淺析跨境運營企業的服務器部署及個人信息數據出境

據報道,從2018228日起,蘋果公司的中國內地用戶使用iCloud服務及通過 iCloud 存儲的所有數據都將自動發送給云上貴州大數據產業發展有限公司并由云上貴州存儲。蘋果公司此舉的主要意圖之一在于符合《中華人民共和國網絡安全法》(以下簡稱“《網絡安全法》”)以及相關法律法規對于個人信息數據不得離境的要求。與此一致,為數不少的跨境運營企業客戶,尤其是涉及大量個人信息采集與處理的房地產經紀行業與奢侈品零售行業的客戶,不斷向楊春寶律師團隊咨詢關于與位于境外的集團總部或關聯公司共享數據(主要是個人信息數據)的合規問題。為此,本文將從網絡安全法合規角度就跨境運營企業的服務器部署及個人信息數據出境問題進行探討。

近年來,我國在信息安全、用戶個人信息保護等方面的法律法規和政策逐步出臺和完善,但是,關于個人信息數據不得離境的規定散見于各部門發布的相關規定中。我們將與此相關的規定摘要如下:

1)個人信用信息:征信機構在中國境內采集的信息的整理、保存和加工,應當在中國境內進行(《征信業管理條例》第二十四條);

2)個人金融信息:在中國境內收集的個人金融信息的儲存、處理和分析應當在中國境內進行。除法律法規及中國人民銀行另有規定外,銀行業金融機構不得向境外提供境內個人金融信息(《人民銀行關于銀行業金融機構做好個人金融信息保護工作的通知》(銀發〔201117號));

3)人口健康信息:不得將人口健康信息在境外的服務器中存儲,不得托管、租賃在境外的服務器(《人口健康信息管理辦法(試行)》第十條);

4)人類遺傳資源信息:除法律規定外,因特殊情況確需臨時向外提供人類遺傳資源的,須填寫人類遺傳資源出口出境申報表及審批機關要求的其他材料,經地方主管部門或國務院有關部門審查同意后,報中國人類遺傳資源管理辦公室,經批準后核發出口、出境證明(參見《人類遺傳資源采集、收集、買賣、出口、出境審批行政許可事項服務指南》);

5)一系列標準化文件提出云服務提供商應確保機房位于中國境內的技術規范和要求(參見《信息安全技術云計算服務安全指南》第7.1.10條、《信息安全技術云計算服務安全能力要求》第14.2.1條);

6)關鍵信息基礎設施的運營者收集和產生的個人信息和重要數據:關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估(《網絡安全法》第三十七條)。

為實施《網絡安全法》第三十七條,國家互聯網信息辦公室就《個人信息和重要數據出境安全評估辦法(征求意見稿)》(以下簡稱“《安全評估辦法》”)公開征求意見,細化了關于個人信息和重要數據出境安全評估的相關規定。在此基礎上,全國信息安全標準化技術委員會公布了《信息安全技術 數據出境安全評估指南(草案)》(以下簡稱“《評估指南》”),對個人信息和重要數據出境安全評估的評估流程、評估要點、評估方法等作出詳細規定。

雖然上述已經生效的相關規定均針對特定企業或特定情形,并未要求一般民用、商用網站必須將服務器設在中華人民共和國境內,也未限制除特定個人信息外的一般個人信息數據出境,而《安全評估辦法》尚未正式出臺,但《安全評估辦法》征求意見稿以及相關機構所持的態度體現出我國對于限制個人信息數據出境的趨勢。例如,國家互聯網金融安全技術專家委員會發布的《“全國互聯網金融陽光計劃”第六周關于部分互聯網金融網站服務器部署在境外的巡查公告》[1]明確指出部分互聯網金融網站相關業務面向中國境內用戶,但其服務器部署在境外。并且,該委員會在其“數據披露”平臺上將“服務器在境外”與“收益率畸高”“虛假項目”“誘導性宣傳”等共同作為警示信息而且排在第一位,相關服務器部署在境外的互聯網金融網站因此被公示[2]

