五月婷婷视频在线,日日夜夜免费精品,国产情趣视频在线观看,72pao成人国产永久免费视频,日韩福利在线观看,欧美日韩精品一二区,伊人91视频

申請實習證 兩公律師轉社會律師申請 注銷人員證明申請入口 結業(yè)人員實習鑒定表申請入口 網上投稿 《上海律師》 ENGLISH
當前位置: 首頁 >> 業(yè)務研究 >> 專業(yè)論文

管窺《個人信息和重要數(shù)據出境安全評估辦法(征求意見稿)》:規(guī)范的梳理與探討

    日期:2017-06-02     作者:陳巍(上海律師協(xié)會互聯(lián)網業(yè)務研究委員會主任、上海市通力律師事務所合伙人 )、 潘永建(上海市通力律師事務所律師)、李天航(上海市通力律師事務所)

      2017年4月11日,國家互聯(lián)網信息辦公室發(fā)布了關于《個人信息和重要數(shù)據出境安全評估辦法(征求意見稿)》(以下簡稱《數(shù)據出境辦法(征求意見稿)》)公開征求意見的通知。根據我國既往的立法實踐,規(guī)范性文件的征求意見稿往往與最后實施的正式文件在內容上差異不大,故而通過對《數(shù)據出境辦法(征求意見稿)》條文的梳理與探討,有助于企業(yè)及時預判立法與執(zhí)法動態(tài)、提前做好合規(guī)工作?!稊?shù)據出境辦法(征求意見稿)》共計十八條,結合其具體內容,我們認為有以下幾個方面值得關注。
      一、上位法的依據: 《國家安全法》、《網絡安全法》
      《數(shù)據出境辦法(征求意見稿)》第一條明確指出其依據為《中華人民共和國國家安全法》(以下簡稱“《國家安全法》”)《中華人民共和國網絡安全法》(以下簡稱“《網絡安全法》”)等法律法規(guī),《數(shù)據出境辦法(征求意見稿)》將出境數(shù)據須評估的范圍界定為個人信息以及重要數(shù)據具有上位法依據?!秶野踩ā返谑鶙l規(guī)定國家“保障公民的生命財產安全和其他合法權益”,個人信息具有數(shù)據和公民權益雙重屬性:第二十五條明確規(guī)定國家“實現(xiàn)網絡和信息核心技術、關鍵基礎設施和重要領域信息系統(tǒng)及數(shù)據的安全可控”,重要數(shù)據即對應“關鍵基礎設施和重要領域信息系統(tǒng)及數(shù)據”。因此,《數(shù)據出境辦法(征求意見稿)》并非僅僅是《網絡安全法》第三十七條的細化配套實施辦法。這一認識有助于我們正確解讀數(shù)據出境的相關要求。
      二、規(guī)范的主體: 網絡運營者的內涵
      根據《數(shù)據出境辦法(征求意見稿)》第二條[1]的內容,該辦法規(guī)范的主體系“網絡運營者”。《數(shù)據出境辦法(征求意見稿)》在“網絡運營者”的定義上與《網絡安全法》保持了一致,是指“網絡的所有者、管理者和網絡服務提供者”。全國人大法工委經濟法室副主任楊合慶先生在其主編的《中華人民共和國網絡安全法解讀》中指出,“在本法制定前的法律中,更多的使用網絡服務提供者的概念,它包括網絡接入服務提供者(ISP)和網絡內容服務提供者(ICP)兩類。由于網絡安全法規(guī)定的網絡除互聯(lián)網外還包括局域網和工業(yè)控制系統(tǒng),它們很多不向社會提供商業(yè)或公共服務,但其所有者和控制者也必須承擔相應的安全義務,防范網絡安全風險,保障網絡安全穩(wěn)定運行?!庇纱丝梢?“網絡運營者”的概念比“網絡服務提供者”的概念更為寬泛,值得讀者予以關注。
對應的部門
規(guī)定的名稱
使用的概念
立法部門
《網絡安全法》(主席令第53號)
網絡運營者
