自2月28日起,苹果公司中国内地iCloud服务转由云上贵州大数据产业发展有限公司负责运营,不再跨境存储。为符合中国网安法规体系,苹果公司首次将iCloud密钥(用以访问账户的大部分内容)等数据转存至美国境外,这在世界范围内引发关注。
基于《网络安全法》的中国数据出境配套法规立法正在进行当中。提供云服务等关键基础服务的科技公司们早已采取行动。配套法规和标准的制定和实施,将建立起严密的中国数据出境执法体系,适用所有数据控制者。
由于将对数据合规和业务产生影响,跨国公司们多反应强烈。“一直在关注,已开始准备各项行动和计划。”一家跨国公司法务总监告诉《财经》记者。
对数据出境监管的严格程度,很大程度上影响跨国企业在中国本土的合规和业务调整,特别是2C跨国公司和互联网公司等。
2013年美国“棱镜门”事件敲响了数据出境可能带来风险的警钟,此后各国关于数据跨境流动的监管和立法动作频繁。中国关于数据出境制度框架的落地,将影响几何?
新规酝酿
《网络安全法》第37条规定,关键信息基础设施运营者在境内收集和产生的个人信息和重要数据,应在境内存储,如需向境外提供,则需进行安全评估。
作为网络空间保护基本法《网络安全法》的这一规定明确了中国对数据出境问题的基本立法态度。由于条文较为模糊,2017年6月1日生效以来,这一条文的实施正等待相应的多个配套细则出台。
正是这些配套法规,将决定《网络安全法》对于数据出境的“这一刀”,切在哪里。
《关键信息基础设施安全保护条例》、《个人信息和重要数据跨境安全评估办法》(下称《评估办法》)、《信息安全技术数据出境安全评估指南》(下称《评估指南》)分别于2017年4月11日、7月11日和8月底公开征求意见,对相应的概念、管辖范围和出境流程等作出明确解释。
何为数据出境?按照《评估办法》,指网络运营者将在中国境内运营中收集和产生的个人信息和重要数据,提供给位于境外的机构、组织、个人。按目前解释,即便数据中心设在中国但可以从境外访问,或者数据在一个集团内部的不同跨国公司分部间流动,仍属于“提供”。
从跨境电商、全球数据资产管理系统到大数据服务,数据在全球范围内的跨境流动增长迅速。
2016年2月,麦肯锡全球研究院发布《数字全球化:新时代的全球性流动》报告统计,在2005年-2014年间,全球数据流量从4.8Tbps增加到211Tbps,增长45倍。数据流动对全球经济增长的贡献已经超过传统的跨国贸易和投资,不仅支撑起包括商品、服务、资本、人才等其他几乎所有类型的全球化活动,同时也在发挥着越来越独立的作用。
与这一背景相对的,则是各国政府出于国家和社会安全等多元诉求,对于数据出境所进行规制。
关键信息基础设施,指对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的设施,相应保护条例已结束公开征求意见,尚未出炉。
然而,关键信息基础设施是静态的,数据却是流动的。
北京大学互联网发展研究中心高级顾问洪延青介绍,立法部门亟须解决的问题是,当互联网公司等民营公司取代既往的政府部门,掌握越来越多的数据,又无法被列入关键信息基础设施范围,应如何规制其数据的出境安全风险。因此,不同于对关键信息基础设施的静态界定,数据出境的安全规范分为两个层面,即个人信息和重要数据。
在个人信息保护层面,中国与国际基本诉求一致;而在重要数据的跨境流动方面,安全规范对于本地化的需求程度较高。
个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
据《评估办法》,个人信息出境,需要经过个人信息主体的明确授权,出境有必要、正当的目的等。对于敏感数据和达到一定量级的数据,经过安全风险评估通过后,才可以出境。
对个人信息出境进行规制,在全球大规模个人信息泄露事件频发的当下,已成为国际主流立法共识。例如,2017年9月,美国信用机构Equifax遭黑客入侵之后,数以百万计的个人社保号码、生日、地址等敏感信息以及超过20万的信用卡信息被盗。据估,有1.43亿人受到Equifax 被入侵事件的影响,相当于美国人口数的一半。
按照《评估办法》,对于含有或累计含有50万人以上个人信息,或数据量超过1000GB,以及包含各类敏感和与关键信息基础设施相关的数据,需要行业主管或监管部门组织评估,进行报批后出境。
《评估指南》则对电力、金融、交通、军事、电子商务等27个领域的重要数据进行了列举式的规定。
例如,电子商务领域,重要数据包括但不限于,“个人在电子商务平台的注册信息,包括姓名、性别、年龄、住址、婚姻、学历、职业、收入、账户、联系方式”:“电子商务交易记录以及相关的个人消费习惯及偏好和企业经营数据”;等等。