對于跨境運營企業而言,數據的跨境傳輸是常態,盡管不同企業由于所處行業以及具體情況不同,其服務器中儲存的數據類別存在差異,但共通的是企業服務器中儲存的數據都存在包含個人信息和重要數據的可能性。因此,制訂一份既符合目前生效法律法規要求,又有一定前瞻性的數據存儲與跨境傳輸政策就顯得特別重要。

如上文所述,相關法律法規對于涉及個人信用信息、個人金融信息、人口健康信息等已經有明確的監管要求,而《安全評估辦法》在征求意見后也將頒布實施,該辦法征求意見稿細化了關于個人信息和重要數據出境安全評估的相關規定,其中與個人信息數據出境相關的規定主要包括:

1)第二條:“網絡運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據,應當在境內存儲。因業務需要,確需向境外提供的,應當按照本辦法進行安全評估。”

2)第四條:“個人信息出境,應向個人信息主體說明數據出境的目的、范圍、內容、接收方及接收方所在的國家或地區,并經其同意。未成年人個人信息出境須經其監護人同意。”

3)第九條:“出境數據存在以下情況之一的,網絡運營者應報請行業主管或監管部門組織安全評估:

(一)含有或累計含有50萬人以上的個人信息;

(二)數據量超過1000GB

(三)包含核設施、化學生物、國防軍工、人口健康等領域數據,大型工程活動、海洋環境以及敏感地理信息數據等;

(四)包含關鍵信息基礎設施的系統漏洞、安全防護等網絡安全信息;

(五)關鍵信息基礎設施運營者向境外提供個人信息和重要數據;

(六)其他可能影響國家安全和社會公共利益,行業主管或監管部門認為應該評估。”

4)第十一條:“存在以下情況之一的,數據不得出境:

(一)個人信息出境未經個人信息主體同意,或可能侵害個人利益;

(二)數據出境給國家政治、經濟、科技、國防等安全帶來風險,可能影響國家安全、損害社會公共利益;

(三)其他經國家網信部門、公安部門、安全部門等有關部門認定不能出境的。”

5)第十六條:“其他個人和組織在中華人民共和國境內收集和產生的個人信息和重要數據出境的安全評估工作參照本辦法執行。”

6)第十七條:“本辦法下列用語的含義:

……數據出境,是指網絡運營者將在中華人民共和國境內運營中收集和產生的個人信息和重要數據,提供給位于境外的機構、組織、個人。

個人信息,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息,包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。……”

雖然《安全評估辦法》目前仍尚未頒布實施,但其提出的監管要求很可能在將來被付諸實施,因此,從監管趨勢而言,楊春寶律師團隊建議跨境運營企業參考該辦法的規定,制訂數據存儲與跨境傳輸政策。具體而言,我們建議應當注意以下幾點:

首先,跨境運營企業在境內運營中收集和產生的個人信息和重要數據,應當在境內存儲。

雖然《網絡安全法》第三十七條僅就關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據向境外提供提出了安全評估要求,而《安全評估辦法》擴大了進行安全評估的個人信息以及重要數據范圍,對于跨境運營的涉及個人用戶(特別是會員制)的企業而言,可能涉及的情形主要為“含有或累計含有50萬人以上的個人信息”以及“數據量超過1000GB”。即使相關企業的跨境數據傳輸并不需要報請行業主管或監管部門組織進行安全評估,如上文所述,一系列與個人信息和重要數據保護相關的法律法規均提出了限制特定個人信息數據出境的要求,而《安全評估辦法》明確要求企業在境內運營中收集和產生的個人信息和重要數據,應當在境內存儲,因業務需要,確需向境外提供的,應當進行安全評估。網絡運營者應在數據出境前,自行組織對數據出境進行安全評估,并對評估結果負責。