行政部門
《信息網絡傳播權保護條例》(國務院令第634號)
網絡服務提供者
《互聯(lián)網信息服務管理辦法》(國務院令第588號)
互聯(lián)網信息服務提供者
司法部門
《最高人民法院關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規(guī)定》(法釋[2014]11號)
網絡服務提供者
      “互聯(lián)網信息服務提供者”<“網絡服務提供者”<“網絡運營者”
      此外,《數(shù)據出境辦法(征求意見稿)》第十六條規(guī)定“其他個人和組織在中華人民共和國境內收集和產生的個人信息和重要數(shù)據出境的安全評估工作參照本辦法執(zhí)行”,因此,除了網絡運營者之外,《數(shù)據出境辦法(征求意見稿)》將所有主體都“一網打盡”。
      三、規(guī)范的適用: 范圍、行為與對象
      (一)適用的范圍
      依據《數(shù)據出境辦法(征求意見稿)》的定義,“數(shù)據出境”是指網絡運營者將在中華人民共和國境內運營中收集和產生的個人信息和重要數(shù)據, 提供給位于境外的機構、組織、個人。對于“境內”一詞的理解,我們認為有以下兩點值得注意:
      第一,當“境內”與“境外”相對時,主要根據物理空間(地域位置)來界定,”境內”即為中國大陸地區(qū),”境外”包括我國的港澳臺地區(qū)及其他國家;
      第二,“境內運營中收集和產生的個人信息和重要數(shù)據”的表述沒有明確“境內”的涵義,即具體是網絡運營者位于境內或“收集和生產”信息或數(shù)據的服務設備位于境內,還是被收集信息或數(shù)據的服務對象位于境內,在《數(shù)據出境辦法(征求意見稿)》中并未明確定義。我們理解,“運營”一詞具有寬泛的含義,同時互聯(lián)網本身具有跨地域的屬性,“境內”+“運營”的表述在理解上容易引發(fā)歧義,有待《網絡安全法》正式施行后的司法案例或有關部門出臺細則予以釋明。  
條文表述
有待釋明的情形
需要探討的原因
“網絡運營者將在中華人民共和國境內運營中收集和產生的個人信息和重要數(shù)據”
網絡運營者的辦公地點不在境內是否適用
目前法律尚未明確“信息”的法律地位,僅側重保護個人信息的收集與利用,使得在處理具體問題時, 信息或數(shù)據是附屬于服務對象或附屬于存儲介質或附屬于歸集主體尚不明確
網絡運營者的辦公地點在境內,收集和生產信息或數(shù)據的服務設備不在境內是否適用
網絡運營者的服務對象不在境內是否適用
      除了上述地域層面的規(guī)范適用問題外,《數(shù)據出境辦法(征求意見稿)》的適用位階問題也值得讀者關注。根據《數(shù)據出境辦法(征求意見稿)》第二條、第十五條[2]、第十六條[3], 就數(shù)據出境的法律適用,結合《網絡安全法》第三十七條[4],以及《國家安全法》第二十五條, 我們可以得出以下兩點結論:
      第一,對照《數(shù)據出境辦法(征求意見稿)》第二條與《網絡安全法》第三十七條以及《國家安全法》第二十五條,我們理解前者對應的規(guī)范性文件是后者規(guī)定的具體化,在適用時遵照《數(shù)據出境辦法(征求意見稿)》修訂生效施行后的正式文件;
      第二,我國政府與其他國家或地區(qū)簽署的關于數(shù)據出境的協(xié)議、涉及國家秘密信息的具體規(guī)定或其他個人和組織涉及數(shù)據出境的具體規(guī)定,在適用時會優(yōu)位于《數(shù)據出境辦法(征求意見稿)》修訂生效后的正式文件。
 
