鄧志松，戴健民

（北京大成律師事務(wù)所，北京 100020）

《網(wǎng)絡(luò)安全法》時代數(shù)據(jù)跨境傳輸?shù)钠髽I(yè)合規(guī)挑戰(zhàn)

鄧志松，戴健民

（北京大成律師事務(wù)所，北京 100020）

近年來，中國政府已開始逐漸關(guān)注數(shù)據(jù)跨境傳輸問題。《中華人民共和國網(wǎng)絡(luò)安全法》的通過標(biāo)志著中國從法律層面首次對數(shù)據(jù)的跨境傳輸進(jìn)行限制。雖然世界各國在限制數(shù)據(jù)的跨境傳輸方面有著不同的規(guī)范體系及模式，但《網(wǎng)絡(luò)安全法》僅對“關(guān)鍵信息基礎(chǔ)設(shè)施”的數(shù)據(jù)跨境傳輸進(jìn)行限制。目前中國的網(wǎng)絡(luò)安全法律體系已經(jīng)初步建立，但“關(guān)鍵信息基礎(chǔ)設(shè)施”的具體范圍尚不明確，有待后續(xù)規(guī)定的落實(shí)。可以預(yù)見，《網(wǎng)絡(luò)安全法》的有關(guān)規(guī)定將為在華運(yùn)營的企業(yè)，尤其是跨國公司帶來新的合規(guī)挑戰(zhàn)。在商業(yè)運(yùn)營中，企業(yè)應(yīng)完善自身合規(guī)制度，密切關(guān)注后續(xù)實(shí)施細(xì)則的制定與實(shí)施，依法進(jìn)行跨境數(shù)據(jù)傳輸?shù)陌踩u估工作，并做好數(shù)據(jù)本地化的技術(shù)準(zhǔn)備。

網(wǎng)絡(luò)安全法；企業(yè)合規(guī)；數(shù)據(jù)跨境傳輸；數(shù)據(jù)本地化

鄧志松 (1978-)，男，江西進(jìn)賢人，法學(xué)博士，北京大成律師事務(wù)所高級合伙人

戴健民 (1978-)，男，廣東新會人，法學(xué)碩士，北京大成（上海）律師事務(wù)所合伙人

一、數(shù)據(jù)跨境傳輸?shù)膷湫伦兙?/h2>

2016年11月7日，《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱“《網(wǎng)絡(luò)安全法》”）經(jīng)三次審議后于十二屆全國人大常委會第24次會議正式通過，2017年6月1日起施行?！毒W(wǎng)絡(luò)安全法》共包括七章，七十九條，其首次對網(wǎng)絡(luò)安全等級保護(hù)制度、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)和用戶個人信息保護(hù)制度等從法律層面上進(jìn)行了規(guī)定。其中，限制關(guān)鍵信息基礎(chǔ)設(shè)施的數(shù)據(jù)跨境傳輸?shù)挠嘘P(guān)規(guī)定自《網(wǎng)絡(luò)安全法（草案）》初次審議（以下簡稱“一審稿”）并公布以來一直倍受全球范圍的廣泛關(guān)注，直至近日終于落地。

作為中國網(wǎng)絡(luò)安全領(lǐng)域的基本法律，《網(wǎng)絡(luò)安全法》第三十七條規(guī)定，“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定?！边@一規(guī)定將為在華運(yùn)營的企業(yè)，尤其是跨國公司帶來新的合規(guī)挑戰(zhàn)，應(yīng)當(dāng)予以高度重視并持續(xù)關(guān)注后續(xù)相關(guān)立法進(jìn)程。需要明確的是，跨國公司并不僅限于傳統(tǒng)意義上的“外企”，隨著中國企業(yè)在海外業(yè)務(wù)的不斷拓展，許多中國企業(yè)也已加入到跨國公司的行列，也將同樣面臨數(shù)據(jù)跨境傳輸?shù)姆上拗啤?/p>

