數安條例百問62、63:關于數據出境的概念
小貝案語
11月14日,國家互聯網信息辦公布了《網絡數據安全管理條例(征求意見稿)》。為此,小貝說安全設立《網絡數據安全管理條例(征求意見稿)》(后文簡稱《條例》)解讀專欄,以百問百答的形式對《條例》進行系列解讀。
需要指出,這些解讀只是專家個人觀點,不代表官方意見;且這些解讀針對的是征求意見稿,未來條文本身可能會發生變化,不排除會有新增和刪除。
對應條款
網絡數據安全管理條例
第一章 總則
第二章 一般規定
第三章 個人信息保護
第四章 重要數據安全
第五章 數據跨境安全管理
第六章 互聯網平臺運營者義務
第七章 監督管理
第八章 法律責任
第九章 附則
解讀
為什么《條例》要設立“數據跨境安全管理”一章?為什么是“安全管理”而不是“安全評估”?為什么是“跨境”而不是“出境”?這可以從以下幾個角度去理解。
一、《網絡安全》《數據安全法》《個人信息保護法》之中的數據出境安全要求是什么關系?
《網絡安全法》第三十七條首次規定了數據出境安全評估制度,但范圍只限定在“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據”。事實上,很多數據出境行為未必同關鍵信息基礎設施相關,因此《網絡安全法》的規定是不完善的,大量應當規范的數據出境行為沒有得到規范,為國家安全留下了漏洞。
這一缺憾后來靠《數據安全法》和《個人信息保護法》進行了彌補。邏輯是,《數據安全法》從重要數據出境方面進行彌補,《個人信息保護法》從個人信息出境方面進行彌補。
《數據安全法》第三十一條規定,關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理,適用《中華人民共和國網絡安全法》的規定;其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法,由國家網信部門會同國務院有關部門制定。即,除了關鍵信息基礎設施收集和產生的重要數據在出境時要進行安全管理(按《網絡安全法》)外,非關鍵信息基礎設施收集和產生的重要數據在出境時也要進行安全管理。
《個人信息保護法》第四十條規定,關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者,應當將在中華人民共和國境內收集和產生的個人信息存儲在境內。確需向境外提供的,應當通過國家網信部門組織的安全評估。即,除了關鍵信息基礎設施收集和產生的個人信息在出境時要進行安全管理(按《網絡安全法》)外,非關鍵信息基礎設施收集和產生的個人信息在達到一定量時,出境也要進行安全管理。
通過以上規定,擴充了對非關鍵信息基礎設施的數據出境安全要求,彌補了國家安全漏洞。
至于《個人信息保護法》提出的“達到國家網信部門規定數量”是多少,《條例》已經明確,數量到達“一百萬人以上”時,要接受國家網信部門組織的數據出境安全評估;不到“一百萬人”時,可通過《條例》第三十五條規定的第(二)、(三)等項條件出境;為訂立、履行個人作為一方當事人的合同所必需向境外提供當事人個人信息的,或者為了保護個人生命健康和財產安全而必須向境外提供個人信息的則可直接出境,即不必進行評估或通過認證、標準合同等途徑出境。
二、為什么《個人信息保護法》要對數據跨境問題單列一章,而《網絡安全法》和《數據安全法》卻未單獨設章?
《網絡安全法》只在第三十七條規定了關鍵信息基礎設施領域的數據出境安全評估制度,故未單獨設章,只是放在了“關鍵信息基礎設施的運行安全”一節。需要指出,恰恰是這種處理,使得數據出境安全評估制度只限于面向關鍵信息基礎設施運營者實施,造成了數據出境安全管理制度的漏洞。
如前所述,《數據安全法》在第三十一條補充了《網絡安全法》第三十七條的規定。且還在第三十六條規范了外國司法或者執法機構獲取境內數據的行為。嚴格而言,該法第三十六條并不屬于常規的數據出境安全事項,其立法目的是反制外國政府的“長臂管轄”(“百問百答”后文將詳述),但在技術層面上,外國司法或者執法機構獲取境內數據也屬于一種數據出境。
即使如此,《數據安全法》僅以兩條也難以單獨形成一個獨立的章節。
但《個人信息保護法》不同,由于個人信息在不同場景下可以通過不同方式出境,故需要對此分別規定條件。對于應當由國家網信部門組織出境安全評估的,有必要設立專門條款予以規定。此外,個人信息出境前還應當征得個人同意,這是個人信息保護所特有的,也需要提出要求。而且,根據國際慣例,很多國家和地區都在簽訂數據出境協議,不排除今后我國也會簽訂類似國際協定,那么有必要說明這些國際協定同已有數據出境條件的關系。鑒于此,《個人信息保護法》需要設立單獨的章節,以集中處理上述問題。
三、為什么《條例》要對數據出境安全管理進行單獨設章?
雖然《網絡安全》《數據安全法》《個人信息保護法》都對數據出境安全評估提出了要求,但這些規定是遠遠不夠的。主要原因在于,數據出境看似是一個時間點或一段時間內的行為,但其安全保護絕非僅限于“事中”階段。
例如,無論數據采用何種方式出境,之前都需要進行自評估,個人信息尤其需要進行個人信息安全影響評估;出境過程中要履行安全保護責任;出境后要監督數據接收方履行義務,防范數據出境安全風險;每到年末時需要編制年度數據出境報告;出現糾紛后,還涉及到跨境追責問題。這些事項已經超出了數據出境安全評估制度的范疇,客觀上需要對數據出境的事前、事中、事后均作出規定。
因此,《條例》專門設置獨立的一章,旨在全面建立我國數據出境安全管理制度。該制度已經超出了此前人們熟悉的“數據出境安全評估”制度。畢竟,“評估”只是數據出境安全管理制度的其中一個環節。
四、為什么使用“跨境”而不是“出境”?
