鄧志松，戴健民

（北京大成律師事務所，北京 100020）

《網絡安全法》時代數(shù)據跨境傳輸?shù)钠髽I(yè)合規(guī)挑戰(zhàn)

鄧志松，戴健民

（北京大成律師事務所，北京 100020）

近年來，中國政府已開始逐漸關注數(shù)據跨境傳輸問題?！吨腥A人民共和國網絡安全法》的通過標志著中國從法律層面首次對數(shù)據的跨境傳輸進行限制。雖然世界各國在限制數(shù)據的跨境傳輸方面有著不同的規(guī)范體系及模式，但《網絡安全法》僅對“關鍵信息基礎設施”的數(shù)據跨境傳輸進行限制。目前中國的網絡安全法律體系已經初步建立，但“關鍵信息基礎設施”的具體范圍尚不明確，有待后續(xù)規(guī)定的落實?？梢灶A見，《網絡安全法》的有關規(guī)定將為在華運營的企業(yè)，尤其是跨國公司帶來新的合規(guī)挑戰(zhàn)。在商業(yè)運營中，企業(yè)應完善自身合規(guī)制度，密切關注后續(xù)實施細則的制定與實施，依法進行跨境數(shù)據傳輸?shù)陌踩u估工作，并做好數(shù)據本地化的技術準備。

網絡安全法；企業(yè)合規(guī)；數(shù)據跨境傳輸；數(shù)據本地化

鄧志松 (1978-)，男，江西進賢人，法學博士，北京大成律師事務所高級合伙人

戴健民 (1978-)，男，廣東新會人，法學碩士，北京大成（上海）律師事務所合伙人

一、數(shù)據跨境傳輸?shù)膷湫伦兙?/h2>

2016年11月7日，《中華人民共和國網絡安全法》（以下簡稱“《網絡安全法》”）經三次審議后于十二屆全國人大常委會第24次會議正式通過，2017年6月1日起施行?！毒W絡安全法》共包括七章，七十九條，其首次對網絡安全等級保護制度、關鍵信息基礎設施保護和用戶個人信息保護制度等從法律層面上進行了規(guī)定。其中，限制關鍵信息基礎設施的數(shù)據跨境傳輸?shù)挠嘘P規(guī)定自《網絡安全法（草案）》初次審議（以下簡稱“一審稿”）并公布以來一直倍受全球范圍的廣泛關注，直至近日終于落地。

作為中國網絡安全領域的基本法律，《網絡安全法》第三十七條規(guī)定，“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數(shù)據應當在境內存儲。因業(yè)務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定?！边@一規(guī)定將為在華運營的企業(yè)，尤其是跨國公司帶來新的合規(guī)挑戰(zhàn)，應當予以高度重視并持續(xù)關注后續(xù)相關立法進程。需要明確的是，跨國公司并不僅限于傳統(tǒng)意義上的“外企”，隨著中國企業(yè)在海外業(yè)務的不斷拓展，許多中國企業(yè)也已加入到跨國公司的行列，也將同樣面臨數(shù)據跨境傳輸?shù)姆上拗啤?/p>

近年來，中國政府已開始逐漸關注數(shù)據跨境傳輸問題，但先前已有的法規(guī)在規(guī)制的數(shù)據類型及領域等方面還比較局限。例如，2013年1月21日國務院公布的行政法規(guī)《征信業(yè)管理條例》第二十四條規(guī)定，“征信機構在中國境內采集的信息的整理、保存和加工，應當在中國境內進行。征信機構向境外組織或者個人提供信息，應當遵守法律、行政法規(guī)和國務院征信業(yè)監(jiān)督管理部門的有關規(guī)定”；2011年1月21日中國人民銀行發(fā)布的部門規(guī)章《人民銀行關于銀行業(yè)金融機構做好個人金融信息保護工作的通知》第六條規(guī)定，“在中國境內收集的個人金融信息的儲存、處理和分析應當在中國境內進行。除法律法規(guī)及中國人民銀行另有規(guī)定外，銀行業(yè)金融機構不得向境外提供境內個人金融信息”?？梢钥闯?，以上兩部法規(guī)所針對的領域僅限于征信領域及銀行業(yè)金融領域，涉及的數(shù)據范圍也較為局限。

