申请实习证 网上投稿 《上海律师》
当前位置: 首页 >> 业务研究 >> 专业论文

管窥《个人信息和重要数据出境安全评估办法(征求意见稿)》:规范的梳理与探讨

    日期:2017-06-02     作者:陈巍(上海律师协会互联网业务研究委员会主任、上海市通力律师事务所合伙人 )、 潘永建(上海市通力律师事务所律师)、李天航(上海市通力律师事务所)

      2017年4月11日,国家互联网信息办公室发布了关于《个人信息和重要数据出境安全评估办法(征求意见稿)》(以下简称《数据出境办法(征求意见稿)》)公开征求意见的通知。根据我国既往的立法实践,规范性文件的征求意见稿往往与最后实施的正式文件在内容上差异不大,故而通过对《数据出境办法(征求意见稿)》条文的梳理与探讨,有助于企业及时预判立法与执法动态、提前做好合规工作。《数据出境办法(征求意见稿)》共计十八条,结合其具体内容,我们认为有以下几个方面值得关注。
      一、上位法的依据: 《国家安全法》、《网络安全法》
      《数据出境办法(征求意见稿)》第一条明确指出其依据为《中华人民共和国国家安全法》(以下简称“《国家安全法》”)《中华人民共和国网络安全法》(以下简称“《网络安全法》”)等法律法规,《数据出境办法(征求意见稿)》将出境数据须评估的范围界定为个人信息以及重要数据具有上位法依据。《国家安全法》第十六条规定国家“保障公民的生命财产安全和其他合法权益”,个人信息具有数据和公民权益双重属性:第二十五条明确规定国家“实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”,重要数据即对应“关键基础设施和重要领域信息系统及数据”。因此,《数据出境办法(征求意见稿)》并非仅仅是《网络安全法》第三十七条的细化配套实施办法。这一认识有助于我们正确解读数据出境的相关要求。
      二、规范的主体: 网络运营者的内涵
      根据《数据出境办法(征求意见稿)》第二条[1]的内容,该办法规范的主体系“网络运营者”。《数据出境办法(征求意见稿)》在“网络运营者”的定义上与《网络安全法》保持了一致,是指“网络的所有者、管理者和网络服务提供者”。全国人大法工委经济法室副主任杨合庆先生在其主编的《中华人民共和国网络安全法解读》中指出,“在本法制定前的法律中,更多的使用网络服务提供者的概念,它包括网络接入服务提供者(ISP)和网络内容服务提供者(ICP)两类。由于网络安全法规定的网络除互联网外还包括局域网和工业控制系统,它们很多不向社会提供商业或公共服务,但其所有者和控制者也必须承担相应的安全义务,防范网络安全风险,保障网络安全稳定运行。”由此可见,“网络运营者”的概念比“网络服务提供者”的概念更为宽泛,值得读者予以关注。
对应的部门
规定的名称
使用的概念
立法部门
《网络安全法》(主席令第53号)
网络运营者
行政部门
《信息网络传播权保护条例》(国务院令第634号)
网络服务提供者
《互联网信息服务管理办法》(国务院令第588号)
互联网信息服务提供者
司法部门
《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(法释[2014]11号)
网络服务提供者
      “互联网信息服务提供者”<“网络服务提供者”<“网络运营者”
      此外,《数据出境办法(征求意见稿)》第十六条规定“其他个人和组织在中华人民共和国境内收集和产生的个人信息和重要数据出境的安全评估工作参照本办法执行”,因此,除了网络运营者之外,《数据出境办法(征求意见稿)》将所有主体都“一网打尽”。
      三、规范的适用: 范围、行为与对象
      (一)适用的范围
      依据《数据出境办法(征求意见稿)》的定义,“数据出境”是指网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据, 提供给位于境外的机构、组织、个人。对于“境内”一词的理解,我们认为有以下两点值得注意:
