(本文仅代表作者个人观点)
2021年中国的立法机关制定通过了两部重要的法律,即《数据安全法》和《个人信息保护法》,以这两部法律和2017年通过的《网络安全法》为核心,中国的网络法律体系初步构建完成。这三部法律的侧重点各有不同,内容互有交叉。本文旨在概述这些法律和相关法规,以及它们对在业务运营中或多或少处理个人或非个人数据的外国公司的影响。
一、《网络安全法》
2017年6月1日生效的《网络安全法》共七章79条,是中国网络空间安全管理的基本法律,重点包括网络信息内容管理制度、网络安全等级保护制度、关键信息基础设施的安全保护制度、个人信息和重要数据保护制度、网络产品和服务管理制度、网络安全事件管理制度等。《网络安全法》以网络运营者为主要规范对象,对“网络运行安全”和“网络信息安全”提出了若干制度性管理要求,规定了网络运营者的权利、义务和责任,以及国家为维护网络安全所需要建立的监测预警与应急处置等机制。对于网络运行安全而言,《网安法》针对网络运营者和关键信息基础设施运营者两类主体,从内部制度、技术措施、采购对象、数据存储和跨境传输等多个方面规定了相应的责任和义务。除一般网络运行安全规定以外,《网安法》梳理了此前散见在不同规范性文件中关于个人信息保护的规定,在第四章集中整理了网络运营者在保护个人信息安全方面的义务,以及个人信息主体的重要权利,并在第六章中为侵害个人信息权利的行为拟定了相应的法律责任。在网络信息安全方面,《网安法》对于网络信息内容管理做出了提纲挈领的要求,规定网络运营者应加强对用户发布的信息的管理,以及在发现违法信息后的处置和报告义务。
二、《数据安全法》
《数据安全法》于2021年9月1日生效,是数据领域的基础性法律,与《网络安全法》处于同一法律位阶,共同补充了《国家安全法》框架下的安全治理体系。《数据安全法》共七章55条,从数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任等方面,对数据处理活动进行规制。相对于《网络安全法》着重对“网络数据”进行规制,《数据安全法》将“数据”定义为“任何以电子或非电子形式对信息的记录”,其保护范围较《网络安全法》大大扩展。此外,《网络安全法》的适用范围是中国境内的建设、运营、维护和使用网络的活动,而《数据安全法》规定“中华人民共和国境外的组织、个人开展数据活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任”,在一定程度上具备了域外效力。两部法律的共同点在于,二者都要求对数据进行分级分类管理,并对关键信息基础设施和重要数据进行了规制。《网络安全法》要求关键信息基础设施运营者在中国境内运营中收集和产生的个人信息和重要数据应本地化存储,如需出境,应进行安全评估。《数据安全法》则进一步提出由相关部门制定重要数据目录、定期开展对重要数据的风险评估、以及非关键信息基础设施运营者在中国境内运营中收集和产生的重要数据的出境要求。
三、《个人信息保护法》
《个人信息保护法》于2021年11月1日生效,全文共八章74条,构建了一套覆盖个人信息收集、利用、保护全流程的制度体系,对个人信息主体维护自身权利,以及企业构建符合要求的合规制度都具有重要影响。在适用范围上,《个人信息保护法》同样具有域外效力,即“在中国境外处理中国境内自然人个人信息的活动,也适用本法”,包括:(一)以向境内自然人提供产品或者服务为目的;(二)分析、评估境内自然人的行为;(三)法律、行政法规规定的其他情形。《个人信息保护法》确立了处理个人信息应遵循的五大原则, 包括合法正当必要诚信原则、目的限制原则、最小化原则、公开透明原则、完整准确原则。对于个人信息主体享有的权利,《个人信息保护法》明确规定,个人信息主体对其个人信息的处理享有知情权、决定权、限制/拒绝他人处理权、查阅复制权、可携权、更正补充权、删除权、解释权,并要求个人信息处理者建立便捷的个人信息主体行使权利的申请受理和处理机制。对于个人信息的跨境传输,《个人信息保护法》给出了明确的实现路径,即满足以下条件之一:通过国家网信部门组织的安全评估、经专业机构进行个人信息保护认证、与境外接收方签订国家网信部门制定的标准合同。如果个人信息处理者是关键信息基础设施运营者,则应将在中国境内收集和产生的个人信息存储在境内,确需出境的,应当通过国家网信部门组织的安全评估。《个人信息保护法》对严重违法处理个人信息的行为规定了高达“五千万元以下或者上一年度营业额百分之五以下”的处罚标准,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人,体现出立法者对于构建良性个人信息处理环境的决心。
