淺析跨境運(yùn)營(yíng)企業(yè)的服務(wù)器部署及個(gè)人信息數(shù)據(jù)出境

據(jù)報(bào)道,從2018228日起,蘋(píng)果公司的中國(guó)內(nèi)地用戶(hù)使用iCloud服務(wù)及通過(guò) iCloud 存儲(chǔ)的所有數(shù)據(jù)都將自動(dòng)發(fā)送給云上貴州大數(shù)據(jù)產(chǎn)業(yè)發(fā)展有限公司并由云上貴州存儲(chǔ)。蘋(píng)果公司此舉的主要意圖之一在于符合《中華人民共和國(guó)網(wǎng)絡(luò)安全法》(以下簡(jiǎn)稱(chēng)“《網(wǎng)絡(luò)安全法》”)以及相關(guān)法律法規(guī)對(duì)于個(gè)人信息數(shù)據(jù)不得離境的要求。與此一致,為數(shù)不少的跨境運(yùn)營(yíng)企業(yè)客戶(hù),尤其是涉及大量個(gè)人信息采集與處理的房地產(chǎn)經(jīng)紀(jì)行業(yè)與奢侈品零售行業(yè)的客戶(hù),不斷向楊春寶律師團(tuán)隊(duì)咨詢(xún)關(guān)于與位于境外的集團(tuán)總部或關(guān)聯(lián)公司共享數(shù)據(jù)(主要是個(gè)人信息數(shù)據(jù))的合規(guī)問(wèn)題。為此,本文將從網(wǎng)絡(luò)安全法合規(guī)角度就跨境運(yùn)營(yíng)企業(yè)的服務(wù)器部署及個(gè)人信息數(shù)據(jù)出境問(wèn)題進(jìn)行探討。

近年來(lái),我國(guó)在信息安全、用戶(hù)個(gè)人信息保護(hù)等方面的法律法規(guī)和政策逐步出臺(tái)和完善,但是,關(guān)于個(gè)人信息數(shù)據(jù)不得離境的規(guī)定散見(jiàn)于各部門(mén)發(fā)布的相關(guān)規(guī)定中。我們將與此相關(guān)的規(guī)定摘要如下:

1)個(gè)人信用信息:征信機(jī)構(gòu)在中國(guó)境內(nèi)采集的信息的整理、保存和加工,應(yīng)當(dāng)在中國(guó)境內(nèi)進(jìn)行(《征信業(yè)管理?xiàng)l例》第二十四條);

2)個(gè)人金融信息:在中國(guó)境內(nèi)收集的個(gè)人金融信息的儲(chǔ)存、處理和分析應(yīng)當(dāng)在中國(guó)境內(nèi)進(jìn)行。除法律法規(guī)及中國(guó)人民銀行另有規(guī)定外,銀行業(yè)金融機(jī)構(gòu)不得向境外提供境內(nèi)個(gè)人金融信息(《人民銀行關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作的通知》(銀發(fā)〔201117號(hào)));

3)人口健康信息:不得將人口健康信息在境外的服務(wù)器中存儲(chǔ),不得托管、租賃在境外的服務(wù)器(《人口健康信息管理辦法(試行)》第十條);

4)人類(lèi)遺傳資源信息:除法律規(guī)定外,因特殊情況確需臨時(shí)向外提供人類(lèi)遺傳資源的,須填寫(xiě)人類(lèi)遺傳資源出口出境申報(bào)表及審批機(jī)關(guān)要求的其他材料,經(jīng)地方主管部門(mén)或國(guó)務(wù)院有關(guān)部門(mén)審查同意后,報(bào)中國(guó)人類(lèi)遺傳資源管理辦公室,經(jīng)批準(zhǔn)后核發(fā)出口、出境證明(參見(jiàn)《人類(lèi)遺傳資源采集、收集、買(mǎi)賣(mài)、出口、出境審批行政許可事項(xiàng)服務(wù)指南》);

5)一系列標(biāo)準(zhǔn)化文件提出云服務(wù)提供商應(yīng)確保機(jī)房位于中國(guó)境內(nèi)的技術(shù)規(guī)范和要求(參見(jiàn)《信息安全技術(shù)云計(jì)算服務(wù)安全指南》第7.1.10條、《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》第14.2.1條);

