第四十条 关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。
【条文主旨】
本条是关于关键信息基础设施运营者、处理个人信息达到规定数量的处理者向境外提供个人信息需要进行安全评估的特别规定。
【条文理解】
数据安全涉及国家主权、安全和发展利益。本条的规范主体掌握的个人信息对数据安全有着重大的影响。一旦这些数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益将造成重大危害。因此,为了保护关系国家安全、国民经济命脉、重要民生、重大公共利益等国家核心数据,《个人信息保护法》《国家安全法》等法律对此加以严格规定。《数据安全法》的落地更加证实了国家对数据安全的重视,该法对数据实行分类分级保护,加强对重要数据保护的同时鼓励数据依法自由有序流通,构建起了政府、行业组织、科研机构、企业、个人多元共治的数据安全治理体系,从而在保障数据安全的前提下最大限度地实现数据的开发利用。
数据本地化存储,指主权国家通过制定法律或规则限制本国数据向境外流动。关键信息基础设施重要数据的储存、利用、控制和管辖是国家主权框架下“数据主权”的行使,其基本的规则是任何本国或者外国公司在采集和存储与个人信息和关键领域相关数据时,必须使用主权国家境内的服务器。出于维护国家安全、保护公民个人信息权益等目的,俄罗斯、澳大利亚等国家均规定了不同程度和不同范围的数据储存本地化。
近年来,数据安全问题在大陆日渐凸显。例如,占据大陆电动汽车主要市场的特斯拉汽车将采集的大量车主个人信息及地理位置、车辆环境、车辆行驶等信息传到美国总部进行处理,对大陆国家安全造成了极大威胁。“4·19特斯拉车主维权事件”加剧了人们对特斯拉汽车数据安全问题的担忧,也让我们充分认识到数据本地化存储的重要意义。《网络安全法》《征信业管理条例》《地图管理条例》等一系列法律法规对个人信息及重要数据的本地化储存作出了规定,一些企业也对此予以逐步落实。例如,苹果公司将中国内地的iCloud数据存储服务转交由大陆国有企业“云上贵州”运营;特斯拉已在中国建立数据中心,以实现重要数据的本地化存储。
一、规范主体
本条的规范主体有两类,分别是关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者。其认定的方法如下:
(一)关键信息基础设施运营者的认定
关于第一种主体身份,即关键信息基础设施运营者的理解与认定,需要结合《网络安全法》以及《关键信息基础设施安全保护条例》的相关规定进行。其首要工作是界定“关键信息基础设施”的概念。《网络安全法》第31条规定:关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的设施。《关键信息基础设施安全保护条例》在此基础上,对关键信息基础设施进行了进一步的释明,其中第2条规定:关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。重要行业和领域的主管部门、监督管理部门还需要结合具体情形来制定关键信息基础设施的认定规则。根据《关键信息基础设施安全保护条例》第9条规定,“制定认定规则应当主要考虑:(一)网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度;(二)网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度;(三)对其他行业和领域的关联性影响。”
此外,在“关键信息基础设施运营者”的具体认定上,可以参考《关于开展关键信息基础设施网络安全检查的通知》的附件《网络安全检查操作指南》(中网办发〔2016〕3号)以及《信息安全技术关键信息基础设施边界确定方法(征求意见稿)》的具体指引,在确定关键信息基础设施时通常包括三个步骤:即确定关键业务;确定支撑关键业务的信息系统或工业控制系统;根据关键业务对信息系统或工业控制系统的依赖程度以及信息系统发生网络安全事件后可能造成的损失来认定关键信息基础设施。
对于关键业务的认定,从2016年11月7日发布的《网络安全法》到2020年8月10日发布的《信息安全技术关键信息基础设施边界确定方法(征求意见稿)》的变化来看,大陆的法律规范对于关键业务的范围认定呈现出范围逐步扩张、内容逐步细化的趋势。综合各法律规范的规定,关键业务是设施一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的行业与领域。包括公共通信和信息服务(电信、广播电视)、能源、交通(公路水路运输、铁路、民航)、水利、金融、公共服务、应急管理、卫生健康、社会保障、电子政务、国防科技工业等。