近年來，中國政府已開始逐漸關(guān)注數(shù)據(jù)跨境傳輸問題，但先前已有的法規(guī)在規(guī)制的數(shù)據(jù)類型及領(lǐng)域等方面還比較局限。例如，2013年1月21日國務(wù)院公布的行政法規(guī)《征信業(yè)管理?xiàng)l例》第二十四條規(guī)定，“征信機(jī)構(gòu)在中國境內(nèi)采集的信息的整理、保存和加工，應(yīng)當(dāng)在中國境內(nèi)進(jìn)行。征信機(jī)構(gòu)向境外組織或者個人提供信息，應(yīng)當(dāng)遵守法律、行政法規(guī)和國務(wù)院征信業(yè)監(jiān)督管理部門的有關(guān)規(guī)定”；2011年1月21日中國人民銀行發(fā)布的部門規(guī)章《人民銀行關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個人金融信息保護(hù)工作的通知》第六條規(guī)定，“在中國境內(nèi)收集的個人金融信息的儲存、處理和分析應(yīng)當(dāng)在中國境內(nèi)進(jìn)行。除法律法規(guī)及中國人民銀行另有規(guī)定外，銀行業(yè)金融機(jī)構(gòu)不得向境外提供境內(nèi)個人金融信息”?？梢钥闯觯陨蟽刹糠ㄒ?guī)所針對的領(lǐng)域僅限于征信領(lǐng)域及銀行業(yè)金融領(lǐng)域，涉及的數(shù)據(jù)范圍也較為局限。

此外，作為中國首個個人信息保護(hù)國家標(biāo)準(zhǔn)的《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南》在第5.4.5條規(guī)定，“未經(jīng)個人信息主體的明示同意，或法律法規(guī)明確規(guī)定，或未經(jīng)主管部門同意，個人信息管理者不得將個人信息轉(zhuǎn)移給境外個人信息獲得者，包括位于境外的個人或境外注冊的組織和機(jī)構(gòu)”。顯然，該指南涵蓋的領(lǐng)域與數(shù)據(jù)范圍要比前述兩部法規(guī)廣很多，但該指南作為“指導(dǎo)性技術(shù)文件”對相關(guān)企業(yè)及個人并不具有強(qiáng)制力。

相比而言，《網(wǎng)絡(luò)安全法》系首次從國家法律層面限制數(shù)據(jù)的跨境傳輸，無論是從法律層級、規(guī)制領(lǐng)域范圍、數(shù)據(jù)類型，還是規(guī)制程序、法律責(zé)任等角度來看，都顯著超越之前的規(guī)范性文件。

二、立法過程及背景

《網(wǎng)絡(luò)安全法》的立法進(jìn)程可謂一直在“加速前進(jìn)”。2015年6月，全國人大常委會對草案進(jìn)行了初次審議并在接下來的一個月內(nèi)完成了草案的意見征集。2016年6月，僅一年之后，全國人大常委會對二次審議稿（“二審稿”）進(jìn)行了第二次審議。2016年10月，在全國人大常委會第二十四次會議上，原本不在預(yù)先公布的草案審議議程中的《網(wǎng)絡(luò)安全法（草案）》在開幕首日便提請審議，①新華網(wǎng).十二屆全國人大常委會第二十四次會議分組審議網(wǎng)絡(luò)安全法草案[EB/OL].[2016.11.1] http://www.qianhuaweb.com/2016/1101/3561040.shtml.并最終獲得通過。從2015年6月草案一審到最終審議通過，歷時僅短短一年半左右的時間。