6)關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù):關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要,確需向境外提供的,應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)務(wù)院有關(guān)部門(mén)制定的辦法進(jìn)行安全評(píng)估(《網(wǎng)絡(luò)安全法》第三十七條)。

為實(shí)施《網(wǎng)絡(luò)安全法》第三十七條,國(guó)家互聯(lián)網(wǎng)信息辦公室就《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法(征求意見(jiàn)稿)》(以下簡(jiǎn)稱(chēng)“《安全評(píng)估辦法》”)公開(kāi)征求意見(jiàn),細(xì)化了關(guān)于個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估的相關(guān)規(guī)定。在此基礎(chǔ)上,全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)公布了《信息安全技術(shù) 數(shù)據(jù)出境安全評(píng)估指南(草案)》(以下簡(jiǎn)稱(chēng)“《評(píng)估指南》”),對(duì)個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估的評(píng)估流程、評(píng)估要點(diǎn)、評(píng)估方法等作出詳細(xì)規(guī)定。

雖然上述已經(jīng)生效的相關(guān)規(guī)定均針對(duì)特定企業(yè)或特定情形,并未要求一般民用、商用網(wǎng)站必須將服務(wù)器設(shè)在中華人民共和國(guó)境內(nèi),也未限制除特定個(gè)人信息外的一般個(gè)人信息數(shù)據(jù)出境,而《安全評(píng)估辦法》尚未正式出臺(tái),但《安全評(píng)估辦法》征求意見(jiàn)稿以及相關(guān)機(jī)構(gòu)所持的態(tài)度體現(xiàn)出我國(guó)對(duì)于限制個(gè)人信息數(shù)據(jù)出境的趨勢(shì)。例如,國(guó)家互聯(lián)網(wǎng)金融安全技術(shù)專(zhuān)家委員會(huì)發(fā)布的《“全國(guó)互聯(lián)網(wǎng)金融陽(yáng)光計(jì)劃”第六周關(guān)于部分互聯(lián)網(wǎng)金融網(wǎng)站服務(wù)器部署在境外的巡查公告》[1]明確指出部分互聯(lián)網(wǎng)金融網(wǎng)站相關(guān)業(yè)務(wù)面向中國(guó)境內(nèi)用戶(hù),但其服務(wù)器部署在境外。并且,該委員會(huì)在其“數(shù)據(jù)披露”平臺(tái)上將“服務(wù)器在境外”與“收益率畸高”“虛假項(xiàng)目”“誘導(dǎo)性宣傳”等共同作為警示信息而且排在第一位,相關(guān)服務(wù)器部署在境外的互聯(lián)網(wǎng)金融網(wǎng)站因此被公示[2]

對(duì)于跨境運(yùn)營(yíng)企業(yè)而言,數(shù)據(jù)的跨境傳輸是常態(tài),盡管不同企業(yè)由于所處行業(yè)以及具體情況不同,其服務(wù)器中儲(chǔ)存的數(shù)據(jù)類(lèi)別存在差異,但共通的是企業(yè)服務(wù)器中儲(chǔ)存的數(shù)據(jù)都存在包含個(gè)人信息和重要數(shù)據(jù)的可能性。因此,制訂一份既符合目前生效法律法規(guī)要求,又有一定前瞻性的數(shù)據(jù)存儲(chǔ)與跨境傳輸政策就顯得特別重要。

如上文所述,相關(guān)法律法規(guī)對(duì)于涉及個(gè)人信用信息、個(gè)人金融信息、人口健康信息等已經(jīng)有明確的監(jiān)管要求,而《安全評(píng)估辦法》在征求意見(jiàn)后也將頒布實(shí)施,該辦法征求意見(jiàn)稿細(xì)化了關(guān)于個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估的相關(guān)規(guī)定,其中與個(gè)人信息數(shù)據(jù)出境相關(guān)的規(guī)定主要包括:

1)第二條:“網(wǎng)絡(luò)運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù),應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要,確需向境外提供的,應(yīng)當(dāng)按照本辦法進(jìn)行安全評(píng)估。”

