︿
Top

中國大陸網路安全法即將在2017年6月1日生效

瀏覽次數:1700| 歡迎推文: facebook twitter wechat twitter twitter

科技產業資訊室 - 朱子亮 發佈於 2017年5月18日

 
中國大陸網路安全法[1],即將於2017年6月1日起正式施行,並對在大陸經營的外國公司企業產生重要影響。2017年4月11日,中國大陸國家互聯網信息辦公室(原名中共中央網絡安全和信息化領導小組辦公室)進一步發佈了「個人資訊和重要資料出境安全評估措施草案」[2],針對新法中具爭議性的資料境內存放規定等,提供進一步說明指導該措施草案,將與網路安全法同時生效。本文將就前述新法以及措施草案,作一扼要介紹與討論。
 

一、中國大陸網路安全法

網路安全法制訂以前,中國大陸涉及網路資訊安全之管理規範,散佈在若干單獨法律之中,例如2011年互聯網資訊服務,或2016年中華人民共和國電信條例。2016年11月7日所通過的網路安全法,代表著中國大陸第一部專門規範網路安全的法律,旨在維護網路環境、敏感資料安全性及保護公民隱私。然而,新法內容,許多文字用語缺乏詳細定義,部分規定亦頗為含糊,因而招致國內外許多批評。
 
1.   針對網路營運業者資訊相關基礎設施營運業者的網路安全規範
 
新法主要針對兩種類型的公司企業個體,包括「網路營運業者」和「資訊相關基礎設施營運業者」,提出確保網路資料安全之規範要求。
 
新法對於「網路營運業者」之定義,為網路服務持有人、供應人及管理人。「網路服務」定義,為計算機和資訊終端設備等所組成之系統,用於收集、存儲、傳輸、交換和處理資訊。前述解釋,實際上,不僅涉及電信和網路服務供應商,亦可涵蓋在中國大陸持有或從事資訊相關業務活動的任何組織個體。
 
新法對於「資訊相關基礎設施營運業者」,並沒有提供明確定義,字面上,可以說是網路營運業者的一部分,涵蓋電子通訊、能源、交通運輸、水資源、金融、公共服務等產業領域。其他類型產業之資訊設施及活動等,倘若可對國家安全、經濟或公共社會利益構成嚴重威脅(在遭受破壞,資訊外洩等情況下),也可能會被視為基礎相關資訊設施業者。至於哪些類型之資訊設施,可能會嚴重危害中國國家安全或經濟,具體認定標準為何,中國大陸當局並未提供任何指導意見,可能會依據個案情形來決定。
 
前述定義之涵蓋範圍相當廣泛,意味著中國大陸當局,希望對所有類型之產業及業務活動,進行全面性的網路安全管制。
 
新法內容,將要求「網路營運業者」履行以下網路安全規定:
 
  • 訂立內部安全管理制度和實施規則,包括採取技術措施,防止病毒和其他網路入侵行為;保存至少六個月的網路日誌;採取資料分類系統、備份系統和加密等安全措施。此些資料安全措施,必須按照中國大陸網路安全保障體系(尚未定義及建立)來實施;
  • 擬訂網路安全事故之因應方案,在事故發生時能夠及時實施補救措施,並向監管部門報告;
  • 向政府機構提供技術資源和其他支援,以協助維護國家安全和犯罪調查。
 
針對「資訊相關基礎設施營運業者」之網路安全規定,要求如下:
 
  • 採取額外安全保障措施,例如對重要職務負責人員進行安全背景調查、網路安全教育和技術培訓、事故資料恢復備份等;
  • 購買可能影響國家安全的網路相關產品或服務時,應接受中國大陸當局安全審查;
  • 至少每年度進行網路安全檢查。
 
