前言
1980年,,經(jīng)合組織(OECD)提出了“數(shù)據(jù)跨境流動(dòng)”(Trans-border Data Flow)的概念,,其被界定為個(gè)人信息的跨越國(guó)界流動(dòng)。但隨著技術(shù)的發(fā)展,,國(guó)際上對(duì)跨境數(shù)據(jù)流動(dòng)的理解已經(jīng)完全超越了個(gè)人信息的范疇,。巨量的數(shù)據(jù)資源不僅只涉及個(gè)人信息了,尤其是跨國(guó)企業(yè)經(jīng)營(yíng)中涉及的數(shù)據(jù)跨境,既存在個(gè)人信息,,也包括商品數(shù)據(jù),、支付數(shù)據(jù)、物流數(shù)據(jù),、地理位置等非個(gè)人信息,,且其中相當(dāng)一部分?jǐn)?shù)據(jù)涉及國(guó)家安全、公共安全,。我國(guó)此前監(jiān)管重心多側(cè)重于“個(gè)人信息”的出境規(guī)制(《個(gè)人信息出境安全評(píng)估辦法(征求意見(jiàn)稿)》),,實(shí)務(wù)中對(duì)于“個(gè)人信息”出境合規(guī)應(yīng)對(duì)也較為成熟,而對(duì)于“重要數(shù)據(jù)”的出境規(guī)制則存在立法空白,。
2021年6月10日,,我國(guó)《數(shù)據(jù)安全法》正式出臺(tái),在《網(wǎng)絡(luò)安全法》第37條的基礎(chǔ)上,,進(jìn)一步建構(gòu)數(shù)據(jù)出境安全管理框架,。《數(shù)據(jù)安全法》在鼓勵(lì)跨境數(shù)據(jù)流動(dòng)(第10條)的基礎(chǔ)上,,對(duì)數(shù)據(jù)出境安全管理(第31條),、主管機(jī)關(guān)批準(zhǔn)(第36條)以及法律責(zé)任承擔(dān)(第46條)等方面進(jìn)行規(guī)定,為跨國(guó)企業(yè)盡快開(kāi)展數(shù)據(jù)出境合規(guī)工作提供了方向參考,。
本文將以《數(shù)據(jù)安全法》為基礎(chǔ),,結(jié)合《網(wǎng)絡(luò)安全法》、《信息安全技術(shù) 數(shù)據(jù)出境安全評(píng)估指南(征求意見(jiàn)稿)》(下文簡(jiǎn)稱《評(píng)估指南》)等規(guī)定,,對(duì)于跨國(guó)企業(yè)數(shù)據(jù)傳輸存在的常見(jiàn)問(wèn)題進(jìn)行回答,,以期為跨國(guó)企業(yè)的數(shù)據(jù)出境合規(guī)提供法律幫助。
一,、《數(shù)據(jù)安全法》對(duì)于數(shù)據(jù)出境的監(jiān)管要求
《數(shù)據(jù)安全法》第三十一條規(guī)定,,關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理,適用《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的規(guī)定,;其他數(shù)據(jù)處理者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法,,由國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定。
?。?一 ) 數(shù)據(jù)出境的主體:關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者 & 其他數(shù)據(jù)處理者
1.關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者
關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者并非《數(shù)據(jù)安全法》創(chuàng)設(shè)的新主體,,早在《網(wǎng)絡(luò)安全法》與《網(wǎng)絡(luò)安全審查辦法》便已對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行了定義。
《網(wǎng)絡(luò)安全法》第三十一條規(guī)定,,國(guó)家對(duì)公共通信和信息服務(wù),、能源、交通,、水利,、金融,、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域,,以及其他一旦遭到破壞,、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國(guó)家安全,、國(guó)計(jì)民生,、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施,在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上,,實(shí)行重點(diǎn)保護(hù),。關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護(hù)辦法由國(guó)務(wù)院制定。