      第一,当“境内”与“境外”相对时,主要根据物理空间(地域位置)来界定,”境内”即为中国大陆地区,”境外”包括我国的港澳台地区及其他国家;
      第二,“境内运营中收集和产生的个人信息和重要数据”的表述没有明确“境内”的涵义,即具体是网络运营者位于境内或“收集和生产”信息或数据的服务设备位于境内,还是被收集信息或数据的服务对象位于境内,在《数据出境办法(征求意见稿)》中并未明确定义。我们理解,“运营”一词具有宽泛的含义,同时互联网本身具有跨地域的属性,“境内”+“运营”的表述在理解上容易引发歧义,有待《网络安全法》正式施行后的司法案例或有关部门出台细则予以释明。  
条文表述
有待释明的情形
需要探讨的原因
“网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据”
网络运营者的办公地点不在境内是否适用
目前法律尚未明确“信息”的法律地位,仅侧重保护个人信息的收集与利用,使得在处理具体问题时, 信息或数据是附属于服务对象或附属于存储介质或附属于归集主体尚不明确
网络运营者的办公地点在境内,收集和生产信息或数据的服务设备不在境内是否适用
网络运营者的服务对象不在境内是否适用
      除了上述地域层面的规范适用问题外,《数据出境办法(征求意见稿)》的适用位阶问题也值得读者关注。根据《数据出境办法(征求意见稿)》第二条、第十五条[2]、第十六条[3], 就数据出境的法律适用,结合《网络安全法》第三十七条[4],以及《国家安全法》第二十五条, 我们可以得出以下两点结论:
      第一,对照《数据出境办法(征求意见稿)》第二条与《网络安全法》第三十七条以及《国家安全法》第二十五条,我们理解前者对应的规范性文件是后者规定的具体化,在适用时遵照《数据出境办法(征求意见稿)》修订生效施行后的正式文件;
      第二,我国政府与其他国家或地区签署的关于数据出境的协议、涉及国家秘密信息的具体规定或其他个人和组织涉及数据出境的具体规定,在适用时会优位于《数据出境办法(征求意见稿)》修订生效后的正式文件。
 
适用性(先)
适用性(中)
适用性(后)
我国政府与其他国家或地区签署的关于数据出境的协议
《数据出境办法(征求意见稿)》修订生效后的正式文件【操作性较强】
《网络安全法》第三十五条以及《国家安全法》第二十五条【原则性较强、操作性较弱】
涉及国家秘密信息的具体规定
其他个人和组织涉及数据出境的具体规定
        (二)适用的行为  
      依据《数据出境办法(征求意见稿)》的定义,网络运营者在“提供”相关信息或数据时,将适用该办法。实践中,“提供”在形态上区分为主动提供与被动提供,在模式上区分为线上提供与线下提供。对于“提供”一词的理解,我们认为有以下两点值得注意: 
      第一, 我们理解, 网络运营者直接通过网络将相关信息或数据传输给境外机构、组织或个人的情形,显而易见系属于“提供”行为,网络运营者允许前述境外主体通过网络访问、读取相关信息或数据,在行为效果上与主动提供一致,故而类似“被动提供”的行为受到该办法的规范也应是题中之义;  
      第二,尽管“数据出境”的措辞容易使读者联想到网络,但《数据出境办法(征求意见稿)》的第一条[5]明确了该办法的立法依据除了《网络安全法》之外,还包括《国家安全法》,我们理解,尽管《数据出境办法(征求意见稿)》修订生效后的正式文件适用于数据被线下带出境的情形在实践中可操作性较低(例如:民航在安检时核查乘客携带的信息或数据存储介质的合理性及合法性可能存在争议), 但在文义理解上, 依然无法排除该办法不适用于线下的数据出境。
  
【注】箭头方向代表《数据出境办法(征求意见稿)》修订生效后的正式文件的适用性由强到弱。
      (三)适用的对象