新法鼓勵未被視為網路營運商或資訊基礎設施營運商的公司企業或組織個體,自願參與中國大陸資訊基礎設施保護體系(尚未定義及建立)。
 
上述措施外,新法中其他規定,也將產生重要影響,包括以下內容
 
2.  個人資料及重要資料,必須存放在中國大陸境內
 
新法中最具爭議的條款在於第37條,要求資訊基礎設施營運業者,必須將中國大陸公民個人資料和重要資料,存放在中國大陸境內。4月所發佈之資料出境安全評估措施草案,進一步要求網路營運商,也必須遵守資料境內存放規定。
 
新法中並未詳細解釋「重要資料」一詞為何。第76條,則將「個人資料」一詞廣泛定義為「以電子方式存儲、可單獨或在結合其他資訊下識別特定自然人身份,包括其個人姓名、出生日期、身分證號碼、地址、電話號碼、個人生物特徵資訊等」。
 
新法規定,倘若前述資訊,基於合法商業原因,必須轉移至中國境外,資訊基礎設施營運商,必須接受中國國務院和國家互聯網信息辦公室所制訂的安全審查(亦即以下將提到的安全評估)。
 
3.  個資處理及轉移規定
 
新法要求網路營運商,必須遵守一系列個人資料保護規定,其內容大致類似歐盟個資法規,包括遵守合法性、適宜性和必要性三項原則,並提供公開隱私聲明,說明個資收集和使用目的、收集方法和範圍。 此外,資料個體(當事人)有權取得、要求修改和刪除其個人資料。
 
新法禁止網路營運商,在未獲得資料個體同意下轉移其個人資料,除非前述資料經過特別處理,使其無法再用於識別當事人身分,以及無法透過任何方式來進行還原。
 
公司企業擔心此一法律規定,可能會構成個人資料轉移上無法克服的的一項障礙,因為實際上,資料個體往往不會同意任何個資轉移要求。
 
4.  網路用戶真實身分驗證和未成年人隱私保護
 
新法要求網路營運商,在提供網路服務之前,必須驗證使用者的真實身分,藉此來強制執行網路或即時訊息服務用戶使用真實身分識別之要求。
 
新法亦加強在網路空間保護未成年人隱私,以避免個人資料不當利用情形。
 
5.  必須配合官方監督、調查及執法行動
 
新法提供了中國大陸監管機關更明確及更廣泛的監督、調查和執法權力,並要求網路及資訊設施營運商,必須與監管機關保持合作。不合作情形將招致處罰。
 
對此,外國公司企業擔憂,中國大陸當局可能會要求其揭露公開其機密商業資訊及安全系統等,並招致更多風險問題。
 
6.  罰則
 
新法中,針對網路和資訊基礎設施營運商違法情事之罰則,包括警告、停業、沒收獲利、監禁和最高人民幣100萬元罰款。第75條,亦對攻擊危害中國資訊設施之外國組織或個人,施加凍結資產等制裁措施。
 
 

二、個人資訊和重要資料出境安全評估措施草案

措施草案,將資料境內存放規定之實施對象加以擴大,較新法範圍更廣泛,且詳細說明個資及重要資料境外轉移方面的相關限制,且要求所有網路營運商,在向境外轉移個資及重要資料之前,必須進行安全評估。滿足特定條件下,必須委由官方監管機關來進行安全評估(安全審查)。
 
1.  何謂重要資料
 
措施草案將「重要資料」一詞,定義為「與國家安全、經濟發展及社會公共利益密切相關的資料」,然並沒有舉例說明哪些類型資料符合前述定義,僅說明其具體範圍,將依循國家相關標準和指導。前述模糊解釋,意味著中國大陸當局將依據個案情況,來「酌情」使用該術語,將可能使公司企業在遵守相關法律規範上,面臨不確定性。
 
2.  網路營運業者,亦須遵守資料境內存放規定
 
如前所述,新法僅要求資訊基礎設施營運商,必須遵守資料境內存放規定。措施草案進一步要求網路營運商,必須在中國境內存放個資和重要資料,除非有真正合法商業目的,需要將資料向境外轉出。向境外轉出資料之前,網路營運商必須進行安全評估。
 
