第四十條 關鍵資訊基礎設施營運者和處理個人資訊達到國家網信部門規定數量的個人資訊處理者,應當将在中華人民共和國境内收集和産生的個人資訊存儲在境内。确需向境外提供的,應當通過國家網信部門組織的安全評估;法律、行政法規和國家網信部門規定可以不進行安全評估的,從其規定。
【條文主旨】
本條是關于關鍵資訊基礎設施營運者、處理個人資訊達到規定數量的處理者向境外提供個人資訊需要進行安全評估的特别規定。
【條文了解】
資料安全涉及國家主權、安全和發展利益。本條的規範主體掌握的個人資訊對資料安全有着重大的影響。一旦這些資料遭到篡改、破壞、洩露或者非法擷取、非法利用,對國家安全、公共利益或者個人、組織合法權益将造成重大危害。是以,為了保護關系國家安全、國民經濟命脈、重要民生、重大公共利益等國家核心資料,《個人資訊保護法》《國家安全法》等法律對此加以嚴格規定。《資料安全法》的落地更加證明了國家對資料安全的重視,該法對資料實行分類分級保護,加強對重要資料保護的同時鼓勵資料依法自由有序流通,建構起了政府、行業組織、科研機構、企業、個人多元共治的資料安全治理體系,進而在保障資料安全的前提下最大限度地實作資料的開發利用。
資料本地化存儲,指主權國家通過制定法律或規則限制本國資料向境外流動。關鍵資訊基礎設施重要資料的儲存、利用、控制和管轄是國家主權架構下“資料主權”的行使,其基本的規則是任何本國或者外國公司在采集和存儲與個人資訊和關鍵領域相關資料時,必須使用主權國家境内的伺服器。出于維護國家安全、保護公民個人資訊權益等目的,俄羅斯、澳洲等國家均規定了不同程度和不同範圍的資料儲存本地化。
近年來,資料安全問題在大陸日漸凸顯。例如,占據大陸電動汽車主要市場的特斯拉汽車将采集的大量車主個人資訊及地理位置、車輛環境、車輛行駛等資訊傳到美國總部進行處理,對大陸國家安全造成了極大威脅。“4·19特斯拉車主維權事件”加劇了人們對特斯拉汽車資料安全問題的擔憂,也讓我們充分認識到資料本地化存儲的重要意義。《網絡安全法》《征信業管理條例》《地圖管理條例》等一系列法律法規對個人資訊及重要資料的本地化儲存作出了規定,一些企業也對此予以逐漸落實。例如,蘋果公司将中國内地的iCloud資料存儲服務轉交由大陸國有企業“雲上貴州”營運;特斯拉已在中國建立資料中心,以實作重要資料的本地化存儲。
一、規範主體
本條的規範主體有兩類,分别是關鍵資訊基礎設施營運者和處理個人資訊達到國家網信部門規定數量的個人資訊處理者。其認定的方法如下:
(一)關鍵資訊基礎設施營運者的認定
關于第一種主體身份,即關鍵資訊基礎設施營運者的了解與認定,需要結合《網絡安全法》以及《關鍵資訊基礎設施安全保護條例》的相關規定進行。其首要工作是界定“關鍵資訊基礎設施”的概念。《網絡安全法》第31條規定:關鍵資訊基礎設施是指公共通信和資訊服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者資料洩露,可能嚴重危害國家安全、國計民生、公共利益的設施。《關鍵資訊基礎設施安全保護條例》在此基礎上,對關鍵資訊基礎設施進行了進一步的釋明,其中第2條規定:關鍵資訊基礎設施,是指公共通信和資訊服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的,以及其他一旦遭到破壞、喪失功能或者資料洩露,可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、資訊系統等。重要行業和領域的主管部門、監督管理部門還需要結合具體情形來制定關鍵資訊基礎設施的認定規則。根據《關鍵資訊基礎設施安全保護條例》第9條規定,“制定認定規則應當主要考慮:(一)網絡設施、資訊系統等對于本行業、本領域關鍵核心業務的重要程度;(二)網絡設施、資訊系統等一旦遭到破壞、喪失功能或者資料洩露可能帶來的危害程度;(三)對其他行業和領域的關聯性影響。”
