网络安全法出台（内容+解读）

+解读

《网络安全法》时代数据跨境传输的企业合规挑战

数据跨境传输的崭新变局

作为中国网络安全领域的基本法律,《网络安全法》第三十七条规定,“关键信息基础设施的运营者在中华人民共和XX境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家部门会同有关部门制定的办法进行安全评估;法律、行规另有规定的,依照其规定。”这一规定将为在华运营的企业,尤其是公司带来的全球化运营产生重大影响。需要明确的是,公司并不仅限于传统意义上的“外企”,随着中国企业在海外业务的不断拓展,许多中国企业也已加入到公司的行列,也将同样面临数据跨境传输的法律。

近年来,中国已开始逐渐关注数据跨境传输问题,但先前已有的法规在规制数据类型及领域等方面还比较局限。例如,1月21日公布的行规《征信业管理条例》第二十四条规定,“征信机构在中国境内采集的信息的整理、保存和加工,应当在中国境内进行。征信机构向境外组织或者个人提供信息,应当遵守法律、行规和征信业监督管理部门的有关规定”;1月21日中国人民银行发布的部门规章____第六条规定,“在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外,银行业金融机构不得向境外提供境内个人金融信息”。可以看出,以上两个文件所针对的领域仅限于征信领域及银行业金融领域,涉及的数据范围也较为局限。

此外,作为中国首部对个人信息保护制定国家标准的《信息安全技术公共及商用服务信息系统个人信息保护指南》在第5.4.5条规定,“未经个人信息主体的明示同意,或法律法规明确规定,或未经主管部门同意,个人信息管理者不得将个人信息转移给境外个人信息获得者,包括位于境外的个人或境外注册的组织和机构”。显然,该指南涵盖的领域与数据范围要比前述两个文件广泛许多,但该指南作为“指导性技术文件”对相关企业及个人并不具有强制力。

相比而言,《网络安全法》系首次从国家法律层面数据的跨境传输,无论是从法律层级、规制领域范围、数据类型,还是规制程序、法律责任等角度来看,都显著超越之前的规范性文件。

加速出台的立法背景及条文演化

自中国接入国际互联网20周年,中国已经全面迈入互联网时代。蓬勃发展的互联网在经济、社会、文化等各个领域建功卓著,然而,人们在享受互联网所带来的财富与便利的同时,也面临着互联网本身隐含的诸多风险与威胁,其间滋生着诸如网络侵权、互联网不正当竞争、黑客攻击、数据泄露等大量问题,而其中的网络安全问题则已上升为世界各国关注的重要议题,网络安全已成为关系和发展,关系人民群众切身利益的重大问题。为防止公民个人信息被窃取、泄露和非法使用,《网络安全法》在《全国人民代表大会常务委员会关于加强网络信息保护的决定》的基础上,进一步完善公民个人信息保护制度,规范网络信息传播活动。

《网络安全法》的立法进程可谓一直在“加速前进”。6月,全国常委会对草案进行了初次审议并在接下来的一_____个月内完成了草案的意见征集。6月,仅一年之后,全国常委会对二次审议稿“二审稿”进行了第二次审议。10月,在全国常委会第二十四次会议上,原本不在预先公布的草案审议议程中的《网络安全法草案》在开幕首日便提请审议,并最终获得通过。从6月草案一审到最终审议通过,历时仅短短一年半左右的时间。

在三次公布的草案审议稿中,有关数据跨境传输的规定也一直在不断变化,具体体现在对“关键信息基础设施”的定义与范围规定的不同。一审稿中,关键信息基础设施有明确的范围,包括1基础信息网络,主要包括广电网、电信网、互联网;2重要行业和公共服务领域的重要信息系统,例如核岛控制系统、银联交易系统、智能交通系统、供水管息管理系统、社保信息系统等;3军事网络,例如军事通信网、指挥自动化系统等;4地市级以上政务网络,例如电子政务系统、门户网站等;5用户数量众多的网络服务商系统。而在公布的二审稿中,对关键信息基础设施的概念采取了概括性规定,并删除了有关关键信息基础设施的具体范围的表述,规定具体范围由进行制定。最终通过的《网络安全法》将一审稿与二审稿的表述进行结合,进一步界定了关键基础设施的范围,既列举了一些具体行业和领域,如公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务,又用“其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害、国计民生、公共利益的关键信息基础设施”进行了兜底规定,具体范围仍然授权进行制定。

主管部门、规范体系与发展趋势

《网络安全法》规定关键信息基础设施的范围由制定,在中国网络安全领域问题逐渐突出,立法需求逐渐增强,立法进程逐步加快的背景之下,可以预见的后续相关规范也会在不远的将来落地。届时,结合已有的《征信业管理条例》、____等行规和规范性文件,中国的数据跨境传输规范体系将初步建成。

从国际上来看,数据跨境传输的不同规范模式已经基本形成。如美国基于其信息产业的优势地位以及对数据自由流动的依赖性,在法律层面并没有对数据跨境传输做出性规定。而针对特定行业的外国资本进入,美国则通过与其签订安全协议的形式对数据本地化DataLocalization作出要求。欧盟虽然不禁止数据的跨境传输,但即将生效的《一般数据保护条例》GeneralDataProtectionRegulation对向欧盟境外的国家传输做出了非常严格的条件,其中之一即为由欧盟委员会对接收国的数据保护体系作出“充分保护认定”AdequateDecision,确认接收国可以为数据提供充分的保护后才可传输。看上去充分保护认定与中国《网络安XX第三十七条中“因业务需要,确需向境外提供的,应当按照国家部门会同有关部门制定的办法进行安全评估”的规定略有相似。在将来中国的数据传输的安全评估体系中,对充分保护的类似认定也可能会作为考量因素之一。其他一些国家如澳大利亚则采取禁止特定领域的数据跨境传输的规制模式,与之相反,俄罗斯的《个人数据法》中的数据本地化要求则普遍适用于在境内收集个人数据的企业。中国的数据跨境传输规范会采取哪种形式,有待及相关部门出台各类规定和实施细则。

《网络安全法》第第一款规定,“国家部门负责统筹协调网络安全工作和相关监督管理工作。电信主管部门、门和其他有关机关依照本法和有关法律、行规的规定,在各自职责范围内负责网络安全保护和监督管理工作。”由此条款可知,《网络安全法》在国家层面的实施将至少涉及国家部门、电信主管部门和门,这和网络安全本身牵涉甚广的现实是相符的,相关配套规范的研究制定及后续执法工作,尚需各相关部门的相互协调与通力合作。此外,通观整部法律,有关“部门”的描述含近似描述共在条文中出现13次,所涉职权包括负责统筹协调网络安全工作和相关监督管理工作;会同有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测;对关键信息基础设施的运营者采购的可能影响的网络产品和服务,会同有关部门组织的审查等等。可见,部门在《网络安全法》相关配套规范制定及实施监管中担任着十分重要的角色,其在以往出台和正在制定的相关规件及执法实践,亦值得企业重点关注与参考。

企业法律风险管理