• 重庆律师法律事务受理中心
  •  繁體中文
  •     |    
  •  律师微网
  •     |    
  •  律师微信
  •     |    
  •  律师微博
  • |  当前位置: 首页 > 律师法学 > 网络科技 > 正文
    律师检索 :
    浅析跨境运营企业的服务器部署及个人信息数据出境
    CQLSW.NET   2018-02-12   信息来源:大成律师事务所   作者:杨春宝 陈馨
    核心提示:尤其是涉及大量个人信息采集与处理的房地产经纪行业与奢侈品零售行业的客户,不断向杨春宝律师团队咨询关于与位于境外的集团总部或关联公司共享数据(主要是个人信息数据)的合规问题。为此,本文将从网络安全法合规角度就跨境运营企业的服务器部署及个人信息数据出境问题进行探讨。

    据报道,从2018年2月28日起,苹果公司的中国内地用户使用iCloud服务及通过 iCloud存储的所有数据都将自动发送给云上贵州大数据产业发展有限公司并由云上贵州存储。苹果公司此举的主要意图之一在于符合《中华人民共和国网络安全法》(以下简称“《网络安全法》”)以及相关法律法规对于个人信息数据不得离境的要求。与此一致,为数不少的跨境运营企业客户,尤其是涉及大量个人信息采集与处理的房地产经纪行业与奢侈品零售行业的客户,不断向杨春宝律师团队咨询关于与位于境外的集团总部或关联公司共享数据(主要是个人信息数据)的合规问题。为此,本文将从网络安全法合规角度就跨境运营企业的服务器部署及个人信息数据出境问题进行探讨。

    近年来,我国在信息安全、用户个人信息保护等方面的法律法规和政策逐步出台和完善,但是,关于个人信息数据不得离境的规定散见于各部门发布的相关规定中。我们将与此相关的规定摘要如下:

    (1)个人信用信息:征信机构在中国境内采集的信息的整理、保存和加工,应当在中国境内进行(《征信业管理条例》第二十四条);

    (2)个人金融信息:在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外,银行业金融机构不得向境外提供境内个人金融信息(《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(银发〔2011〕17号));

    (3)人口健康信息:不得将人口健康信息在境外的服务器中存储,不得托管、租赁在境外的服务器(《人口健康信息管理办法(试行)》第十条);

    (4)人类遗传资源信息:除法律规定外,因特殊情况确需临时向外提供人类遗传资源的,须填写人类遗传资源出口出境申报表及审批机关要求的其他材料,经地方主管部门或国务院有关部门审查同意后,报中国人类遗传资源管理办公室,经批准后核发出口、出境证明(参见《人类遗传资源采集、收集、买卖、出口、出境审批行政许可事项服务指南》);

    (5)一系列标准化文件提出云服务提供商应确保机房位于中国境内的技术规范和要求(参见《信息安全技术云计算服务安全指南》第7.1.10条、《信息安全技术云计算服务安全能力要求》第14.2.1条);

    (6)关键信息基础设施的运营者收集和产生的个人信息和重要数据:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估(《网络安全法》第三十七条)。

    为实施《网络安全法》第三十七条,国家互联网信息办公室就《个人信息和重要数据出境安全评估办法(征求意见稿)》(以下简称“《安全评估办法》”)公开征求意见,细化了关于个人信息和重要数据出境安全评估的相关规定。在此基础上,全国信息安全标准化技术委员会公布了《信息安全技术数据出境安全评估指南(草案)》(以下简称“《评估指南》”),对个人信息和重要数据出境安全评估的评估流程、评估要点、评估方法等作出详细规定。

    虽然上述已经生效的相关规定均针对特定企业或特定情形,并未要求一般民用、商用网站必须将服务器设在中华人民共和国境内,也未限制除特定个人信息外的一般个人信息数据出境,而《安全评估办法》尚未正式出台,但《安全评估办法》征求意见稿以及相关机构所持的态度体现出我国对于限制个人信息数据出境的趋势。例如,国家互联网金融安全技术专家委员会发布的《“全国互联网金融阳光计划”第六周关于部分互联网金融网站服务器部署在境外的巡查公告》[1]明确指出部分互联网金融网站相关业务面向中国境内用户,但其服务器部署在境外。并且,该委员会在其“数据披露”平台上将“服务器在境外”与“收益率畸高”“虚假项目”“诱导性宣传”等共同作为警示信息而且排在第一位,相关服务器部署在境外的互联网金融网站因此被公示[2]。