其次,跨境運營企業應當就個人信息出境向被收集者事先履行說明義務并確保獲得其授權。

由于《網絡安全法》要求個人信息的收集、使用應當遵循合法、正當、必要的原則,并要求企業公開個人信息的收集與使用規則,明示收集、使用信息的目的、方式和范圍,并經被收集者同意,因此企業需公開其收集與使用個人信息的規則并在信息收集階段就獲得被收集者對其采集、使用等各項行為的書面授權。而將來隨著《安全評估辦法》的發布,跨境運營企業還需在收集與使用個人信息的規則中以及對企業采集、使用等各項行為的書面授權中增加對個人信息出境的目的、范圍、內容、接收方及接收方所在的國家或地區的說明,并獲得被收集者對其個人信息出境的同意(未成年人個人信息出境須經其監護人同意)。如果前述書面授權采用電子合同等格式條款方式簽署,楊春寶律師團隊建議跨境運營企業對相關條款以顯著方式提示被收集者注意,并對收集者就相關條款可能提出的疑問進行解釋。

第三,個人信息出境未經被收集者同意或可能侵害個人利益的以及存在《安全評估辦法》規定的數據不得出境的其他情形的,請勿向境外提供。

對于何為“個人信息出境可能侵害個人利益”,實踐中很難有統一的判斷標準,鑒于我國對于個人信息數據不得離境的立法趨勢,楊春寶律師團隊建議跨境運營企業對向境外提供被收集者個人信息采取謹慎的態度。對于何為“數據出境”,《安全評估辦法》給出的定義為“數據出境,是指網絡運營者將在中華人民共和國境內運營中收集和產生的個人信息和重要數據,提供給位于境外的機構、組織、個人”,但并未進一步解釋怎樣的情形構成前述定義中的“提供”。楊春寶律師團隊認為:除了傳統的攜帶、寄運外,將數據通過網絡傳輸給位于境外的主體,允許位于境外的主體通過網絡訪問境內數據,境內外數據庫之間存在數據交互,或通過網絡以外的物理手段將數據提供給位于境外的主體均構成數據出境。因此,涉及數據跨境傳輸的跨境運營企業不僅僅是指跨國企業,還包括使用境外第三方數據處理、數據分析服務的境內企業、聘用境外第三方利用境內數據提供客戶服務的境內企業、托管或者租用境外服務器的境內企業等等。

當然,跨境運營企業在制訂數據存儲與跨境傳輸政策時,除了應重點考慮個人信息數據出境問題外,還應根據企業業務經營的實際情況,遵守其他有關數據出境的規定。比如:企業會計信息系統數據服務器的部署應當符合國家有關規定,數據服務器部署在境外的,應當在境內保存會計資料備份,備份頻率不得低于每月一次。對于涉及國家秘密、關系國家經濟信息安全的會計資料,未經有關主管部門批準,不得將其攜帶、寄運或者傳輸至境外(《企業會計信息化工作規范》(財會〔201320號)第三十六條、第三十九條)。如果相關企業為政府機關提供服務,其數據中心、云計算服務平臺等均須設在境內(《國務院關于大力推進信息化發展和切實保障信息安全的若干意見》(國發〔201223號))。如果相關企業涉及地圖數據的采集,則其存放地圖數據的服務器也必須設在境內(《互聯網地圖服務專業標準》(國測管發〔201014號))。

[1] 詳見國家互聯網金融安全技術專家委員會開放平臺https://www.ifcert.org.cn/industry/153/IndustryDetail

[2] 詳見國家互聯網金融安全技術專家委員會開放平臺https://www.ifcert.org.cn/disclosure/dataList

最后編輯于:2022-05-21 22:49
  • 本站聲明:本站所載之法律論文、法律評論、案例、法律咨詢等,除非另有注明,著作權人均為站長楊春寶高級律師本人。歡迎其他網站鏈接,但是,未經書面許可,不得擅自摘編、轉載。引用及經許可轉載時均應注明作者和出處"法律橋",并鏈接本站。本站網址:http://www.xabzw.com。
  •  
  •         本站所有內容(包括法律咨詢、法律法規)僅供參考,不構成法律意見,本站不對資料的完整性和時效性負責。您在處理具體法律事務時,請洽詢有資質的律師。本站將努力為廣大網友提供更好的服務,但不對本站提供的任何免費服務作出正式的承諾。本站所載投稿文章,其言論不代表本站觀點,如需使用,請與原作者聯系,版權歸原作者所有。

發表回復