根據(jù)該條,,國(guó)家互聯(lián)網(wǎng)信息辦公室(下文簡(jiǎn)稱“網(wǎng)信辦”)制定了《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(征求意見(jiàn)稿)》,,其中第十八條規(guī)定了應(yīng)當(dāng)納入關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)范圍,包括:
1,、政府機(jī)關(guān)和能源,、金融、交通,、水利,、衛(wèi)生醫(yī)療、教育,、社保,、環(huán)境保護(hù)、公用事業(yè)等行業(yè)領(lǐng)域的單位,;
2,、電信網(wǎng)、廣播電視網(wǎng),、互聯(lián)網(wǎng)等信息網(wǎng)絡(luò),,以及提供云計(jì)算、大數(shù)據(jù)和其他大型公共信息網(wǎng)絡(luò)服務(wù)的單位,;
3,、國(guó)防科工、大型裝備,、化工、食品藥品等行業(yè)領(lǐng)域科研生產(chǎn)單位,;
4,、廣播電臺(tái)、電視臺(tái),、通訊社等新聞單位,;
5、其他重點(diǎn)單位。
而根據(jù)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(征求意見(jiàn)稿)》第二條,,在中華人民共和國(guó)境內(nèi)規(guī)劃,、建設(shè)、運(yùn)營(yíng),、維護(hù),、使用上述關(guān)鍵信息基礎(chǔ)設(shè)施,以及開(kāi)展關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù),,適用本條例,。
2.其他數(shù)據(jù)處理者
我國(guó)此前針對(duì)個(gè)人信息與數(shù)據(jù)的收集、處理活動(dòng)的主體,,多采用“網(wǎng)絡(luò)運(yùn)營(yíng)者/網(wǎng)絡(luò)運(yùn)營(yíng)商”的概念,。
《個(gè)人信息出境安全評(píng)估辦法(征求意見(jiàn)稿)》第二條將“個(gè)人信息出境”界定為網(wǎng)絡(luò)運(yùn)營(yíng)者向境外提供在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集的個(gè)人信息的行為;《信息安全技術(shù) 數(shù)據(jù)出境安全評(píng)估指南(征求意見(jiàn)稿)》將“數(shù)據(jù)出境”界定為網(wǎng)絡(luò)運(yùn)營(yíng)商通過(guò)網(wǎng)絡(luò)等方式,,將其在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù),,通過(guò)直接提供或開(kāi)展業(yè)務(wù)以及提供服務(wù)、產(chǎn)品等方式提供給境外的機(jī)構(gòu),、組織或個(gè)人的一次性活動(dòng)或連續(xù)活動(dòng),。
而最新的《數(shù)據(jù)安全法》將數(shù)據(jù)的收集、存儲(chǔ),、使用,、加工、傳輸,、提供,、公開(kāi)等活動(dòng)明確界定為“數(shù)據(jù)處理”,而實(shí)施上述活動(dòng)的主體則為“數(shù)據(jù)處理者”,。但此“數(shù)據(jù)處理者”從其內(nèi)涵和法律意義來(lái)看不同于GDPR項(xiàng)下的“數(shù)據(jù)處理者”,。
綜上,實(shí)施收集,、存儲(chǔ),、使用、加工,、傳輸,、提供、公開(kāi)數(shù)據(jù)等行為的跨國(guó)公司,,無(wú)論其是否建設(shè),、運(yùn)營(yíng)、維護(hù),、使用上述關(guān)鍵信息基礎(chǔ)設(shè)施,,均因其實(shí)施數(shù)據(jù)處理行為而落入《數(shù)據(jù)安全法》第三十一條的規(guī)制主體范疇,。
( 二 ) 數(shù)據(jù)出境的對(duì)象:重要數(shù)據(jù)