此外，作為中國首個個人信息保護國家標準的《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》在第5.4.5條規(guī)定，“未經個人信息主體的明示同意，或法律法規(guī)明確規(guī)定，或未經主管部門同意，個人信息管理者不得將個人信息轉移給境外個人信息獲得者，包括位于境外的個人或境外注冊的組織和機構”。顯然，該指南涵蓋的領域與數(shù)據范圍要比前述兩部法規(guī)廣很多，但該指南作為“指導性技術文件”對相關企業(yè)及個人并不具有強制力。

相比而言，《網絡安全法》系首次從國家法律層面限制數(shù)據的跨境傳輸，無論是從法律層級、規(guī)制領域范圍、數(shù)據類型，還是規(guī)制程序、法律責任等角度來看，都顯著超越之前的規(guī)范性文件。

二、立法過程及背景

《網絡安全法》的立法進程可謂一直在“加速前進”。2015年6月，全國人大常委會對草案進行了初次審議并在接下來的一個月內完成了草案的意見征集。2016年6月，僅一年之后，全國人大常委會對二次審議稿（“二審稿”）進行了第二次審議。2016年10月，在全國人大常委會第二十四次會議上，原本不在預先公布的草案審議議程中的《網絡安全法（草案）》在開幕首日便提請審議，①新華網.十二屆全國人大常委會第二十四次會議分組審議網絡安全法草案[EB/OL].[2016.11.1] http://www.qianhuaweb.com/2016/1101/3561040.shtml.并最終獲得通過。從2015年6月草案一審到最終審議通過，歷時僅短短一年半左右的時間。

在三次公布的草案審議稿中，有關數(shù)據跨境傳輸?shù)囊?guī)定也一直在不斷變化，具體體現(xiàn)在對“關鍵信息基礎設施”的定義與范圍規(guī)定的不同。一審稿中，關鍵信息基礎設施有明確的范圍，包括1.基礎信息網絡，主要包括廣電網、電信網、互聯(lián)網；2.重要行業(yè)和公共服務領域的重要信息系統(tǒng)，例如核島控制系統(tǒng)、銀聯(lián)交易系統(tǒng)、智能交通系統(tǒng)、供水管網信息管理系統(tǒng)、社保信息系統(tǒng)等；3.軍事網絡，例如軍事通信網、軍隊指揮自動化系統(tǒng)等；4.地市級以上政務網絡，例如電子政務系統(tǒng)、政府門戶網站等；5.用戶數(shù)量眾多的網絡服務商系統(tǒng)。②尹麗波.網絡安全法將促進國家關鍵信息基礎設施保護新局面[EB/OL].[2015-9-1] http://theory.people.com.cn/ n/2015/0901/c387081-27537618.html而在公布的二審稿中，對關鍵信息基礎設施的概念采取了概括性規(guī)定，并刪除了有關關鍵信息基礎設施的具體范圍的表述，規(guī)定具體范圍由國務院進行制定。最終通過的《網絡安全法》將一審稿與二審稿的表述進行結合，進一步界定了關鍵基礎設施的范圍，既列舉了一些具體行業(yè)和領域，如公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務，又用“其他一旦遭到破壞、喪失功能或者數(shù)據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施”進行了兜底規(guī)定，具體范圍仍然授權國務院進行制定。

三、數(shù)據跨境傳輸主管部門、規(guī)范體系與發(fā)展趨勢

《網絡安全法》規(guī)定關鍵信息基礎設施的范圍由國務院制定，在中國網絡安全領域問題逐漸突出，立法需求逐漸增強，立法進程逐步加快的背景之下，可以預見國務院的后續(xù)相關規(guī)范也會在不遠的將來落地。屆時，結合已有的《征信業(yè)管理條例》、《人民銀行關于銀行業(yè)金融機構做好個人金融信息保護工作的通知》等行政法規(guī)和規(guī)范性文件，中國的數(shù)據跨境傳輸規(guī)范體系將初步建成。

從國際上來看，數(shù)據跨境傳輸?shù)牟煌?guī)范模式已經基本形成。如美國基于其信息產業(yè)的優(yōu)勢地位以及對數(shù)據自由流動的依賴性，在法律層面并沒有對數(shù)據跨境傳輸做出限制性規(guī)定。而針對特定行業(yè)的外國資本進入，美國則通過與其簽訂安全協(xié)議的形式對數(shù)據本地化（Data Localization）作出要求。①石月.國外跨境數(shù)據流動管理制度及對我國的啟示[EB/OL].[2015-7-23]http://gb.cri.cn/42071/2015/07/23/661 1s5041096.htm.

