《網絡安全法》時代數據跨境傳輸的企業合規挑戰

鄧志松，戴健民

（北京大成律師事務所，北京 100020）

《網絡安全法》時代數據跨境傳輸的企業合規挑戰

鄧志松，戴健民

（北京大成律師事務所，北京 100020）

近年來，中國政府已開始逐漸關注數據跨境傳輸問題。《中華人民共和國網絡安全法》的通過標志著中國從法律層面首次對數據的跨境傳輸進行限制。雖然世界各國在限制數據的跨境傳輸方面有著不同的規范體系及模式，但《網絡安全法》僅對“關鍵信息基礎設施”的數據跨境傳輸進行限制。目前中國的網絡安全法律體系已經初步建立，但“關鍵信息基礎設施”的具體范圍尚不明確，有待后續規定的落實。可以預見，《網絡安全法》的有關規定將為在華運營的企業，尤其是跨國公司帶來新的合規挑戰。在商業運營中，企業應完善自身合規制度，密切關注后續實施細則的制定與實施，依法進行跨境數據傳輸的安全評估工作，并做好數據本地化的技術準備。

網絡安全法；企業合規；數據跨境傳輸；數據本地化

鄧志松 (1978-)，男，江西進賢人，法學博士，北京大成律師事務所高級合伙人

戴健民 (1978-)，男，廣東新會人，法學碩士，北京大成（上海）律師事務所合伙人

一、數據跨境傳輸的嶄新變局

2016年11月7日，《中華人民共和國網絡安全法》（以下簡稱“《網絡安全法》”）經三次審議后于十二屆全國人大常委會第24次會議正式通過，2017年6月1日起施行。《網絡安全法》共包括七章，七十九條，其首次對網絡安全等級保護制度、關鍵信息基礎設施保護和用戶個人信息保護制度等從法律層面上進行了規定。其中，限制關鍵信息基礎設施的數據跨境傳輸的有關規定自《網絡安全法（草案）》初次審議（以下簡稱“一審稿”）并公布以來一直倍受全球范圍的廣泛關注，直至近日終于落地。

作為中國網絡安全領域的基本法律，《網絡安全法》第三十七條規定，“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規另有規定的，依照其規定。”這一規定將為在華運營的企業，尤其是跨國公司帶來新的合規挑戰，應當予以高度重視并持續關注后續相關立法進程。需要明確的是，跨國公司并不僅限于傳統意義上的“外企”，隨著中國企業在海外業務的不斷拓展，許多中國企業也已加入到跨國公司的行列，也將同樣面臨數據跨境傳輸的法律限制。

近年來，中國政府已開始逐漸關注數據跨境傳輸問題，但先前已有的法規在規制的數據類型及領域等方面還比較局限。例如，2013年1月21日國務院公布的行政法規《征信業管理條例》第二十四條規定，“征信機構在中國境內采集的信息的整理、保存和加工，應當在中國境內進行。征信機構向境外組織或者個人提供信息，應當遵守法律、行政法規和國務院征信業監督管理部門的有關規定”；2011年1月21日中國人民銀行發布的部門規章《人民銀行關于銀行業金融機構做好個人金融信息保護工作的通知》第六條規定，“在中國境內收集的個人金融信息的儲存、處理和分析應當在中國境內進行。除法律法規及中國人民銀行另有規定外，銀行業金融機構不得向境外提供境內個人金融信息”。可以看出，以上兩部法規所針對的領域僅限于征信領域及銀行業金融領域，涉及的數據范圍也較為局限。

此外，作為中國首個個人信息保護國家標準的《信息安全技術公共及商用服務信息系統個人信息保護指南》在第5.4.5條規定，“未經個人信息主體的明示同意，或法律法規明確規定，或未經主管部門同意，個人信息管理者不得將個人信息轉移給境外個人信息獲得者，包括位于境外的個人或境外注冊的組織和機構”。顯然，該指南涵蓋的領域與數據范圍要比前述兩部法規廣很多，但該指南作為“指導性技術文件”對相關企業及個人并不具有強制力。

相比而言，《網絡安全法》系首次從國家法律層面限制數據的跨境傳輸，無論是從法律層級、規制領域范圍、數據類型，還是規制程序、法律責任等角度來看，都顯著超越之前的規范性文件。

二、立法過程及背景

《網絡安全法》的立法進程可謂一直在“加速前進”。2015年6月，全國人大常委會對草案進行了初次審議并在接下來的一個月內完成了草案的意見征集。2016年6月，僅一年之后，全國人大常委會對二次審議稿（“二審稿”）進行了第二次審議。2016年10月，在全國人大常委會第二十四次會議上，原本不在預先公布的草案審議議程中的《網絡安全法（草案）》在開幕首日便提請審議，①新華網.十二屆全國人大常委會第二十四次會議分組審議網絡安全法草案[EB/OL].[2016.11.1] http://www.qianhuaweb.com/2016/1101/3561040.shtml.并最終獲得通過。從2015年6月草案一審到最終審議通過，歷時僅短短一年半左右的時間。