在确定好关键业务,并依据信息流确定了关键业务中相关信息设施后,就需要通过关键性评估来最终确定关键信息基础设施。对此,《网络安全检查操作指南》和《信息安全技术关键信息基础设施边界确定方法》(征求意见稿)》提供了两种评估方式。《网络安全检查操作指南》将设施分为网站类、平台类和生产业务类之后,就每一类设施给出具体判定指标,以平台类为例,即“符合以下条件之一的,可认定为关键信息基础设施:1.注册用户数超过1000万,或活跃用户(每日至少登录一次)数超过100万。2.日均成交订单额或交易额超过1000万元……”而《信息安全技术关键信息基础设施边界确定方法》(征求意见稿)通过信息设施的业务连续性、业务完整性、数据保密性和关键性这四个方面来进行判定。根据《关键信息基础设施安全保护条例》第10条规定,在认定关键信息基础设施后,相关部门应及时将认定结果通知运营者,并通报国务院公安部门。
关键信息基础设施运营者将其所掌控的个人信息向境外提供时,只有在法律、行政法规和国家网信部门特别规定的情形下,才可不经安全评估便进行个人信息的出境,此时如何向境外提供从其规定。比如本法第38条第2款所规定的大陆缔结或参加的国际条约、协定的特殊规定情形。
(二)处理个人信息达到国家网信部门规定数量的个人信息处理者的认定
关于第二种主体身份的认定,即“处理个人信息达到国家网信部门规定数量的个人信息处理者”如何进行理解,还需要网信部门进一步解释和细化。该规定聚焦于相关主体所处理的个人信息数量。结合现有法律法规来看,可供参考的是国家网信办2021年8月16日发布的《汽车数据安全管理若干规定(试行)》,该规定第11条所强调的“重要数据应当依法在境内存储,因业务需要确需向境外提供的,应当通过国家网信部门会同国务院有关部门组织的安全评估”与《个人信息保护法》第38条第1款第1项及第40条的规定精神相契合,即重要数据原则上应存在境内,只有通过安全评估的,才能出境。结合《汽车数据安全管理若干规定(试行)》第3条第6款第5项将“涉及个人信息主体超过10万人的个人信息”列为“重要数据”的这一做法,不妨以此推断“处理个人信息达到10万人”的个人信息处理者是《个人信息保护法》此条所述的“处理个人信息达到国家网信部门规定数量的个人信息处理者”,其在向境外提供个人信息前,需要通过安全评估。但此仅为一种逻辑推演,在汽车数据保护的相关领域,适用结果是无异议的,但在其他领域是否仍适用此“10万人”的标准,仍是未知数,有待网信部门后续具体出台细化的规定予以明确。
二、境内储存的原则要求
数据流通的前提不但包括保障数据安全和维护主体权利,还包括维护国家安全。将本条规定的数据储存在境内,方便相关部门对于上述数据的管理,防止因数据出境情形下的泄露危害国家主权、安全和发展利益。
需要重点关注的是本条在条款安排上与其他个人信息出境条文的不同之处。即本条第一句便强调了关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,“应当将在中华人民共和国境内收集和产生的个人信息存储在境内”。此条与本法第38条明显不同,本法第38条的第一句是“个人信息处理者因业务等需要”,相比之下,不难看出立法者在本条的用意很明确,即特殊主体所掌控的个人信息“必须存储在境内”。
经济合作与发展组织(OECD)在其2019年的调查报告《贸易与跨境数据流动》(Trade?and?Cross-Border?Data?Flows)中,将数据跨境流动的管制强度由弱到强分为四个层级:第一层级是对数据跨境流动不设任何法律限制,该层级多出现于最不发达国家;第二层级是不对数据跨境做事前限制,但设置事后审查和追责机制;第三层级是规定数据出境条件和情形,并对数据接收国设置资质限制,例如GDPR采用的就是这种思路;第四层级是最高限制层级,即数据能否跨境流动需要经过个案审查。显然出于国家安全考虑,大陆对关键信息基础设施运营者及处理个人信息达到规定数量的个人信息处理者的数据跨境管制采取了最高限制层级。
三、向境外传输个人信息的必要条件
关键信息基础设施运营者及处理个人信息达到一定数量的处理者储存于大陆境内的个人信息需要向境外提供时,必须通过国家网信部门组织的安全评估。需要强调的是,前述主体仅能通过“安全评估”这一条通道实施个人信息出境的行为。目前在部分行业中,网信部门已经联合其他主管部门在安全评估的基础上作出了进一步的监管要求,例如汽车行业的《汽车数据安全管理若干规定(试行)》,其中第12条强调了汽车数据处理者向境外提供重要数据,不得超出出境安全评估时明确的目的、范围、方式和数据种类、规模等。且国家网信部门会同国务院有关部门以抽查等方式核验前款规定事项,汽车数据处理者应当予以配合,并以可读等便利方式予以展示。该规定第14条规定:在通过安全评估之后,企业还需要每年向网信等部门补充报告涉及数据境外传输的信息。
【条文适用】
关于违反存储义务时的法律责任认定问题
《网络安全法》第66条规定了关键信息基础设施的运营者违法在境外存储网络数据或者向境外提供网络数据的法律责任,《个人信息保护法》第66条规定了一切个人信息处理者违法实施个人信息处理行为的法律责任。除适用的主体存在差异之外,二者处罚的数额也存在不同,《网络安全法》规定的罚款数额为5万元以上50万元以下,《个人信息保护法》规定的罚款数额为100万元以下,并且在情节严重时可以达到5000万元以下或者上一年度营业额5%以下。在具体的法律适用上,按照新法优于旧法的原则,并结合《个人信息保护法》严厉打击个人信息违法行为的立法精神,我们认为统一适用《个人信息保护法》为宜。