【23xiu.com-爱上秀-教育信息门户网】
最新或2022(历届)年11月7日,《网络安全法》正式通过出台,下面是小编给大家整理提供的具体内容及相关的解读,快来随小编了解一下!
《网络安全法》时代数据跨境传输的企业合规挑战
最新或2022(历届)年11月7日,《中华人民共和国网络安全法》(以下简称“《网络安全法》”)正式通过,最新或2022(历届)年6月1日起施行。《网络安全法》共包括七章,七十九条,对网络安全等级保护制度、关键信息基础设施保护和用户个人信息保护制度等从法律层面上进行了规定。其中,限制关键信息基础设施的数据跨境传输的有关规定自《网络安全法(草案)》初次审议(以下简称“一审稿”)以来倍受全球范围的广泛关注。限制数据跨境条文的最终落地,将对企业跨国经营产生巨大的实际影响,也将成为跨国企业的首要合规挑战。
数据跨境传输的崭新变局
作为中国网络安全领域的基本法律,《网络安全法》第三十七条规定,“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”这一规定将为在华运营的企业,尤其是跨国公司带来的全球化运营产生重大影响。需要明确的是,跨国公司并不仅限于传统意义上的“外企”,随着中国企业在海外业务的不断拓展,许多中国企业也已加入到跨国公司的行列,也将同样面临数据跨境传输的法律限制。
近年来,中国政府已开始逐渐关注数据跨境传输问题,但先前已有的法规在规制数据类型及领域等方面还比较局限。例如,最新或2022(历届)年1月21日国务院公布的行政法规《征信业管理条例》第二十四条规定,“征信机构在中国境内采集的信息的整理、保存和加工,应当在中国境内进行。征信机构向境外组织或者个人提供信息,应当遵守法律、行政法规和国务院征信业监督管理部门的有关规定”;2011年1月21日中国人民银行发布的部门规章《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》第六条规定,“在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外,银行业金融机构不得向境外提供境内个人金融信息”。可以看出,以上两个文件所针对的领域仅限于征信领域及银行业金融领域,涉及的数据范围也较为局限。
此外,作为中国首部对个人信息保护制定国家标准的《信息安全技术公共及商用服务信息系统个人信息保护指南》在第5.4.5条规定,“未经个人信息主体的明示同意,或法律法规明确规定,或未经主管部门同意,个人信息管理者不得将个人信息转移给境外个人信息获得者,包括位于境外的个人或境外注册的组织和机构”。显然,该指南涵盖的领域与数据范围要比前述两个文件广泛许多,但该指南作为“指导性技术文件”对相关企业及个人并不具有强制力。
相比而言,《网络安全法》系首次从国家法律层面限制数据的跨境传输,无论是从法律层级、规制领域范围、数据类型,还是规制程序、法律责任等角度来看,都显著超越之前的规范性文件。
加速出台的立法背景及条文演化
自最新或2022(历届)年中国接入国际互联网20周年,中国已经全面迈入互联网时代。蓬勃发展的互联网在经济、社会、文化等各个领域建功卓著,然而,人们在享受互联网所带来的财富与便利的同时,也面临着互联网本身隐含的诸多风险与威胁,其间滋生着诸如网络侵权、互联网不正当竞争、黑客攻击、数据泄露等大量问题,而其中的网络安全问题则已上升为世界各国关注的重要议题,网络安全已成为关系国家安全和发展,关系人民群众切身利益的重大问题。为防止公民个人信息被窃取、泄露和非法使用,《网络安全法》在《全国人民代表大会常务委员会关于加强网络信息保护的决定》的基础上,进一步完善公民个人信息保护制度,规范网络信息传播活动。
《网络安全法》的立法进程可谓一直在“加速前进”。最新或2022(历届)年6月,全国人大常委会对草案进行了初次审议并在接下来的一个月内完成了草案的意见征集。最新或2022(历届)年6月,仅一年之后,全国人大常委会对二次审议稿(“二审稿”)进行了第二次审议。最新或2022(历届)年10月,在全国人大常委会第二十四次会议上,原本不在预先公布的草案审议议程中的《网络安全法(草案)》在开幕首日便提请审议,并最终获得通过。从最新或2022(历届)年6月草案一审到最终审议通过,历时仅短短一年半左右的时间。
