美國通過WTO要求中國暫緩實施網(wǎng)安法最終措施，《評估辦法》細化規(guī)定應予重視

美國 WTO 網(wǎng)絡安全

吳丹君周天一 | 2017-10-12 15:19

【數(shù)據(jù)猿導讀】今年9月25日，美國向WTO貿(mào)易服務委員會提交了針對中國《網(wǎng)絡安全法》（以下稱“《網(wǎng)安法》”）的文件，重點針對中國《網(wǎng)安法》第三十七條所規(guī)定的數(shù)據(jù)跨境安全評估制度。在該份文件中，美國認為中國《網(wǎng)安法》所采取的針對個人信息和重要數(shù)據(jù)跨境進行安全評估的措施會嚴重阻礙數(shù)據(jù)自由流...

美國通過WTO要求中國暫緩實施網(wǎng)安法最終措施，《評估辦法》細化規(guī)定應予重視

作者：吳丹君周天一

北京觀韜中茂（上海）律師事務所

今年9月25日，美國向WTO貿(mào)易服務委員會提交了針對中國《網(wǎng)絡安全法》（以下稱“《網(wǎng)安法》”）的文件，重點針對中國《網(wǎng)安法》第三十七條所規(guī)定的數(shù)據(jù)跨境安全評估制度。在該份文件中，美國認為中國《網(wǎng)安法》所采取的針對個人信息和重要數(shù)據(jù)跨境進行安全評估的措施會嚴重阻礙數(shù)據(jù)自由流動，對外國供應商產(chǎn)生不利影響。為此，美國希望中國在相關事宜未解決之前，暫緩發(fā)布和實施有關數(shù)據(jù)跨境安全評估的最終措施。

除《網(wǎng)安法》外，美國關注的文件還包括4月11日發(fā)布的《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》（以下稱“《評估辦法》”）和8月30日發(fā)布的《信息安全技術數(shù)據(jù)出境安全評估指南（征求意見稿）》（以下稱“《評估指南》”）。《評估指南》進一步細化了《網(wǎng)安法》及《評估辦法》已有的規(guī)定，為數(shù)據(jù)出境安全評估的實施提供了操作指引。

《評估指南》的細化規(guī)定

1、明示數(shù)據(jù)出境安全評估的適用范圍及例外

《評估辦法》規(guī)定，數(shù)據(jù)出境，是指網(wǎng)絡運營者將在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)，提供給位于境外的機構、組織、個人。《評估指南》則將數(shù)據(jù)出境定義為網(wǎng)絡運營者通過網(wǎng)絡等方式，將其在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)，通過直接提供或開展業(yè)務、提供服務、產(chǎn)品等方式提供給境外的機構、組織或個人的一次性活動或連續(xù)性活動，相較《評估辦法》更為具體?！对u估指南》還以注解的形式進一步界定了數(shù)據(jù)出境的內(nèi)涵，使數(shù)據(jù)出境安全評估范圍更為清晰，一方面，將a)向本國境內(nèi)，但不屬于本國司法管轄或未在境內(nèi)注冊的主體提供個人信息和重要數(shù)據(jù)；b)數(shù)據(jù)未轉(zhuǎn)移存儲至本國以外的地方，但被境外的機構、組織、個人訪問查看的（公開信息、網(wǎng)頁訪問除外）；c)網(wǎng)絡運營者集團內(nèi)部數(shù)據(jù)由境內(nèi)轉(zhuǎn)移至境外，涉及其在境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)的等三種情形納入數(shù)據(jù)出境的范圍；另一方面，將a)未經(jīng)任何變動或加工處理的非在境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)經(jīng)由本國出境的情形；以及b)非在境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)在境內(nèi)存儲、加工處理后出境，不涉及境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)的情形予以排除。

2、細化個人信息及重要數(shù)據(jù)類型

《網(wǎng)安法》第三十七條規(guī)定，被限制跨境轉(zhuǎn)移的數(shù)據(jù)類型為“在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)”。其中，《網(wǎng)安法》將個人信息定義為以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等?！对u估辦法》將重要數(shù)據(jù)定義為與國家安全、經(jīng)濟發(fā)展，以及社會公共利益密切相關的數(shù)據(jù)，具體范圍參照國家有關標準和重要數(shù)據(jù)識別指南。

