背景

2016年11月7日获全国人大常委会通过的《中华人民共和国网络安全法》(“《网安法》”)即将于今年6月1日起正式施行。为确保相关条款得以落实,《网安法》以维护网络安全为核心,就若干核心问题提出了制度建设目标,并要求相关部门制定具体的实施措施,主要包括:

制度建设目标 《网安法》中的主要对应条款
(1)制定网络关键设备和网络安全专用产品目录 第二十三条
(2)建立网络安全等级保护制度; 第二十一条
(3)确立关键信息基础设施的范围及安全保护办法; 第二十一条
(4)制定网络产品与服务安全审查办法; 第二十二条
(5)建立个人信息和重要数据出境的安全评估办法。 第三十七条

目前,我们理解,国家互联网信息办公室(“国家网信办”)已经就上述第(4)和(5)项内容形成征求意见稿,向社会公众征求意见;[1]《网安法》实施在即,其他尚未出台征求意见稿或正式文本的配套措施,据我们了解目前也正处于讨论和制定阶段,因此近期企业及其他社会组织需要密切关注相关部门最新的立法动向。

本文针对2017年4月11日新鲜出炉的《个人信息和重要数据出境安全评估办法(征求意见稿)》(“《评估办法》”),对其主要条款和要求进行梳理和分析,进而从实际操作角度明晰企业在目前的规定下可能面临的合规处境,并指出有待进一步澄清或完善的问题。

条目 主要内容 条目 主要内容
第一条 立法宗旨、立法依据 第十条 法定评估——评估时限
第二条 适用范围(应当适用) 第十一条 禁止出境的数据范围
第三条 基本原则 第十二条 年度评估与重新评估
第四条 个人信息出境知情同意原则 第十三条 对违法行为的举报
第五条 国家网信部门职责 第十四条 法律责任
第六条 行业主管或监管部门职责 第十五条 适用其他协议或规定的情形
第七条 自行评估 第十六条 适用范围(参照执行)
第八条 安全评估重点评估内容 第十七条 概念定义
第九条 法定评估——适用情况 第十八条 生效日期

立法依据:《国家安全法》的引入值得关注

《评估办法》开宗明义,确立《中华人民共和国国家安全法》(“《国安法》”)和《网安法》作为其立法依据。[2]可以理解的是,《网安法》第三十七条确立了关键信息基础设施运营者的数据本地化义务,[3]作为直接确立数据出境安全评估机制的上位法,《网安法》被援引为《评估办法》的立法依据,既合法亦合理。

但另一方面,《评估办法》将《国安法》列为其另一项立法依据,显然更值得深思和解读:虽然《国安法》中仅有两个条文明确涉及网络安全事宜,[4]但《评估办法》仍将《国安法》明列为其立法依据,并且在公开征求意见的通知中也明确指出《国安法》的指导地位。我们理解,此处可能存在两个层次的考量:首先,从国家战略层面看,网络安全业已成为国家安全重要的一环,而个人信息和重要数据的出境问题又是网络安全整体中不可或缺的有机组成部分。因此,以《国安法》作为立法依据,体现了国家网信办对数据出境问题在国家安全层面的重视程度。同时,立法者也可以此为切入口,为《评估办法》对“其他个人和组织”的参照适用提供了解释的空间。其次,从执法、司法等实际操作层面看,《国安法》被确立为《评估办法》的立法依据,意味着在其成文及后续实施过程中,相关部门将能够援引和借鉴《国安法》对诸如“国家安全”、“国家利益”等概念进行解释,从而实现从国家安全角度,对超越网络范畴的数据出境进行更大范围监管的意图。

尽管如此,值得注意的是,《国安法》中的既有规定,例如“实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”[5]等表述,仍然不足以被援用或解读为《评估办法》的上位法依据。此外,如果未来实践中对《评估办法》的具体理解和解释方面援引了《国安法》原则性规定,可能会引发扩大化、任意化等风险,造成监管态度的混乱和监管相对人无所适从的情况。因此,我们也建议企业等各类主体在学习和理解《评估办法》的过程中,或在进行数据出境安全评估的实际操作时,不能仅仅局限于《评估办法》自身的条文,而需同时关注有关部门对《网安法》与《国安法》中相关规定的解释和执行。

适用范围:“网络运营者”和“其他个人和组织”的双重突破

1. “应当适用”——“网络运营者”

就适用范围而言,《评估办法》明确指出,其适用于“网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据……因业务需要,确需向境外提供的”的情况。[6]