適用性(先)
適用性(中)
適用性(后)
我國政府與其他國家或地區(qū)簽署的關于數(shù)據出境的協(xié)議
《數(shù)據出境辦法(征求意見稿)》修訂生效后的正式文件【操作性較強】
《網絡安全法》第三十五條以及《國家安全法》第二十五條【原則性較強、操作性較弱】
涉及國家秘密信息的具體規(guī)定
其他個人和組織涉及數(shù)據出境的具體規(guī)定
        (二)適用的行為  
      依據《數(shù)據出境辦法(征求意見稿)》的定義,網絡運營者在“提供”相關信息或數(shù)據時,將適用該辦法。實踐中,“提供”在形態(tài)上區(qū)分為主動提供與被動提供,在模式上區(qū)分為線上提供與線下提供。對于“提供”一詞的理解,我們認為有以下兩點值得注意: 
      第一, 我們理解, 網絡運營者直接通過網絡將相關信息或數(shù)據傳輸給境外機構、組織或個人的情形,顯而易見系屬于“提供”行為,網絡運營者允許前述境外主體通過網絡訪問、讀取相關信息或數(shù)據,在行為效果上與主動提供一致,故而類似“被動提供”的行為受到該辦法的規(guī)范也應是題中之義;  
      第二,盡管“數(shù)據出境”的措辭容易使讀者聯(lián)想到網絡,但《數(shù)據出境辦法(征求意見稿)》的第一條[5]明確了該辦法的立法依據除了《網絡安全法》之外,還包括《國家安全法》,我們理解,盡管《數(shù)據出境辦法(征求意見稿)》修訂生效后的正式文件適用于數(shù)據被線下帶出境的情形在實踐中可操作性較低(例如:民航在安檢時核查乘客攜帶的信息或數(shù)據存儲介質的合理性及合法性可能存在爭議), 但在文義理解上, 依然無法排除該辦法不適用于線下的數(shù)據出境。
  