《數(shù)據(jù)安全法》并非要求所有數(shù)據(jù)出境均應(yīng)進(jìn)行審查,,而是針對(duì)企業(yè)在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)進(jìn)行數(shù)據(jù)出境安全管理,。對(duì)于“重要數(shù)據(jù)”的范疇,《數(shù)據(jù)安全法》第二十一條在概念界定的基礎(chǔ)之上提出了“重要數(shù)據(jù)目錄”,,該目錄則是由國(guó)家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制統(tǒng)籌協(xié)調(diào)有關(guān)部門制定,。
《數(shù)據(jù)安全法》第二十一條規(guī)定,國(guó)家建立數(shù)據(jù)分類分級(jí)保護(hù)制度,,根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度,,以及一旦遭到篡改、破壞,、泄露或者非法獲取,、非法利用,對(duì)國(guó)家安全,、公共利益或者個(gè)人,、組織合法權(quán)益造成的危害程度,對(duì)數(shù)據(jù)實(shí)行分類分級(jí)保護(hù),。國(guó)家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制統(tǒng)籌協(xié)調(diào)有關(guān)部門制定重要數(shù)據(jù)目錄,,加強(qiáng)對(duì)重要數(shù)據(jù)的保護(hù)。
關(guān)系國(guó)家安全,、國(guó)民經(jīng)濟(jì)命脈,、重要民生、重大公共利益等數(shù)據(jù)屬于國(guó)家核心數(shù)據(jù),,實(shí)行更加嚴(yán)格的管理制度,。
各地區(qū)、各部門應(yīng)當(dāng)按照數(shù)據(jù)分類分級(jí)保護(hù)制度,,確定本地區(qū),、本部門以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)具體目錄,,對(duì)列入目錄的數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù),。
目前《數(shù)據(jù)安全法》的相關(guān)配套法律法規(guī)還未出臺(tái),尤其是最核心的“重要數(shù)據(jù)目錄”,,但跨國(guó)公司數(shù)據(jù)出境需求并不會(huì)因?yàn)檎呱形绰涠ǘV?。在此期間,我們建議跨國(guó)公司可以參照現(xiàn)有分類分級(jí)規(guī)范對(duì)“重要數(shù)據(jù)”界定開(kāi)展工作,,部分規(guī)范和行業(yè)標(biāo)準(zhǔn)仍處于征求意見(jiàn)階段,,但并不意味其內(nèi)容毫無(wú)參考價(jià)值。
《信息安全技術(shù) 數(shù)據(jù)出境安全評(píng)估指南(征求意見(jiàn)稿)》附錄A“重要數(shù)據(jù)識(shí)別指南”中對(duì)27個(gè)重點(diǎn)行業(yè)的重要數(shù)據(jù)做了概括性的描述,,如石油,、電力、金融等,。
《汽車數(shù)據(jù)安全管理若干規(guī)定(征求意見(jiàn)稿)》首次明確界定汽車行業(yè)重要數(shù)據(jù)的范圍,,具體包括:
1、軍事管理區(qū),、國(guó)防科工等涉及國(guó)家秘密的單位,、縣級(jí)以上黨政機(jī)關(guān)等重要敏感區(qū)域的人流車流數(shù)據(jù);
2,、高于國(guó)家公開(kāi)發(fā)布地圖精度的測(cè)繪數(shù)據(jù),;
3、汽車充電網(wǎng)的運(yùn)行數(shù)據(jù),;
4,、道路上車輛類型、車輛流量等數(shù)據(jù),;
5,、包含人臉、聲音,、車牌等的車外音視頻數(shù)據(jù),;
6、國(guó)家網(wǎng)信部門和國(guó)務(wù)院有關(guān)部門明確的其他可能影響國(guó)家安全,、公共利益的數(shù)據(jù),。
( 三 ) 數(shù)據(jù)出境的內(nèi)容:“出境”
《信息安全技術(shù) 數(shù)據(jù)出境安全評(píng)估指南(征求意見(jiàn)稿)》將“數(shù)據(jù)出境”(data cross-boder transfer)界定為網(wǎng)絡(luò)運(yùn)營(yíng)者將在中華人民共和國(guó)境內(nèi)收集和產(chǎn)生的電子形式的個(gè)人信息和重要數(shù)據(jù),,提供給境外機(jī)構(gòu),、組織、個(gè)人的一次性活動(dòng)或連續(xù)性活動(dòng),。并且注明,,未經(jīng)任何變動(dòng)或加工處理的數(shù)據(jù)中轉(zhuǎn)情形不屬于數(shù)據(jù)出境。
