据报道,从2018年2月28日起,苹果公司的中国内地用户使用iCloud服务及通过 iCloud 存储的所有数据都将自动发送给云上贵州大数据产业发展有限公司并由云上贵州存储。苹果公司此举的主要意图之一在于符合《中华人民共和国网络安全法》(以下简称“《网络安全法》”)以及相关法律法规对于个人信息数据不得离境的要求。与此一致,为数不少的跨境运营企业客户,尤其是涉及大量个人信息采集与处理的房地产经纪行业与奢侈品零售行业的客户,不断向杨春宝律师团队咨询关于与位于境外的集团总部或关联公司共享数据(主要是个人信息数据)的合规问题。为此,本文将从网络安全法合规角度就跨境运营企业的服务器部署及个人信息数据出境问题进行探讨。
近年来,我国在信息安全、用户个人信息保护等方面的法律法规和政策逐步出台和完善,但是,关于个人信息数据不得离境的规定散见于各部门发布的相关规定中。我们将与此相关的规定摘要如下:
(1)个人信用信息:征信机构在中国境内采集的信息的整理、保存和加工,应当在中国境内进行(《征信业管理条例》第二十四条);
(2)个人金融信息:在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外,银行业金融机构不得向境外提供境内个人金融信息(《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(银发〔2011〕17号));
(3)人口健康信息:不得将人口健康信息在境外的服务器中存储,不得托管、租赁在境外的服务器(《人口健康信息管理办法(试行)》第十条);
(4)人类遗传资源信息:除法律规定外,因特殊情况确需临时向外提供人类遗传资源的,须填写人类遗传资源出口出境申报表及审批机关要求的其他材料,经地方主管部门或国务院有关部门审查同意后,报中国人类遗传资源管理办公室,经批准后核发出口、出境证明(参见《人类遗传资源采集、收集、买卖、出口、出境审批行政许可事项服务指南》);
(5)一系列标准化文件提出云服务提供商应确保机房位于中国境内的技术规范和要求(参见《信息安全技术云计算服务安全指南》第7.1.10条、《信息安全技术云计算服务安全能力要求》第14.2.1条);
(6)关键信息基础设施的运营者收集和产生的个人信息和重要数据:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估(《网络安全法》第三十七条)。
为实施《网络安全法》第三十七条,国家互联网信息办公室就《个人信息和重要数据出境安全评估办法(征求意见稿)》(以下简称“《安全评估办法》”)公开征求意见,细化了关于个人信息和重要数据出境安全评估的相关规定。在此基础上,全国信息安全标准化技术委员会公布了《信息安全技术 数据出境安全评估指南(草案)》(以下简称“《评估指南》”),对个人信息和重要数据出境安全评估的评估流程、评估要点、评估方法等作出详细规定。
虽然上述已经生效的相关规定均针对特定企业或特定情形,并未要求一般民用、商用网站必须将服务器设在中华人民共和国境内,也未限制除特定个人信息外的一般个人信息数据出境,而《安全评估办法》尚未正式出台,但《安全评估办法》征求意见稿以及相关机构所持的态度体现出我国对于限制个人信息数据出境的趋势。例如,国家互联网金融安全技术专家委员会发布的《“全国互联网金融阳光计划”第六周关于部分互联网金融网站服务器部署在境外的巡查公告》[1]明确指出部分互联网金融网站相关业务面向中国境内用户,但其服务器部署在境外。并且,该委员会在其“数据披露”平台上将“服务器在境外”与“收益率畸高”“虚假项目”“诱导性宣传”等共同作为警示信息而且排在第一位,相关服务器部署在境外的互联网金融网站因此被公示[2]。
对于跨境运营企业而言,数据的跨境传输是常态,尽管不同企业由于所处行业以及具体情况不同,其服务器中储存的数据类别存在差异,但共通的是企业服务器中储存的数据都存在包含个人信息和重要数据的可能性。因此,制订一份既符合目前生效法律法规要求,又有一定前瞻性的数据存储与跨境传输政策就显得特别重要。
如上文所述,相关法律法规对于涉及个人信用信息、个人金融信息、人口健康信息等已经有明确的监管要求,而《安全评估办法》在征求意见后也将颁布实施,该办法征求意见稿细化了关于个人信息和重要数据出境安全评估的相关规定,其中与个人信息数据出境相关的规定主要包括:
(1)第二条:“网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据,应当在境内存储。因业务需要,确需向境外提供的,应当按照本办法进行安全评估。”
(2)第四条:“个人信息出境,应向个人信息主体说明数据出境的目的、范围、内容、接收方及接收方所在的国家或地区,并经其同意。未成年人个人信息出境须经其监护人同意。”
(3)第九条:“出境数据存在以下情况之一的,网络运营者应报请行业主管或监管部门组织安全评估:
(一)含有或累计含有50万人以上的个人信息;
(二)数据量超过1000GB;
(三)包含核设施、化学生物、国防军工、人口健康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等;
(四)包含关键信息基础设施的系统漏洞、安全防护等网络安全信息;
(五)关键信息基础设施运营者向境外提供个人信息和重要数据;
(六)其他可能影响国家安全和社会公共利益,行业主管或监管部门认为应该评估。”
(4)第十一条:“存在以下情况之一的,数据不得出境:
(一)个人信息出境未经个人信息主体同意,或可能侵害个人利益;
(二)数据出境给国家政治、经济、科技、国防等安全带来风险,可能影响国家安全、损害社会公共利益;
(三)其他经国家网信部门、公安部门、安全部门等有关部门认定不能出境的。”
(5)第十六条:“其他个人和组织在中华人民共和国境内收集和产生的个人信息和重要数据出境的安全评估工作参照本办法执行。”
(6)第十七条:“本办法下列用语的含义:
……数据出境,是指网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据,提供给位于境外的机构、组织、个人。
个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。……”
虽然《安全评估办法》目前仍尚未颁布实施,但其提出的监管要求很可能在将来被付诸实施,因此,从监管趋势而言,杨春宝律师团队建议跨境运营企业参考该办法的规定,制订数据存储与跨境传输政策。具体而言,我们建议应当注意以下几点:
首先,跨境运营企业在境内运营中收集和产生的个人信息和重要数据,应当在境内存储。
虽然《网络安全法》第三十七条仅就关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据向境外提供提出了安全评估要求,而《安全评估办法》扩大了进行安全评估的个人信息以及重要数据范围,对于跨境运营的涉及个人用户(特别是会员制)的企业而言,可能涉及的情形主要为“含有或累计含有50万人以上的个人信息”以及“数据量超过1000GB”。即使相关企业的跨境数据传输并不需要报请行业主管或监管部门组织进行安全评估,如上文所述,一系列与个人信息和重要数据保护相关的法律法规均提出了限制特定个人信息数据出境的要求,而《安全评估办法》明确要求企业在境内运营中收集和产生的个人信息和重要数据,应当在境内存储,因业务需要,确需向境外提供的,应当进行安全评估。网络运营者应在数据出境前,自行组织对数据出境进行安全评估,并对评估结果负责。
其次,跨境运营企业应当就个人信息出境向被收集者事先履行说明义务并确保获得其授权。
由于《网络安全法》要求个人信息的收集、使用应当遵循合法、正当、必要的原则,并要求企业公开个人信息的收集与使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,因此企业需公开其收集与使用个人信息的规则并在信息收集阶段就获得被收集者对其采集、使用等各项行为的书面授权。而将来随着《安全评估办法》的发布,跨境运营企业还需在收集与使用个人信息的规则中以及对企业采集、使用等各项行为的书面授权中增加对个人信息出境的目的、范围、内容、接收方及接收方所在的国家或地区的说明,并获得被收集者对其个人信息出境的同意(未成年人个人信息出境须经其监护人同意)。如果前述书面授权采用电子合同等格式条款方式签署,杨春宝律师团队建议跨境运营企业对相关条款以显著方式提示被收集者注意,并对收集者就相关条款可能提出的疑问进行解释。
第三,个人信息出境未经被收集者同意或可能侵害个人利益的以及存在《安全评估办法》规定的数据不得出境的其他情形的,请勿向境外提供。
对于何为“个人信息出境可能侵害个人利益”,实践中很难有统一的判断标准,鉴于我国对于个人信息数据不得离境的立法趋势,杨春宝律师团队建议跨境运营企业对向境外提供被收集者个人信息采取谨慎的态度。对于何为“数据出境”,《安全评估办法》给出的定义为“数据出境,是指网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据,提供给位于境外的机构、组织、个人”,但并未进一步解释怎样的情形构成前述定义中的“提供”。杨春宝律师团队认为:除了传统的携带、寄运外,将数据通过网络传输给位于境外的主体,允许位于境外的主体通过网络访问境内数据,境内外数据库之间存在数据交互,或通过网络以外的物理手段将数据提供给位于境外的主体均构成数据出境。因此,涉及数据跨境传输的跨境运营企业不仅仅是指跨国企业,还包括使用境外第三方数据处理、数据分析服务的境内企业、聘用境外第三方利用境内数据提供客户服务的境内企业、托管或者租用境外服务器的境内企业等等。
当然,跨境运营企业在制订数据存储与跨境传输政策时,除了应重点考虑个人信息数据出境问题外,还应根据企业业务经营的实际情况,遵守其他有关数据出境的规定。比如:企业会计信息系统数据服务器的部署应当符合国家有关规定,数据服务器部署在境外的,应当在境内保存会计资料备份,备份频率不得低于每月一次。对于涉及国家秘密、关系国家经济信息安全的会计资料,未经有关主管部门批准,不得将其携带、寄运或者传输至境外(《企业会计信息化工作规范》(财会〔2013〕20号)第三十六条、第三十九条)。如果相关企业为政府机关提供服务,其数据中心、云计算服务平台等均须设在境内(《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(国发〔2012〕23号))。如果相关企业涉及地图数据的采集,则其存放地图数据的服务器也必须设在境内(《互联网地图服务专业标准》(国测管发〔2010〕14号))。
[1] 详见国家互联网金融安全技术专家委员会开放平台https://www.ifcert.org.cn/industry/153/IndustryDetail
[2] 详见国家互联网金融安全技术专家委员会开放平台https://www.ifcert.org.cn/disclosure/dataList