此外,在“關鍵資訊基礎設施營運者”的具體認定上,可以參考《關于開展關鍵資訊基礎設施網絡安全檢查的通知》的附件《網絡安全檢查操作指南》(中網辦發〔2016〕3号)以及《資訊安全技術關鍵資訊基礎設施邊界确定方法(征求意見稿)》的具體指引,在确定關鍵資訊基礎設施時通常包括三個步驟:即确定關鍵業務;确定支撐關鍵業務的資訊系統或工業控制系統;根據關鍵業務對資訊系統或工業控制系統的依賴程度以及資訊系統發生網絡安全事件後可能造成的損失來認定關鍵資訊基礎設施。
對于關鍵業務的認定,從2016年11月7日釋出的《網絡安全法》到2020年8月10日釋出的《資訊安全技術關鍵資訊基礎設施邊界确定方法(征求意見稿)》的變化來看,大陸的法律規範對于關鍵業務的範圍認定呈現出範圍逐漸擴張、内容逐漸細化的趨勢。綜合各法律規範的規定,關鍵業務是設施一旦遭到破壞、喪失功能或者資料洩露,可能嚴重危害國家安全、國計民生、公共利益的行業與領域。包括公共通信和資訊服務(電信、廣播電視)、能源、交通(公路水路運輸、鐵路、民航)、水利、金融、公共服務、應急管理、衛生健康、社會保障、電子政務、國防科技工業等。
在确定好關鍵業務,并依據資訊流确定了關鍵業務中相關資訊設施後,就需要通過關鍵性評估來最終确定關鍵資訊基礎設施。對此,《網絡安全檢查操作指南》和《資訊安全技術關鍵資訊基礎設施邊界确定方法》(征求意見稿)》提供了兩種評估方式。《網絡安全檢查操作指南》将設施分為網站類、平台類和生産業務類之後,就每一類設施給出具體判定名額,以平台類為例,即“符合以下條件之一的,可認定為關鍵資訊基礎設施:1.注冊使用者數超過1000萬,或活躍使用者(每日至少登入一次)數超過100萬。2.日均成交訂單額或交易額超過1000萬元……”而《資訊安全技術關鍵資訊基礎設施邊界确定方法》(征求意見稿)通過資訊設施的業務連續性、業務完整性、資料保密性和關鍵性這四個方面來進行判定。根據《關鍵資訊基礎設施安全保護條例》第10條規定,在認定關鍵資訊基礎設施後,相關部門應及時将認定結果通知營運者,并通報國務院公安部門。
關鍵資訊基礎設施營運者将其所掌控的個人資訊向境外提供時,隻有在法律、行政法規和國家網信部門特别規定的情形下,才可不經安全評估便進行個人資訊的出境,此時如何向境外提供從其規定。比如本法第38條第2款所規定的大陸締結或參加的國際條約、協定的特殊規定情形。
(二)處理個人資訊達到國家網信部門規定數量的個人資訊處理者的認定
關于第二種主體身份的認定,即“處理個人資訊達到國家網信部門規定數量的個人資訊處理者”如何進行了解,還需要網信部門進一步解釋和細化。該規定聚焦于相關主體所處理的個人資訊數量。結合現有法律法規來看,可供參考的是國家網信辦2021年8月16日釋出的《汽車資料安全管理若幹規定(試行)》,該規定第11條所強調的“重要資料應當依法在境記憶體儲,因業務需要确需向境外提供的,應當通過國家網信部門會同國務院有關部門組織的安全評估”與《個人資訊保護法》第38條第1款第1項及第40條的規定精神相契合,即重要資料原則上應存在境内,隻有通過安全評估的,才能出境。結合《汽車資料安全管理若幹規定(試行)》第3條第6款第5項将“涉及個人資訊主體超過10萬人的個人資訊”列為“重要資料”的這一做法,不妨以此推斷“處理個人資訊達到10萬人”的個人資訊處理者是《個人資訊保護法》此條所述的“處理個人資訊達到國家網信部門規定數量的個人資訊處理者”,其在向境外提供個人資訊前,需要通過安全評估。但此僅為一種邏輯推演,在汽車資料保護的相關領域,适用結果是無異議的,但在其他領域是否仍适用此“10萬人”的标準,仍是未知數,有待網信部門後續具體出台細化的規定予以明确。
