新闻动态

中国:数据传输本地化要求

2020-10-20数据传输

数据本地化

毫无疑问,何时从中国向第三国转移数据以及将适用哪些数据本地化的问题是一个复杂而棘手的问题,针对不同实体和立法过程的不同阶段,有许多单独的法律和建议。

2019年6月13日,中国网络空间管理局发布了有关从中国出境的数据传输的新指南-《个人信息出境安全评估办法》(征求意见稿)-规定了网络运营商进行评估的过程个人信息传输的安全性,在整个中国隐私和数据保护社区掀起了一股热潮。

数据本地化是中文数据保护中非常重要的主题,对于许多企业而言,数据本地化的要求造成了很多混乱。这些要求非常复杂,有许多不同的规定可以解决此问题。长期以来,中国大陆一直被视为强制要求企业在中国存储其数据(包括个人数据)并禁止将所有数据(包括个人和非个人数据)转移到第三国的司法管辖区。但是,这是对中国法律法规的误解,在本文中,我们将阐明在中国进行数据本地化的要求。

数据本地化规定框架 一般而言,中国并不禁止将所有数据转移到境外。数据本地化将分为两个不同的部分-一般要求和特殊数据本地化规定。

通用数据本地化要求可以在以下位置找到:

《中华人民共和国网络安全法》(“ CSL”)第37条,其中要求关键信息基础架构运营商(“ CIIO”)存储在中国的关键信息基础设施所产生的个人信息和重要数据; 中华人民共和国数据安全法草案(以下简称“数据安全法草案”),已由中华人民共和国全国人民代表大会(以下简称“ NPC”)审查; 2017年4月11日生效的《个人信息和重要数据出境安全评估办法》(旧草案),目前尚未生效; 2019年6月13日的《个人信息出站安全评估办法》(征求意见稿)(《新办法》)目前尚未生效; 和 2017年8月25日的《信息安全技术数据跨境转移安全评估指南》(征求意见稿)(指南草案'')也无效。 特殊数据本地化规定可以在以下位置找到:

《中华人民共和国保护国家秘密法》(2010年修订)第48条规定,如果数据与中国的国家机密有关,则禁止将这些数据转移到第三国之外,然后将其存储仅在中国; 中国人民银行关于银行业机构有效保护个人财务信息的通知第六条规定,在中国收集的个人财务信息应在中国进行存储,处理或分析;除其他法律法规另有规定外,银行金融机构不得将国内个人财务信息出境中国; 《信用调查行业管理条例》第二十四条规定,信用调查机构收集的信息应当存储在中国;该组织需要将个人信息转移到中国境外,应当遵守法律,法规的有关规定; 《人口卫生信息管理办法(试行)》第十条规定,禁止将人口卫生信息存储在中国境外的服务器中; 《在线借阅信息中介机构业务活动管理暂行办法》第二十七条规定,在中国收集的贷方和借方信息应当存储在中国;除非其他法律法规另有要求,否则该在线平台不得将贷款人和借款人的信息转移到中国境外; 《地图管理条例》(《地图管理条例》)第34条规定,互联网地图服务组织应在中华人民共和国境内设置用于存储地图数据的服务器,并建立互联网地图数据安全管理体系和保障措施; 《网上出租车订票业务经营管理暂行办法》第二十七条规定,网上出租车平台公司应当遵守国家有关网络和信息安全的规定;也就是说,个人信息和业务数据应在中国大陆存储和使用,不得转移到中国境外,并且应保留两年,除非其他法律法规另有要求;和 《鼓励和规范网络自行车租赁发展的指导意见》第四条(十三)规定,网络自行车租赁经营者的服务器应设在中国,个人信息和业务数据应在中国大陆存储和使用。 谁将负责数据本地化? 在中国存储个人或非个人数据的责任始终是一个相关问题,尤其是对于企业而言。

通常,数据本地化要求仅适用于CIIO,但上述特定于部门的数据本地化规则除外。根据CSL第31条的规定,运营重要信息基础架构的CIIO要求使用多级网络安全保护系统,如果破坏这些信息,将严重损害国家安全,国民经济,人民生活和公共利益,并丧失其功能,或者是数据泄露的受害者;在这方面,它的重点是重要的行业和领域,例如公共通信和信息服务,能源,运输,水利,金融,公共服务和电子政务。

根据《关于关键信息基础设施安全保护事项的公告》,电信,广播电视,能源,金融,交通,铁路,民航,邮政,水利,应急管理,医疗保健等关键网络和系统,社会保障方面,国防科技行业将被视为CII,因此其运营商也将被视为CIIO。

数据本地化义务是否扩展到所有网络运营商? 旧措施的第2条将数据本地化义务扩展到所有网络运营商。但是,旧措施并没有在评论截止日期之前生效,这使网络运营商对数据本地化和数据传输的法律义务感到困惑。

CAC于2019年6月13日发布了新措施,与旧措施的不同之处在于,它不直接要求网络运营商在中国存储个人信息,而是仅要求网络运营商在需要转移时进行安全评估中国以外的个人数据。如果数据传输可能影响或导致国家安全或公共利益受损,或者在数据传输过程中可能难以保护个人数据的安全,则不应将这些个人数据传输到中国以外。但是,可以假定,如果数据传输可能会影响或损害国家安全或公共利益,则该数据可能会受到CIIO的控制,CIIO将已经承担了第37条中规定的数据本地化义务。 CSL。这样看来,新措施与CSL更加一致。尽管如此,重要的是要注意新措施也没有生效。