对于所掌握的重要数据,网络运营者需依据情况进行自评估或由主管部门评估等,才能出境。
由于《评估指南》附录A中对于27个行业的重要数据范围过于广泛,征求意见稿公布后,许多跨国公司、外企等担忧,或将对正常经营业务造成重大影响。
就此,《财经》记者了解到,此前《评估指南》的征求意见版本或将有较大调整,重要数据的范围会受到较大收缩,调整至更为合理的范围,保证出于安全角度对数据出境进行规制的理念能得到贯彻,同时避免影响相关公司业务的正常进行和发展。
中国电子技术标准化研究院信息安全研究中心审查部技术总监何延哲则指出,即便被列为重要数据,并不是说这些数据就无法出境,而是需要进行安全评估。例如,数据出境是否日常经营的必然需求,数据发送方和数据接收方是否具有技术保护和管理制度保障能力,以及接收方所在国家或区域整体法律环境评估等。
“这一流程的设立不是为了以不切实际的流程阻碍企业的日常经营。评估流程是企业对自身数据出境制度的一次检查,通过可操作的评估流程和检查,合法合规的数据仍然能以安全方式出境。”
哪些公司和行业受影响
数据出境规制细则的出台,受影响大的莫过于跨国公司。跨国公司大多进行全球化管理,集团内部日常业务数据跨境流动十分频繁。特别是互联网公司,服务器不会在每个国家设立,子公司往往习惯将客户信息、日常业务数据等集中进行处理。
对许多本土化程度不高的公司而言,其在中国的团队主要为营销团队,具体业务处理和产品研发等均在境外总部进行。
北京安理律师事务所合伙人王新锐指出,新规将对这些公司提出高要求,如果涉及大量敏感个人信息或重要数据出境受限制,未来将需在华组建本土团队专门处理数据。
此外,重营销的2C跨国公司也将在业务方面受到影响,需要进行合规调整。
王新锐表示,许多公司在中国进行的客户调查,收集了较多个人信息,按照《评估办法》,如果未进行去标识化,需先征得客户的同意,并经过目的评估、安全机制评估等自我评估流程,达到一定量级还需经过主管部门许可等。
“问题在于,为了进行客户分析、服务等而收集的营销信息和数据等,特别是线下收集的数据,公司并没有征得客户同意的意愿。”王新锐说,业务中是否触碰到大量个人信息,以及本土化程度的高低,将决定是否受到这些法规的较大影响。不过,总体来说,跨国公司都会受到合规压力。
依赖大数据、人工智能的公司将会受到什么影响?
以自动驾驶为例,安理律师事务所高级法律顾问何姗姗告诉《财经》记者,新规将对这些企业合规和业务发展影响较大。例如,自动驾驶的汽车,在行驶时会自动收集周边情况,如拍摄、记录位置和轨迹等,而这些均需要数据被收集到中央系统,统一进行分析、解读和模拟场景。
但事实上,与道路和交通安全有关的数据,在世界范围内都属于较为敏感的数据。新规中对于地图、位置和道路交通相关的数据也自然列为重要数据,如果无法出境,或将可能导致其最终产品只适合中国市场,与国际市场接轨困难。
对于自动驾驶行业而言,数据出境难仅是其所面临的诸多法律和合规障碍中并不紧迫的一环。而对于近年来在中国发展势头迅猛的跨境电商来说,由于业务必然依赖数据的跨境传输,可能受到的合规压力则更为紧迫。
对于跨境电商、跨境支付等公司来说,《评估指南》附录A中包含了几乎所有类型的电商、邮政数据等,如果安全评估程序繁琐或流程复杂,这些分散而出境频率高的业务将受到很大影响。
目前,数据出境的具体流程和方式细则尚未出台。不过,何延哲强调,安全评估在绝大多数情况下由企业自主进行,不影响正常的业务进行,而且将囊括合理合法的出境场景。
例如,跨境电商的场景下的个人购买行为和信息等,在《评估指南》中就被明确,属于合理的使用场景,通过安全自评估的程序便可顺利出境。
合理的数据出境场景是否将被纳入严格而不合理的程序评估,是目前立法进行当中业界最为关注的要点,也是未来数据出境条例能否得到贯彻实施和顺利落地的关键。
何延哲直言,出境安全评估不是为阻碍合规和正常业务的进行,诸如跨国企业员工信息能否传送至母公司、中国公民在海外进行支付或跨境网购的数据传送等,并不会因安全评估要求,业务就会停滞。
公安部第三研究所网络安全法律研究中心主任黄道丽也表示,应当注意到不同企业规模、类型合规的不同特点。比如中小企业,可能无法按照标准化严格执行,一是成本受限,二是实无必要。因此强制性标准和指引性规范应都有体现,满足不同企业的合规需求,不是所有的网络运营者都是关键信息基础设施。
此外,还需考虑一个适当的过渡,比如:现在的规定中,既没有启动年度网络安全风险和出境安全评估报告(《网络安全法》第38条、《评估办法》第12条)的强制性年度规定,也没有多长时间需要达到的规定。如果严格适用法律,2017年度就该出具报告,是否都做好了准备,这是监管者、关键信息基础设施和一般网络运营者都需要回答的问题。