    对于跨境运营企业而言,数据的跨境传输是常态,尽管不同企业由于所处行业以及具体情况不同,其服务器中储存的数据类别存在差异,但共通的是企业服务器中储存的数据都存在包含个人信息和重要数据的可能性。因此,制订一份既符合目前生效法律法规要求,又有一定前瞻性的数据存储与跨境传输政策就显得特别重要。

    如上文所述,相关法律法规对于涉及个人信用信息、个人金融信息、人口健康信息等已经有明确的监管要求,而《安全评估办法》在征求意见后也将颁布实施,该办法征求意见稿细化了关于个人信息和重要数据出境安全评估的相关规定,其中与个人信息数据出境相关的规定主要包括:

    (1)第二条:“网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据,应当在境内存储。因业务需要,确需向境外提供的,应当按照本办法进行安全评估。”

    (2)第四条:“个人信息出境,应向个人信息主体说明数据出境的目的、范围、内容、接收方及接收方所在的国家或地区,并经其同意。未成年人个人信息出境须经其监护人同意。”

    (3)第九条:“出境数据存在以下情况之一的,网络运营者应报请行业主管或监管部门组织安全评估:

    (一)含有或累计含有50万人以上的个人信息;

    (二)数据量超过1000GB;

    (三)包含核设施、化学生物、国防军工、人口健康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等;

    (四)包含关键信息基础设施的系统漏洞、安全防护等网络安全信息;

    (五)关键信息基础设施运营者向境外提供个人信息和重要数据;

    (六)其他可能影响国家安全和社会公共利益,行业主管或监管部门认为应该评估。”

    (4)第十一条:“存在以下情况之一的,数据不得出境:

    (一)个人信息出境未经个人信息主体同意,或可能侵害个人利益;

    (二)数据出境给国家政治、经济、科技、国防等安全带来风险,可能影响国家安全、损害社会公共利益;

    (三)其他经国家网信部门、公安部门、安全部门等有关部门认定不能出境的。”

    (5)第十六条:“其他个人和组织在中华人民共和国境内收集和产生的个人信息和重要数据出境的安全评估工作参照本办法执行。”

    (6)第十七条:“本办法下列用语的含义:

    ……数据出境,是指网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据,提供给位于境外的机构、组织、个人。

    个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。……”

    虽然《安全评估办法》目前仍尚未颁布实施,但其提出的监管要求很可能在将来被付诸实施,因此,从监管趋势而言,杨春宝律师团队建议跨境运营企业参考该办法的规定,制订数据存储与跨境传输政策。具体而言,我们建议应当注意以下几点:

    首先,跨境运营企业在境内运营中收集和产生的个人信息和重要数据,应当在境内存储。

    虽然《网络安全法》第三十七条仅就关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据向境外提供提出了安全评估要求,而《安全评估办法》扩大了进行安全评估的个人信息以及重要数据范围,对于跨境运营的涉及个人用户(特别是会员制)的企业而言,可能涉及的情形主要为“含有或累计含有50万人以上的个人信息”以及“数据量超过1000GB”。即使相关企业的跨境数据传输并不需要报请行业主管或监管部门组织进行安全评估,如上文所述,一系列与个人信息和重要数据保护相关的法律法规均提出了限制特定个人信息数据出境的要求,而《安全评估办法》明确要求企业在境内运营中收集和产生的个人信息和重要数据,应当在境内存储,因业务需要,确需向境外提供的,应当进行安全评估。网络运营者应在数据出境前,自行组织对数据出境进行安全评估,并对评估结果负责。

    其次,跨境运营企业应当就个人信息出境向被收集者事先履行说明义务并确保获得其授权。

    由于《网络安全法》要求个人信息的收集、使用应当遵循合法、正当、必要的原则,并要求企业公开个人信息的收集与使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,因此企业需公开其收集与使用个人信息的规则并在信息收集阶段就获得被收集者对其采集、使用等各项行为的书面授权。而将来随着《安全评估办法》的发布,跨境运营企业还需在收集与使用个人信息的规则中以及对企业采集、使用等各项行为的书面授权中增加对个人信息出境的目的、范围、内容、接收方及接收方所在的国家或地区的说明,并获得被收集者对其个人信息出境的同意(未成年人个人信息出境须经其监护人同意)。如果前述书面授权采用电子合同等格式条款方式签署,杨春宝律师团队建议跨境运营企业对相关条款以显著方式提示被收集者注意,并对收集者就相关条款可能提出的疑问进行解释。