在三次公布的草案審議稿中，有關(guān)數(shù)據(jù)跨境傳輸?shù)囊?guī)定也一直在不斷變化，具體體現(xiàn)在對“關(guān)鍵信息基礎(chǔ)設(shè)施”的定義與范圍規(guī)定的不同。一審稿中，關(guān)鍵信息基礎(chǔ)設(shè)施有明確的范圍，包括1.基礎(chǔ)信息網(wǎng)絡(luò)，主要包括廣電網(wǎng)、電信網(wǎng)、互聯(lián)網(wǎng)；2.重要行業(yè)和公共服務(wù)領(lǐng)域的重要信息系統(tǒng)，例如核島控制系統(tǒng)、銀聯(lián)交易系統(tǒng)、智能交通系統(tǒng)、供水管網(wǎng)信息管理系統(tǒng)、社保信息系統(tǒng)等；3.軍事網(wǎng)絡(luò)，例如軍事通信網(wǎng)、軍隊(duì)指揮自動化系統(tǒng)等；4.地市級以上政務(wù)網(wǎng)絡(luò)，例如電子政務(wù)系統(tǒng)、政府門戶網(wǎng)站等；5.用戶數(shù)量眾多的網(wǎng)絡(luò)服務(wù)商系統(tǒng)。②尹麗波.網(wǎng)絡(luò)安全法將促進(jìn)國家關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)新局面[EB/OL].[2015-9-1] http://theory.people.com.cn/ n/2015/0901/c387081-27537618.html而在公布的二審稿中，對關(guān)鍵信息基礎(chǔ)設(shè)施的概念采取了概括性規(guī)定，并刪除了有關(guān)關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍的表述，規(guī)定具體范圍由國務(wù)院進(jìn)行制定。最終通過的《網(wǎng)絡(luò)安全法》將一審稿與二審稿的表述進(jìn)行結(jié)合，進(jìn)一步界定了關(guān)鍵基礎(chǔ)設(shè)施的范圍，既列舉了一些具體行業(yè)和領(lǐng)域，如公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)，又用“其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施”進(jìn)行了兜底規(guī)定，具體范圍仍然授權(quán)國務(wù)院進(jìn)行制定。

三、數(shù)據(jù)跨境傳輸主管部門、規(guī)范體系與發(fā)展趨勢

《網(wǎng)絡(luò)安全法》規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施的范圍由國務(wù)院制定，在中國網(wǎng)絡(luò)安全領(lǐng)域問題逐漸突出，立法需求逐漸增強(qiáng)，立法進(jìn)程逐步加快的背景之下，可以預(yù)見國務(wù)院的后續(xù)相關(guān)規(guī)范也會在不遠(yuǎn)的將來落地。屆時，結(jié)合已有的《征信業(yè)管理?xiàng)l例》、《人民銀行關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個人金融信息保護(hù)工作的通知》等行政法規(guī)和規(guī)范性文件，中國的數(shù)據(jù)跨境傳輸規(guī)范體系將初步建成。

從國際上來看，數(shù)據(jù)跨境傳輸?shù)牟煌?guī)范模式已經(jīng)基本形成。如美國基于其信息產(chǎn)業(yè)的優(yōu)勢地位以及對數(shù)據(jù)自由流動的依賴性，在法律層面并沒有對數(shù)據(jù)跨境傳輸做出限制性規(guī)定。而針對特定行業(yè)的外國資本進(jìn)入，美國則通過與其簽訂安全協(xié)議的形式對數(shù)據(jù)本地化（Data Localization）作出要求。①石月.國外跨境數(shù)據(jù)流動管理制度及對我國的啟示[EB/OL].[2015-7-23]http://gb.cri.cn/42071/2015/07/23/661 1s5041096.htm.

歐盟雖然不禁止數(shù)據(jù)的跨境傳輸，但即將生效的《一般數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation）對向歐盟境外的國家傳輸做出了非常嚴(yán)格的條件，其中之一即為由歐盟委員會對接收國的數(shù)據(jù)保護(hù)體系作出“充分保護(hù)認(rèn)定”（Adequate Decision），確認(rèn)接收國可以為數(shù)據(jù)提供充分的保護(hù)后才可傳輸?？瓷先コ浞直Ｗo(hù)認(rèn)定與中國《網(wǎng)絡(luò)安全法》第三十七條中“因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評估”的規(guī)定略有相似。在將來中國的數(shù)據(jù)傳輸?shù)陌踩u估體系中，對充分保護(hù)的類似認(rèn)定也可能會作為考量因素之一。

其他一些國家如澳大利亞則采取禁止特定領(lǐng)域的數(shù)據(jù)跨境傳輸?shù)囊?guī)制模式，與之相反，俄羅斯的《個人數(shù)據(jù)法》中的數(shù)據(jù)本地化要求則普遍適用于在境內(nèi)收集個人數(shù)據(jù)的企業(yè)。中國的數(shù)據(jù)跨境傳輸規(guī)范會采取哪種形式，有待國務(wù)院及相關(guān)部門出臺各類規(guī)定和實(shí)施細(xì)則。

