文| 刘耀华 信通院互联网法律研究中心高级研究员
在我国数据跨境流动管理制度的构建过程中,《网络安全法》第37条起到了基石的作用,后来制定出台的《数据安全法》《个人信息保护法》中对于数据跨境流动管理制度的完善,均是以《网络安全法》第37条为基础,不断厘清、确定与自身立法目标相适应的数据跨境流动管理制度。但是,由于出台背景存在较大不同,《网络安全法》与《数据安全法》《个人信息保护法》在相关用语的使用方面也有一定的出入,导致实践中可能存在不完全一致的情况。本文试图展现《网络安全法》第37条在实践中适用的不同情况,然后在对特定情况的问题进行分析的基础之上,提出对我国数据跨境流动管理要求的完善建议。
一、第37条讲了什么?
《网络安全法》第37条明确了我国数据跨境流动管理的基本要求。相对于最早公布的《网络安全法(第一次审议稿)》,最终出台的第37条主要在三个方面进行了改变,第一是扩大了数据保护的范围,增加了对“重要数据”的要求,同时将“公民个人信息”修改为“个人信息”;第二是明确了接受管理的数据的来源范围,为“在中华人民共和国境内运营中收集和产生”;第三是限缩了数据可以出境的条件,将“确需在境外存储或者向境外的组织或者个人提供”调整为“确需向境外提供”。经过修改之后,第37条的规定已经非常明确,内容主要包括:监管对象为关键信息基础设施的运营者;数据类型为在中华人民共和国境内运营中收集和产生的个人信息和重要数据;管理原则为应当在境内存储;出境条件包括因业务需要、确需向境外提供、经过安全评估三方面内容。之后,我国对数据治理的认知不断提升,2021年相继生效的《数据安全法》和《个人信息保护法》中均对我国的数据跨境流动管理制度进行了补充和完善,但《网络安全法》第37条的规定仍然是整个数据跨境流动管理体系的基石,对37条的认识有助于理解我国的整体数据跨境流动制度。
二、第37条在实践中适用会发生什么样的情况?
立法在实践中进行适用时,会面对各种不同的复杂情况,法律条文的原则性规定可能无法直接去解决所有问题,而是需要从立法的本意出发进行解释适用。但是,在解释适用的过程中,由于每个人的理解、领域、目的等方面具有较大不同,对每一个立法条文的认识也会产生天差地别的情况。《网络安全法》第37条即面临这样的困境,带来不同的理解思路,对条文如何适用产生非常不一致的情况,同时也对国家、社会、企业造成不同程度的影响。整体来看,当前对《网络安全法》第37条存在以下两种不同的认识:
第一种情况是,认为37条规制的重点是数据应当在境内存储,即关键信息基础设施运营者在我国境内收集和产生的个人信息和重要数据不用立即存储在境内即可,而只要经过了安全评估,数据可以在境外先进行存储、使用、加工、传输、公开、删除等行为(参照《个人信息保护法》第4条),后续再将数据传回我国即可。这种理解在实践中可能导致的适用情况是,关键信息基础设施运营者可以在国外设立处理数据的计算设施,先进行安全评估,通过安全评估之后,将在我国境内产生的个人信息和重要数据完全放在境外的计算设施上进行处理,然后再择期将这些数据利用存储介质存储在国内即可。这种情况暂且可以被称之为“先跨境后存储”。
第二种情况是,认为37条规制的重点是数据应当在境内处理,即关键信息基础设施运营者在我国境内收集和产生的个人信息和重要数据应当在我国境内进行即时存储,也就是处理过程中产生的各种数据,只要还没有进行安全评估,都要立即存储在我国境内。这种理解在实践中可能导致的适用情况可能是,由于在处理过程中,数据是随时都在进行各种更新、产生的,如果要求数据应当即时存储,那么企业就必须将处理数据的计算设施设置在我国境内,即不仅应当在我国境内进行单纯的存储数据,而其他的处理行为,只要不经过安全评估,也是必须要在我国境内进行的,以避免关键信息基础设施运营者的所有已有、将产生的个人信息和重要数据未经安全评估传输到境外。这种情况暂且可以被称之为“先处理后跨境”。
两种情况对存储和出境理解的先后顺序不一样,严苛程度也存在非常大的差异。在“先处理后跨境”的理解之下,要求企业将计算设施放在境内,避免数据未经评估即出境,在兼顾企业经营利益的同时,更侧重将关键信息基础设施运营者对国家安全、社会公共利益、个人和组织合法权益的重大影响放在了首位。在“先跨境后存储”的理解之下,非常明显地倾向于企业的运营,作为关键信息基础设施运营者的企业可以将相关数据传输到已有的国外数据中心,在我国境内定期存储受规制的数据即可,只需在我国设置或租用存储设施,相较于计算设施来说,成本要低很多。
但“先跨境后存储”的方式存在较为明显的问题。