然而,如上所述,作为《评估办法》目前唯一的直接上位法依据,《网安法》第三十七条只要求“关键信息基础设施的运营者”就其“在中华人民共和国境内运营中收集和产生的个人信息和重要数据”实施数据出境安全评估,而并非所有的“网络运营者”及其所收集的相关数据。我们理解,作为广大网络运营者中的重要组成部分,关键信息基础设施的运营者因为其所在行业或领域的重要性以及其掌握的数据关系着国家安全或公共利益,从而应当履行数据出境安全评估义务。[7]而《评估办法》将其适用对象规定为“网络运营者”,将大大扩展了《网安法》下数据出境安全评估机制的法定适用范围。这对于作为其上位法依据的《网安法》第三十七条的既有规定,被认为是一种有待商榷的重大突破。考虑到目前“网络经营者”队伍已经十分庞大,在其认定仍不明确的情况下,将《评估办法》的适用范围的扩大不仅将增加“网络经营者”的法律义务,也可能对网络时代市场运营者的合规工作带来不确定性。

与此同时,《评估办法》第十七条也对上述适用范围中的若干核心概念进行了界定。[8]不难发现,“网络运营者”与“个人信息”的概念依然沿用《网安法》中对应概念的界定[9],并无不同,这也从一个侧面反映出国家网信办认可并力求维护《评估办法》与《网安法》之间的密切联系和一致性。而“数据出境”与“重要数据”两个概念,则是专门为《评估办法》所拟定的。值得注意的是,“数据出境”的概念虽然明确了“出境”应是地理位置意义上的跨越国境,却并未就出境的具体“方式”或“途径”作进一步说明;换言之,《评估办法》所规制的数据出境行为可能并不局限于网络传输方式,也包括通过物理载体(如服务器、硬盘和纸质材料等)或以其他方式进行的数据跨境转移行为。此外,我们还注意到,“重要数据”的具体范围,需要“参照国家有关标准和重要数据识别指南”进行明确。除了2013年出台的《信息安全技术 公共及商用服务信息系统个人信息保护指南》外,截至目前从公开渠道仍未见其他任何与此相关的“国家标准”或“重要数据识别指南”,但据我们了解,国家网信办正会同相关行业主管部门,根据不同行业各自的特点,制定相应的与重要数据相关的标准与重要数据识别指南,并有望于近期发布

因此,考虑到这些核心概念所存在的模糊性或不确定性,我们认为《评估办法》在“网络运营者”的适用方面所做的重大突破的合法性和实际可操作性,值得谨慎研判和评估。

2. “参照执行”——“其他个人和组织”

除了明确“应当适用”数据出境安全评估机制的范围外,《评估办法》还进一步指出,对“其他个人和组织在中华人民共和国境内收集和产生的个人信息和重要数据出境的安全评估工作”,也应该“参照执行”办法中的相关条款。[10]

“参照”一词原指“参考、仿照”,以不同事物中共有的特征,作为行事的参考与对照标准。因此,“参照执行”的要求,无疑会将数据出境安全评估机制的适用对象进一步扩大与泛化,从而造成数据出境安全评估机制事实上的普遍化和常态化。如上所述,从“关键信息基础设施运营者”到“网络运营者”,《评估办法》的适用范围相较于其上位法依据,已经有了第一重重大突破;而从“网络运营者”进一步推而广至“其他个人和组织”,尽管只是“参照执行”,但考虑到《评估办法》关于该等参照执行并未对线上或线下、具体的行业或领域、使用目的及情形等做进一步限定,我们认为其仍有可能在一定范围内,对数量庞大的企业、个人以及其他组织所开展的类型不一且规模庞杂的数据处理活动造成不必要的负担。例如,一家不构成网络运营者的境内旅行社为组织出境游而收集并向境外提供游客个人信息,是否也要“参照执行”《评估办法》下的自评、年度评估等规定?如果是,这家旅行社又应如何或是否有能力实现对“数据接收方的安全保护措施、能力和水平,以及所在国家和地区的网络安全环境等”[11]的评估?这类问题很可能将随着《评估办法》的实施而大量出现,而这种情形是否符合国家网信办的立法和监管意图将有待进一步澄清。

评估方式:可操作性均有待增强

针对不同的数据出境情况,《评估办法》将安全评估基本划分为两类,即自行评估(自评)与法定评估(他评)。为了尽可能地保证安全评估的有效性,《评估办法》还规定了年度评估和特定情况下的重新评估。