【注】箭頭方向代表《數(shù)據出境辦法(征求意見稿)》修訂生效后的正式文件的適用性由強到弱。
      (三)適用的對象
      在這里,“適用的對象”是個廣義的概念,包括“個人信息和重要數(shù)據”(標的),也包括“位于境外的機構、組織、個人”(對象)。關于對“個人信息和重要數(shù)據”的理解,我們認為有以下兩點值得注意: 
      第一,這里的“個人信息”并非指所有與個人有關的信息,而是指與個人有關且可以識別身份的信息,屬于相對狹義的概念。具體而言,《數(shù)據出境辦法(征求意見稿)》在定義上,沿用了《網絡安全法》的相關規(guī)定,明確“個人信息”是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息,包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。故而,經過脫敏處理的個人信息不屬于該辦法中定義的個人信息。但值得注意的是, 如果巨量的脫敏信息使得信息獲得方可以通過該類脫敏信息獲得與國家安全、經濟發(fā)展,以及社會公共利益密切相關的數(shù)據,則可能屬于“重要數(shù)據”。
      第二,這里的“重要數(shù)據”的具體內涵有賴于后續(xù)頒布的“國家有關標準和重要數(shù)據識別指南”。我們理解,《網絡安全法》中關于“重要數(shù)據”的規(guī)定確立了處置數(shù)據出境問題的基本原則,《數(shù)據出境辦法(征求意見稿)》修訂生效后的正式文件將在基本原則上進一步明確處置的程序(評估、報告等),而“重要數(shù)據”的內涵可能會先在政府層面的政策方針中予以明確,再具體落實到法律法規(guī)中。在相關規(guī)定沒有出臺前,讀者可關注中國網信網(中共中央網絡安全和信息化領導小組辦公室官方網站, 鏈接地址: http://www.cac.gov.cn/)中的相關時評以及國際慣例。
《網絡安全法》
(已頒布)
《個人信息和重要數(shù)據出境安全評估辦法》
(征求意見中)
重要數(shù)據識別指南”
(待頒布)
確立處置數(shù)據出境問題的基本原則
明確處置數(shù)據出境問題的程序(評估、報告等)
明確“重要數(shù)據”的內涵(即政府監(jiān)管的信息邊界)
      對于“位于境外的機構、組織、個人”的理解,我們認為值得注意的是“機構”一詞。“機構”從廣義角度而言,包括政府機構。在實踐中,如果網絡運營者需要向境外政府機構提供相關信息或數(shù)據,可能涉及兩部乃至多部法律的適用。前文所述的數(shù)據出境的雙邊或多邊協(xié)議會在一定程度上解決該問題,但在具體的協(xié)議出臺前,依據屬地原則,網絡運營者仍需適用我國關于數(shù)據出境的管理辦法。如果境外對數(shù)據傳輸另有規(guī)定且與我國的規(guī)定有所沖突,我們建議相關網絡運營者及時與我國網信主管部門溝通,明確相關規(guī)定或評估程序豁免適用的條件或情形。
      四、外部評估的前提: 禁止規(guī)定以及啟動條件
      《數(shù)據出境辦法(征求意見稿)》的第十一條[6]明確了數(shù)據禁止出境的情形,主要包括: 第一,個人信息出境未經個人信息主體或作為未成年人的信息主體的監(jiān)護人的同意,或可能侵害個人利益;第二,數(shù)據出境給國家政治、經濟、科技、國防等安全帶來風險, 可能影響國家安全、損害社會公共利益。圍繞個人信息,最近公布的《中華人民共和國民法總則》(以下簡稱“《民法總則》”)第一百一十一條明確規(guī)定,自然人的個人信息受法律保護;任何組織和個人需要獲取他人個人信息的,應當依法取得并確保信息安全,不得非法收集、使用、加工、傳輸他人個人信息, 不得非法買賣、提供或者公開他人個人信息。結合《中華人民共和國合同法》關于格式條款的規(guī)定,我們理解網絡運營者在信息收集和產生的過程中,通過電子方式擬定授權條款時應當符合相關法律的規(guī)定。此外,“影響國家安全、損害社會公共利益”是個相對寬泛的概念,網絡運營者在簽訂數(shù)據出境協(xié)議時于風險提示與承擔的條款中應對有關情形予以明確約定。
數(shù)據禁止出境的情形
涉及的主要法律法規(guī)
網絡運營者需關注的合同條款
個人信息出境未經個人信息主體同意, 或可能侵害個人利益
《網絡安全法》
《民法總則》
授權許可類格式條款
數(shù)據出境影響國家安全、損害社會公共利益
《網絡安全法》
《國家安全法》
風險提示與分擔條款
      《數(shù)據出境辦法(征求意見稿)》的第九條[7]規(guī)定了安全評估的啟動程序,從擬出境數(shù)據涉及的規(guī)模、領域與重要性等方面明確數(shù)據出境前實施前置安全評估的條件。