四、《关键信息基础设施安全保护条例》
《关键信息基础设施安全保护条例》是《网络安全法》的配套法规,专门针对关键信息基础设施的安全保护,于2021年9月1日生效。条例包括六个主要的内容:一、明确重点行业和领域重要网络设施、信息系统属于关键信息基础设施,国家对关键信息基础设施实行重点保护,采取措施,监测、防御、处置来源于境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏;二、规定在国家网信部门统筹协调下,国务院公安部门负责指导监督关键信息基础设施安全保护工作;三、明确了关键信息基础设施认定工作的组织方式和认定程序,依照行业认定规则,国家汇总并动态调整关键信息基础设施认定结果,确保重要网络设施、信息系统纳入保护范围;四、对关键信息基础设施运营者落实网络安全责任、建立健全网络安全保护制度、设置专门安全管理机构、开展安全监测和风险评估、报告网络安全事件或网络安全威胁、规范网络产品和服务采购活动等作了规定;五、对制定行业安全保护规划、建立信息共享机制、建立健全监测预警制度、明确网络安全事件应急处置要求、组织安全检查检测、提供技术支持和协助等作了规定;六、对关键信息基础设施运营者未履行安全保护主体责任、有关主管部门以及工作人员未能依法依规履行职责等情况,明确了处罚、处分、追究刑事责任等处理措施。
五、对外国公司的影响
对于有中国业务的外国企业,在经营过程中或多或少都会涉及处理中国境内自然人的个人信息或与业务相关的非个人信息,下面是外国企业会受到中国法律规制最常见的场景:
(一) 涉及处理中国境内自然人的个人信息。
在该场景下,无论是由外国公司在中国境内设立的子公司在中国境内收集自然人的个人信息,还是由外国公司在中国境外收集中国境内自然人的个人信息,均会受到《个人信息保护法》的规制。此时,外国公司应履行《个人信息保护法》对个人信息处理者设定的义务,包括告知处理规则、保障数据安全、定期审计、开展个人信息保护影响评估、建立便捷的个人信息主体行使权利的申请受理和处理机制、在发生或可能发生安全事件时采取补救措施等。如果由外国公司在中国境外收集中国境内自然人的个人信息,还应在中国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。如果需要将外国公司在中国境内设立的子公司在中国境内收集自然人的个人信息传输到境外,则需要具备以下条件之一:通过国家网信部门组织的安全评估、经专业机构进行个人信息保护认证、与境外接收方签订国家网信部门制定的标准合同。
(二) 外国公司被认定为关键信息基础设施运营者。
如果外国公司被认定为关键信息基础设施运营者,则应将在中国境内运营中收集和产生的个人信息和重要数据存储在中国境内,如需向境外提供,则需要按照国家网信部门会同国务院有关部门制定的办法进行安全评估。此外,在日常经营中还须落实网络安全责任、建立健全网络安全保护制度、设置专门安全管理机构、开展安全监测和风险评估、报告网络安全事件或网络安全威胁、规范网络产品和服务采购活动等。
(三) 未被认定为关键信息基础设施运营者,但所处理的信息涉及重要数据。
如果外国公司所处理的信息涉及重要数据,则应履行《数据安全法》对重要数据处理者设定的义务,包括:建立健全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施、明确数据安全负责人和管理机构、定期开展风险评估,并向有关主管部门报送风险评估报告等。涉及将在中国境内运营中收集和产生的重要数据的出境的,依照国家网信部门会同国务院有关部门制定的规则处理。