并將“提供”(provide)界定為網(wǎng)絡(luò)運(yùn)營(yíng)者主動(dòng)向境外機(jī)構(gòu),、組織或個(gè)人提供數(shù)據(jù),,或通過(guò)其他途徑發(fā)布數(shù)據(jù)的行為,包括其用戶使用網(wǎng)絡(luò)運(yùn)營(yíng)者提供的產(chǎn)品或服務(wù)的功能,,向境外機(jī)構(gòu),、組織或個(gè)人提供數(shù)據(jù)的行為。但排除了網(wǎng)絡(luò)運(yùn)營(yíng)者提供已經(jīng)被依法公開(kāi)披露的數(shù)據(jù),。
從立法原意看,,之所以要求網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)對(duì)向境外提供重要數(shù)據(jù)進(jìn)行安全評(píng)估,是為了防范國(guó)家數(shù)據(jù)安全風(fēng)險(xiǎn),,維護(hù)國(guó)家安全,,保障公共利益,,因此《評(píng)估指南》排除了單純的數(shù)據(jù)中轉(zhuǎn)行為,而是強(qiáng)調(diào)網(wǎng)絡(luò)運(yùn)營(yíng)者提供行為的主動(dòng)性,。這也與《數(shù)據(jù)安全法》第十條的立法意相符合,。
二、數(shù)據(jù)出境自評(píng)估工作
圖片圖源 《信息安全技術(shù) 數(shù)據(jù)出境安全評(píng)估指南(征求意見(jiàn)稿)》
?。?一 ) 什么時(shí)候需要進(jìn)行數(shù)據(jù)出境自評(píng)估
根據(jù)《信息安全技術(shù) 數(shù)據(jù)出境安全評(píng)估指南(征求意見(jiàn)稿)》4.2.2 條,,存在下列情況時(shí),需要進(jìn)行數(shù)據(jù)出境自評(píng)估:
涉及數(shù)據(jù)出境的,;
關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者進(jìn)行數(shù)據(jù)出境之前的,;
已完成數(shù)據(jù)出境安全自評(píng)估的產(chǎn)品或業(yè)務(wù)所涉及的個(gè)人信息和重要數(shù)據(jù)出境,在目的,、范圍,、類型、數(shù)量等方面發(fā)生較大變化,、數(shù)據(jù)接收方變更或發(fā)生重大安全事件的,;
按照行業(yè)主管或者監(jiān)管部門要求啟動(dòng)的。
?。?二 ) 如何開(kāi)展數(shù)據(jù)出境自評(píng)估工作
1.成立安全自評(píng)估工作組,,制定數(shù)據(jù)出境計(jì)劃
開(kāi)展數(shù)據(jù)出境自評(píng)估工作應(yīng)當(dāng)建立數(shù)據(jù)出境安全自評(píng)估工作組,工作組主要包含法務(wù),、政策,、安全、技術(shù),、管理相關(guān)專業(yè)人員,。數(shù)據(jù)出境安全自評(píng)估工作組應(yīng)負(fù)責(zé)審查業(yè)務(wù)部門提交的數(shù)據(jù)出境計(jì)劃,并定期對(duì)數(shù)據(jù)出境情況開(kāi)展檢查,、抽查,。而有數(shù)據(jù)出境需求的業(yè)務(wù)部門應(yīng)制定數(shù)據(jù)出境計(jì)劃,該計(jì)劃是開(kāi)展評(píng)估工作的重要依據(jù),。
數(shù)據(jù)出境計(jì)劃的內(nèi)容包括但不限于:
涉及個(gè)人信息情況,,包括個(gè)人信息的類型、數(shù)量,、范圍和敏感程度等,;
涉及重要數(shù)據(jù)情況,包括重要數(shù)據(jù)的類型,、數(shù)量和范圍等,;
涉及的信息系統(tǒng)情況;
數(shù)據(jù)發(fā)送方安全保護(hù)能力;
數(shù)據(jù)接收方安全保護(hù)能力及其所在的國(guó)家或地區(qū)的基本情況,。
2.評(píng)估數(shù)據(jù)出境計(jì)劃的合法性和正當(dāng)性
數(shù)據(jù)出境安全自評(píng)估首先應(yīng)當(dāng)考慮本次數(shù)據(jù)出境計(jì)劃的合法性和正當(dāng)性,,如果數(shù)據(jù)出境活動(dòng)不具有合法性和正當(dāng)性,則禁止出境,。在此基礎(chǔ)上再評(píng)估數(shù)據(jù)出境計(jì)劃是否風(fēng)險(xiǎn)可控,,有效避免數(shù)據(jù)出境及再轉(zhuǎn)移后被泄露、損毀,、篡改、濫用等風(fēng)險(xiǎn),。
