专业文章

网络空间风雨声,数据合规知多少

2019-01-16

伴随着网络空间向更宽、更广、更深的维度拓展,大数据和AI技术正获得空前的发展,数据将无所不在,大到国计民生,小到衣食住行,流动而无形的数据在网络空间蔓延铺展,犹如空气般充盈在网络空间和人类社会,已成为国家基础性战略资源,直接影响国家安全和民生安全,不容滥用和侵犯。

近年来国家政府频出“组合拳”介入网络空间,维护国家数据的安全性、独立性和自主性,而对于每一个和数据打交道的企业、实体甚至个人来说,数据管理的合规性成为日益突出的法律问题。如此背景之下,本文将根据现有法律法规,从数据管理的角度对数据进行分类,对我国目前的数据管理规定做简要分析梳理,以期整理出数据管理的法律框架,使得数据获取、储存、管理以及跨境传输有章可循,做到合法依规、安全有效。

结合我国的数据管理规定,本文根据数据管理要求、处境限制和安全保护等级,将数据分为“禁止数据”“限制数据”和“敏感数据”,以进行分类讨论。

禁止数据

本文所述“禁止数据”是指非经法律或相关主管机关的允许,任何人不得擅自获取、储存以及传输的数据,该类数据主要包括如下:

 1.国家秘密

为维护国家安全,禁止任何人擅自窃取、非法提供国家秘密为维护数据安全的应有之义和首要之义,《中华人民共和国保守国家秘密法》(2010修订)明确规定了国家秘密的保守范围和方式等,同时,《中华人民共和国刑法》明文规定,为境外的机构、组织、人员窃取、刺探、收买、非法提供国家秘密或者情报的,将构成刑事犯罪,情节特别恶劣的,个人可以判处死刑,并可没收财产。

  2. 违法数据

违法数据主要包括内容违法和获取方式违法的数据,其中,内容违法的数据包括诸如煽动颠覆国家政权、推翻社会主义制度,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息等数据;获取方式违法的数据主要是指各类违法犯罪活动的“果实”,尤其需要特别注意《刑法》中的网络犯罪和经济犯罪涉及的数据,诸如侵犯公民个人信息罪、侵犯商业秘密罪以及非法侵入计算机信息系统罪所涉及的数据。

限制数据

文所述“限制数据”是指必须在境内储存、禁止向境外传输的合法数据。《个人信息和重要数据出境安全评估办法》(征求意见稿)作为规制数据出境的专门性法律,第十一条明文规定:“数据出境给国家政治、经济、科技、国防等安全带来风险,可能影响国家安全、损害社会公共利益,数据不得出境”。该规定为“限制数据”的原则性规定,而关于禁止出境的具体数据种类的规定分散于单行法律法规之中,诸如:

个人金融信息:《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(2011.05.11)第六条规定,“在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外,银行业金融机构不得向境外提供境内个人金融信息”。

人口健康信息:《人口健康信息管理办法(试行)》(2014.05.05)第十条第二款规定, “不得将人口健康信息在境外的服务器中存储,不得托管、租赁在境外的服务器”。

域名信息:《互联网域名管理办法》(2017.11.01)第十二条规定,“域名注册服务机构的域名注册服务系统、注册数据库和解析系统设置在境内”。

未经个人信息主体同意出境、或可能侵害个人利益的个人信息:《个人信息和重要数据出境安全评估办法》(征求意见稿)第十一条规定,“个人信息出境未经个人信息主体同意,或可能侵害个人利益,数据不得出境。”此外,人口健康信息、地图数据、国家一级档案、网络借贷人信息、网约车业务数据等均为禁止出境数据。

除禁止出境的具体数据种类之外,2018年10月26日通过并施行的《国际刑事司法协助法》规定了“刑事证据禁止境外开示”原则,该法第四条第三款规定,“非经中华人民共和国主管机关同意,中华人民共和国境内的机构、组织和个人不得向外国提供证据材料和本法规定的协助。”该规定明确了我国刑事诉讼领域证据境外开示的原则,既旨在维护刑事诉讼主权,也体现了数据控制权上的博弈。

 敏感数据 

 除了上述被禁止出境的数据之外,有些数据并非绝对禁止出境,而是需要完成一定的法定程序后方可出境,这一类数据在本文中被称为“敏感数据”。目前涉及的法定程序主要为出境审批和安全评估,具体如下:

1.  审批制

(1)人类遗传数据:《人类遗传资源管理暂行办法》(1998.06.10)第十四条规定了重要人类遗传资源严格控制出口、出境和对外提供,以及因已审核批准的国际合作项目或其他特殊情况需对外提供人类遗传资源材料的申报审批制度。

(2) 除一级国家档案之外的档案:《中华人民共和国档案法实施办法(2017.03.01)第十八条第二款规定了除国家档案馆一级档案的其他档案出境的审查批准制度和相应的审查机关。

2.  安全评估制

出境安全评估制下目前主要涉及关键信息基础设施运营者在境内运营中收集和产生的个人信息和重要数据具体规定于《中华人民共和国网络安全法》(2017.06.01)第三十七条:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”

但是,《网络安全法》对个人信息和重要数据的出境仅限于原则性规定,而《个人信息和重要数据出境安全评估办法(征求意见稿)》《信息安全技术数据出境安全评估指南(征求意见稿)》则进一步扩大了数据出境限制的主体以及安全评估的具体方法,具体如下:

(1)扩大适用主体:重要数据和个人信息数据出境的限制主体,从“关键信息基础设施运营者”扩大到所有网络运营者。

(2)具化安全评估方法和适用情形:

自行评估:所有网络运营者在数据出境前自行组织安全评估,形成安全自评估报告,必要时报行业主管或网信部门;网络运营者每年对数据出境至少进行一次安全评估,且当数据接收方出现变更,数据出境目的、范围、数量、类型等发生较大变化,数据接收方或出境数据发生重大安全事件时,应及时重新进行安全评估。

行业主管或监管部门评估:《个人信息和重要数据出境安全评估办法(征求意见稿)》第九条规定,出境数据如存在含有或累计含有50万人以上的个人信息,数据量超过1000GB,包含核设施、化学生物、国防军工、人口健康等领域数据、大型工程活动、海洋环境以及敏感地理信息数据,关键信息基础设等信息,网络运营者应报请行业主管或监管部门组织安全评估。 

结语

作为人类社会活动在网络空间的信息载体,数据的重要性早已不容小觑,即使是企业在自身经营中产生、收集的数据,也难免会涉及国计民生、社会稳定、个人隐私等相关因素,早已超越了企业私有财产的范畴,而不能再简单地根据企业的自由意志处置。因此,企业、尤其是跨国企业,在经营中必须充分理解数据合规管理的重要性,尊重国家对数据的主权和管理权,重视和遵守数据法律的规制,才能在网络空间的风雨声中,做到“任凭风吹浪打,胜似闲庭信步”。