在三次公布的草案審議稿中，有關數據跨境傳輸的規定也一直在不斷變化，具體體現在對“關鍵信息基礎設施”的定義與范圍規定的不同。一審稿中，關鍵信息基礎設施有明確的范圍，包括1.基礎信息網絡，主要包括廣電網、電信網、互聯網；2.重要行業和公共服務領域的重要信息系統，例如核島控制系統、銀聯交易系統、智能交通系統、供水管網信息管理系統、社保信息系統等；3.軍事網絡，例如軍事通信網、軍隊指揮自動化系統等；4.地市級以上政務網絡，例如電子政務系統、政府門戶網站等；5.用戶數量眾多的網絡服務商系統。②尹麗波.網絡安全法將促進國家關鍵信息基礎設施保護新局面[EB/OL].[2015-9-1] http://theory.people.com.cn/ n/2015/0901/c387081-27537618.html而在公布的二審稿中，對關鍵信息基礎設施的概念采取了概括性規定，并刪除了有關關鍵信息基礎設施的具體范圍的表述，規定具體范圍由國務院進行制定。最終通過的《網絡安全法》將一審稿與二審稿的表述進行結合，進一步界定了關鍵基礎設施的范圍，既列舉了一些具體行業和領域，如公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務，又用“其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施”進行了兜底規定，具體范圍仍然授權國務院進行制定。

三、數據跨境傳輸主管部門、規范體系與發展趨勢

《網絡安全法》規定關鍵信息基礎設施的范圍由國務院制定，在中國網絡安全領域問題逐漸突出，立法需求逐漸增強，立法進程逐步加快的背景之下，可以預見國務院的后續相關規范也會在不遠的將來落地。屆時，結合已有的《征信業管理條例》、《人民銀行關于銀行業金融機構做好個人金融信息保護工作的通知》等行政法規和規范性文件，中國的數據跨境傳輸規范體系將初步建成。

從國際上來看，數據跨境傳輸的不同規范模式已經基本形成。如美國基于其信息產業的優勢地位以及對數據自由流動的依賴性，在法律層面并沒有對數據跨境傳輸做出限制性規定。而針對特定行業的外國資本進入，美國則通過與其簽訂安全協議的形式對數據本地化（Data Localization）作出要求。①石月.國外跨境數據流動管理制度及對我國的啟示[EB/OL].[2015-7-23]http://gb.cri.cn/42071/2015/07/23/661 1s5041096.htm.

歐盟雖然不禁止數據的跨境傳輸，但即將生效的《一般數據保護條例》（General Data Protection Regulation）對向歐盟境外的國家傳輸做出了非常嚴格的條件，其中之一即為由歐盟委員會對接收國的數據保護體系作出“充分保護認定”（Adequate Decision），確認接收國可以為數據提供充分的保護后才可傳輸。看上去充分保護認定與中國《網絡安全法》第三十七條中“因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估”的規定略有相似。在將來中國的數據傳輸的安全評估體系中，對充分保護的類似認定也可能會作為考量因素之一。

其他一些國家如澳大利亞則采取禁止特定領域的數據跨境傳輸的規制模式，與之相反，俄羅斯的《個人數據法》中的數據本地化要求則普遍適用于在境內收集個人數據的企業。中國的數據跨境傳輸規范會采取哪種形式，有待國務院及相關部門出臺各類規定和實施細則。

《網絡安全法》第八條第一款規定，“國家網信部門負責統籌協調網絡安全工作和相關監督管理工作。國務院電信主管部門、公安部門和其他有關機關依照本法和有關法律、行政法規的規定，在各自職責范圍內負責網絡安全保護和監督管理工作。”由此條款可知，《網絡安全法》在國家層面的實施將至少涉及國家網信部門、國務院電信主管部門和公安部門，這和網絡安全本身牽涉甚廣的現實是相符的，相關配套規范的研究制定及后續執法工作，尚需各相關部門的相互協調與通力合作。此外，通觀整部法律，有關“網信部門”的描述（含近似描述）共在條文中出現13次，所涉職權包括負責統籌協調網絡安全工作和相關監督管理工作；會同國務院有關部門制定、公布網絡關鍵設備和網絡安全專用產品目錄，并推動安全認證和安全檢測結果互認，避免重復認證、檢測；對關鍵信息基礎設施的運營者采購的可能影響國家安全的網絡產品和服務，會同國務院有關部門組織的國家安全審查等等。可見，網信部門在《網絡安全法》相關配套規范制定及實施監管中擔任著十分重要的角色，其在以往出臺和正在制定的相關規范文件及執法實踐，亦值得企業重點關注與參考。