《網(wǎng)絡(luò)安全法》第八條第一款規(guī)定，“國家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)安全工作和相關(guān)監(jiān)督管理工作。國務(wù)院電信主管部門、公安部門和其他有關(guān)機(jī)關(guān)依照本法和有關(guān)法律、行政法規(guī)的規(guī)定，在各自職責(zé)范圍內(nèi)負(fù)責(zé)網(wǎng)絡(luò)安全保護(hù)和監(jiān)督管理工作?！庇纱藯l款可知，《網(wǎng)絡(luò)安全法》在國家層面的實(shí)施將至少涉及國家網(wǎng)信部門、國務(wù)院電信主管部門和公安部門，這和網(wǎng)絡(luò)安全本身牽涉甚廣的現(xiàn)實(shí)是相符的，相關(guān)配套規(guī)范的研究制定及后續(xù)執(zhí)法工作，尚需各相關(guān)部門的相互協(xié)調(diào)與通力合作。此外，通觀整部法律，有關(guān)“網(wǎng)信部門”的描述（含近似描述）共在條文中出現(xiàn)13次，所涉職權(quán)包括負(fù)責(zé)統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)安全工作和相關(guān)監(jiān)督管理工作；會同國務(wù)院有關(guān)部門制定、公布網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄，并推動安全認(rèn)證和安全檢測結(jié)果互認(rèn)，避免重復(fù)認(rèn)證、檢測；對關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者采購的可能影響國家安全的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，會同國務(wù)院有關(guān)部門組織的國家安全審查等等?？梢?，網(wǎng)信部門在《網(wǎng)絡(luò)安全法》相關(guān)配套規(guī)范制定及實(shí)施監(jiān)管中擔(dān)任著十分重要的角色，其在以往出臺和正在制定的相關(guān)規(guī)范文件及執(zhí)法實(shí)踐，亦值得企業(yè)重點(diǎn)關(guān)注與參考。

四、企業(yè)風(fēng)險管理

貿(mào)易全球化與企業(yè)運(yùn)營國際化的當(dāng)下，信息的跨境傳輸每時每刻都在世界各地發(fā)生，尤其對跨國公司來說，海量信息伴隨著其內(nèi)部運(yùn)營、現(xiàn)金流轉(zhuǎn)、業(yè)務(wù)往來等在各國、各地區(qū)間頻繁傳遞。根據(jù)《網(wǎng)絡(luò)安全法》第六十六條的規(guī)定，“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者違反本法第三十七條規(guī)定，在境外存儲網(wǎng)絡(luò)數(shù)據(jù)，或者向境外提供網(wǎng)絡(luò)數(shù)據(jù)的，由有關(guān)主管部門責(zé)令改正，給予警告，沒收違法所得，處五萬元以上五十萬元以下罰款，并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照；對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款?！边`反有關(guān)限制數(shù)據(jù)跨境傳輸?shù)囊?guī)定，不但將面臨網(wǎng)信部門的行政調(diào)查和罰款，更嚴(yán)重的法律后果包括吊銷有關(guān)許可證和執(zhí)照，從而對企業(yè)的跨境運(yùn)營造成根本性影響。

盡管《網(wǎng)絡(luò)安全法》中最終刪掉了一審稿中“用戶數(shù)量眾多的網(wǎng)絡(luò)服務(wù)提供者所有或管理的網(wǎng)絡(luò)和系統(tǒng)”的具體表述，但這并不意味一般企業(yè)就不會成為限制數(shù)據(jù)跨境傳輸?shù)囊?guī)制對象。首先，“公共通信和信息服務(wù)”的表述可以做廣泛的解釋。僅就信息服務(wù)業(yè)而言，其本身所涉范圍甚廣，一般認(rèn)為可分為三大類：即信息傳輸服務(wù)業(yè)；IT服務(wù)業(yè)（信息技術(shù)服務(wù)業(yè)）；信息資源產(chǎn)業(yè)（主要指信息內(nèi)容產(chǎn)業(yè)）。其次，國務(wù)院在出臺后續(xù)規(guī)范時，會將“關(guān)鍵信息基礎(chǔ)設(shè)施”、“重要數(shù)據(jù)”等圈定在多大的范圍之內(nèi)尚不明確。

