新的中國《網絡安全法》已於2017年6月1日生效，新法例有兩大目標：

·         防止中國受到網絡攻擊，及

·         保障中國人民的權利及權益，防止受到網絡攻擊及個人資料被濫用。

新法例不但為網絡安全制定完善的框架，而且保障中國人民的私隱。

多項關於網絡安全的法律措施亦已於2017年6月1日生效。2017年4月11日，國家互聯網信息辦公室發表了《個人信息和重要數據出境安全評估辦法》草稿（「評估辦法草稿」），諮詢公眾意見，諮詢期現已結束，預計個人信息和重要數據（「本地數據」）出境安全評估的最終辦法快將公布。

《網絡安全法》的主要規定

新法例實行數據本地化儲存規則，規定「關鍵信息基礎設施」的運營者須儲存在中國營運時收集或產生的個人資料及其他重要數據。

新法例規定，關鍵信息基礎設施的運營者在傳送本地數據到外地之前須經過安全評估。安全評估須由國家互聯網信息辦公室及國務院進行（除非已根據其他法例獲准傳送到外地）。

「關鍵信息基礎設施」被廣泛定義為「一旦遭到破壞、喪失功能或者數據洩露，可能嚴重危害國家安全、國計民生、公共利益的基礎設施」，包括「公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務」。

「關鍵信息基礎設施」亦包括用於關鍵公共服務的網絡的運營者，及一旦被入侵將嚴重損害國家安全、中國經濟或普羅大眾的私營網絡的運營者。

新法例所規管的「網絡運營者」被廣泛定義為包括在中國擁有及經營資訊科技網絡的任何業務，包括電腦網絡、網站、應用程式，或儲存、傳送、交換或處理在中國從第三方使用者收集資料的其他電子平台。

根據新法例，網絡運營者應：

·         公開所有私隱告示；

·         在收集及處理個人資料前須取得個人同意；及

·         實施防止個人資料遺失或損毀的技術措施、資料收集最小化、資料保密，以及確保個人資料準確和限制資料處理的權利。

在新法例下，個人資料被定義為以電子或其他方式記錄的能夠識別某人個人身份的各種資料，包括但不限於

·         全名；

·         出生日期；

·         身份證件號碼；

·         個人生物識別資料；

·         住址；及

·         電話號碼。

網絡運營者提供的內部安全管理系統必須：

·         委任專責網絡安全人員；

·         保存網絡紀錄；

·         向使用者及有關部門報告網絡服務及產品的風險；

·         就網絡安全事故制定應變計劃，及向有關部門報告該等事故；及

·         協助及配合公安部門及國安部門確保國家安全及調查罪案。

受新法例規管的第三類運營者是資訊科技產品的供應商，他們必須：

·         在整個合約期間為所有服務及產品提供安全維修保養，不得在合約期內終止；及

·         網絡安全產品及服務在內地市場銷售或生產前，必須取得政府證明書及／或符合指定的安全檢查要求和國家標準。

建議的本地數據跨境傳送安全評估

評估辦法草稿擬將數據本地化儲存規則的適用範圍，由關鍵信息基礎設施的運營者擴大至所有網絡運營者，這表示幾乎所有在中國成立而在業務運作過程中存取及使用互聯網的實體均會受影響，須保存他們在中國營運的過程中收集及產生的個人資料及其他重要數據（本地數據）的副本。

如果網絡運營者因業務需要而希望將本地數據傳送到外地，則必須經過安全評估。評估辦法草稿提出兩種安全評估：(i) 自我評估；及 (ii) 政府評估。

網絡運營者在傳送本地數據到外地前，必須進行自我安全評估（除非觸發了政府評估），並就評估結果負責。

擬傳送出境的數據如屬以下任何一種情況，便須接受政府評估：

·         含有或累積含有超過50萬名個人的個人資料；

·         數據量超過1,000 GB；

·         含有（其中包括）關於核設施、化學生物學、國防軍事及人口健康等範疇的數據，以及關於大規模工程活動、海洋環境及敏感地理資料的數據；

·         含有網絡安全資料，例如關於關鍵信息基礎設施的系統弱點或安全保障的資料；

·         關鍵信息基礎設施的運營者向外地接收者提供個人資料及其他重要數據；及

·         其他可能影響國家安全或公眾利益的情況。

網絡運營者必須基於其業務發展及網絡營運狀況，至少每年進行一次數據出境安全評估，並向有關行業監管者報告評估結果。

除了年度安全評估，每當以下情況出現，網絡運營者亦須進行新的安全評估：

·         數據接收者變更，或數據出境傳送的目的、範圍、數量或種類有重大變更；或

·         外地發生了涉及數據接收者或數據傳送的重大安全事故。

行業監管者須負責安排及進行政府評估。如須進行政府評估但無法確定負責的行業監管者，則應由國家互聯網信息辦公室進行政府評估。

評估辦法草稿把「重要數據」界定為與國家安全、經濟發展及公眾利益密切相關的數據。

在私隱保障方面，一般而言，網絡運營者須通知資料當事人收集及使用個人資料的目的、方法及範圍，並取得資料當事人同意。

評估辦法草稿規定，網絡運營者如欲傳送個人資料到中國境外，必須通知資料當事人傳送資料到外地的目的和範圍、內容及數據接收者（國家或地區），並須取得資料當事人同意。

根據評估辦法草稿，在以下情況下，本地數據不得傳送出境：

·         資料當事人並未同意，或有關傳送可能侵犯資料當事人的權益；及

·         擬進行的數據傳送會對國家政治、經濟、科技或國防等造成安全風險，及可能影響國家安全或損害公眾利益。

總結

在中國經營業務的機構應開始審視其個人資料私隱及網絡安全政策，確保遵守新的法例及措施。網絡運營者如需把在中國收集到的個人資料傳送到海外，亦應審視及修訂其現時的私隱政策或聲明，以確保符合規定。

至於在內地傳送本地數據到香港是否構成「跨境」傳送，暫時尚未可知，可能要等待內地部門頒布進一步措施或法院解釋，才有明確答案。但由於在「一國兩制」原則下這項新法例不適用於香港，要是本地數據無須經任何安全評估便可從內地傳送到香港，便會完全違背數據本地化及保障私隱這兩項目的。

（本文由本所合夥人衞紹宗律師撰寫，亦刊登於2017年秋季的International Society of Primerus Law Firms刊物《Paradigm》。）