歐盟雖然不禁止數(shù)據的跨境傳輸，但即將生效的《一般數(shù)據保護條例》（General Data Protection Regulation）對向歐盟境外的國家傳輸做出了非常嚴格的條件，其中之一即為由歐盟委員會對接收國的數(shù)據保護體系作出“充分保護認定”（Adequate Decision），確認接收國可以為數(shù)據提供充分的保護后才可傳輸?？瓷先コ浞直Ｗo認定與中國《網絡安全法》第三十七條中“因業(yè)務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估”的規(guī)定略有相似。在將來中國的數(shù)據傳輸?shù)陌踩u估體系中，對充分保護的類似認定也可能會作為考量因素之一。

其他一些國家如澳大利亞則采取禁止特定領域的數(shù)據跨境傳輸?shù)囊?guī)制模式，與之相反，俄羅斯的《個人數(shù)據法》中的數(shù)據本地化要求則普遍適用于在境內收集個人數(shù)據的企業(yè)。中國的數(shù)據跨境傳輸規(guī)范會采取哪種形式，有待國務院及相關部門出臺各類規(guī)定和實施細則。

《網絡安全法》第八條第一款規(guī)定，“國家網信部門負責統(tǒng)籌協(xié)調網絡安全工作和相關監(jiān)督管理工作。國務院電信主管部門、公安部門和其他有關機關依照本法和有關法律、行政法規(guī)的規(guī)定，在各自職責范圍內負責網絡安全保護和監(jiān)督管理工作。”由此條款可知，《網絡安全法》在國家層面的實施將至少涉及國家網信部門、國務院電信主管部門和公安部門，這和網絡安全本身牽涉甚廣的現(xiàn)實是相符的，相關配套規(guī)范的研究制定及后續(xù)執(zhí)法工作，尚需各相關部門的相互協(xié)調與通力合作。此外，通觀整部法律，有關“網信部門”的描述（含近似描述）共在條文中出現(xiàn)13次，所涉職權包括負責統(tǒng)籌協(xié)調網絡安全工作和相關監(jiān)督管理工作；會同國務院有關部門制定、公布網絡關鍵設備和網絡安全專用產品目錄，并推動安全認證和安全檢測結果互認，避免重復認證、檢測；對關鍵信息基礎設施的運營者采購的可能影響國家安全的網絡產品和服務，會同國務院有關部門組織的國家安全審查等等?？梢姡W信部門在《網絡安全法》相關配套規(guī)范制定及實施監(jiān)管中擔任著十分重要的角色，其在以往出臺和正在制定的相關規(guī)范文件及執(zhí)法實踐，亦值得企業(yè)重點關注與參考。

四、企業(yè)風險管理

貿易全球化與企業(yè)運營國際化的當下，信息的跨境傳輸每時每刻都在世界各地發(fā)生，尤其對跨國公司來說，海量信息伴隨著其內部運營、現(xiàn)金流轉、業(yè)務往來等在各國、各地區(qū)間頻繁傳遞。根據《網絡安全法》第六十六條的規(guī)定，“關鍵信息基礎設施的運營者違反本法第三十七條規(guī)定，在境外存儲網絡數(shù)據，或者向境外提供網絡數(shù)據的，由有關主管部門責令改正，給予警告，沒收違法所得，處五萬元以上五十萬元以下罰款，并可以責令暫停相關業(yè)務、停業(yè)整頓、關閉網站、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款?！边`反有關限制數(shù)據跨境傳輸?shù)囊?guī)定，不但將面臨網信部門的行政調查和罰款，更嚴重的法律后果包括吊銷有關許可證和執(zhí)照，從而對企業(yè)的跨境運營造成根本性影響。