3.  出境資料的安全評估
 
將個資及重要資料轉移到中國境外之前,網路營運商必須進行安全評估。安全評估辦法,包含自行評估和監管評估,除措施草案第9條所列舉情形,需由政府監管機關來評估外,其它情況下,網路營運商可自行評估,並對評估結果負責。
 
網路營運業者,應對出境資料,每年至少進行一次安全評估,並將評估報告繳交給監管機關。存在下述情況時,須更頻繁地進行安全評估:(1)資料接收方有所變更;(2)出境資料用途、範圍、數量或類型等出現重大變化;(3)資料接收方或資料傳輸過程存在重大安全風險。
 
安全評估項目包括:
 
  • 出境之必要性;
  • 是否涉及個人資料,以及資料個體是否同意出境;
  • 是否涉及重要資料,以及重要資料的數量、範圍、類型及其敏感程度等;
  • 資料接收方的安全保護措施、能力和水平,以及目的地國家和地區的網路安全環境等;
  • 資料出境及轉移後遭洩露、毀損、篡改、濫用等風險;
  • 出境資料可能對國家安全、社會公共利益及個人合法利益造成之風險;
 
措施草案第9條規定,符合下述條件時,網路營運商須委託政府機構進行安全評估和審查:
 
  • 累計達50萬人以上的個人資料;
  • 出境資料大小超過1000GB;
  • 出境資料涉及核設施、生物化學、軍事國防,公共健康、大型工程活動、海洋地理環境等敏感資訊;
  • 出境資料涉及網路安全資訊,例如關鍵資訊設施之系統漏洞、安全防護等;
  • 出境資料涉及資訊基礎設施營運商向境外提供個資和重要資料;
  • 其他可能影響國家安全和社會公共利益,或監管部門認為應該接受評估之出境資料;
 
上述此些條件,是觸發政府安全審查之門檻,門檻其實不高,且有主管機關酌情空間,同時政府評估作業時間通常較長,故可能會對商業活動構成一些阻礙影響。
 
4.  不得出境資料
 
措施草案第11條規定,符合下述3種條件的資料,禁止出境:
 
  • 未經資料個體同意,或可能侵犯資料個體利益;
  • 出境資料,對國家政治體制、經濟、科技、國防構成安全隱患,或可能損害社會或公共利益;
  • 經國家網路監管機關、公安或國安部門等認定不得出境者;
 
前述條件,本質上都是由主管當局酌情決定的,具體實施程度及標準,存在許多模糊空間。
 

三、結語

網路安全法,將對在中國大陸經商之台灣及國外公司企業,構成資安保護及資料跨國轉移方面之重大影響,例如屬於中國公民之個人資料等,將必須在當地設置網路系統來進行儲存。鑒於大多數在中國從事商業活動之公司企業,皆使用網路資訊系統,境內存放要求,將構成顯著限制,並提高資料處理成本;同時在資料跨境轉移方面,也將面臨顯著限制及監督。對此,台灣公司企業應該密切這個新的網路安全及個人隱私法律規範,以確保其商業活動,符合中國大陸法規要求。
 
整體而言,新法雖經過措施草案補充,許多關鍵文字用語,定義仍十分模糊,需要未來進一步解釋,以釐清其不確定性。(2706字;圖1)
 
 
參考資料
[1] 中華人民共和國網絡安全法
[2] 國家互聯網信息辦公室關於“個人信息和重要數據出境安全評估辦法” -  中共中央網絡安全和信息化領導小組辦公室



本站相關文章:
  1. 工業4.0與機械4.0範疇及內涵
  2. 中國大陸發布 《國家信息化發展戰略綱要》掌握關鍵核心技術及5G技術
  3. 歐盟新資料保護法 擴及非歐盟企業
  4. 從競爭情報觀點,看中國大陸”十三五”規劃流程與進展
  5. 中國大陸”十三五”規劃目標之重點觀察

 
歡迎來粉絲團按讚!
--------------------------------------------------------------------------------------------------------------------------------------------