在2016年11月出台并于2017年6月1日生效的《中华人民共和国网络安全法》(以下简称《网络安全法》)就针对国家和个人的网络攻击和数据窃取行为制订了一整套防范措施。这些措施要求关键信息基础设施运营者1、网络运营者2以及网络产品和服务提供者采取积极措施,防止针对计算机网络的网络攻击,防止个人信息3和重要数据被窃取和/或被用于未经授权的用途。

《网络安全法》有两个要点:

  1. 提出“数据境内留存”的要求(关键信息基础设施运营者必须将所有从中国境内收集的个人信息存储在中国);以及
  2. 要求网络产品和服务提供者在销售产品和服务之前通过安全审查

《网络安全法》初出台时,评论大多认为该法的条文十分宽泛,没有说明在华企业是否会受到监管,以及会受到何等程度的监管。

针对这些质疑,国家互联网信息办公室发布了《个人信息和重要数据出境安全评估办法》和《网络产品和服务安全审查办法》两套新规,就《网络安全法》的部分方面制定了细则。我们在下文中介绍这两套新规。

《个人信息和重要数据出境安全评估办法》

国家互联网信息办公室在2017年4月11日发布了《个人信息和重要数据出境安全评估办法》(以下简称《信息出境办法》)征求意见稿。

如其标题所示,《信息出境办法》涉及的是《网络安全法》下信息境内留存的要求,旨在进一步明确该要求的性质和范围。

尽管仍是征求意见稿,《信息出境办法》有几项要点值得关注:

  1. 扩大了信息境内留存要求的范围,该要求在新规项下既适用于关键信息基础设施运营者,也适用于网络运营者(《网络安全法》仅要求关键信息基础设施运营者满足该要求);
  2. 允许关键信息基础设施运营者和网络运营者将数据传出中国,但前提是数据传送必须基于正当的业务需求,在传输之前也必须进行安全评估;
  3. 安全评估的方式包括自行评估和由相关政府部门评估两种;
  4. 网络运营者在将数据传往境外之前必须完成自行评估,确定下述事项:
    1. 数据出境的必要性;
    2. 待传输个人信息的数量、范围、类型和敏感程度;
    3. 个人信息接收方的安全措施、能力和水平,以及所在国家的网络安全环境;
    4. 数据出境后被泄露、毁损或滥用的风险;
    5. 对国家安全、社会公共利益和个人利益的潜在风险。
  5. 在下述情况下需要由政府部门进行安全评估:
    1. 出境数据涉及50万人以上的个人信息;
    2. 数据量超过1000GB;
    3. 数据传送涉及核设施、化学生物、国防军工、人口健康、大型工程活动、海洋环境或者敏感地理信息;
    4. 待传数据涉及与关键信息基础设施的网络安全有关的信息(例如系统漏洞和安全防护);
    5. 向境外传送个人信息和重要数据的是关键信息基础设施运营者;
    6. 数据出境可能影响国家安全和社会公共利益。
  6. 在传送个人信息时,关键信息基础设施运营者和网络运营者需要遵守如下注意事项:
    1. 说明个人信息传送的目的、范围和内容;
    2. 确认信息接收方及其所在地区;
    3. 获得信息相关人的同意。

《信息出境办法》降低了信息当地留存的要求,这无疑是个好消息。但是《信息出境办法》同时要求关键信息基础设施运营者和网络运营者完成详细的自行评估或寻求政府部门评估。这几乎一定会增加关键信息基础设施运营者和网络运营者的合规成本。

《网络产品和服务安全审查办法》

2017年5月2日,国家互联网信息办公室正式发布了《网络产品和服务安全审查办法》(以下简称《安全审查办法》),该规定在2017年6月1日生效。

《安全审查办法》的监管对象是《网络安全法》下定义的“网络产品和服务提供者”。

按照《安全审查办法》,关系国家安全的网络和信息系统采购的重要网络产品和服务需要经过安全审查。关键信息基础设施运营者采购可能影响国家安全的网络产品或服务时也需要通过安全审查。

安全审查有安全性和可控性两个重点。政府部门会考虑如下具体问题:

  1. 产品和服务自身的安全风险,以及被非法控制、干扰和中断运行的风险;
  2. 产品及关键部件生产、测试、交付和技术支持过程中的供应链安全风险;
  3. 产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、使用用户相关信息的风险;
  4. 产品和服务提供者利用用户对产品和服务的依赖,损害网络安全和用户利益的风险;以及
  5. 其他可能危害国家安全的风险。

《安全审查办法》适用面广泛,会涵盖如下领域:

  1. 金融、电信、能源和交通等关键领域(《安全审查办法》的用语显示,这些领域已有的网络产品或服务都需要强制性地经过安全审查);以及
  2. 公共服务和电子政务等领域(这些服务在可能影响国家安全的情况下需要经过安全审查)。

简评

《网络安全法》已经具有法律效力。该法就计算机网络、个人信息和重要数据的保护设立了一套广泛的执行机制。

尽管《信息出境办法》和《安全审查办法》在《网络安全法》基础上做了一些必要补充,可以说这些法律对在华企业的影响仍然处于相当不确定的状态。如上文提到的,不仅是《网络安全法》,《信息出境办法》和《安全审查办法》的条文用语都比较宽泛。企业难以基于这些条文确定自己需要采取哪些合规措施。

可以确定的是,至少符合关键信息基础设施运营者和网络运营者定义的企业需要具有内容完备、执行积极的网络安全政策,防止其网络遭到网络攻击,防止个人信息和重要数据遭到窃取和/或滥用。如果有需要向境外传送在中国收集的个人信息,有关机构需要修改标准合同、在线下单或预订表格以及知情同意表,以便遵守《安全审查办法》的要求。

网络产品和服务提供者有可能需要对其产品和服务进行彻底筛查,以便确定这些产品或服务在向公众销售之前是否需要按照《安全审查办法》经过有关部门的安全审查。

沿用已有的数据保护政策虽然方便,但可能无法满足《网络安全法》对关键信息基础设施运营者和网络运营者施加的要求。我们看到,政府部门已经开始就数据保护政策的充分性以及计算机系统保护措施的完备性对我们的一些客户进行检查。我们建议所有可能符合关键信息基础设施运营者或网络运营者定义的在华企业寻求合规方面的专业意见。

注释:

1《网络安全法》第31条将“关键信息基础设施”定义为公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务以及其他在遭到破坏、丧失功能或者数据泄露时可能严重危害国家安全、国计民生和公共利益的关键信息基础设施。

2《网络安全法》第76条将“网络”定义为由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。该条将“网络运营者”定义为网络的所有者、管理者和网络服务提供者。

3 《网络安全法》第76条将“个人信息”定义为以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

2017年6月《中国法律快讯》的完整链接和其他文章的链接如下: