美国通过WTO要求中国暂缓实施网安法最终措施，《评估办法》细化规定应予重视

美国 WTO 网络安全

吴丹君周天一 | 2017-10-12 15:19

【数据猿导读】今年9月25日，美国向WTO贸易服务委员会提交了针对中国《网络安全法》（以下称“《网安法》”）的文件，重点针对中国《网安法》第三十七条所规定的数据跨境安全评估制度。在该份文件中，美国认为中国《网安法》所采取的针对个人信息和重要数据跨境进行安全评估的措施会严重阻碍数据自由流...

作者：吴丹君周天一

北京观韬中茂（上海）律师事务所

今年9月25日，美国向WTO贸易服务委员会提交了针对中国《网络安全法》（以下称“《网安法》”）的文件，重点针对中国《网安法》第三十七条所规定的数据跨境安全评估制度。在该份文件中，美国认为中国《网安法》所采取的针对个人信息和重要数据跨境进行安全评估的措施会严重阻碍数据自由流动，对外国供应商产生不利影响。为此，美国希望中国在相关事宜未解决之前，暂缓发布和实施有关数据跨境安全评估的最终措施。

除《网安法》外，美国关注的文件还包括4月11日发布的《个人信息和重要数据出境安全评估办法（征求意见稿）》（以下称“《评估办法》”）和8月30日发布的《信息安全技术数据出境安全评估指南（征求意见稿）》（以下称“《评估指南》”）。《评估指南》进一步细化了《网安法》及《评估办法》已有的规定，为数据出境安全评估的实施提供了操作指引。

《评估指南》的细化规定

1、明示数据出境安全评估的适用范围及例外

《评估办法》规定，数据出境，是指网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据，提供给位于境外的机构、组织、个人。《评估指南》则将数据出境定义为网络运营者通过网络等方式，将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据，通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动，相较《评估办法》更为具体。《评估指南》还以注解的形式进一步界定了数据出境的内涵，使数据出境安全评估范围更为清晰，一方面，将a)向本国境内，但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要数据；b)数据未转移存储至本国以外的地方，但被境外的机构、组织、个人访问查看的（公开信息、网页访问除外）；c)网络运营者集团内部数据由境内转移至境外，涉及其在境内运营中收集和产生的个人信息和重要数据的等三种情形纳入数据出境的范围；另一方面，将a)未经任何变动或加工处理的非在境内运营中收集和产生的个人信息和重要数据经由本国出境的情形；以及b)非在境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后出境，不涉及境内运营中收集和产生的个人信息和重要数据的情形予以排除。

2、细化个人信息及重要数据类型

《网安法》第三十七条规定，被限制跨境转移的数据类型为“在中华人民共和国境内运营中收集和产生的个人信息和重要数据”。其中，《网安法》将个人信息定义为以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。《评估办法》将重要数据定义为与国家安全、经济发展，以及社会公共利益密切相关的数据，具体范围参照国家有关标准和重要数据识别指南。

《评估指南》通过注解形式建议个人信息的范围和类别可参考《信息安全技术个人信息安全规范》（以下称“《安全规范》”）。根据最新《安全规范》征求意见稿的规定，个人信息包括三部分，第一部分是个人身份和鉴别信息，指能够单独或与其他信息结合，对用户自然人身份进行识别，或在某些服务中代替用户自然人身份属性的虚拟身份信息，例如个人基本资料、身份信息、生物识别信息、虚拟身份标识等；第二部分是个人服务和数据内容信息，指组织在服务过程中收集的具有个人隐私属性的数据和内容信息，例如病理健康信息、财产信息、服务内容信息、联系人和关系链信息等；第三部分是个人服务相关信息，指服务过程中所收集的个人服务使用情况及服务相关辅助类信息，包括服务记录、设备信息、位置信息等。网络运营者在收集个人信息时应结合《安全规范》与《评估办法》的规定，针对需要出境的个人信息的数量、范围、类型、敏感程度，以及个人信息主体是否同意其个人信息出境等内容进行详细分类以应对数据出境安全评估的需要。

