中国愈发强调其在网络空间和数据方面的主权和主导地位,其网络安全和信息制度正飞速发展,出台了许多相关规则、政策以及配套国家标准。隐私权和安全的基本原则根植于《中华人民共和国宪法》、《中华人民共和国民法典》和《中华人民共和国国家安全法》,并颁布了三大基本法律作为支柱:《中华人民共和国网络安全法》(“《网安法》”),《中华人民共和国数据安全法》(“《数安法》”),《中华人民共和国个人信息保护法》(“《个保法》”)。
三大基本法律的相互作用
在上述三大法律构建的支柱体系之内,《网安法》是网络空间主权的法律基础,确立了网络空间安全的总体法律框架。《数安法》致力于保护所处理的数据的安全,而《个保法》则致力于规范个人信息的处理活动。
《数安法》和《个保法》都明确规定了域外管辖条款,以确保《网安法》保护的基础设施中所处理的数据和个人信息的安全。如果中国境外的任何数据处理活动损害中国的国家安全、公共利益,或损害任何中国公民、组织的合法权益,《数安法》将依法追究其法律责任。同样地,以向中国境内的自然人提供产品或服务为目的处理其个人信息,或分析、评估中国境内个人的行为,即使处理境内自然人个人信息的活动发生在中国境外,仍然需要受到《个保法》的规制。
专门规则
中国企业还应遵守特定行业的专门监管规则和以及各地方层面的数据保护规定。中国的行业监管机构和地方政府正不断完善相关监管规则以试图解决各个行业/领域、以及各个地区的网络安全问题,尤其是在诸如医疗卫生、金融、汽车和互联网信息服务(如算法推荐服务)等重点领域。
网络安全审查
国家互联网信息办公室(“网信办”)近期终于发布了备受瞩目的针对网约车巨头滴滴进行网络安全审查的结果,并据此对其作出了约为80亿人民币的罚款。针对滴滴的网络安全审查早在最新修订的《网络安全审查办法》发布之前就已经启动,而发布后的最新版本于2022年2月15日起正式实施。
自该次修订后,网络安全审查办法的适用范围得以扩张,尤其是明确要求掌握超过100万用户个人信息的网络平台运营者赴国外上市的,必须申报网络安全审查。
此外,关键信息基础设施运营者采购网络产品和服务、或网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,也会触发网络安全审查的申报义务。
在前述三种可能触发网络安全审查申报义务的情形之中,网络平台运营者需就其数据处理行为是否可能触发网络安全审查进行自我预判,目前看来,这可能是平台运营者最具挑战的任务。因为在法律笼统的规定下,当前尚缺乏权威的相关客观影响因素的细则用于明确地自我判断是否落入申报义务范围,无法为网络平台运营者提供足够的指导。这似乎意味着,任何涉及处理大量或多种类型数据的网络平台都可能会需要接受网络安全审查。
倘若不想经受相关审查,最安全的方法无非是:
-
- 不运营大型网络平台,或者
- 运营者主动申请网络安全审查,并确保收到有关部门明确的无需采取进一步行动的通知。否则,可能与中国最大的学术研究数据库——中国知网(CNKI)面临相类似的风险,出于国家安全相关因素,其目前正在接受网络安全审查。
网络安全等级保护
针对信息系统及网络设立的网络安全等级保护(等保)要求,在《网安法》下得到了进一步发展与更新。在网络安全等级保护规范体系内,实际上将等保安全义务的适用范围扩大至几乎所有在中国利用网络经营业务的企业,并对诸如云计算、物联网等新技术设置了专门的安全标准。
在当前的等保制度体系下,网络运营者应当评估其所运营的网络/信息系统的重要程度及可能的相关风险。根据网络/信息系统的性质、重要程度以及遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,每一个网络/信息系统都会被划定为某一“安全等级”。
“安全等级”从1级至5级,等级越高,网络运营者应当履行的安全保护义务就越严格。定级后,网络运营者需要根据要求向有权公安机关就其运营的网络/信息系统进行备案、测评整改,确保已采取的安全措施达到相应等级所规定的最低安全标准。
数据主权
为保障数据主权,《网安法》对关键信息基础设施运营者施加了数据本地化的原则义务;《数安法》和《个保法》则规定,向外国司法机构或执法机构提供任何存储于中国境内的数据/个人信息,必须事先获得中国相关主管部门的批准。
网信办发布的《数据出境安全评估办法》(“《办法》”)已于2022年9月1日起正式实施。《办法》提供了6个月的过渡期,使数据处理者得以针对《办法》施行前已经开展的数据出境活动进行整改,确保符合《办法》规定的最新要求。在《办法》出台之前,网信办发布了《个人信息出境标准合同规定(征求意见稿)》,与欧盟的标准合同有异曲同工之处;全国信息安全标准化技术委员会(TC260)则发布了《网络安全标准 个人信息跨境处理活动认证技术规范》,其中介绍了对数据跨境处理活动进行认证的基本规范框架。