2)第四條:“個(gè)人信息出境,應(yīng)向個(gè)人信息主體說(shuō)明數(shù)據(jù)出境的目的、范圍、內(nèi)容、接收方及接收方所在的國(guó)家或地區(qū),并經(jīng)其同意。未成年人個(gè)人信息出境須經(jīng)其監(jiān)護(hù)人同意。”

3)第九條:“出境數(shù)據(jù)存在以下情況之一的,網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)報(bào)請(qǐng)行業(yè)主管或監(jiān)管部門(mén)組織安全評(píng)估:

(一)含有或累計(jì)含有50萬(wàn)人以上的個(gè)人信息;

(二)數(shù)據(jù)量超過(guò)1000GB

(三)包含核設(shè)施、化學(xué)生物、國(guó)防軍工、人口健康等領(lǐng)域數(shù)據(jù),大型工程活動(dòng)、海洋環(huán)境以及敏感地理信息數(shù)據(jù)等;

(四)包含關(guān)鍵信息基礎(chǔ)設(shè)施的系統(tǒng)漏洞、安全防護(hù)等網(wǎng)絡(luò)安全信息;

(五)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者向境外提供個(gè)人信息和重要數(shù)據(jù);

(六)其他可能影響國(guó)家安全和社會(huì)公共利益,行業(yè)主管或監(jiān)管部門(mén)認(rèn)為應(yīng)該評(píng)估。”

4)第十一條:“存在以下情況之一的,數(shù)據(jù)不得出境:

(一)個(gè)人信息出境未經(jīng)個(gè)人信息主體同意,或可能侵害個(gè)人利益;

(二)數(shù)據(jù)出境給國(guó)家政治、經(jīng)濟(jì)、科技、國(guó)防等安全帶來(lái)風(fēng)險(xiǎn),可能影響國(guó)家安全、損害社會(huì)公共利益;

(三)其他經(jīng)國(guó)家網(wǎng)信部門(mén)、公安部門(mén)、安全部門(mén)等有關(guān)部門(mén)認(rèn)定不能出境的。”

5)第十六條:“其他個(gè)人和組織在中華人民共和國(guó)境內(nèi)收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)出境的安全評(píng)估工作參照本辦法執(zhí)行。”

6)第十七條:“本辦法下列用語(yǔ)的含義:

……數(shù)據(jù)出境,是指網(wǎng)絡(luò)運(yùn)營(yíng)者將在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù),提供給位于境外的機(jī)構(gòu)、組織、個(gè)人。

個(gè)人信息,是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息,包括但不限于自然人的姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話(huà)號(hào)碼等。……”

雖然《安全評(píng)估辦法》目前仍尚未頒布實(shí)施,但其提出的監(jiān)管要求很可能在將來(lái)被付諸實(shí)施,因此,從監(jiān)管趨勢(shì)而言,楊春寶律師團(tuán)隊(duì)建議跨境運(yùn)營(yíng)企業(yè)參考該辦法的規(guī)定,制訂數(shù)據(jù)存儲(chǔ)與跨境傳輸政策。具體而言,我們建議應(yīng)當(dāng)注意以下幾點(diǎn):

首先,跨境運(yùn)營(yíng)企業(yè)在境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù),應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。

雖然《網(wǎng)絡(luò)安全法》第三十七條僅就關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)向境外提供提出了安全評(píng)估要求,而《安全評(píng)估辦法》擴(kuò)大了進(jìn)行安全評(píng)估的個(gè)人信息以及重要數(shù)據(jù)范圍,對(duì)于跨境運(yùn)營(yíng)的涉及個(gè)人用戶(hù)(特別是會(huì)員制)的企業(yè)而言,可能涉及的情形主要為“含有或累計(jì)含有50萬(wàn)人以上的個(gè)人信息”以及“數(shù)據(jù)量超過(guò)1000GB”。即使相關(guān)企業(yè)的跨境數(shù)據(jù)傳輸并不需要報(bào)請(qǐng)行業(yè)主管或監(jiān)管部門(mén)組織進(jìn)行安全評(píng)估,如上文所述,一系列與個(gè)人信息和重要數(shù)據(jù)保護(hù)相關(guān)的法律法規(guī)均提出了限制特定個(gè)人信息數(shù)據(jù)出境的要求,而《安全評(píng)估辦法》明確要求企業(yè)在境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù),應(yīng)當(dāng)在境內(nèi)存儲(chǔ),因業(yè)務(wù)需要,確需向境外提供的,應(yīng)當(dāng)進(jìn)行安全評(píng)估。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)在數(shù)據(jù)出境前,自行組織對(duì)數(shù)據(jù)出境進(jìn)行安全評(píng)估,并對(duì)評(píng)估結(jié)果負(fù)責(zé)。