作为《评估指南》附录的《重要数据识别指南》对重要数据进行了定义，只要是相关组织、机构和个人在我国境内收集、产生的不涉及国家秘密，但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据)，均应纳入重要数据的范围。此外，《重要数据识别指南》明确了包括石油天然气、煤炭、石化、电力、通信、电子信息、钢铁等在内的二十七个行业（领域）的重要数据范围，相关行业的主管部门应结合实际，明确本行业（领域）重要数据定义、范围或判定依据，并根据行业（领域）发展变化，及时更新或替换相关内容。因此，相关行业的网络运营者应及时了解本行业主管部门有关重要数据的规定及更新，对相关重要数据分类备案，一旦需要跨境传输，及时加工处理以满足安全评估的要求。

3、增加网络运营者个人信息出境告知义务

关于个人信息出境，《评估办法》要求网络运营者应向个人信息主体说明数据出境的目的、范围、内容、接收方及接收方所在的国家或地区并经其同意，明令禁止个人信息未经个人信息主体同意即出境。《评估指南》则在此基础上增加了网络运营者的告知义务，要求网络运营者在取得个人信息主体同意前，应将数据出境的目的、类型、数据接收方情况及数据出境可能存在的风险，网络运营者的联系人及其联系方式等信息明确告知个人信息主体。当网络运营者隐私规则发生变更、数据出境目的、范围、类型、数量发生较大变化、数据接收方发生变更或数据出境风险发生较大变化时网络运营者还应重新取得个人信息主体的同意。另外，若个人信息主体实施了拨打国际及漫游电话、发送国际电子邮件、进行国际即时通信、通过互联网进行跨境交易以及其他个人主动行为或将合法向社会公开披露的个人信息出境，《评估指南》将视为个人信息主体已经同意其信息出境。

4、细分评估流程，区别安全自评估与主管部门评估

《评估办法》仅在条文中简单规定行业主管或监管部门负责本行业数据出境安全评估工作以及网络运营者在数据出境前自行组织数据出境安全评估并对结果负责的内容。《评估指南》则在《评估办法》基础上分别阐述了安全自评估与主管部门评估两类模式各自的程序，体现了安全自评估与主管部门评估在启动条件、评估工作组组成、评估报告以及评估流程上的差异。值得注意的是，《评估办法》第九条列举了网络运营者主动报请行业主管或监管部门组织安全评估的情形，《评估指南》在所列举的主管部门评估的启动条件中增加了大量用户投诉、举报以及全国性行业协会建议两类启动条件，增加了主管部门根据公众反馈主动采取安全评估的灵活性。

结语

本次美国向WTO递交的申辩文件主要认为《网安法》及其配套措施的实施将损害贸易自由，并对信息社会产生影响。随着《评估办法》和《评估指南》等规范性文件、标准的推出，《网安法》原有的一些原则性规定和条款正在逐步细化，上述草案也经历了从一审稿到二审稿的修订和完善，并部分回应了国内外企业的主要关注点。可以预见的是，虽然《网安法》已正式实施，但围绕其进行的倾向性解读以及各利害攸关方的博弈仍将继续。

对需要进行数据出境的网络运营者而言，减少个人信息和重要数据出境安全评估的合规风险已然十分迫切。首先，应当明确数据出境可能涉及的具体情形，对于向本国境内的外国组织个人提供数据信息以及本国境内储存的数据信息被外国组织个人访问查看的可能性予以严格监控，构建必要的内部监管体系；其次，及时关注本行业主管部门发布的涉及重要数据种类的规范文件，保证对需要进行出境安全评估的数据的及时更新；再次，对获取的需要出境的个人信息，网络运营者应将出境的目的、类型、数据接收方情况及数据出境可能存在的风险，联系人及联系方式等信息明确告知个人信息主体，当自身隐私规则发生变更、数据出境目的、范围、类型、数量发生较大变化、数据接收方发生变更或数据出境风险发生较大变化时还应重新取得个人信息主体的授权同意；最后，在具体实施安全评估时，网络运营者应保证出境目的满足《评估指南》合法性、正当性、必要性要求，在自评估时应建立评估工作组，审查出境计划，形成安全自评报告，必要时采取技术措施降低出境安全风险，自评结果不符合出境要求的，还应修正数据出境计划，重新开展安全自评估。

来源：数据猿

收藏分享

声明：数据猿尊重媒体行业规范，相关内容都会注明来源与作者；转载我们原创内容时，也请务必注明“来源：数据猿”与作者名称，否则将会受到数据猿追责。