对于数据本地化的特殊规则,这些规则对应负责数据本地化的特定组织有明确的要求。因此,以下讨论仅涉及一般要求。

数据本地化的对象是哪种数据? 尽管相对于特殊的数据本地化规定,什么样的数据要进行数据本地化的问题很简单,但在一般要求下,这是一个完全不同的故事。根据CSL第37条,CIIO应当存储个人信息和从中国关键信息基础设施生成的重要数据。个人信息和重要数据将成为数据本地化的对象。

“个人信息”是指以电子或其他形式记录的各种信息,可以单独使用或与其他信息结合使用以识别自然人的身份,包括但不限于自然人的姓名,出生日期,身份证件号码,生物学识别的个人信息,地址和电话号码。

但是,在强制性和有效的法律和法规中,“重要数据”的定义不明确。没有法律法规对重要数据进行任何定义,这给企业带来不确定性。如果可以将任何数据视为重要数据,则控制这些数据的网络运营商似乎有可能被视为CIIO,并应承担此义务。

2017年8月25日的《信息安全技术数据跨境转移安全评估指南》(征求意见稿)(《指南草案》)将重要数据''定义为与国家保密无关但与国家保密密切相关的数据安全,经济和公共利益的发展,其中将包括原始数据和其他衍生数据。指南草案的附录A列出了27个行业和领域,试图与CSL中关键信息基础设施的要求保持一致。但是,准则草案无效,即使生效,它们仍将是国家推荐的标准,而不是强制性要求。

根据《数据安全法草案》第19条,每个地方政府和部门都应定义一个重要的数据目录,并为这些重要数据提供高度的安全性。但是,它不需要直接识别重要数据。

如何遵守中国数据本地化的义务? 关于如何在中国存储数据有不同的看法。但是,事情似乎在实践中得到解决。我们可能会考虑以下不同方式:

如果有数据中心,则数据中心建在中国大陆; 存储数据的服务器或其他固定器位于中国大陆,例如《地图管理条例》,其中要求服务器应位于中国境内;要么 云服务器位于中国大陆,例如iCloud如何使用位于中国贵州省的服务器。 在中国存储的数据应为原始数据,并且,如果有任何业务需要,组织只能在安全评估通过后将复制的数据提供给中国以外的第三国。由于法律并没有直接要求这样做,因此对此事有不同的意见。但实际上,大多数人会选择在中国存储原始数据。

一些政府正在努力发展大数据产业,例如宁夏和贵州,它们将提供政策支持企业在中国存储数据。

数据本地化后能否进行出站数据传输? 数据本地化与数据传输不同,但是这两个过程密切相关。

根据《民事诉讼法》第37条,如果确实由于业务需要在海外提供此类信息和数据,则应根据中国网络空间管理局与美国国家空间局的有关部门制定的措施进行安全评估。国务院,除非法律或行政法规另有规定。

根据CSL,如果安全评估结果为肯定,则可以将数据传输到中国以外。但是,对于某些有关数据本地化的特定规则,禁止进行数据传输,例如在数据与状态机密相关的地方。

但是,仍然存在一个问题-如何对数据传输进行安全评估?这个问题的答案目前尚不清楚。CSL制定了此要求,但未提供指导,而新措施则对如何进行安全评估提出了详细的措施,但并不有效。在这一点上,大多数数据专家仍在等待《数据安全法草案》,该草案正在由NPC审查。

根据《数据安全法草案》第22条,当数据处理活动可能影响国家安全时,政府有必要对数据处理活动进行国家安全审查。这可以理解为包括在中国境外传输的数据;但是,尚不清楚这是否与上述针对国家安全的安全评估相同的机制,而根据《数据安全法草案》进行的评估将从数据传输的角度进行。

根据《数据安全法草案》第23条,中国可以建立其控制清单范围内的数据出口管制,尽管我们目前尚不清楚,因为这是数据安全的新术语。

此外,根据《数据安全法草案》第二十四条,中国将对那些限制或禁止中国在投资或/和商业贸易领域使用或开发数据的国家采取类似的限制或禁止措施。这是一个新术语,可能会影响数据处理活动,包括向特定国家/地区的数据传输。

关于数据传输的另一个问题是《数据安全法草案》的规定提出的,据此,我们认为,如果其他国家的数据保护机构需要数据来执行其执行权力,则相关组织或个人应向其报告。主管当局,并且只能获得所请求的数据主体的批准。

结论 中国不要求所有网络运营商都遵守数据本地化规定,并且不禁止将所有数据传输到中国境外。当前,中国的CIIO应该谨记将其数据存储在中国,包括个人数据以及从其重要网络和系统生成的重要数据。对于大多数不是CIIO的组织,他们可能会考虑在需要将数据传输到中国以外时如何最好地进行安全评估;但是,这对于立法者和CAC也是一个问题,并且可能要遵守新的数据法律(例如,数据安全法草案和个人信息保护法草案)和法规,应对其状态进行仔细监控。

上一篇:加拿大:USMCA之后的跨境转移和数据本地化

下一篇:国际:未来的国际数据传输注意事项

关注云语科技

wechat qrcode

微信扫一扫,获取最新资讯