2016年11月7日,全国人大常委会正式通过了《中华人民共和国网络安全法》(以下简称《网安法》),并将于今年6月1日起开始正式施行。

其中,《网安法》第三十七条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”该条规定对于数据的跨境传输设置了一定限制,引起了社会的广泛关注与讨论。

在《网安法》发布之后,国家互联网信息办公室于今年4月11日发布了《个人信息和重要数据出境安全评估办法(征求意见稿)》(以下简称《评估办法》),向社会公众公开征求意见,其中进一步明确了《网安法》中提及的、针对个人信息和重要数据出境进行安全评估的具体办法和范围。

“关键信息基础设施”的判断

《网安法》第三十七条中规定的数据跨境传输的相关限制所适用的主体为“关键信息基础设施的运营者”,但是对于到底谁是“关键信息基础设施的运营者”,《网安法》及《评估办法》中均未给出任何明确的定义、范围或解释。

但是,值得注意的是,在2016年底发布并实施的《国家网络空间安全战略》(以下简称《安全战略》)中:“国家关键信息基础设施是指关系国家安全、国计民生,一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施,包括但不限于提供公共通信、广播电视传输等服务的基础信息网络,能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统,重要互联网应用系统等[1]。”虽然《网安法》并未直接指向《安全战略》,但是鉴于其监管指向的相似性,我们倾向于认为有关部门在实践操作中也有可能参照《安全战略》中 “关键信息基础设施”的相关定义。

在判断特定基础设施/系统是否应被归类为“关键信息基础设施”时,我们建议通过对特定基础设施/系统进行一个分三个步骤的评估来得出倾向性的意见。若特定的基础设施/系统符合每一个步骤设置的条件,那么将会有比较大的可能性被视为“关键信息基础设施”,并且使用和运营该等基础设施/系统的企业也会同样有可能被认为是“关键信息基础设施的运营者”。

首先,分析、识别特定基础设施/系统涉及的行业及业务是否落入关键信息基础设施涉及的关键行业及业务。基于《安全战略》中的有关定义,公共通信、广播电视、能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等行业被视为关键信息基础设施涉及的关键行业及业务。值得我们注意的是,“工业制造”这一行业属于关键信息基础设施涉及的关键行业,这意味着生产型企业也有可能会被认为从事、参与关键行业及业务。

其次,将根据上一步骤中所确定的关键业务,梳理出支撑关键业务运行或与关键业务相关的信息系统或工业控制系统。对于一般生产型企业来说,除普通信息化办公系统外,若其通过使用工业集控系统来进行工业生产、制造与加工,则该工业集控系统也会有比较大的可能性被视为关键信息基础设施。

最后,具体评估一旦该等信息或控制系统发生安全事故、遭到破坏,是否可能导致严重的后果,比如造成危机国家安全及公共利益的信息泄露、干扰国民经济正常运行,严重的人员伤亡或是巨大的财产损失。如果任何恶意第三方通过远程控制该工业控制系统或信息系统,仅能使得该等系统停机、故障等,而无法造成前述或类似严重后果,则该等系统被认为是关键信息基础设施,且有关企业被视作关键信息基础设施运营者的可能性不大。

“个人信息”与“重要数据”的界定

根据《网安法》,“个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等[2]。仅通过上述定义,难以准确判断公司收集的员工信息是否属于个人信息,但值得关注的是,《网安法》中所规定的需要在境内存储的个人信息为“境内运营”中收集和产生的个人信息,而员工信息并不必然是在公司业务运营过程中所收集的个人信息;此外,《网安法》主要针对关键信息基础设施运营者收集的个人信息,对该等信息,如需转移出境,需要获得相应的授权进行必要的安全评估。

根据《评估办法》,“重要数据”是指与国家安全、经济发展,以及社会公共利益密切相关的数据,具体范围参照国家有关标准和重要数据识别指南[3]。目前,网信办暂未出台前款提及的有关标准和重要数据识别指南,对于“重要数据”范围的界定还不够清晰,我们也将持续关注此方面的法规动态。

安全评估

若有关企业确实落入“关键信息基础设施的运营者”的范围内,并且拟将其在境内运营中收集和产生的“个人信息”与“重要数据”传输至境外,则该企业需要针对其数据出境报请行业主管或监管部门组织安全评估。

若有关企业仅被认为是“网络运营者”而非“关键信息基础设施的运营者”,则根据《评估办法》,在符合相关条件的情况下(如出境数据不含有50万人以上的个人信息、数据量不超过1000GB,因数据传输更多是传输原始数据,普通企业达到该等数据传输规模的可能性不大)[4],其仅需要自行组织对数据出境进行安全评估,实质性阻碍或限制企业数据的跨境传输的可能性不大。