其次,跨境運(yùn)營(yíng)企業(yè)應(yīng)當(dāng)就個(gè)人信息出境向被收集者事先履行說(shuō)明義務(wù)并確保獲得其授權(quán)。

由于《網(wǎng)絡(luò)安全法》要求個(gè)人信息的收集、使用應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則,并要求企業(yè)公開(kāi)個(gè)人信息的收集與使用規(guī)則,明示收集、使用信息的目的、方式和范圍,并經(jīng)被收集者同意,因此企業(yè)需公開(kāi)其收集與使用個(gè)人信息的規(guī)則并在信息收集階段就獲得被收集者對(duì)其采集、使用等各項(xiàng)行為的書(shū)面授權(quán)。而將來(lái)隨著《安全評(píng)估辦法》的發(fā)布,跨境運(yùn)營(yíng)企業(yè)還需在收集與使用個(gè)人信息的規(guī)則中以及對(duì)企業(yè)采集、使用等各項(xiàng)行為的書(shū)面授權(quán)中增加對(duì)個(gè)人信息出境的目的、范圍、內(nèi)容、接收方及接收方所在的國(guó)家或地區(qū)的說(shuō)明,并獲得被收集者對(duì)其個(gè)人信息出境的同意(未成年人個(gè)人信息出境須經(jīng)其監(jiān)護(hù)人同意)。如果前述書(shū)面授權(quán)采用電子合同等格式條款方式簽署,楊春寶律師團(tuán)隊(duì)建議跨境運(yùn)營(yíng)企業(yè)對(duì)相關(guān)條款以顯著方式提示被收集者注意,并對(duì)收集者就相關(guān)條款可能提出的疑問(wèn)進(jìn)行解釋。

第三,個(gè)人信息出境未經(jīng)被收集者同意或可能侵害個(gè)人利益的以及存在《安全評(píng)估辦法》規(guī)定的數(shù)據(jù)不得出境的其他情形的,請(qǐng)勿向境外提供。

對(duì)于何為“個(gè)人信息出境可能侵害個(gè)人利益”,實(shí)踐中很難有統(tǒng)一的判斷標(biāo)準(zhǔn),鑒于我國(guó)對(duì)于個(gè)人信息數(shù)據(jù)不得離境的立法趨勢(shì),楊春寶律師團(tuán)隊(duì)建議跨境運(yùn)營(yíng)企業(yè)對(duì)向境外提供被收集者個(gè)人信息采取謹(jǐn)慎的態(tài)度。對(duì)于何為“數(shù)據(jù)出境”,《安全評(píng)估辦法》給出的定義為“數(shù)據(jù)出境,是指網(wǎng)絡(luò)運(yùn)營(yíng)者將在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù),提供給位于境外的機(jī)構(gòu)、組織、個(gè)人”,但并未進(jìn)一步解釋怎樣的情形構(gòu)成前述定義中的“提供”。楊春寶律師團(tuán)隊(duì)認(rèn)為:除了傳統(tǒng)的攜帶、寄運(yùn)外,將數(shù)據(jù)通過(guò)網(wǎng)絡(luò)傳輸給位于境外的主體,允許位于境外的主體通過(guò)網(wǎng)絡(luò)訪(fǎng)問(wèn)境內(nèi)數(shù)據(jù),境內(nèi)外數(shù)據(jù)庫(kù)之間存在數(shù)據(jù)交互,或通過(guò)網(wǎng)絡(luò)以外的物理手段將數(shù)據(jù)提供給位于境外的主體均構(gòu)成數(shù)據(jù)出境。因此,涉及數(shù)據(jù)跨境傳輸?shù)目缇尺\(yùn)營(yíng)企業(yè)不僅僅是指跨國(guó)企業(yè),還包括使用境外第三方數(shù)據(jù)處理、數(shù)據(jù)分析服務(wù)的境內(nèi)企業(yè)、聘用境外第三方利用境內(nèi)數(shù)據(jù)提供客戶(hù)服務(wù)的境內(nèi)企業(yè)、托管或者租用境外服務(wù)器的境內(nèi)企業(yè)等等。