類型
條件
要求
數(shù)據對應的對象規(guī)模
含有或累計含有50萬人以上的個人信息
符合條件之一即需要申報安全評估
數(shù)據對應的容量規(guī)模
數(shù)據量超過1000GB
數(shù)據對應的相關領域
核設施、化學生物、國防軍工、人口健康等領域數(shù)據
數(shù)據對應的環(huán)境信息
大型工程活動、海洋環(huán)境以及敏感地理信息數(shù)據
關鍵信息基礎設施的安全技術與實體內容
關鍵信息基礎設施的系統(tǒng)漏洞、安全防護等網絡安全信息
關鍵信息基礎設施運營者向境外提供個人信息和重要數(shù)據
      五、評估的內容: 國家與個人的兩個層面
      《數(shù)據出境辦法(征求意見稿)》的第八條[8]規(guī)定了數(shù)據出境安全評估的重點評估內容。該條第一款第一項指出了“數(shù)據出境的必要性”。目前,該辦法尚在征求意見的立法步驟中,我們尚不清楚立法者對于“必要性”的態(tài)度,即沒有必要出境的數(shù)據是否就無法通過安全評估。依據《數(shù)據出境辦法(征求意見稿)》第三條的規(guī)定,數(shù)據出境安全評估應遵循公正、客觀、有效的原則,保障個人信息和重要數(shù)據安全,促進網絡信息依法有序自由流動。故而,我們理解立法者對于數(shù)據出境的態(tài)度依然是中性的,側重于數(shù)據安全與信息自由的平衡。同時,對于評估后的處置程序亦未明確,從評估的立法本意來看,對于評估后的處置并非僅有可以出境與否的兩種答案,是否可以根據評估狀況,由網絡運營者輔之以相應措施后亦可出境,期望在后續(xù)的立法進程中予以明確。
數(shù)據出境安全評估的重點評估內容
數(shù)據出境的必要性(第一款第一項)
個人信息的要件(第一款第二項)
重要數(shù)據的要件(第一款第三項)
數(shù)據接收方的資質, 以及所在國家和地區(qū)的網絡安全環(huán)境(第一款第四項)
數(shù)據再轉移后可能帶來風險(第一款第五項)
出境數(shù)據匯聚后可能帶來風險(第一款第六項)
      六、評估的機制: 主體、模式與要求
      《數(shù)據出境辦法(征求意見稿)》的第五條至第七條、第十二條對安全評估的主體、模式與要求作出了規(guī)定,安全評估的機制主要包括內部評估、外部評估、年度評估、二次評估等。
評估機制
相關條文
具體要求
內部評估
第七條[9]
在數(shù)據出境前自行組織并對評估結果負責
外部評估
第五條[10]
第六條[11]
國家網信部門
統(tǒng)籌協(xié)調
行業(yè)主管或監(jiān)管部門
組織開展
年度評估
第十二條[12]
根據業(yè)務發(fā)展和網絡運營情況, 每年至少進行一次安全評估
二次評估
第十二條
當數(shù)據接收方出現(xiàn)變更, 數(shù)據出境目的、范圍、數(shù)量、類型等發(fā)生較大變化, 數(shù)據接收方或出境數(shù)據發(fā)生重大安全事件時, 需要重新評估
      由評估的方式來看,網絡運營者開展內部評估、年度評估以及二次評估的系其自我評估,在不涉及《數(shù)據出境辦法(征求意見稿)》第九條和第十一條規(guī)定情形下,均采取自我評估的方式,因此,網絡運營者自我評估的能力和水平關乎企業(yè)的正常運營。
      七、建議
      結合前述對《數(shù)據出境辦法(征求意見稿)》中相關條文的梳理與探討,我們就數(shù)據出境問題給出以下幾點建議:
      第一,網絡安全已經成為我國政府高度關注的問題,并上升到了“空間主權”的層面予以規(guī)范,網絡運營者或者涉及網絡運營的其他企業(yè)應當盡快對自身網絡安全工作進行一次合規(guī)性審查,尤其是在近期有投融資規(guī)劃,或者金融資本近期擬進入網絡科技領域的企業(yè), 我們建議將網絡安全作為合規(guī)管理、盡職調查的重要事項之一予以對待。
      第二,數(shù)據出境對應的安全評估涉及自我評估的環(huán)節(jié),對于在技術資質、法律合規(guī)環(huán)節(jié)把控能力較弱的企業(yè),我們建議聘請外部專業(yè)機構進行獨立評估,從而降低企業(yè)風險。
      第三,2016年10月國家稅務總局起草并對外發(fā)布了《非居民金融賬戶涉稅信息盡職調查管理辦法(征求意見稿)》,而此次的《數(shù)據出境辦法(征求意見稿)》再次提及“與其他國家、地區(qū)簽署的關于數(shù)據出境的協(xié)議”。我們理解以數(shù)據為核心的資產管理觀念正在國家層面形成,建議網絡運營者或者涉及網絡運營的其他企業(yè)應積極響應,以應對外部政治、商業(yè)環(huán)境的實時變化。