1. 法定评估

就法定评估而言,《评估办法》第九条明确列举了必须报请主管或监管部门组织安全评估的数据出境情形,即只有满足特定条件的情况下,网络运营者才有义务报请相关部门进行安全评估。

值得注意的是,首先,第九条中的第(五)项规定正是《网安法》第三十七条中规定的具体情形,而其他情形均未出现在《网安法》或《国安法》的条文之中。这也在某种程度上说明,《评估办法》不仅仅突破了数据出境安全评估“主体”的范围(如上所述的两个突破),也突破了其所适用的“客体”即“数据”的范围。

其次,该条规定的所有情形当中,只有第(一)和(二)项包含较低的信息量或数据量要求,[12]其他分项均只以数据的性质或实施行为的主体为标准进行认定,但是认定标准所涉及的行业范围又相对宽泛,容易使众多企业在是否需要报请评估的问题上产生困惑。因此,如需在实践中严格遵从《评估办法》的规定,则可能要求立法者通过后续配套的实施细则,对相应性质的数据以及主体的范围进行较为明确的说明,使网络运营者得以判断法定评估机制的适用性,从而增强法定评估机制的可操作性。

再次,该条第(六)项兜底条款中设置“可能影响国家安全和社会公共利益,行业主管或监管部门认为应该评估”的情形,在某种程度上也为该条的实施和执行增加了不确定性。一方面,即使《国安法》对“国家安全”概念有所界定,[13]“社会公共利益”却始终未在法律层面有明确的规定。另一方面,在受影响的法律权益未完全明晰的情况下,引入行业主管或监管部门的自由裁量权作为是否需要进行法定评估的标准之一,也将为尚未明朗的制度构建增加不确定性。

最后,《评估办法》还要求,法定评估“应当于六十个工作日内完成,及时向网络运营者反馈安全评估情况,并报国家网信部门”。[14]我们建议,行业主管或监管部门在进行安全评估后的情况反馈,应至少包括是否批准所评估数据出境的意见以及主要原因说明,以确保网络运营者在法定评估方面权利义务关系的透明性与可预见性。然而,对批准或不批准数据出境的决定,评估部门是否会相应出具书面的评估意见;在不批准的情况下网络运营者是否有权提出复议;如有,复议的具体操作规则如何等等这一系列问题,都是企业履行数据出境安全评估义务时难以绕开的实践问题,而目前的《评估办法》尚未给出答案。

2. 自行评估

当出境数据不存在需要进行法定评估的情形时,《评估办法》也要求网络运营者自行评估,即在数据出境前,自行组织安全评估并对评估结果负责。[15]然而,我们理解,像目前这样仅用一个条款对自行评估的相关义务及要求进行阐述,对企业在实际操作中的指导意义有限。

一方面,虽然第八条列举了安全评估中需要重点考察的内容,[16]但是《评估办法》既未明确规定自行评估的开展形式以及评估结果的留存,也未强调对评估结果负责的具体内容。鉴于缺乏明确的指引,这既可能影响企业实际进行自行评估的积极性,也将使相关主管或监管部门在对企业自行评估情况进行监督检查时无据可循。

另一方面,无论是何种情况下进行的数据出境安全评估,根据《评估办法》第八条,均应当对部分特定的内容进行重点考察。就此我们注意到,即使是网络运营者自行组织的安全评估,也需要对数据接收方及其所在地的网络安全情况、数据出境后可能面临的风险等内容进行考察。从实际评估主体如企业的角度看来,在现实中对此类内容(尤其是数据出境后的风险)进行有效评估的难度可能是很高的(如我们上文所举的旅行社的例子),而这无疑也会进一步对数据出境安全自行评估机制的可操作性产生影响。

3. 年度评估与重新评估

除自行评估与法定评估外,《评估办法》还要求网络运营者“根据业务发展和网络运营情况”和数据出境的实际情况(如数据接收方的变动情况,或数据出境目的、范围、数量和类型的较大变化,或接收方或数据发生重大安全事件等),分别进行数据出境的“年度评估”和“重新评估”。[17]而与上述的自评和他评的情形相似,“较大变化”、“重大安全事件”等尚待进一步明确的用语,也将影响着该等重新评估的可操作性。

4. 禁止出境的数据

除规定网络运营者应当为特定数据出境行为履行安全评估义务外,《评估办法》第十一条更明确禁止特定数据出境。[18]换言之,该等数据被直接排除在任何出境安全评估机制之外,而成为“绝对”不可出境的数据。