根据《办法》,由网信办主导的强制性数据出境安全评估将在《办法》规定的适用情形下被触发。
相比之下,安全认证主要是为解决同一跨国企业集团的子公司或关联公司之间频繁的个人信息跨境传输问题而设计的,而大部分数据处理者希望依赖标准合同作为跨境数据转移的主要机制,因其并不取决于获得网信办的事先批准。然而,鉴于《办法》中规定的安全评估的门槛并不高,安全评估可能成为实践中跨境数据传输的普适机制。
数据分类分级
根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或非法获取、非法利用而对国家安全、公共利益或者个人、组织合法权益造成的危害程度,《数安法》提出国家建立数据分类分级管理与保护的总体要求。其中,国家核心数据是三级数据分级体系中的最高级,受到最严格的保护。预计国家核心数据的目录将由中央政府部门决定。重要数据则位于该分类分级体系的中间层。各地区、各部门将分别确定本地区、本部门以及相关行业/领域的重要数据具体目录,并对列入目录的数据进行重点保护;而各数据处理者将根据目录来确定其是否掌握重要数据,以及所掌握的重要数据的具体范围。然而,截至目前,仅有如下关于重要数据识别的相关规定可供初步参考:关于重要数据识别的国家标准草案《重要数据识别指南》;汽车行业出台了包含重要数据定义的试行规定《汽车数据安全管理若干规定(试行)》;工业和信息化领域出台了相关的法规草案《工业和信息化领域数据安全管理办法(试行)》(征求意见稿),初步提出重要数据的认定标准。有鉴于此,可以预见,在全国范围内确定核心数据和重要数据的识别目录,仍有很长的路要走。
个人信息保护
《个保法》对个人信息的处理活动提出了全方位的保护要求,覆盖了个人信息的全生命周期。其要求个人信息处理者采取适当的组织和技术措施来确保个人信息的安全,并在此基础上,对敏感个人信息的处理则施加了更为严格的保护义务。在处理任何个人信息之前,处理者应当确保自己已经获得了个人信息处理的合法性基础,包括获得个人的同意或确保可适用除同意外的其他多种合法性基础。在进行个人信息的处理活动时,处理者还必须始终遵循合法、正当、必要和诚信的基本原则,遵守法律的相关规定,同时保存相关处理活动等记录以证明自身合规性或以应对潜在的争议或纠纷。
此外,《个保法》授予数据主体与其个人信息相关的综合权利,包括实质权利与程序性权利,例如知情权、决定权、可携权、投诉权等。
执法与处罚
中国的基本法律针对侵害网络安全和个人隐私的行为规定了严峻的刑事、行政和民事责任。例如,根据《个保法》,违法处理个人信息的,履行个人信息保护职责的部门可以采取的措施中包括没收违法所得,处人民币100万元至5000万元、或者上一年度营业额百分之5以下的罚款;同时,对直接负责的主管人员和其他直接责任人员处人民币10万元以上100万元以下罚款。滴滴一案中创造记录的罚款就是一个极致鲜活的实例。2022年9月14日,网信办发布关于公开征求《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》意见的通知,建议加大对违反《网安法》的处罚力度,使之与《个保法》的罚则相一致。
除了前述监管与执法的动态,各级法院与检察院也更加积极地在个人信息保护相关的民事及刑事案件中发挥作用。
趋势与展望
中国政府坚信,数字经济和数据资产将成为全球竞争格局中的下一个“必争之地”。因此,其将建立、维护和捍卫国家的网络空间主权置于首要地位。
可以合理地预见,在未来3-5年,中国相关法律体系的发展可能呈现如下趋势:
- 以等保2.0的全面实施为核心要求之一的《网安法》将进一步加强,以建立坚实而安全的法律规制与执法基础,承载国家网络空间主权的核心战略和利益;
- 《数安法》所建立的数据分类分级保护基础制度将逐步完善直至最终建成,并在各具体行业、领域、地区得以全面覆盖和实施;
- 《个保法》仍将继续通过更多的司法及执法行动以实现个人信息的本地化,并最终将实现对落入该法规制范围的外国实体的强制执行。
上述中国网络空间安全相关法律的发展趋势,决定了在未来一段时间内,中国将会在行政处罚、司法审查和域外执法工作中投入更多的努力。因此,在中国的跨国公司以及和中国有贸易往来的离岸实体应当密切关注相关法律、行政执法和司法实践的发展情况,通过与当地有执业资格的律师进行咨询、合作,以及时、清晰地了解相关法律要求与发展概况及可能的影响,并在相关业务中做出适当调整,确保自身合规或规避潜在的法律风险。
GLOBAL LAW OFFICE
35 & 36/F Shanghai One ICC, No.999
Middle Huai Hai Road, Xuhui District
Shanghai, 200031, China
电话:+86 21 2310 8288
电子信箱:shanghai@glo.com.cn