      在这里,“适用的对象”是个广义的概念,包括“个人信息和重要数据”(标的),也包括“位于境外的机构、组织、个人”(对象)。关于对“个人信息和重要数据”的理解,我们认为有以下两点值得注意: 
      第一,这里的“个人信息”并非指所有与个人有关的信息,而是指与个人有关且可以识别身份的信息,属于相对狭义的概念。具体而言,《数据出境办法(征求意见稿)》在定义上,沿用了《网络安全法》的相关规定,明确“个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。故而,经过脱敏处理的个人信息不属于该办法中定义的个人信息。但值得注意的是, 如果巨量的脱敏信息使得信息获得方可以通过该类脱敏信息获得与国家安全、经济发展,以及社会公共利益密切相关的数据,则可能属于“重要数据”。
      第二,这里的“重要数据”的具体内涵有赖于后续颁布的“国家有关标准和重要数据识别指南”。我们理解,《网络安全法》中关于“重要数据”的规定确立了处置数据出境问题的基本原则,《数据出境办法(征求意见稿)》修订生效后的正式文件将在基本原则上进一步明确处置的程序(评估、报告等),而“重要数据”的内涵可能会先在政府层面的政策方针中予以明确,再具体落实到法律法规中。在相关规定没有出台前,读者可关注中国网信网(中共中央网络安全和信息化领导小组办公室官方网站, 链接地址: http://www.cac.gov.cn/)中的相关时评以及国际惯例。
《网络安全法》
(已颁布)
《个人信息和重要数据出境安全评估办法》
(征求意见中)
重要数据识别指南”
(待颁布)
确立处置数据出境问题的基本原则
明确处置数据出境问题的程序(评估、报告等)
明确“重要数据”的内涵(即政府监管的信息边界)
      对于“位于境外的机构、组织、个人”的理解,我们认为值得注意的是“机构”一词。“机构”从广义角度而言,包括政府机构。在实践中,如果网络运营者需要向境外政府机构提供相关信息或数据,可能涉及两部乃至多部法律的适用。前文所述的数据出境的双边或多边协议会在一定程度上解决该问题,但在具体的协议出台前,依据属地原则,网络运营者仍需适用我国关于数据出境的管理办法。如果境外对数据传输另有规定且与我国的规定有所冲突,我们建议相关网络运营者及时与我国网信主管部门沟通,明确相关规定或评估程序豁免适用的条件或情形。
      四、外部评估的前提: 禁止规定以及启动条件
      《数据出境办法(征求意见稿)》的第十一条[6]明确了数据禁止出境的情形,主要包括: 第一,个人信息出境未经个人信息主体或作为未成年人的信息主体的监护人的同意,或可能侵害个人利益;第二,数据出境给国家政治、经济、科技、国防等安全带来风险, 可能影响国家安全、损害社会公共利益。围绕个人信息,最近公布的《中华人民共和国民法总则》(以下简称“《民法总则》”)第一百一十一条明确规定,自然人的个人信息受法律保护;任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息, 不得非法买卖、提供或者公开他人个人信息。结合《中华人民共和国合同法》关于格式条款的规定,我们理解网络运营者在信息收集和产生的过程中,通过电子方式拟定授权条款时应当符合相关法律的规定。此外,“影响国家安全、损害社会公共利益”是个相对宽泛的概念,网络运营者在签订数据出境协议时于风险提示与承担的条款中应对有关情形予以明确约定。
数据禁止出境的情形
涉及的主要法律法规
网络运营者需关注的合同条款
个人信息出境未经个人信息主体同意, 或可能侵害个人利益
《网络安全法》
《民法总则》
授权许可类格式条款
数据出境影响国家安全、损害社会公共利益
《网络安全法》
《国家安全法》
风险提示与分担条款
      《数据出境办法(征求意见稿)》的第九条[7]规定了安全评估的启动程序,从拟出境数据涉及的规模、领域与重要性等方面明确数据出境前实施前置安全评估的条件。