流动博弈
“制定和实施《网络安全法》,其目的是要维护国家网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的权益,而不是要限制国外企业、技术、产品进入中国市场,不是要限制数据依法有序自由流动。”2017年5月31日,国家互联网信息办公室网络安全协调局负责人就《网络安全法》实施的有关问题答记者时强调,对于该条文规制中的“重要数据”,指对国家而言,而不是针对企业和个人。
美国使用的个人信息数据出境保护框架为APEC的跨境隐私规范框架(CPBR),其基本逻辑为,只要双方遵循同一套原则保护个人信息,即可进行自由数据传输不受阻碍。此前美国向WTO提交的一份报告称,建议中国也使用同一框架。
洪延青认为,由于美国没有界定重要数据概念,因此也不希望中国界定。但事实上,尽管没有用一部统一的法规进行明确,对于与关键信息基础设施等相对应的重要数据,美国做法是通过事前约定、监管部门要求和合同的形式等将数据留在国内。而中国的解决机制则是通过明确而统一的法规,将立法摆在前面,造成双方焦点的不同。
国际范围内,对个人信息和重要数据出境所可能对国家安全造成的风险,亦引发立法潮。
2010年以来,韩国、越南、俄罗斯、澳大利亚等国家纷纷要求对个人信息和重要数据本地存储、数据离境强监管等。
2013年斯诺登泄密导致的“棱镜门”事件,被认为是重视数据出境监管的起点。斯诺登事件之后,欧盟法院出于对美国政府的不信任,于2015年宣布美欧“安全港协议”无效,数千家公司在美国和欧盟之间的数据流动落入法律真空。直到2016年7月,双方才谈判形成保护规格更高、对欧盟公民个人信息安全更为负责的数据流动“隐私盾协议”。
欧盟数据保护专员乔瓦尼。布特拉里(Giovanni Buttarelli)是美欧达成新“隐私盾协议”的第29条数据保护工作组的成员,他于2018年1月接受《财经》记者采访时表示,与安全港相比,隐私盾已有许多进步,但仍存许多需被解决的重大问题。
他表示,隐私盾仅解决一部分数据流动问题。数据跨境流动正不可避免地发生,欧盟希望能够与包括中国在内的国家在需求端展开更多合作,如国家层面对话、双方互认,以及执法层面互动等。
事实上,跨境数据流动的经济价值,与从个人信息保护和国家安全角度出发的数据离境规制体系,是否一定是天然的冲突关系,并无完善证据支撑。
黄道丽表示,其实各主要国家的数据政策都包含了这两部分,只是不同时期各有侧重,或者说视角不同。很多国家都是一方面对数据本地化进行立法(本地化的形式有所不同),另一方面呼吁数据跨境流动。同时,某国如果加强数据本地化立法,别国的应激反应自然是要求数据跨境。各国都明白,数据的价值在于流动和交换,而流动和交换需要在所经国家进行安全保护——特别是其中的个人信息和重要数据。整体上看,协调大于冲突,各取所需大于分立对抗。
2015年美国推动并主导建立了“跨太平洋伙伴关系协定”(TPP),原则之一是支持跨境数据自由流动,反对他国设限及他国的数据本地存储要求。而美国总统特朗普刚刚上台便宣布退出TPP,则引发数据本地化存储趋势抬头的猜测。
全球移动通信系统协会(GSMA)发布的《数字经济2017》指出,建立健全隐私保护规则对跨境数据流动具有重要意义,包括跨境数据流动在内的各类数据行为必须建立在可信的数字环境基础之上,这一点恰恰需要一个充分问责的机制予以保障。
中国不是数据流入大国,自然与美国在坐拥多数互联网巨头的前提下成为数据天然流入国的情况不同,首先要成为数据安全保护强国。
此外,如果中国对于数据出境的限制过于严格,可能导致对方国家给予报复性的对等待遇,进而导致中国大型企业出海过程中面临数据合规问题。
事实上,诸如阿里、腾讯、小米等互联网企业出海过程中,除早期诸如华为等企业遭遇专利、商标等知识产权战之外,或也将在数据本土留存和安全保护的问题上遭遇冲突,这将成为未来国家之间产业博弈的重点之一。
不论如何,数据本地化存储要求,和正在制定中的数据离境监管框架,未来还需先填补目前法律缺乏操作性和监督的空缺,实现全面落地。
整体而言,黄道丽强调,配套制度需要和立法本意衔接到位,不能有大的偏差或过度解读,否则稳定性会遭到质疑;二是现有立法层面的规定较为原则,很多具体规定推给配套制度、规范性文件,规范性文件又推给指南、指引和标准。这些现象有其原因,比如技术发展和中立性、法律稳健性要求和滞后性等等,但认识到这些问题,是相关部门加强配套执行和监管的前提。
热门专题