《評估指南》通過注解形式建議個人信息的范圍和類別可參考《信息安全技術個人信息安全規(guī)范》（以下稱“《安全規(guī)范》”）。根據(jù)最新《安全規(guī)范》征求意見稿的規(guī)定，個人信息包括三部分，第一部分是個人身份和鑒別信息，指能夠單獨或與其他信息結(jié)合，對用戶自然人身份進行識別，或在某些服務中代替用戶自然人身份屬性的虛擬身份信息，例如個人基本資料、身份信息、生物識別信息、虛擬身份標識等；第二部分是個人服務和數(shù)據(jù)內(nèi)容信息，指組織在服務過程中收集的具有個人隱私屬性的數(shù)據(jù)和內(nèi)容信息，例如病理健康信息、財產(chǎn)信息、服務內(nèi)容信息、聯(lián)系人和關系鏈信息等；第三部分是個人服務相關信息，指服務過程中所收集的個人服務使用情況及服務相關輔助類信息，包括服務記錄、設備信息、位置信息等。網(wǎng)絡運營者在收集個人信息時應結(jié)合《安全規(guī)范》與《評估辦法》的規(guī)定，針對需要出境的個人信息的數(shù)量、范圍、類型、敏感程度，以及個人信息主體是否同意其個人信息出境等內(nèi)容進行詳細分類以應對數(shù)據(jù)出境安全評估的需要。

作為《評估指南》附錄的《重要數(shù)據(jù)識別指南》對重要數(shù)據(jù)進行了定義，只要是相關組織、機構和個人在我國境內(nèi)收集、產(chǎn)生的不涉及國家秘密，但與國家安全、經(jīng)濟發(fā)展以及公共利益密切相關的數(shù)據(jù)(包括原始數(shù)據(jù)和衍生數(shù)據(jù))，均應納入重要數(shù)據(jù)的范圍。此外，《重要數(shù)據(jù)識別指南》明確了包括石油天然氣、煤炭、石化、電力、通信、電子信息、鋼鐵等在內(nèi)的二十七個行業(yè)（領域）的重要數(shù)據(jù)范圍，相關行業(yè)的主管部門應結(jié)合實際，明確本行業(yè)（領域）重要數(shù)據(jù)定義、范圍或判定依據(jù)，并根據(jù)行業(yè)（領域）發(fā)展變化，及時更新或替換相關內(nèi)容。因此，相關行業(yè)的網(wǎng)絡運營者應及時了解本行業(yè)主管部門有關重要數(shù)據(jù)的規(guī)定及更新，對相關重要數(shù)據(jù)分類備案，一旦需要跨境傳輸，及時加工處理以滿足安全評估的要求。

3、增加網(wǎng)絡運營者個人信息出境告知義務

關于個人信息出境，《評估辦法》要求網(wǎng)絡運營者應向個人信息主體說明數(shù)據(jù)出境的目的、范圍、內(nèi)容、接收方及接收方所在的國家或地區(qū)并經(jīng)其同意，明令禁止個人信息未經(jīng)個人信息主體同意即出境?！对u估指南》則在此基礎上增加了網(wǎng)絡運營者的告知義務，要求網(wǎng)絡運營者在取得個人信息主體同意前，應將數(shù)據(jù)出境的目的、類型、數(shù)據(jù)接收方情況及數(shù)據(jù)出境可能存在的風險，網(wǎng)絡運營者的聯(lián)系人及其聯(lián)系方式等信息明確告知個人信息主體。當網(wǎng)絡運營者隱私規(guī)則發(fā)生變更、數(shù)據(jù)出境目的、范圍、類型、數(shù)量發(fā)生較大變化、數(shù)據(jù)接收方發(fā)生變更或數(shù)據(jù)出境風險發(fā)生較大變化時網(wǎng)絡運營者還應重新取得個人信息主體的同意。另外，若個人信息主體實施了撥打國際及漫游電話、發(fā)送國際電子郵件、進行國際即時通信、通過互聯(lián)網(wǎng)進行跨境交易以及其他個人主動行為或?qū)⒑戏ㄏ蛏鐣_披露的個人信息出境，《評估指南》將視為個人信息主體已經(jīng)同意其信息出境。