类型
条件
要求
数据对应的对象规模
含有或累计含有50万人以上的个人信息
符合条件之一即需要申报安全评估
数据对应的容量规模
数据量超过1000GB
数据对应的相关领域
核设施、化学生物、国防军工、人口健康等领域数据
数据对应的环境信息
大型工程活动、海洋环境以及敏感地理信息数据
关键信息基础设施的安全技术与实体内容
关键信息基础设施的系统漏洞、安全防护等网络安全信息
关键信息基础设施运营者向境外提供个人信息和重要数据
      五、评估的内容: 国家与个人的两个层面
      《数据出境办法(征求意见稿)》的第八条[8]规定了数据出境安全评估的重点评估内容。该条第一款第一项指出了“数据出境的必要性”。目前,该办法尚在征求意见的立法步骤中,我们尚不清楚立法者对于“必要性”的态度,即没有必要出境的数据是否就无法通过安全评估。依据《数据出境办法(征求意见稿)》第三条的规定,数据出境安全评估应遵循公正、客观、有效的原则,保障个人信息和重要数据安全,促进网络信息依法有序自由流动。故而,我们理解立法者对于数据出境的态度依然是中性的,侧重于数据安全与信息自由的平衡。同时,对于评估后的处置程序亦未明确,从评估的立法本意来看,对于评估后的处置并非仅有可以出境与否的两种答案,是否可以根据评估状况,由网络运营者辅之以相应措施后亦可出境,期望在后续的立法进程中予以明确。
数据出境安全评估的重点评估内容
数据出境的必要性(第一款第一项)
个人信息的要件(第一款第二项)
重要数据的要件(第一款第三项)
数据接收方的资质, 以及所在国家和地区的网络安全环境(第一款第四项)
数据再转移后可能带来风险(第一款第五项)
出境数据汇聚后可能带来风险(第一款第六项)
      六、评估的机制: 主体、模式与要求
      《数据出境办法(征求意见稿)》的第五条至第七条、第十二条对安全评估的主体、模式与要求作出了规定,安全评估的机制主要包括内部评估、外部评估、年度评估、二次评估等。
评估机制
相关条文
具体要求
内部评估
第七条[9]
在数据出境前自行组织并对评估结果负责
外部评估
第五条[10]
第六条[11]
国家网信部门
统筹协调
行业主管或监管部门
组织开展
年度评估
第十二条[12]
根据业务发展和网络运营情况, 每年至少进行一次安全评估
二次评估
第十二条
当数据接收方出现变更, 数据出境目的、范围、数量、类型等发生较大变化, 数据接收方或出境数据发生重大安全事件时, 需要重新评估
      由评估的方式来看,网络运营者开展内部评估、年度评估以及二次评估的系其自我评估,在不涉及《数据出境办法(征求意见稿)》第九条和第十一条规定情形下,均采取自我评估的方式,因此,网络运营者自我评估的能力和水平关乎企业的正常运营。
      七、建议
      结合前述对《数据出境办法(征求意见稿)》中相关条文的梳理与探讨,我们就数据出境问题给出以下几点建议:
      第一,网络安全已经成为我国政府高度关注的问题,并上升到了“空间主权”的层面予以规范,网络运营者或者涉及网络运营的其他企业应当尽快对自身网络安全工作进行一次合规性审查,尤其是在近期有投融资规划,或者金融资本近期拟进入网络科技领域的企业, 我们建议将网络安全作为合规管理、尽职调查的重要事项之一予以对待。
      第二,数据出境对应的安全评估涉及自我评估的环节,对于在技术资质、法律合规环节把控能力较弱的企业,我们建议聘请外部专业机构进行独立评估,从而降低企业风险。
      第三,2016年10月国家税务总局起草并对外发布了《非居民金融账户涉税信息尽职调查管理办法(征求意见稿)》,而此次的《数据出境办法(征求意见稿)》再次提及“与其他国家、地区签署的关于数据出境的协议”。我们理解以数据为核心的资产管理观念正在国家层面形成,建议网络运营者或者涉及网络运营的其他企业应积极响应,以应对外部政治、商业环境的实时变化。

【注释】