与应当报请法定评估的数据出境情形相类似,虽然该条中明确列举了三类数据,但这三类数据的具体范围目前仍难以确定。首先就“个人信息”而言,在出境环节强调法定的知情同意原则确有必要,但“可能侵害个人利益”的情形却是难以穷尽与预计的;其次,如上所述,以“可能影响国家安全、损害社会公共利益”为标准或在兜底条款中引入“有关部门”的自由裁量权,以判断特定数据出境的风险并据以完全禁止其出境,将会增加该等规定在实施过程中的不确定性,从而降低其权威性和可操作性。

法律责任:指向“有关法律法规”所可能造成的漏洞

作为保障《评估办法》有效实施的重要手段,《评估办法》第十四条规定了针对违反办法行为的罚则。但其规定是简单而概括的,仅要求对违规行为“依照有关法律法规进行处罚”。

如上所述,《评估办法》一方面有其明确的立法依据,即《网安法》和《国安法》,因此,在某一主体违反《评估办法》的行为可以依据《网安法》或《国安法》受到处罚的情况下,《评估办法》第十四条现有的罚则规定是有意义的。例如,某一关键信息基础设施运营者直接违反了数据出境安全评估相关规定,就可依据《网安法》第六十六条对其进行处罚;再如,某一个人或机构非法转移出境涉及国家秘密的数据,则可根据《国安法》涉及保护国家秘密的相关规定[19]并进而依据《保守国家秘密法》等有关法律法规对其予以处罚。此外,就《评估办法》下的某些与此前的法律法规相一致的规定,如其第四条关于个人信息出境知情同意原则的规定,如果遭到违反,则可援引该等相关法律法规所设定的罚则。[20]

但另一方面,如上文所指出的,《评估办法》在其所适用的主体、数据等方面对上位法依据的明显突破,使得在该等突破的限度内,一旦出现相关违法行为,则可能因为缺乏“有关法律法规”作为依据,继而造成无法可依、无罚可处的漏洞。例如,如果某一网络运营者不遵守《评估办法》第七条关于自评的规定,则相关部门很可能将面临并不能依据办法第十四条对该项违规行为进行处罚的局面。究其原因,主要在于除《评估办法》外,并无任何其他现行的法律法规对网络运营者设定数据出境安全自评的要求,因此也就不存在相应的可以援用的罚则。如果这种情况在现实中广泛出现,就会使《评估办法》实际上成为一纸空文。而从另一个角度讲,如果相关部门为了实施处罚的目的而对“有关法律法规”进行扩大化或任意性的解释,则会反过来影响《评估办法》及有关监管行为的权威性。因此,处罚环节的模糊援引,也将影响企业等主体对于不合规责任的准确判断。

结语

作为我国数据出境监管领域的第一部专门法规,《评估办法》在现阶段虽仍是草案,但其对保障个人信息和重要数据安全、推进我国数据安全保护整体制度建设无疑都具有重要意义。《评估办法》的十八个条文,从适用范围、适用条件、评估对象、评估机制以及相应的法律责任等核心方面,对个人信息和重要数据的出境问题进行界定和规范,特别是对《网安法》中有关数据出境安全评估的要求作了进一步明确和细化,这些都有助于企业等各类主体在实践中明晰和预判在《评估办法》正式成文并实施后,其在数据出境领域将要面临的总体合规环境和具体法律要求。

然而,如上所述,鉴于数据本地化与跨境传输问题的复杂性与敏感性及其监管的可操作性考量,目前的《评估办法》征求意见稿中仍然存在一系列亟待进一步澄清或完善的问题。从企业(不仅仅是可构成网络运营者的企业)角度而言,随着互联网经济与大数据产业的发展,越来越多企业在经营中会不可避免地产生特定数据跨境转移的需求,从而被纳入《评估办法》的规制范围。而事实上,根据《评估办法》目前的规定,企业将可能在任何情况下面临数据出境安全评估的普遍性要求——在此情况下,上述这些亟待厘清的问题又正是广大企业在实际操作中无法回避的。因此,从实施角度而言,如何在《评估办法》的后续修订中对这些问题加以妥善解决,将在很大程度上决定数据出境安全评估机制的执行效果,及其对企业的日常经营活动所造成的实质影响。正因如此,我们建议企业不仅应密切关注《评估办法》制定的后续动态以及相关部门的权威表态,还应结合自身具体需要,积极投入到《评估办法》现阶段的意见征求环节(截至5月11日)中。同时早作准备,参照《评估办法》目前的要求对本企业的数据出境等情况进行摸底和前期评估,以有效应对《网安法》正式生效前后,包括《评估办法》在内的各项配套措施的后续出台及实施。