因此，就數(shù)據(jù)跨境傳輸方面，我們對企業(yè)的提出如下合規(guī)建議：

（1）密切關(guān)注后續(xù)規(guī)定、實(shí)施細(xì)則的制定與實(shí)施

《網(wǎng)絡(luò)安全法》授權(quán)國務(wù)院對關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和保護(hù)辦法進(jìn)行制定，目前雖尚未從公開渠道獲取國務(wù)院在此方面的制定動向，但可以預(yù)見相關(guān)規(guī)范會在不遠(yuǎn)的將來相繼出臺。企業(yè)應(yīng)對相關(guān)規(guī)范的制定與實(shí)施進(jìn)行密切關(guān)注，并可在必要時通過合法途徑提出合理建議和意見。此外，《網(wǎng)絡(luò)安全法》還授權(quán)國家網(wǎng)信部門和國務(wù)院有關(guān)部門就因業(yè)務(wù)需求確實(shí)需要向境外傳輸時進(jìn)行安全評估，安全評估的相關(guān)依據(jù)文件相信也在制定當(dāng)中，企業(yè)應(yīng)當(dāng)一并予以高度關(guān)注。

（2）依法進(jìn)行跨境數(shù)據(jù)傳輸?shù)陌踩u估工作

《網(wǎng)絡(luò)安全法》第三十七條明確要求“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定”。有關(guān)數(shù)據(jù)跨境傳輸安全評估制度的確立在一定程度上強(qiáng)化了對信息保護(hù)的力度，同時也對相關(guān)企業(yè)提出了更高的合規(guī)要求。在日后的運(yùn)營中，相關(guān)企業(yè)因業(yè)務(wù)需要需向境外傳輸相關(guān)信息的，應(yīng)注意依法配合進(jìn)行安全評估工作。

（3）做好信息本地化的技術(shù)準(zhǔn)備

梳理本企業(yè)進(jìn)行跨境傳輸?shù)男畔⒑蛿?shù)據(jù)，準(zhǔn)確識別所涉“個人信息與重要數(shù)據(jù)”。對于那些可以本地化存儲和加工的信息和數(shù)據(jù)，做好在中國境內(nèi)存儲相關(guān)信息的技術(shù)準(zhǔn)備。對于調(diào)整經(jīng)營模式可以縮小跨境傳輸范圍的數(shù)據(jù)，則應(yīng)提前做好相關(guān)技術(shù)準(zhǔn)備。如果企業(yè)運(yùn)營確實(shí)需要跨境傳輸部分業(yè)務(wù)，而企業(yè)有可能被包括在關(guān)鍵信息基礎(chǔ)設(shè)施經(jīng)營者范圍之內(nèi)，則應(yīng)區(qū)分不同具體情況：可以將關(guān)鍵信息基礎(chǔ)設(shè)施剝離處置的應(yīng)當(dāng)盡早準(zhǔn)備預(yù)案，對于無法剝離和隔離的，則應(yīng)制定合規(guī)手冊，以適應(yīng)《網(wǎng)絡(luò)安全法》的評估和報備要求。

（責(zé)任編輯：李曉暉）

The Challenges of Corporate Compliance in Terms of Crossborder Data Flow in the Age of the Implementation of Cybersecurity Law of the People's Republic of China

DENG Zhi-song,DAI Jian-min

In recent years the Chinese government has been increasingly focusing on the issue of cross-border data fl ow.The recently passed Cybersecurity Law of the People’s Republic of China marks its fi rst attempt to regulate this issue at a national law level.Though various countries have different systems and modes of regulation,the China Cybersecurity Law only restricts the crossborder data fl ow of “critical information infrastructure’’,the scope of which is currently unclear,pending further clari fi cation by relevant policies.It is reasonably foreseeable that the Cybersecurity Law will impose new challenges in terms of compliance to businesses operating in China,especially international enterprises.It is advisable for enterprises to keep improving its compliance program,closely follow the progress of the enactment of relevant policies,prepare to initiate the safety evaluation in accordance with the law,and prepare technically for data localization.

Cybersecurity Law of the People's Republic of China,Corporate Compliance,Crossborder Data Flow,Localization of Data

D922

A

1001-4225（2017）05-0070-04