自評(píng)估但評(píng)估要點(diǎn)可以參考《評(píng)估指南》第5章,,評(píng)估方法可以參考《評(píng)估指南》附錄 B。安全評(píng)估但結(jié)果為出境安全風(fēng)險(xiǎn)為極高或高的,,則禁止出境,。
圖片根據(jù)《信息安全技術(shù) 數(shù)據(jù)出境安全評(píng)估指南(征求意見(jiàn)稿)》制作
3.形成評(píng)估報(bào)告,進(jìn)行相應(yīng)調(diào)整
數(shù)據(jù)出境安全自評(píng)估工作組在完成對(duì)數(shù)據(jù)出境計(jì)劃的評(píng)估后,,應(yīng)形成安全自評(píng)估報(bào)告,。安全自評(píng)估報(bào)告內(nèi)容應(yīng)包括但不限于:
安全自評(píng)估對(duì)象基本情況;
安全自評(píng)估組織實(shí)施情況,;
安全自評(píng)估結(jié)果,;
數(shù)據(jù)出境安全風(fēng)險(xiǎn)點(diǎn);
檢查修正建議,。
安全自評(píng)估報(bào)告應(yīng)至少保存2年,,并在如下情況下將安全自評(píng)估報(bào)告上報(bào)行業(yè)主管部門,行業(yè)主管部門不明確的,,報(bào)國(guó)家網(wǎng)信部門,。
關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者開(kāi)展的安全自評(píng)估;
一年內(nèi)出境的個(gè)人信息數(shù)量達(dá)到國(guó)家網(wǎng)信部門,、行業(yè)主管部門上報(bào)要求的,;
包含核設(shè)施、生物化學(xué),、國(guó)防軍工,、人口健康等領(lǐng)域數(shù)據(jù),大型工程活動(dòng),、海洋環(huán)境敏感地理信息數(shù)據(jù),,以及其他重要數(shù)據(jù)的;
涉及關(guān)鍵信息基礎(chǔ)設(shè)施的安全缺陷,、具體安全防護(hù)措施等網(wǎng)絡(luò)安全信息的,;
其他可能影響國(guó)家安全、經(jīng)濟(jì)發(fā)展和社會(huì)公共利益的,。
如果安全自評(píng)估結(jié)果為禁止出境的,,網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)采用相關(guān)措施降低數(shù)據(jù)出境安全風(fēng)險(xiǎn),,并修正數(shù)據(jù)出境計(jì)劃,重新開(kāi)展安全自評(píng)估,。
可用于降低數(shù)據(jù)出境安全風(fēng)險(xiǎn)的措施包括但不限于:
精簡(jiǎn)出境數(shù)據(jù)內(nèi)容,;
使用技術(shù)措施處理數(shù)據(jù)降低敏感程度;
提升數(shù)據(jù)發(fā)送方安全保障能力,;
限定數(shù)據(jù)接收方的處理活動(dòng),;
更換數(shù)據(jù)保護(hù)水平更高的接收方;
選擇政治法律環(huán)境保障能力較高地區(qū)的數(shù)據(jù)接收方等,。
在企業(yè)進(jìn)行相應(yīng)調(diào)整后,,可重新對(duì)數(shù)據(jù)出境進(jìn)行安全風(fēng)險(xiǎn)評(píng)估。
三,、常見(jiàn)問(wèn)題回應(yīng)
?。?一 ) 跨國(guó)企業(yè)是否必須在中國(guó)境內(nèi)設(shè)立用于存儲(chǔ)數(shù)據(jù)的服務(wù)器?
《數(shù)據(jù)安全法》并未直接對(duì)數(shù)據(jù)本地化存儲(chǔ)進(jìn)行規(guī)制,。對(duì)于此問(wèn)題可以參考此前已實(shí)施生效對(duì)《網(wǎng)絡(luò)安全法》第三十七條,。
《網(wǎng)絡(luò)安全法》第三十七條規(guī)定,關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ),。因業(yè)務(wù)需要,,確需向境外提供的,應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評(píng)估,;法律,、行政法規(guī)另有規(guī)定的,依照其規(guī)定,。