【注釋】
[1]《個人信息和重要數(shù)據出境安全評估辦法(征求意見稿)》第二條規(guī)定,網絡運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數(shù)據,應當在境內存儲。因業(yè)務需要, 確需向境外提供的,應當按照本辦法進行安全評估。
[2]《個人信息和重要數(shù)據出境安全評估辦法(征求意見稿)》第十五條規(guī)定,我國政府與其他國家、地區(qū)簽署的關于數(shù)據出境的協(xié)議, 按照協(xié)議的規(guī)定執(zhí)行。涉及國家秘密信息的按照相關規(guī)定執(zhí)行。
[3]《個人信息和重要數(shù)據出境安全評估辦法(征求意見稿)》第十六條規(guī)定,其他個人和組織在中華人民共和國境內收集和產生的個人信息和重要數(shù)據出境的安全評估工作參照本辦法執(zhí)行。
[4]《中華人民共和國網絡安全法》第三十七條規(guī)定,關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數(shù)據應當在境內存儲。因業(yè)務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估;法律、行政法規(guī)另有規(guī)定的,依照其規(guī)定。
[5]《個人信息和重要數(shù)據出境安全評估辦法(征求意見稿)》第一條規(guī)定,為保障個人信息和重要數(shù)據安全,維護網絡空間主權和國家安全、社會公共利益,保護公民、法人和其他組織的合法利益,根據《中華人民共和國國家安全法》《中華人民共和國網絡安全法》等法律法規(guī),制定本辦法。
[6]《個人信息和重要數(shù)據出境安全評估辦法(征求意見稿)》第十一條規(guī)定,存在以下情況之一的,數(shù)據不得出境: (一)個人信息出境未經個人信息主體同意,或可能侵害個人利益;(二)數(shù)據出境給國家政治、經濟、科技、國防等安全帶來風險,可能影響國家安全、損害社會公共利益;(三)其他經國家網信部門、公安部門、安全部門等有關部門認定不能出境的。
[7]《個人信息和重要數(shù)據出境安全評估辦法(征求意見稿)》第九條規(guī)定,出境數(shù)據存在以下情況之一的,網絡運營者應報請行業(yè)主管或監(jiān)管部門組織安全評估: (一)含有或累計含有50萬人以上的個人信息;(二)數(shù)據量超過1000GB;(三)包含核設施、化學生物、國防軍工、人口健康等領域數(shù)據,大型工程活動、海洋環(huán)境以及敏感地理信息數(shù)據等;(四)包含關鍵信息基礎設施的系統(tǒng)漏洞、安全防護等網絡安全信息;(五)關鍵信息基礎設施運營者向境外提供個人信息和重要數(shù)據;(六)其他可能影響國家安全和社會公共利益,行業(yè)主管或監(jiān)管部門認為應該評估。行業(yè)主管或監(jiān)管部門不明確的,由國家網信部門組織評估。
[8]《個人信息和重要數(shù)據出境安全評估辦法(征求意見稿)》第八條規(guī)定,數(shù)據出境安全評估應重點評估以下內容: (一)數(shù)據出境的必要性;(二)涉及個人信息情況,包括個人信息的數(shù)量、范圍、類型、敏感程度,以及個人信息主體是否同意其個人信息出境等;(三)涉及重要數(shù)據情況,包括重要數(shù)據的數(shù)量、范圍、類型及其敏感程度等;(四)數(shù)據接收方的安全保護措施、能力和水平,以及所在國家和地區(qū)的網絡安全環(huán)境等;(五)數(shù)據出境及再轉移后被泄露、毀損、篡改、濫用等風險;(六)數(shù)據出境及出境數(shù)據匯聚可能對國家安全、社會公共利益、個人合法利益帶來的風險;(七)其他需要評估的重要事項。
[9]《個人信息和重要數(shù)據出境安全評估辦法(征求意見稿)》第七條規(guī)定,網絡運營者應在數(shù)據出境前,自行組織對數(shù)據出境進行安全評估,并對評估結果負責。
[10]《個人信息和重要數(shù)據出境安全評估辦法(征求意見稿)》第五條規(guī)定,國家網信部門統(tǒng)籌協(xié)調數(shù)據出境安全評估工作,指導行業(yè)主管或監(jiān)管部門組織開展數(shù)據出境安全評估。
[11]《個人信息和重要數(shù)據出境安全評估辦法(征求意見稿)》第六條規(guī)定,行業(yè)主管或監(jiān)管部門負責本行業(yè)數(shù)據出境安全評估工作,定期組織開展本行業(yè)數(shù)據出境安全檢查。
[12]《個人信息和重要數(shù)據出境安全評估辦法(征求意見稿)》第十二條規(guī)定, 網絡運營者應根據業(yè)務發(fā)展和網絡運營情況, 每年對數(shù)據出境至少進行一次安全評估, 及時將評估情況報行業(yè)主管或監(jiān)管部門。當數(shù)據接收方出現(xiàn)變更, 數(shù)據出境目的、范圍、數(shù)量、類型等發(fā)生較大變化, 數(shù)據接收方或出境數(shù)據發(fā)生重大安全事件時, 應及時重新進行安全評估。
 



[版權聲明] 滬ICP備17030485號-1 

滬公網安備 31010402007129號

技術服務:上海同道信息技術有限公司   

     技術電話:400-052-9602(9:00-11:30,13:30-17:30)

 技術支持郵箱 :12345@homolo.com

上海市律師協(xié)會版權所有 ?2017-2024