第一,会在实践中产生多个无法解决的难题。如果企业采取“先跨境后存储”的方式,那么就会产生实践中需要进一步进行细化的很多问题,例如企业在境外处理数据过程中持续产生的数据,以及进行更新之后的数据,应当在多久的时间期限内必须回传到我国境内进行存储?如果由企业自身进行决定的话,企业大概率会采取非常长的时间间隔;如果由监管部门决定的话,监管部门很难确保在每个时间间隔内所有受规制的企业都将数据传回了国内。此外,监管部门对于有些实践问题是难以进行监管和验证的,例如企业回传的数据是否与境外的数据类型是完全相符的,以及境外服务器中是否还存有更多的数据类型等。
第二,会给企业安全评估带来更大的挑战。如果企业采取“先跨境后存储”的方式,那么监管部门为了确保数据传输到国外后的国家安全、社会公共利益、个人和组织的合法权益,可能会极大的收紧安全评估,大多数企业在证明数据的出境必要性和满足安全评估的条件方面,会面临非常严格的审核,数据出境的可能性会大大降低。不仅会极大提升监管部门的监管成本,而且会给企业的运营带来更大挑战。
第三,与国际社会的普遍立法趋势不符。国外立法中要求数据本地化的立法并非只涉及数据的存储,而是包括所有的数据处理行为。如,按照欧盟GDPR的规定,如果不能满足“充分性保护认定”或数据跨境保障措施等多种要求,数据是完全不能传输到欧盟境外的,涉及的是所有数据处理行为,数据控制者必须在欧盟租用或设置服务器。再如,俄罗斯第242-FZ号联邦法要求,所有国内外公司在俄罗斯境内的服务器上存储和处理俄罗斯公民的个人信息,根据法律规定,任何存储俄罗斯国民信息的组织,无论是客户还是社交媒体用户,都必须将该数据移至俄罗斯服务器。2015年8月,俄罗斯通信和大众传媒部发布了详细的也是唯一的书面指南,阐明了第242-FZ号联邦法实施的新的个人数据本地化要求,根据这一指南,国外可用的二级数据库不应具有俄罗斯主要数据库中没有存储的信息,即俄罗斯的主数据库应当含有必须是最新、最全面的数据。[1]
第四,会产生实质上违反《网络安全法》的情况。根据第37条的规定,关键信息基础设施运营者的个人信息和重要数据出境有三个条件,即因业务需要、确需向境外提供、经过安全评估,这三个条件都是应当由跨境传输数据的企业来证明和申请的。但是,如果企业采取“先跨境后存储”的方式,即使之前跨境传输的数据符合这三个条件,经过了安全评估,但是这些数据如果在境外被改变处理目的,或者在企业境外运营中不断更新、变化产生的新的数据,则是没有被证明属于“因业务需要、确需向境外提供”,且还没有经过安全评估即做出改变和跨境传输的情况,企业并不能确保后续发生的新的情况会完全符合三个条件的要求,肯定会经过安全评估。
第五,与我国相关立法趋势和实践要求不符。根据《网络安全法》的起草说明及立法原则,防止网络攻击和网络监控、通过数据保护确保网络基础设施安全是非常重要的立法目标。2021年生效的《个人信息保护法》第40条中,将第37条的要求拓展到了“处理个人信息达到国家网信部门规定数量的个人信息处理者”,立法目的在于保护我国公民的个人信息和合法权益、同时保护大量个人信息可能涉及到的公共利益、国家安全利益。但“先跨境后存储”的方式并不能确保所有数据的出境都符合立法的本意和相关精神,我国《网络安全法》出台之前,对于这一条也进行了不同程度的修改,体现了对立法本意的考虑。同时,实践中特斯拉、苹果等企业在境内建立数据中心的情况,也体现了受立法规制的主体应当如何去满足数据跨境流动的管理要求。
三、关于下一步的展望
同一个条文,为什么会产生差异较大、影响完全不一样的两种理解,表面主要是源于《网络安全法》中使用了“存储”而非“处理”,但本文认为,这种差异可能与国际个人信息保护形势发展以及我国对数据治理的认识有关。2016《网络安全法》审议通过时,全球对于个人信息保护的关注还集中在收集、存储、使用等关键环节,GDPR的全球影响力也尚未显现。随着后续对个人信息保护的重视程度不断上升,我国在制定《个人信息保护法》过程中,对于个人信息保护的概念、体系的认知也发生了改变,逐步构建了具有我国特色的个人信息保护立法框架,规定了更加清晰、明确的内容,“处理”这一概念也才进一步确立下来。在这种背景下,如果为了更加精准化明确我国的立法本意和监管方向,也为了和《数据安全法》《个人信息保护法》等立法中的规定进一步衔接,未来可以考虑在修订《网络安全法》过程中对第37条的用语进行修改完善。
[1] 《俄罗斯数据本地化和跨境流动条款解析》https://www.secrss.com/articles/5801
声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