當(dāng)然,跨境運(yùn)營(yíng)企業(yè)在制訂數(shù)據(jù)存儲(chǔ)與跨境傳輸政策時(shí),除了應(yīng)重點(diǎn)考慮個(gè)人信息數(shù)據(jù)出境問(wèn)題外,還應(yīng)根據(jù)企業(yè)業(yè)務(wù)經(jīng)營(yíng)的實(shí)際情況,遵守其他有關(guān)數(shù)據(jù)出境的規(guī)定。比如:企業(yè)會(huì)計(jì)信息系統(tǒng)數(shù)據(jù)服務(wù)器的部署應(yīng)當(dāng)符合國(guó)家有關(guān)規(guī)定,數(shù)據(jù)服務(wù)器部署在境外的,應(yīng)當(dāng)在境內(nèi)保存會(huì)計(jì)資料備份,備份頻率不得低于每月一次。對(duì)于涉及國(guó)家秘密、關(guān)系國(guó)家經(jīng)濟(jì)信息安全的會(huì)計(jì)資料,未經(jīng)有關(guān)主管部門(mén)批準(zhǔn),不得將其攜帶、寄運(yùn)或者傳輸至境外(《企業(yè)會(huì)計(jì)信息化工作規(guī)范》(財(cái)會(huì)〔201320號(hào))第三十六條、第三十九條)。如果相關(guān)企業(yè)為政府機(jī)關(guān)提供服務(wù),其數(shù)據(jù)中心、云計(jì)算服務(wù)平臺(tái)等均須設(shè)在境內(nèi)(《國(guó)務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見(jiàn)》(國(guó)發(fā)〔201223號(hào)))。如果相關(guān)企業(yè)涉及地圖數(shù)據(jù)的采集,則其存放地圖數(shù)據(jù)的服務(wù)器也必須設(shè)在境內(nèi)(《互聯(lián)網(wǎng)地圖服務(wù)專(zhuān)業(yè)標(biāo)準(zhǔn)》(國(guó)測(cè)管發(fā)〔201014號(hào)))。

[1] 詳見(jiàn)國(guó)家互聯(lián)網(wǎng)金融安全技術(shù)專(zhuān)家委員會(huì)開(kāi)放平臺(tái)https://www.ifcert.org.cn/industry/153/IndustryDetail

[2] 詳見(jiàn)國(guó)家互聯(lián)網(wǎng)金融安全技術(shù)專(zhuān)家委員會(huì)開(kāi)放平臺(tái)https://www.ifcert.org.cn/disclosure/dataList

最后編輯于:2022-05-21 22:49
  • 本站聲明:本站所載之法律論文、法律評(píng)論、案例、法律咨詢(xún)等,除非另有注明,著作權(quán)人均為站長(zhǎng)楊春寶高級(jí)律師本人。歡迎其他網(wǎng)站鏈接,但是,未經(jīng)書(shū)面許可,不得擅自摘編、轉(zhuǎn)載。引用及經(jīng)許可轉(zhuǎn)載時(shí)均應(yīng)注明作者和出處"法律橋",并鏈接本站。本站網(wǎng)址:http://www.xabzw.com。
  •  
  •         本站所有內(nèi)容(包括法律咨詢(xún)、法律法規(guī))僅供參考,不構(gòu)成法律意見(jiàn),本站不對(duì)資料的完整性和時(shí)效性負(fù)責(zé)。您在處理具體法律事務(wù)時(shí),請(qǐng)洽詢(xún)有資質(zhì)的律師。本站將努力為廣大網(wǎng)友提供更好的服務(wù),但不對(duì)本站提供的任何免費(fèi)服務(wù)作出正式的承諾。本站所載投稿文章,其言論不代表本站觀(guān)點(diǎn),如需使用,請(qǐng)與原作者聯(lián)系,版權(quán)歸原作者所有。

發(fā)表回復(fù)