安全法》和《个人信息和重要数据出境安全评估办法》都规定,“网络运营者”向境外提供数据的才需要评估,个人又不是网络运营者,那就不用评估了。


可是不用评估吧,直觉上又感觉不太对。还是这个理由:如果这样一个实体,还收集了超过50万名中国公民的个人信息。根据《个人信息和重要数据出境安全评估办法(征求意见稿)》的精神,这50万名中国公民的个人信息相当于“重要数据”,难道我国数据出境安全评估不应该给予关注吗?


c. 一企业看中我国相对低廉的人力成本,在中国境内设立的客服中心,但客服中心只针对美国顾客开展服务。则该客服中心是否为中华人民共和国境内运营?


这个例子,从字面上看,这个客服中心属于在中国境内运营。但是其处理的个人信息又全是美国顾客的,在此过程中不提供其他任何额外的信息。等于说,美国顾客的信息恰好存储在中国,其分析、挖掘、使用等环节都在中国,在此过程中产生的衍生信息也在中国境内。从纸面上完全符合“在中华人民共和国境内运营中收集和产生的个人信息”,那这样的情形,需要受数据出境安全评估要求的管辖吗?如果要,很可能很多外国企业就不会选择中国来设立类似的客服中心,甚至于只面向境外客户的数据中心了。而且,管这些外国人的数据真的符合数据出境安全评估的立法和监管精神吗?


从这三个例子来看,似乎对“境内运营”的解释,应当采用场景的定义(context),而非严格遵循地域的概念。


这只是准确建立数据出境安全评估制度中的一个小问题,除此之外还有更多......

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存