4、細分評估流程，區(qū)別安全自評估與主管部門評估

《評估辦法》僅在條文中簡單規(guī)定行業(yè)主管或監(jiān)管部門負責本行業(yè)數(shù)據(jù)出境安全評估工作以及網(wǎng)絡運營者在數(shù)據(jù)出境前自行組織數(shù)據(jù)出境安全評估并對結(jié)果負責的內(nèi)容?！对u估指南》則在《評估辦法》基礎上分別闡述了安全自評估與主管部門評估兩類模式各自的程序，體現(xiàn)了安全自評估與主管部門評估在啟動條件、評估工作組組成、評估報告以及評估流程上的差異。值得注意的是，《評估辦法》第九條列舉了網(wǎng)絡運營者主動報請行業(yè)主管或監(jiān)管部門組織安全評估的情形，《評估指南》在所列舉的主管部門評估的啟動條件中增加了大量用戶投訴、舉報以及全國性行業(yè)協(xié)會建議兩類啟動條件，增加了主管部門根據(jù)公眾反饋主動采取安全評估的靈活性。

結(jié)語

本次美國向WTO遞交的申辯文件主要認為《網(wǎng)安法》及其配套措施的實施將損害貿(mào)易自由，并對信息社會產(chǎn)生影響。隨著《評估辦法》和《評估指南》等規(guī)范性文件、標準的推出，《網(wǎng)安法》原有的一些原則性規(guī)定和條款正在逐步細化，上述草案也經(jīng)歷了從一審稿到二審稿的修訂和完善，并部分回應了國內(nèi)外企業(yè)的主要關注點。可以預見的是，雖然《網(wǎng)安法》已正式實施，但圍繞其進行的傾向性解讀以及各利害攸關方的博弈仍將繼續(xù)。

對需要進行數(shù)據(jù)出境的網(wǎng)絡運營者而言，減少個人信息和重要數(shù)據(jù)出境安全評估的合規(guī)風險已然十分迫切。首先，應當明確數(shù)據(jù)出境可能涉及的具體情形，對于向本國境內(nèi)的外國組織個人提供數(shù)據(jù)信息以及本國境內(nèi)儲存的數(shù)據(jù)信息被外國組織個人訪問查看的可能性予以嚴格監(jiān)控，構建必要的內(nèi)部監(jiān)管體系；其次，及時關注本行業(yè)主管部門發(fā)布的涉及重要數(shù)據(jù)種類的規(guī)范文件，保證對需要進行出境安全評估的數(shù)據(jù)的及時更新；再次，對獲取的需要出境的個人信息，網(wǎng)絡運營者應將出境的目的、類型、數(shù)據(jù)接收方情況及數(shù)據(jù)出境可能存在的風險，聯(lián)系人及聯(lián)系方式等信息明確告知個人信息主體，當自身隱私規(guī)則發(fā)生變更、數(shù)據(jù)出境目的、范圍、類型、數(shù)量發(fā)生較大變化、數(shù)據(jù)接收方發(fā)生變更或數(shù)據(jù)出境風險發(fā)生較大變化時還應重新取得個人信息主體的授權同意；最后，在具體實施安全評估時，網(wǎng)絡運營者應保證出境目的滿足《評估指南》合法性、正當性、必要性要求，在自評估時應建立評估工作組，審查出境計劃，形成安全自評報告，必要時采取技術措施降低出境安全風險，自評結(jié)果不符合出境要求的，還應修正數(shù)據(jù)出境計劃，重新開展安全自評估。

來源：數(shù)據(jù)猿

收藏分享

聲明：數(shù)據(jù)猿尊重媒體行業(yè)規(guī)范，相關內(nèi)容都會注明來源與作者；轉(zhuǎn)載我們原創(chuàng)內(nèi)容時，也請務必注明“來源：數(shù)據(jù)猿”與作者名稱，否則將會受到數(shù)據(jù)猿追責。