二、境内儲存的原則要求
資料流通的前提不但包括保障資料安全和維護主體權利,還包括維護國家安全。将本條規定的資料儲存在境内,友善相關部門對于上述資料的管理,防止因資料出境情形下的洩露危害國家主權、安全和發展利益。
需要重點關注的是本條在條款安排上與其他個人資訊出境條文的不同之處。即本條第一句便強調了關鍵資訊基礎設施營運者和處理個人資訊達到國家網信部門規定數量的個人資訊處理者,“應當将在中華人民共和國境内收集和産生的個人資訊存儲在境内”。此條與本法第38條明顯不同,本法第38條的第一句是“個人資訊處理者因業務等需要”,相比之下,不難看出立法者在本條的用意很明确,即特殊主體所掌控的個人資訊“必須存儲在境内”。
經濟合作與發展組織(OECD)在其2019年的調查報告《貿易與跨境資料流動》(Trade?and?Cross-Border?Data?Flows)中,将資料跨境流動的管制強度由弱到強分為四個層級:第一層級是對資料跨境流動不設任何法律限制,該層級多出現于最不發達國家;第二層級是不對資料跨境做事前限制,但設定事後審查和追責機制;第三層級是規定資料出境條件和情形,并對資料接收國設定資質限制,例如GDPR采用的就是這種思路;第四層級是最高限制層級,即資料能否跨境流動需要經過個案審查。顯然出于國家安全考慮,大陸對關鍵資訊基礎設施營運者及處理個人資訊達到規定數量的個人資訊處理者的資料跨境管制采取了最高限制層級。
三、向境外傳輸個人資訊的必要條件
關鍵資訊基礎設施營運者及處理個人資訊達到一定數量的處理者儲存于大陸境内的個人資訊需要向境外提供時,必須通過國家網信部門組織的安全評估。需要強調的是,前述主體僅能通過“安全評估”這一條通道實施個人資訊出境的行為。目前在部分行業中,網信部門已經聯合其他主管部門在安全評估的基礎上作出了進一步的監管要求,例如汽車行業的《汽車資料安全管理若幹規定(試行)》,其中第12條強調了汽車資料處理者向境外提供重要資料,不得超出出境安全評估時明确的目的、範圍、方式和資料種類、規模等。且國家網信部門會同國務院有關部門以抽查等方式核驗前款規定事項,汽車資料處理者應當予以配合,并以可讀等便利方式予以展示。該規定第14條規定:在通過安全評估之後,企業還需要每年向網信等部門補充報告涉及資料境外傳輸的資訊。
【條文适用】
關于違反存儲義務時的法律責任認定問題
《網絡安全法》第66條規定了關鍵資訊基礎設施的營運者違法在境外存儲網絡資料或者向境外提供網絡資料的法律責任,《個人資訊保護法》第66條規定了一切個人資訊處理者違法實施個人資訊處理行為的法律責任。除适用的主體存在差異之外,二者處罰的數額也存在不同,《網絡安全法》規定的罰款數額為5萬元以上50萬元以下,《個人資訊保護法》規定的罰款數額為100萬元以下,并且在情節嚴重時可以達到5000萬元以下或者上一年度營業額5%以下。在具體的法律适用上,按照新法優于舊法的原則,并結合《個人資訊保護法》嚴厲打擊個人資訊違法行為的立法精神,我們認為統一适用《個人資訊保護法》為宜。