2017.04.13 董潇 蔡克蒙 郭静荷
一、背景
国家互联网信息办公室(以下简称“网信办”)于2017年4月11日公布了《个人信息和重要数据出境安全评估办法(征求意见稿)》(以下简称“《草案》”)向社会公开征求意见,截止时间为一个月。
去年11月颁布、将于2017年6月1日生效的《中华人民共和国网络安全法》(以下简称“《网安法》”)首次在法律中确立了对个人信息及重要数据出境的安全评估制度。《网安法》授权国家网信部门会同其他监管部门制定详细的安全评估实施办法。《网安法》下的这一规定与《中华人民共和国国家安全法》共同构成了《草案》的法律基础。
二、什么数据必须本地化
《草案》将数据本地化及安全评估的义务主体从《网安法》规定的“关键信息基础设施运营者”扩展到所有的网络运营者,并要求网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据,应当在境内存储。因业务需要,确需向境外提供的,应当进行安全评估。(第二条)
对于个人信息,《草案》采取了与《网安法》类似的定义。对于《网安法》未进行界定的“重要数据”,《草案》采取了宽泛、模糊的定义:重要数据是指与国家安全、经济发展,以及社会公共利益密切相关的数据,具体范围参照未来制定的国家有关标准和重要数据识别指南。(第十七条)
三、如何进行评估
《草案》通过所谓自行评估及监管机构评估的方式对数据出境进行监管。简要来说,网络运营者需对所有数据出境进行自行评估(第七条),而对满足相应条件的数据出境,网络运营者需报告行业监管部门或国家网信部门进行评估(第九条)。
需进行监管机构评估的情况包括:出境数据含有或累计含有50万人以上的个人信息;数据量超过1000GB;包含核设施、化学生物、国防军工、人口健康等领域的数据;大型工程活动、海洋环境以及敏感地理信息数据等。同时还包括了一个兜底性条款:“其他可能影响国家安全和社会公共利益,行业主管或监管部门认为应该评估”。(第九条)
网络运营者每年应对数据出境至少进行一次安全评估;当数据出境的相关方面出现较大变化时,应重新进行安全评估。(第十二条)
四、评估的内容是什么
数据出境安全评估应重点评估以下内容:
1、数据出境的必要性;
2、个人信息及重要数据的数量、范围、类型、敏感程度,以及个人信息主体是否同意其个人信息出境等;
3、数据接收方的安全状况及所在国家;
4、数据被泄露、毁损、篡改、滥用等风险;
5、对国家安全、社会公共利益、个人合法利益带来的风险;以及
6、其他需要评估的重要事项。(第八条)
存在以下情况之一的,数据不得出境:
1、个人信息出境未经个人信息主体同意,或可能侵害个人利益;
2、数据出境给国家政治、经济、科技、国防等安全带来风险,可能影响国家安全、损害社会公共利益;
3、其他经国家有关部门认定不能出境的。(第十一条)
五、简评
与《网安法》相比,《草案》扩大了数据本地化及安全评估义务适用对象的范围,并且对网络运营者施加了广泛的评估义务(自行评估或监管机构评估),但相关明确、具体的标准、程序、要求尚未出台。
在这样一个数字化迅速发展的世界,《草案》发布及实施后,可能对跨境运营公司的运营及IT结构产生广泛影响。《草案》与现有法律制度的衔接(例如现有法律法规之中存在境内存储或出境限制的特别规定)、网信主管部门与行业主管部门的对接和配合,也待在实践中进一步观察。