盡管《網絡安全法》中最終刪掉了一審稿中“用戶數(shù)量眾多的網絡服務提供者所有或管理的網絡和系統(tǒng)”的具體表述，但這并不意味一般企業(yè)就不會成為限制數(shù)據跨境傳輸?shù)囊?guī)制對象。首先，“公共通信和信息服務”的表述可以做廣泛的解釋。僅就信息服務業(yè)而言，其本身所涉范圍甚廣，一般認為可分為三大類：即信息傳輸服務業(yè)；IT服務業(yè)（信息技術服務業(yè)）；信息資源產業(yè)（主要指信息內容產業(yè)）。其次，國務院在出臺后續(xù)規(guī)范時，會將“關鍵信息基礎設施”、“重要數(shù)據”等圈定在多大的范圍之內尚不明確。

因此，就數(shù)據跨境傳輸方面，我們對企業(yè)的提出如下合規(guī)建議：

（1）密切關注后續(xù)規(guī)定、實施細則的制定與實施

《網絡安全法》授權國務院對關鍵信息基礎設施的具體范圍和保護辦法進行制定，目前雖尚未從公開渠道獲取國務院在此方面的制定動向，但可以預見相關規(guī)范會在不遠的將來相繼出臺。企業(yè)應對相關規(guī)范的制定與實施進行密切關注，并可在必要時通過合法途徑提出合理建議和意見。此外，《網絡安全法》還授權國家網信部門和國務院有關部門就因業(yè)務需求確實需要向境外傳輸時進行安全評估，安全評估的相關依據文件相信也在制定當中，企業(yè)應當一并予以高度關注。

（2）依法進行跨境數(shù)據傳輸?shù)陌踩u估工作

《網絡安全法》第三十七條明確要求“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數(shù)據應當在境內存儲。因業(yè)務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定”。有關數(shù)據跨境傳輸安全評估制度的確立在一定程度上強化了對信息保護的力度，同時也對相關企業(yè)提出了更高的合規(guī)要求。在日后的運營中，相關企業(yè)因業(yè)務需要需向境外傳輸相關信息的，應注意依法配合進行安全評估工作。

（3）做好信息本地化的技術準備

梳理本企業(yè)進行跨境傳輸?shù)男畔⒑蛿?shù)據，準確識別所涉“個人信息與重要數(shù)據”。對于那些可以本地化存儲和加工的信息和數(shù)據，做好在中國境內存儲相關信息的技術準備。對于調整經營模式可以縮小跨境傳輸范圍的數(shù)據，則應提前做好相關技術準備。如果企業(yè)運營確實需要跨境傳輸部分業(yè)務，而企業(yè)有可能被包括在關鍵信息基礎設施經營者范圍之內，則應區(qū)分不同具體情況：可以將關鍵信息基礎設施剝離處置的應當盡早準備預案，對于無法剝離和隔離的，則應制定合規(guī)手冊，以適應《網絡安全法》的評估和報備要求。

（責任編輯：李曉暉）

The Challenges of Corporate Compliance in Terms of Crossborder Data Flow in the Age of the Implementation of Cybersecurity Law of the People's Republic of China

DENG Zhi-song,DAI Jian-min

In recent years the Chinese government has been increasingly focusing on the issue of cross-border data fl ow.The recently passed Cybersecurity Law of the People’s Republic of China marks its fi rst attempt to regulate this issue at a national law level.Though various countries have different systems and modes of regulation,the China Cybersecurity Law only restricts the crossborder data fl ow of “critical information infrastructure’’,the scope of which is currently unclear,pending further clari fi cation by relevant policies.It is reasonably foreseeable that the Cybersecurity Law will impose new challenges in terms of compliance to businesses operating in China,especially international enterprises.It is advisable for enterprises to keep improving its compliance program,closely follow the progress of the enactment of relevant policies,prepare to initiate the safety evaluation in accordance with the law,and prepare technically for data localization.

Cybersecurity Law of the People's Republic of China,Corporate Compliance,Crossborder Data Flow,Localization of Data

D922

A

1001-4225（2017）05-0070-04