中国新的数据保护法律法规
2017年6月1日,颇具争议的中国《网络安全法》开始实施。关于该法对国际公司的影响,有很多不同意见。
网络安全法
《网络安全法》主要介绍了数据监管的两个相关变化。 第一,涉及所有网络运营商的行动。 第二个仅适用于所谓的“关键信息基础设施运营商”。
- 对于所有网络运营商的变化
在《网络安全法》第10条、第21条和第22条中,第一个主要变化要求任何网络运营商提供一定的个人隐私保护标准。因此,第10条规定了安全要求:
“建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。”(第10条)
“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。” (第21条)
“网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意。”(第22条)
相对于关键信息基础设施运营商的变化,这些条款的要求较为清晰。唯一的问题是:谁是网络运营商,他们如何遵守《网络安全法》?法律本身给出了答案。第76条规定“网络运营商”为网络的所有者、管理者和网络服务提供者。具体来看,这实际上包括了有权访问网络的任何中国个人或实体。但是,在适用范围如此广泛的情况下,实际的义务是可行的。网络运营商有义务确保数据的可用性、保密性并获得其所有者的同意。至于任何新的技术要求,网络运营商被要求使用确保防止网络攻击和减轻网络风险的技术。
在这个意义上,这些规则并不意味着公司数据政策的重大变化。我们建议您确保个人信息的所有者知悉其信息的发布时间以及保存条件。为此,制定英文和中文的书面政策是有用的。此外,我们建议您不要收集和发布不必要的更多信息。一旦国家发布了第21条所述的安全规程,可予以采纳。
2. 对于关键信息基础设施运营商的变化
符合上述规定,对于国际公司来说,并不意味着大量花费。但是关于“关键信息基础设施运营商”的条款则不尽然。
核心义务规定于第37条:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”
换句话说,关键信息基础设施运营商收集或产生的个人信息将存储在中国大陆。数据仍可能转移到海外,但只能在中国网路空间安全部门进行安全评估后进行。鉴于大多数国际公司将其数据存储在另一个国家的中心位置,这一规则确实对数据政策有很大的影响,意味着巨额费用。因此,最重要的问题是:哪些实体属于关键信息基础设施运营商的界定范围?为此,我们对《网络安全法》以及迄今为止已经发布的实施条例进行了研究。尽管存在一些不确定性,有一点似乎很清楚:最终将由中国网络空间行政机构和其他监管机构来采取明确国内存储数据要求的政策。
首先,《网络安全法》本身就是关键信息基础设施运营商的范围。第31条规定:“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。”乍看之下,这个非常模糊的定义主要包括电信运营商,网络服务提供商和云提供商。然而,该规则也适用于可能危及国家安全的任何其他关键信息。但是,为了进一步说明这些信息,第31条仅提及了国务院:“关键信息基础设施的具体范围和安全保护办法由国务院制定。”
因此,现在我们来看一下现行的规定和实施规则。 5月2日,国家互联网信息办公室发布了《网络产品和服务安全审查办法》。该办法试图澄清网络产品和服务的类型,这将属于关键信息基础设施运营商的界定范围,因此将受到安全评估的约束。为此,对电信和信息服务,能源,交通运输,节水,金融,公用事业,电子政务等重点行业的实体与其他关键信息基础设施运营商的规则不尽相同。将这种描述与《网络安全法》相比,很明显,有关当局仍然未能明确回答哪些实体将受到影响。关于持续的不确定性,可能会公布一个阶段性时期。事实上,国家互联网信息办公室于5月20日举行会议,开展了从2017年6月起算的18个月阶段性讨论,推迟法律的全面落实,使公司有更多的时间合规。在这个意义上,大多数公司正对于合约准备采取观望态度就不足为奇了。
但是,7月10日,国家互联网信息办公室发布了《关键信息基础设施安全保护条例》征求意见稿,意见征集截止于2017年8月10日。该条例何时实施尚不可知。
关于《网络安全法》的适用范围,草案第18条至少提供了一些线索:
“下列单位运行、管理的网络设施和信息系统,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的,应当纳入关键信息基础设施保护范围:
(一)政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位;
(二)电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位;
(三)国防科工、大型装备、化工、食品药品等行业领域科研生产单位;
(四)广播电台、电视台、通讯社等新闻单位;
(五)其他重点单位。”
以及第19条:“国家网信部门会同国务院电信主管部门、公安部门等部门制定关键信息基础设施识别指南。”草案提供了在未来几个月内进行澄清的希望。这样的情形并不奇怪,许多国际公司还没有发生深刻的变化。
但是,假设某个公司落入“关键信息基础设施运营商”的界定范围,问题仍然是在什么情况下可以转移重要信息。7月10日的草案没有给出答案。但是,我们已经列出了您应予以评估的、《网络安全法》允许的因素:
a)每年定期并在任何转移发生之前进行评估;
b)应检查转移数据的合法业务必要性;
c)考虑个人/重要信息的数量、范围、类型和敏感度;
d)并确保已获得其所有者的同意;
e)此外,法律要求数据接收方建立安全预防措施,以减轻数据被转发或滥用的风险
跨国公司的应对
如前所述,大多数国际公司在投资中国数据存储之前还在等待澄清,但似乎有一个突出的例外。7月中旬,技术公司和云提供商苹果公司在中国建立了一个新的数据中心。该公司表示,中国客户的所有iCloud数据现在将存储在该国。在这个意义上,苹果公司希望保持“强有力的数据隐私和安全保护”。这项投资被大多数媒体解释为合规措施。因此,苹果转移至中国的报道引发了世界各地公司的更多不确定性。此外,酒店服务商Airbnb去年发布了将数据转移至国内站点的计划,以便遵守即将到来的数据监管。
但是,关于苹果公司迄今为止所做的重大变化,我们不应忽视这样一个事实,它是中国最成功的技术公司。因此,他们在适应中国数据政策方面具有很大的经济利益,可能不仅仅出于法律原因而将其数据存储在中国境内。他们在声明中也说:“这个数据中心的增加将使我们能够提高我们的产品和服务的速度和可靠性,同时也符合新通过的规定。”因此,他们的措施可以解释为政治和经济步骤,以确保其市场地位,而不是因害怕处罚而进行的合规行为。 (同样的评估适用于他们删除VPN应用程序的行为。)
并看看其他公司,情况看起来不太令人震惊。我们不会否认,这些规定并没有被跨国公司密切关注,但《网络安全法》似乎并没有给他们任何理由仓促。很难评估他们的进一步行动,因为微软拒绝对此事发表评论,而亚马逊和腾讯尚未发表评论。但我们将密切关注他们的行动和言论。
结论
任何一家公司都不得不提出的问题是,它是否属于关键信息基础设施运营商的界定范围。对于苹果公司这样的云提供商,这是相当确定的。然而,对于大多数公司来说并不那么容易界定。如果您从事电信,交通,能源,供水,医疗保健,应急服务,制造和金融服务业务,我们建议您注意即将到来的法规和准则,预计可能在接下来的几个星期发布。衡量所有选项,我们认为最好的策略是等待更多的信息。处罚可能很高,但在《网络安全法》的法律基础不明确的情况下,在中国投资数据存储涉及重大风险。