其他
【律政文坛】《网络安全法》出台在即 首次限制数据跨境传输
一、网络安全立法背景 2014年是中国接入国际互联网20周年,中国已经全面迈入互联网时代。蓬勃发展的互联网在经济、社会、文化等各个领域建功卓著,然而,人们在享受互联网所带来的财富与便利的同时,也面临着互联网本身隐含的诸多风险与威胁,其间滋生着诸如网络侵权、互联网不正当竞争、黑客攻击、数据泄露等大量问题,而其中的网络安全问题则已上升为世界各国关注的重要议题。 2014年2月27日,中央网络安全和信息化领导小组成立,习近平担任组长,体现了中国最高层对网络安全的高度重视。然而,截止目前中国尚无一部专门规定网络安全的法律,相关规定散见于多部法律法规之中。 当前,全国人大常委会正在制定首部网络空间基础性法律——《网络安全法》。至2016年8月4日,《中华人民共和国网络安全法(草案二次审议稿)》(以下简称“二审稿”)已完成公开征求意见。如进展顺利,《网络安全法》最快将于年内出台。在正式出台之后,《网络安全法》将对在华运营企业产生重要影响。 二、数据跨境传输规制现状 近年来,中国政府已开始逐渐关注数据跨境传输问题,但现有法规在规制的数据类型及领域等方面还比较局限。例如,2013年1月21日国务院公布的行政法规《征信业管理条例》第二十四条规定,“征信机构在中国境内采集的信息的整理、保存和加工,应当在中国境内进行。征信机构向境外组织或者个人提供信息,应当遵守法律、行政法规和国务院征信业监督管理部门的有关规定”;2011年1月21日中国人民银行发布的部门规范性文件《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》第六条规定,“在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外,银行业金融机构不得向境外提供境内个人金融信息”。可以看出,以上法规和文件所针对的领域仅限于征信领域及银行业金融领域,涉及的数据范围也较为局限。 此外,作为中国首个个人信息保护国家标准的《信息安全技术公共及商用服务信息系统个人信息保护指南》在第5.4.5条规定,“未经个人信息主体的明示同意,或法律法规明确规定,或未经主管部门同意,个人信息管理者不得将个人信息转移给境外个人信息获得者,包括位于境外的个人或境外注册的组织和机构”。显然,该指南涵盖的领域与数据范围要比前述两部法规广很多,但该指南作为“指导性技术文件”对相关企业及个人并不具有强制力。值得在华运营企业密切关注的是,制定中的《网络安全法》首次从国家法律层面限制数据的跨境传输。 三、草案解读:数据跨境传输的具体限制规定 相比而言,在限制数据跨境传输的问题上,无论是从法律层级、规制领域范围、数据类型,还是从规制程序、法律责任等角度来看,制定中的《网络安全法》都显著超越之前的规范性文件。 (一)主体要求 根据二审稿第三十五条的规定,被规制的数据跨境传输的主体要求为“关键信息基础设施的运营者”,结合第二十九条的规定,关键信息基础设施系指“一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的”信息基础设施,而其“具体范围和安全保护办法由国务院制定”。 (二)数据类型 二审稿第三十五条规定,“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的公民个人信息和重要业务数据应当在境内存储”。故而,除了主体要求之外,该类数据限于系在中国境内收集或产生,主要包括两类:1、公民个人信息;2、重要业务数据。至于两类数据,尤其是后者的内涵与外延,二审稿并未作详细规定予以阐明,有待日后在立法或执法、司法中进一步明确。 (三)规制模式及具体要求 二审稿规定,前述两类信息原则上应当存储在中国境内,“因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定”。 (四)法律责任 二审稿第六十四条规定,“关键信息基础设施的运营者违反本法第三十五条规定,在境外存储网络数据,或者向境外提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款”。从法律责任的类型及主体来看,企业未来若有相关违法行为,所受处罚可能会相当严厉。 综上,虽然《网络安全法》尚在制定之中,相关规定亦有可能会进一步修改完善,但其对限制数据跨境传输的规定应当引起在华运营企业的格外注意。除此以外,目前二审稿对数据跨境传输的限制规定尚比较原则,在关键信息基础设施的范围、安全保护、评估办法、数据具体类型等方面的规定仍不明确。因此,在华运营企业需要密切跟进相关立法进程,关注国务院及相关部门具体规定以及在执法、司法实践中的认定,使企业在相关数据的收集、存储、跨境传输等各个方面做到合法合规。