簡(jiǎn)言之,,如果“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者”直接在境外服務(wù)器上存儲(chǔ)境內(nèi)重要數(shù)據(jù),將違反本地化存儲(chǔ)的相關(guān)規(guī)定,,導(dǎo)致企業(yè)和相關(guān)直接責(zé)任人員面臨被予以行政處罰的風(fēng)險(xiǎn),。
《網(wǎng)絡(luò)安全法》僅對(duì)“關(guān)鍵信息基礎(chǔ)設(shè)施對(duì)運(yùn)營(yíng)者”提出了數(shù)據(jù)本地化要求,但由于此前僅對(duì)“關(guān)鍵信息基礎(chǔ)設(shè)施對(duì)運(yùn)營(yíng)者”進(jìn)行了行業(yè)和程度的界定,,實(shí)踐中跨國(guó)企業(yè)的落實(shí)情況并不理想,。而本次《數(shù)據(jù)安全法》擴(kuò)大了數(shù)據(jù)出境的被監(jiān)管主體——從“關(guān)鍵信息基礎(chǔ)設(shè)施對(duì)運(yùn)營(yíng)者”到“其他數(shù)據(jù)處理者”均被納入監(jiān)管范疇。同時(shí),,結(jié)合近期監(jiān)管趨勢(shì)來(lái)看,,監(jiān)管部門對(duì)于關(guān)涉國(guó)家安全的行業(yè)相繼出臺(tái)法規(guī)政策,如針對(duì)智能汽車領(lǐng)域的《汽車數(shù)據(jù)安全管理若干規(guī)定(征求意見(jiàn)稿)》,,首次明確界定汽車行業(yè)重要數(shù)據(jù)的范圍,。
可以見(jiàn)得,對(duì)于從事《信息安全技術(shù) 數(shù)據(jù)出境安全評(píng)估指南(征求意見(jiàn)稿)》附錄A“重要數(shù)據(jù)識(shí)別指南”中對(duì)27個(gè)重點(diǎn)行業(yè)的跨國(guó)企業(yè),如果其在境內(nèi)收集,、使用的數(shù)據(jù)有涉及國(guó)家安全的潛在可能,,那么對(duì)于“跨國(guó)企業(yè)是否必須在中國(guó)境內(nèi)設(shè)立用于存儲(chǔ)數(shù)據(jù)的服務(wù)器?”這個(gè)問(wèn)題的回答是,,是的,,為了應(yīng)對(duì)監(jiān)管趨勢(shì),設(shè)立用于數(shù)據(jù)存儲(chǔ)的服務(wù)器是有必要的,。
?。?二 ) 境外遠(yuǎn)程訪問(wèn)是否屬于數(shù)據(jù)出境?
上文已經(jīng)對(duì)“數(shù)據(jù)出境”內(nèi)涵進(jìn)行闡述,,在此基礎(chǔ)上,,我們可以討論“境外遠(yuǎn)程訪問(wèn)是否屬于數(shù)據(jù)出境”問(wèn)題。
首先,,如何理解“境外遠(yuǎn)程訪問(wèn)”,即“境外遠(yuǎn)程訪問(wèn)”一般包括那些情形,。
狹義層面的“遠(yuǎn)程訪問(wèn)”(remote access)一般是指遠(yuǎn)端用戶通過(guò)其他設(shè)備訪問(wèn)該計(jì)算機(jī)及其存儲(chǔ)資源的行為,,比較常見(jiàn)的是通過(guò)在計(jì)算機(jī)上安裝遠(yuǎn)程訪問(wèn)軟件的方式來(lái)達(dá)到在遠(yuǎn)端操控計(jì)算機(jī)的目的。
而法律所規(guī)制的“數(shù)據(jù)出境”行為要求網(wǎng)絡(luò)運(yùn)營(yíng)者的“提供”行為具有主動(dòng)性,。筆者認(rèn)為主動(dòng)性在“遠(yuǎn)程訪問(wèn)”中體現(xiàn)為此訪問(wèn)行為是否受權(quán)限控制,。如果境外主體獲得權(quán)限后訪問(wèn)境內(nèi)數(shù)據(jù)庫(kù),則該行為應(yīng)當(dāng)落入《評(píng)估指南》的規(guī)制范疇,,屬于“數(shù)據(jù)出境”行為,。
如果網(wǎng)絡(luò)運(yùn)營(yíng)商在中華人民共和國(guó)境內(nèi)收集和產(chǎn)生的重要數(shù)據(jù)是因?yàn)楸粣阂夤粽吒`取數(shù)據(jù)從而導(dǎo)致重要數(shù)據(jù)被傳輸至境外的,不屬于數(shù)據(jù)出境行為,。
而從訪問(wèn)對(duì)象看,,境外主體所訪問(wèn)的計(jì)算機(jī)或其資源不存在權(quán)限要求,即任何主體在任何時(shí)間地點(diǎn)均可對(duì)其進(jìn)行訪問(wèn),,與排除“依法公開(kāi)披露”立法意相同,,也不屬于“數(shù)據(jù)出境”行為。
?。?三 ) 境外接收重要數(shù)據(jù)的母公司是否也存在合規(guī)要求,?
