新的中国《网络安全法》对在中国营商的影响
新的中国《网络安全法》已于2017年6月1日生效,新法例有两大目标:
· 防止中国受到网络攻击,及
· 保障中国人民的权利及权益,防止受到网络攻击及个人资料被滥用。
新法例不但为网络安全制定完善的框架,而且保障中国人民的私隐。
多项关于网络安全的法律措施亦已于2017年6月1日生效。2017年4月11日,国家互联网信息办公室发表了《个人信息和重要数据出境安全评估办法》草稿(「评估办法草稿」),咨询公众意见,咨询期现已结束,预计个人信息和重要数据(「本地数据」)出境安全评估的最终办法快将公布。
《网络安全法》的主要规定
新法例实行数据本地化储存规则,规定「关键信息基础设施」的运营者须储存在中国营运时收集或产生的个人资料及其他重要数据。
新法例规定,关键信息基础设施的运营者在传送本地数据到外地之前须经过安全评估。安全评估须由国家互联网信息办公室及国务院进行(除非已根据其他法例获准传送到外地)。
「关键信息基础设施」被广泛定义为「一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的基础设施」,包括「公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务」。
「关键信息基础设施」亦包括用于关键公共服务的网络的运营者,及一旦被入侵将严重损害国家安全、中国经济或普罗大众的私营网络的运营者。
新法例所规管的「网络运营者」被广泛定义为包括在中国拥有及经营资讯科技网络的任何业务,包括电脑网络、网站、应用程式,或储存、传送、交换或处理在中国从第三方使用者收集资料的其他电子平台。
根据新法例,网络运营者应:
· 公开所有私隐告示;
· 在收集及处理个人资料前须取得个人同意;及
· 实施防止个人资料遗失或损毁的技术措施、资料收集最小化、资料保密,以及确保个人资料准确和限制资料处理的权利。
在新法例下,个人资料被定义为以电子或其他方式记录的能够识别某人个人身份的各种资料,包括但不限于
· 全名;
· 出生日期;
· 身份证件号码;
· 个人生物识别资料;
· 住址;及
· 电话号码。
网络运营者提供的内部安全管理系统必须:
· 委任专责网络安全人员;
· 保存网络纪录;
· 向使用者及有关部门报告网络服务及产品的风险;
· 就网络安全事故制定应变计划,及向有关部门报告该等事故;及
· 协助及配合公安部门及国安部门确保国家安全及调查罪案。
受新法例规管的第三类运营者是资讯科技产品的供应商,他们必须:
· 在整个合约期间为所有服务及产品提供安全维修保养,不得在合约期内终止;及
· 网络安全产品及服务在内地市场销售或生产前,必须取得政府证明书及/或符合指定的安全检查要求和国家标准。
建议的本地数据跨境传送安全评估
评估办法草稿拟将数据本地化储存规则的适用范围,由关键信息基础设施的运营者扩大至所有网络运营者,这表示几乎所有在中国成立而在业务运作过程中存取及使用互联网的实体均会受影响,须保存他们在中国营运的过程中收集及产生的个人资料及其他重要数据(本地数据)的副本。
如果网络运营者因业务需要而希望将本地数据传送到外地,则必须经过安全评估。评估办法草稿提出两种安全评估:(i) 自我评估;及 (ii) 政府评估。
网络运营者在传送本地数据到外地前,必须进行自我安全评估(除非触发了政府评估),并就评估结果负责。
拟传送出境的数据如属以下任何一种情况,便须接受政府评估:
· 含有或累积含有超过50万名个人的个人资料;
· 数据量超过1,000 GB;
· 含有(其中包括)关于核设施、化学生物学、国防军事及人口健康等范畴的数据,以及关于大规模工程活动、海洋环境及敏感地理资料的数据;
· 含有网络安全资料,例如关于关键信息基础设施的系统弱点或安全保障的资料;
· 关键信息基础设施的运营者向外地接收者提供个人资料及其他重要数据;及
· 其他可能影响国家安全或公众利益的情况。
网络运营者必须基于其业务发展及网络营运状况,至少每年进行一次数据出境安全评估,并向有关行业监管者报告评估结果。
除了年度安全评估,每当以下情况出现,网络运营者亦须进行新的安全评估:
· 数据接收者变更,或数据出境传送的目的、范围、数量或种类有重大变更;或
· 外地发生了涉及数据接收者或数据传送的重大安全事故。
行业监管者须负责安排及进行政府评估。如须进行政府评估但无法确定负责的行业监管者,则应由国家互联网信息办公室进行政府评估。
评估办法草稿把「重要数据」界定为与国家安全、经济发展及公众利益密切相关的数据。
在私隐保障方面,一般而言,网络运营者须通知资料当事人收集及使用个人资料的目的、方法及范围,并取得资料当事人同意。
评估办法草稿规定,网络运营者如欲传送个人资料到中国境外,必须通知资料当事人传送资料到外地的目的和范围、内容及数据接收者(国家或地区),并须取得资料当事人同意。
根据评估办法草稿,在以下情况下,本地数据不得传送出境:
· 资料当事人并未同意,或有关传送可能侵犯资料当事人的权益;及
· 拟进行的数据传送会对国家政治、经济、科技或国防等造成安全风险,及可能影响国家安全或损害公众利益。
总结
在中国经营业务的机构应开始审视其个人资料私隐及网络安全政策,确保遵守新的法例及措施。网络运营者如需把在中国收集到的个人资料传送到海外,亦应审视及修订其现时的私隐政策或声明,以确保符合规定。
至于在内地传送本地数据到香港是否构成「跨境」传送,暂时尚未可知,可能要等待内地部门颁布进一步措施或法院解释,才有明确答案。但由于在「一国两制」原则下这项新法例不适用于香港,要是本地数据无须经任何安全评估便可从内地传送到香港,便会完全违背数据本地化及保障私隐这两项目的。
(本文由本所合伙人卫绍宗律师撰写,亦刊登于2017年秋季的International Society of Primerus Law Firms刊物《Paradigm》。)
如有查詢,請聯絡我們的訴訟及調解爭議部門: |
E: employment@onc.hk T: (852) 2810 1212 香港中環康樂廣場8號交易廣場第三期19樓 |
注意:以上內容涉及十分專門和複雜的法律知識及法律程序。本篇文章僅是對有關題目的一般概述,只供參考,不能構成任何個別個案的法律意見。如需進一步的法律諮詢或協助,請聯絡我們的律師。 |
ONC柯伍陳律師事務所發行 © 2017 |