《條例》第五章名稱之所以使用“跨境”而不是“出境”,原因在于兩個方面。
一是國際上討論該問題時,往往是對等的多個國家和地區簽訂協議、達成規則,不存在“進”或“出”的方向問題,故一概使用“數據跨境傳輸/流動”(cross border data transfer/flow)。故“數據跨境”是國際通行表達方式。
二是《條例》在第四十一條提出了“國家建立數據跨境安全網關”的要求。該網關涉及到對來源于中華人民共和國境外、法律和行政法規禁止發布或者傳輸的信息予以阻斷傳播,這屬于“由外到內”的數據傳輸,已經不再是“出境”問題。故只有“跨境”可以涵蓋。
對應條款
第三十五條 數據處理者因業務等需要,確需向中華人民共和國境外提供數據的,應當具備下列條件之一:
(一)通過國家網信部門組織的數據出境安全評估;
(二)數據處理者和數據接收方均通過國家網信部門認定的專業機構進行的個人信息保護認證;
(三)按照國家網信部門制定的關于標準合同的規定與境外數據接收方訂立合同,約定雙方權利和義務;
(四)法律、行政法規或者國家網信部門規定的其他條件。
數據處理者為訂立、履行個人作為一方當事人的合同所必需向境外提供當事人個人信息的,或者為了保護個人生命健康和財產安全而必須向境外提供個人信息的除外。
解讀
數據出境安全管理制度的核心,是為了防范因境內數據被境外組織不當訪問而對國家安全、公民權益帶來的風險。因此,在討論這一制度時,必然要回答兩個問題:什么是境內數據?什么是被境外組織訪問?即,被保護的對象是什么、在哪里?侵害被保護對象的活動是誰實施的、發生在哪里?
最一般的數據出境場景是,境內的數據被發送到了境外。
但也有特殊的情形存在。例如,境內數據處理者僅向境外提供服務,且數據不涉及境內組織或個人時,如將相關數據認定為需要保護的“境內”數據,并無實際意義。再例如,外國人到境內高校擔任訪問學者,如其未經授權接觸了高校的敏感科研數據,這顯然屬于需要防范的數據出境風險。
因此,有必要從設立數據出境安全管理制度的本意(防范來自國外的對國家安全、公民權益造成侵害的數據安全風險)出發,準確定義“境內運營”和“數據出境”。
2017年,中國信通院立項編制的國家標準《信息安全技術 數據出境安全評估指南》對以上兩個概念作了研究,其結論目前已基本形成共識:
一是關于境內運營。這是指數據處理者在中華人民共和國境內開展業務,提供產品或服務的活動。未在中華人民共和國境內注冊,但在中華人民共和國境內開展業務,或向中華人民共和境內提供產品或服務的,屬于境內運營。判斷數據處理者是否在中華人民共和國境內開展業務,或向中華人民共和境內提供產品或服務的參考因素包括但不限于:使用中文;以人民幣作為結算貨幣;向中國境內配送物流等。但是,如屬中華人民共和國境內的數據處理者僅向境外組織或個人開展業務、提供商品或服務,且不涉及境內組織和個人的數據的,不視為境內運營。
二是關于數據出境。這是指數據處理者通過網絡等方式,將其在中華人民共和國境內運營中收集和產生的數據,通過直接提供或開展業務、提供服務、產品等方式提供給境外的組織或個人的一次性活動或連續性活動。以下情形屬于數據出境:a)向本國境內,但不屬于本國司法管轄或未在境內注冊的主體提供數據;b)數據未轉移存儲至本國以外的地方,但被境外的組織、個人訪問查看的(公開信息、網頁訪問除外);c)數據處理者集團內部數據由境內轉移至境外,涉及其在境內運營中收集和產生的數據的。但是,非在境內運營中收集和產生的數據經由本國出境,未經任何變動或加工處理的,不屬于數據出境;非在境內運營中收集和產生的數據在境內存儲、加工處理后出境,不涉及境內運營中收集和產生的數據的,不屬于數據出境。
當然,數據出境的內涵比較深刻,以上概念是否全部可以被《條例》所接受?將來是否能在《條例》中增加這些概念,或對特殊的數據出境場景進行專門規定?這則可以進一步討論。
相關文章:
數安條例百問15、16、17、18、19:關于數據處理者安全保護義務
數安條例百問27、28、29、30:關于“一般要求”中的幾個特定考慮
數安條例百問46、47、48:關于生物特征應用和一百萬人以上個人信息處理者的適用
數安條例百問55、56、57、58、59:關于年度評估與對外提供數據的風險評估
數安條例百問60、61:關于征得主管部門同意要求及云安全評估要求
數安條例百問66、67、68:關于數據出境的單獨同意、評估條件與國際協議
數安條例百問74、75、76、77、78:關于平臺規則、隱私政策和算法策略