在三次公布的草案审议稿中,有关数据跨境传输的规定也一直在不断变化,具体体现在对“关键信息基础设施”的定义与范围规定的不同。一审稿中,关键信息基础设施有明确的范围,包括(1)基础信息网络,主要包括广电网、电信网、互联网;(2)重要行业和公共服务领域的重要信息系统,例如核岛控制系统、银联交易系统、智能交通系统、供水管网信息管理系统、社保信息系统等;(3)军事网络,例如军事通信网、军队指挥自动化系统等;(4)地市级以上政务网络,例如电子政务系统、政府门户网站等;(5)用户数量众多的网络服务商系统。而在公布的二审稿中,对关键信息基础设施的概念采取了概括性规定,并删除了有关关键信息基础设施的具体范围的表述,规定具体范围由国务院进行制定。最终通过的《网络安全法》将一审稿与二审稿的表述进行结合,进一步界定了关键基础设施的范围,既列举了一些具体行业和领域,如公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务,又用“其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施”进行了兜底规定,具体范围仍然授权国务院进行制定。
主管部门、规范体系与发展趋势
《网络安全法》规定关键信息基础设施的范围由国务院制定,在中国网络安全领域问题逐渐突出,立法需求逐渐增强,立法进程逐步加快的背景之下,可以预见国务院的后续相关规范也会在不远的将来落地。届时,结合已有的《征信业管理条例》、《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》等行政法规和规范性文件,中国的数据跨境传输规范体系将初步建成。
从国际上来看,数据跨境传输的不同规范模式已经基本形成。如美国基于其信息产业的优势地位以及对数据自由流动的依赖性,在法律层面并没有对数据跨境传输做出限制性规定。而针对特定行业的外国资本进入,美国则通过与其签订安全协议的形式对数据本地化(Data Localization)作出要求。欧盟虽然不禁止数据的跨境传输,但即将生效的《一般数据保护条例》(General Data Protection Regulation)对向欧盟境外的国家传输做出了非常严格的条件,其中之一即为由欧盟委员会对接收国的数据保护体系作出“充分保护认定”(Adequate Decision),确认接收国可以为数据提供充分的保护后才可传输。看上去充分保护认定与中国《网络安全法》第三十七条中“因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”的规定略有相似。在将来中国的数据传输的安全评估体系中,对充分保护的类似认定也可能会作为考量因素之一。其他一些国家如澳大利亚则采取禁止特定领域的数据跨境传输的规制模式,与之相反,俄罗斯的《个人数据法》中的数据本地化要求则普遍适用于在境内收集个人数据的企业。中国的数据跨境传输规范会采取哪种形式,有待国务院及相关部门出台各类规定和实施细则。
《网络安全法》第八条第一款规定,“国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。”由此条款可知,《网络安全法》在国家层面的实施将至少涉及国家网信部门、国务院电信主管部门和公安部门,这和网络安全本身牵涉甚广的现实是相符的,相关配套规范的研究制定及后续执法工作,尚需各相关部门的相互协调与通力合作。此外,通观整部法律,有关“网信部门”的描述(含近似描述)共在条文中出现13次,所涉职权包括负责统筹协调网络安全工作和相关监督管理工作;会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测;对关键信息基础设施的运营者采购的可能影响国家安全的网络产品和服务,会同国务院有关部门组织的国家安全审查等等。可见,网信部门在《网络安全法》相关配套规范制定及实施监管中担任着十分重要的角色,其在以往出台和正在制定的相关规范文件及执法实践,亦值得企业重点关注与参考。
企业法律风险管理
贸易全球化与企业运营国际化的当下,信息的跨境传输每时每刻都在世界各地发生,尤其对跨国公司来说,海量信息伴随着其内部运营、现金流转、业务往来等在各国、各地区间频繁传递。根据《网络安全法》第六十六条的规定,“关键信息基础设施的运营者违反本法第三十七条规定,在境外存储网络数据,或者向境外提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。”违反有关限制数据跨境传输的规定,不但将面临网信部门的行政调查和罚款,更严重的法律后果包括吊销有关许可证和执照,从而对企业的跨境运营造成根本性影响。