四、企業風險管理

貿易全球化與企業運營國際化的當下，信息的跨境傳輸每時每刻都在世界各地發生，尤其對跨國公司來說，海量信息伴隨著其內部運營、現金流轉、業務往來等在各國、各地區間頻繁傳遞。根據《網絡安全法》第六十六條的規定，“關鍵信息基礎設施的運營者違反本法第三十七條規定，在境外存儲網絡數據，或者向境外提供網絡數據的，由有關主管部門責令改正，給予警告，沒收違法所得，處五萬元以上五十萬元以下罰款，并可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。”違反有關限制數據跨境傳輸的規定，不但將面臨網信部門的行政調查和罰款，更嚴重的法律后果包括吊銷有關許可證和執照，從而對企業的跨境運營造成根本性影響。

盡管《網絡安全法》中最終刪掉了一審稿中“用戶數量眾多的網絡服務提供者所有或管理的網絡和系統”的具體表述，但這并不意味一般企業就不會成為限制數據跨境傳輸的規制對象。首先，“公共通信和信息服務”的表述可以做廣泛的解釋。僅就信息服務業而言，其本身所涉范圍甚廣，一般認為可分為三大類：即信息傳輸服務業；IT服務業（信息技術服務業）；信息資源產業（主要指信息內容產業）。其次，國務院在出臺后續規范時，會將“關鍵信息基礎設施”、“重要數據”等圈定在多大的范圍之內尚不明確。

因此，就數據跨境傳輸方面，我們對企業的提出如下合規建議：

（1）密切關注后續規定、實施細則的制定與實施

《網絡安全法》授權國務院對關鍵信息基礎設施的具體范圍和保護辦法進行制定，目前雖尚未從公開渠道獲取國務院在此方面的制定動向，但可以預見相關規范會在不遠的將來相繼出臺。企業應對相關規范的制定與實施進行密切關注，并可在必要時通過合法途徑提出合理建議和意見。此外，《網絡安全法》還授權國家網信部門和國務院有關部門就因業務需求確實需要向境外傳輸時進行安全評估，安全評估的相關依據文件相信也在制定當中，企業應當一并予以高度關注。

（2）依法進行跨境數據傳輸的安全評估工作

《網絡安全法》第三十七條明確要求“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規另有規定的，依照其規定”。有關數據跨境傳輸安全評估制度的確立在一定程度上強化了對信息保護的力度，同時也對相關企業提出了更高的合規要求。在日后的運營中，相關企業因業務需要需向境外傳輸相關信息的，應注意依法配合進行安全評估工作。

（3）做好信息本地化的技術準備

梳理本企業進行跨境傳輸的信息和數據，準確識別所涉“個人信息與重要數據”。對于那些可以本地化存儲和加工的信息和數據，做好在中國境內存儲相關信息的技術準備。對于調整經營模式可以縮小跨境傳輸范圍的數據，則應提前做好相關技術準備。如果企業運營確實需要跨境傳輸部分業務，而企業有可能被包括在關鍵信息基礎設施經營者范圍之內，則應區分不同具體情況：可以將關鍵信息基礎設施剝離處置的應當盡早準備預案，對于無法剝離和隔離的，則應制定合規手冊，以適應《網絡安全法》的評估和報備要求。

（責任編輯：李曉暉）

The Challenges of Corporate Compliance in Terms of Crossborder Data Flow in the Age of the Implementation of Cybersecurity Law of the People's Republic of China

DENG Zhi-song,DAI Jian-min

In recent years the Chinese government has been increasingly focusing on the issue of cross-border data fl ow.The recently passed Cybersecurity Law of the People’s Republic of China marks its fi rst attempt to regulate this issue at a national law level.Though various countries have different systems and modes of regulation,the China Cybersecurity Law only restricts the crossborder data fl ow of “critical information infrastructure’’,the scope of which is currently unclear,pending further clari fi cation by relevant policies.It is reasonably foreseeable that the Cybersecurity Law will impose new challenges in terms of compliance to businesses operating in China,especially international enterprises.It is advisable for enterprises to keep improving its compliance program,closely follow the progress of the enactment of relevant policies,prepare to initiate the safety evaluation in accordance with the law,and prepare technically for data localization.

Cybersecurity Law of the People's Republic of China,Corporate Compliance,Crossborder Data Flow,Localization of Data

D922

A

1001-4225（2017）05-0070-04