《网络安全法》——数据安全的守护

发布时间 2019-01-17

安全事件层出不穷,企业资产和国家安全面临挑战,个人隐私大范围泄露,在数据高度发展的时代,这些都为社会的安定、个体自由与安全带来了巨大挑战。因此我国也相继出台了大量的法规,对个人、企业和国家重要数据进行保护。


这些法律法规都将对企业和政府单位的IT安全策略制定和安全体系的架构产生重要影响;在这些法规中都将数据作为了最为重要的防护对象,提出了重要的安全要求;对于这些法规的遵守将影响企业的声誉、合规甚至存亡。


网络安全法要求


2016年11月7日,《中华人民共和国网络安全法》(以下简称“《网络安全法》”)正式通过,2017年6月1日起施行。《网络安全法》共包括七章,七十九条,对网络安全等级保护制度、关键信息基础设施保护和用户个人信息保护制度等从法律层面上进行了规定。其中,限制关键信息基础设施的数据跨境传输的有关规定自《网络安全法(草案)》初次审议(以下简称“一审稿”)以来倍受全球范围的广泛关注。限制数据跨境条文的最终落地,将对企业跨国经营产生巨大的实际影响,也将成为跨国企业的首要合规挑战。


作为中国网络安全领域的基本法律,《网络安全法》第三十七条规定,“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”这一规定将为在华运营的企业,尤其是跨国企业带来的全球化运营产生重大影响。需要明确的是,跨国企业并不仅限于传统意义上的“外企”,随着中国企业在海外业务的不断拓展,许多中国企业也已加入到跨国企业的行列,也将同样面临数据跨境传输的法律限制。


近年来,中国政府已开始逐渐关注数据跨境传输问题,但先前已有的法规在规制数据类型及领域等方面还比较局限。例如,2013年1月21日国务院公布的行政法规《征信业管理条例》第二十四条规定,“征信机构在中国境内采集的信息的整理、保存和加工,应当在中国境内进行。征信机构向境外组织或者个人提供信息,应当遵守法律、行政法规和国务院征信业监督管理部门的有关规定”;2011年1月21日中国人民银行发布的部门规章《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》第六条规定,“在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外,银行业金融机构不得向境外提供境内个人金融信息”。可以看出,以上两个文件所针对的领域仅限于征信领域及银行业金融领域,涉及的数据范围也较为局限。


此外,作为中国首部对个人信息保护制定国家标准的《信息安全技术公共及商用服务信息系统个人信息保护指南》在第5.4.5条规定,“未经个人信息主体的明示同意,或法律法规明确规定,或未经主管部门同意,个人信息管理者不得将个人信息转移给境外个人信息获得者,包括位于境外的个人或境外注册的组织和机构”。显然,该指南涵盖的领域与数据范围要比前述两个文件广泛许多,但该指南作为“引导性技术文件”对相关企业及个人并不具有强制力。


相比而言,《网络安全法》系首次从国家法律层面限制数据的跨境传输,无论是从法律层级、规制领域范围、数据类型,还是规制程序、法律责任等角度来看,都显著超越之前的规范性文件。