——是的
在跨國(guó)企業(yè)的業(yè)務(wù)中,收集,、傳輸數(shù)據(jù)的主體多為跨國(guó)公司的境內(nèi)公司(外商投資企業(yè)),,其承擔(dān)了主要的合規(guī)義務(wù),而境外母公司作為接受者也存在一定的監(jiān)管要求,。網(wǎng)信辦在2019年發(fā)布的《個(gè)人信息出境安全評(píng)估辦法(征求意見(jiàn)稿)》對(duì)“個(gè)人信息接收者”規(guī)定了相應(yīng)的法律義務(wù),,該辦法主要是針對(duì)個(gè)人信息出境,但由于其內(nèi)容具有一定實(shí)操性和規(guī)范性,因此我們建議在《數(shù)據(jù)安全法》配套法規(guī)尚未出臺(tái)前,,有出境需求的跨國(guó)企業(yè)可以參照該辦法規(guī)定開(kāi)展數(shù)據(jù)傳輸合規(guī)工作,,力求盡可能規(guī)避監(jiān)管風(fēng)險(xiǎn)。
該辦法第十三條規(guī)定網(wǎng)絡(luò)運(yùn)營(yíng)者(跨國(guó)公司的境內(nèi)公司)與個(gè)人信息接收者(境外母公司)應(yīng)當(dāng)簽訂合同或者其他有法律效力的文件,,并對(duì)合同所應(yīng)當(dāng)約定的內(nèi)容進(jìn)行了規(guī)定,。
該辦法第十五條、第十六條明確規(guī)定接收者(境外母公司)所應(yīng)承擔(dān)的責(zé)任和義務(wù),,包括:
為個(gè)人信息主體提供訪問(wèn)其個(gè)人信息的途徑,,個(gè)人信息主體要求更正或者刪除其個(gè)人信息時(shí),應(yīng)在合理的代價(jià)和時(shí)限內(nèi)予以響應(yīng),、更正或者刪除,。
按照合同約定的目的使用個(gè)人信息,個(gè)人信息的境外保存期限不得超出合同約定的時(shí)限,。
確認(rèn)簽署合同及履行合同義務(wù)不會(huì)違背接收者所在國(guó)家的法律要求,,當(dāng)接收者所在國(guó)家和地區(qū)法律環(huán)境發(fā)生變化可能影響合同執(zhí)行時(shí),應(yīng)當(dāng)及時(shí)通知網(wǎng)絡(luò)運(yùn)營(yíng)者,,并通過(guò)網(wǎng)絡(luò)運(yùn)營(yíng)者報(bào)告網(wǎng)絡(luò)運(yùn)營(yíng)者所在地省級(jí)網(wǎng)信部門,。
除非滿足一定條件,接收者不得將接收到的個(gè)人信息傳輸給第三方,。
對(duì)于“重要數(shù)據(jù)”而言,,其對(duì)于“知情同意”的要求力度不如“個(gè)人信息”(個(gè)人信息自決權(quán)的體現(xiàn)),因此第一點(diǎn)對(duì)“重要數(shù)據(jù)”而言參照性較低,。但第2,、3、4點(diǎn)的制定邏輯均適用于“個(gè)人信息”和“重要數(shù)據(jù)”,,跨國(guó)企業(yè)可以參照,。
總結(jié)
此前,國(guó)家網(wǎng)信辦官網(wǎng)發(fā)布了《網(wǎng)絡(luò)安全審查辦法(修訂草案征求意見(jiàn)稿)》并向社會(huì)公開(kāi)征集意見(jiàn),。該辦法對(duì)赴國(guó)外上市公司作了特殊規(guī)定,,要求掌握超過(guò) 100 萬(wàn)用戶個(gè)人信息的運(yùn)營(yíng)者赴國(guó)外上市,必須向網(wǎng)絡(luò)安全審查辦公室申報(bào)網(wǎng)絡(luò)安全審查,,且在申報(bào)材料中應(yīng)提供擬提交的 IPO 材料,。且在審查關(guān)注的國(guó)家安全風(fēng)險(xiǎn)方面,針對(duì)赴國(guó)外上市行為提出了新的規(guī)制措施,??梢砸?jiàn)得,在未來(lái)一段期限內(nèi),,關(guān)涉國(guó)家安全對(duì)數(shù)據(jù)跨境流通將面對(duì)更進(jìn)一步對(duì)監(jiān)管要求,。尤其是日常業(yè)務(wù)涉及高頻數(shù)據(jù)跨境流動(dòng)對(duì)跨國(guó)企業(yè),,對(duì)此問(wèn)題應(yīng)當(dāng)有所應(yīng)對(duì)。