[1]《个人信息和重要数据出境安全评估办法(征求意见稿)》第二条规定,网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据,应当在境内存储。因业务需要, 确需向境外提供的,应当按照本办法进行安全评估。
[2]《个人信息和重要数据出境安全评估办法(征求意见稿)》第十五条规定,我国政府与其他国家、地区签署的关于数据出境的协议, 按照协议的规定执行。涉及国家秘密信息的按照相关规定执行。
[3]《个人信息和重要数据出境安全评估办法(征求意见稿)》第十六条规定,其他个人和组织在中华人民共和国境内收集和产生的个人信息和重要数据出境的安全评估工作参照本办法执行。
[4]《中华人民共和国网络安全法》第三十七条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
[5]《个人信息和重要数据出境安全评估办法(征求意见稿)》第一条规定,为保障个人信息和重要数据安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法利益,根据《中华人民共和国国家安全法》《中华人民共和国网络安全法》等法律法规,制定本办法。
[6]《个人信息和重要数据出境安全评估办法(征求意见稿)》第十一条规定,存在以下情况之一的,数据不得出境: (一)个人信息出境未经个人信息主体同意,或可能侵害个人利益;(二)数据出境给国家政治、经济、科技、国防等安全带来风险,可能影响国家安全、损害社会公共利益;(三)其他经国家网信部门、公安部门、安全部门等有关部门认定不能出境的。
[7]《个人信息和重要数据出境安全评估办法(征求意见稿)》第九条规定,出境数据存在以下情况之一的,网络运营者应报请行业主管或监管部门组织安全评估: (一)含有或累计含有50万人以上的个人信息;(二)数据量超过1000GB;(三)包含核设施、化学生物、国防军工、人口健康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等;(四)包含关键信息基础设施的系统漏洞、安全防护等网络安全信息;(五)关键信息基础设施运营者向境外提供个人信息和重要数据;(六)其他可能影响国家安全和社会公共利益,行业主管或监管部门认为应该评估。行业主管或监管部门不明确的,由国家网信部门组织评估。
[8]《个人信息和重要数据出境安全评估办法(征求意见稿)》第八条规定,数据出境安全评估应重点评估以下内容: (一)数据出境的必要性;(二)涉及个人信息情况,包括个人信息的数量、范围、类型、敏感程度,以及个人信息主体是否同意其个人信息出境等;(三)涉及重要数据情况,包括重要数据的数量、范围、类型及其敏感程度等;(四)数据接收方的安全保护措施、能力和水平,以及所在国家和地区的网络安全环境等;(五)数据出境及再转移后被泄露、毁损、篡改、滥用等风险;(六)数据出境及出境数据汇聚可能对国家安全、社会公共利益、个人合法利益带来的风险;(七)其他需要评估的重要事项。
[9]《个人信息和重要数据出境安全评估办法(征求意见稿)》第七条规定,网络运营者应在数据出境前,自行组织对数据出境进行安全评估,并对评估结果负责。
[10]《个人信息和重要数据出境安全评估办法(征求意见稿)》第五条规定,国家网信部门统筹协调数据出境安全评估工作,指导行业主管或监管部门组织开展数据出境安全评估。
[11]《个人信息和重要数据出境安全评估办法(征求意见稿)》第六条规定,行业主管或监管部门负责本行业数据出境安全评估工作,定期组织开展本行业数据出境安全检查。
[12]《个人信息和重要数据出境安全评估办法(征求意见稿)》第十二条规定, 网络运营者应根据业务发展和网络运营情况, 每年对数据出境至少进行一次安全评估, 及时将评估情况报行业主管或监管部门。当数据接收方出现变更, 数据出境目的、范围、数量、类型等发生较大变化, 数据接收方或出境数据发生重大安全事件时, 应及时重新进行安全评估。