    第三,个人信息出境未经被收集者同意或可能侵害个人利益的以及存在《安全评估办法》规定的数据不得出境的其他情形的,请勿向境外提供。

    对于何为“个人信息出境可能侵害个人利益”,实践中很难有统一的判断标准,鉴于我国对于个人信息数据不得离境的立法趋势,杨春宝律师团队建议跨境运营企业对向境外提供被收集者个人信息采取谨慎的态度。对于何为“数据出境”,《安全评估办法》给出的定义为“数据出境,是指网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据,提供给位于境外的机构、组织、个人”,但并未进一步解释怎样的情形构成前述定义中的“提供”。杨春宝律师团队认为:除了传统的携带、寄运外,将数据通过网络传输给位于境外的主体,允许位于境外的主体通过网络访问境内数据,境内外数据库之间存在数据交互,或通过网络以外的物理手段将数据提供给位于境外的主体均构成数据出境。因此,涉及数据跨境传输的跨境运营企业不仅仅是指跨国企业,还包括使用境外第三方数据处理、数据分析服务的境内企业、聘用境外第三方利用境内数据提供客户服务的境内企业、托管或者租用境外服务器的境内企业等等。

    当然,跨境运营企业在制订数据存储与跨境传输政策时,除了应重点考虑个人信息数据出境问题外,还应根据企业业务经营的实际情况,遵守其他有关数据出境的规定。比如:企业会计信息系统数据服务器的部署应当符合国家有关规定,数据服务器部署在境外的,应当在境内保存会计资料备份,备份频率不得低于每月一次。对于涉及国家秘密、关系国家经济信息安全的会计资料,未经有关主管部门批准,不得将其携带、寄运或者传输至境外(《企业会计信息化工作规范》(财会〔2013〕20号)第三十六条、第三十九条)。如果相关企业为政府机关提供服务,其数据中心、云计算服务平台等均须设在境内(《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(国发〔2012〕23号))。如果相关企业涉及地图数据的采集,则其存放地图数据的服务器也必须设在境内(《互联网地图服务专业标准》(国测管发〔2010〕14号))。

    [1]详见国家互联网金融安全技术专家委员会开放平台https://www.ifcert.org.cn/industry/153/IndustryDetail

    [2]详见国家互联网金融安全技术专家委员会开放平台 https://www.ifcert.org.cn/disclosure/dataList

    分享到: 业务受理】【预约律师】【联系方式】  
    延伸阅读 重庆律师网络办公室 | 值班主持律师

    · 大数据与法律思维的转变(2015-11-02)  · 网络信用卡犯罪研究(2014-05-11)  
    · 法院“网拍”商品不该“七天内可无理由退货”(2014-03-24)  · 网上期货交易纠纷的几个法律问题(2013-11-29)  
    · 侵害公民个人电子信息的侵权行为及其责任(2013-07-09)  · 违反“爬虫协议”能否适用反不正当竞争法(2013-06-07)  
    · 网络侵权归责的现实制约及价值考量(2013-05-23)  · 网络实名制立法评析(2013-04-15)  
    · 浅论法治对互联网发展的意义(2013-01-09)  · 互联网审查:信息监管与表达自由该如何平衡(2012-12-28)  
    · 浅谈国外网络隐私权保护的模式(2012-12-19)  · 未注册驰名商标保护及其制度完善(2012-12-10)  

  • 上一篇文章:网络时代破坏生产经营罪的司法逻辑
  • 网友评论 查看本信息评论 | 举报
    重庆律师网信息,更多精彩在首页,点击直达
    应用法学
    ·[图]政府参股PPP项目公司法律地位: 理论反
    ·最高额抵押物被司法查封的法律适用分析
    ·融资租赁标的物拍卖款分配问题
    ·实际施工人权利义务及法律责任的系统梳理
    ·前检察官分享:辩护人如何与公诉人有效沟通
    ·劳动关系与雇佣关系、劳务关系辨析
    ·变更、追加执行主体必须把握的79条审查规则
    ·[图]人力资源法律词典:竞业限制
    ·大数据与法律思维的转变
    ·民事诉讼禁反言原则的中国语境与困境
    ·浅议劳务分包与工程分包的区分及处理
    ·法庭之友:发现真实的扩展与限制
    ·律师电话谈判操作指南
    ·法庭诡辩术及破解指南
    ·企业信息公示对当事人权利义务的影响
    ·再审案件发回重审后的程序问题探讨
    ·虚假仲裁,案外人如何救济
    ·管辖权异议裁定能否申请再审
    法治见证
    刑事辩护受理
    刑事侦查辩护委托    审查起诉辩护委托
    刑事一审辩护委托    刑事二审辩护委托
    死刑复核辩护委托    刑事再审辩护委托
    诉讼仲裁代理
    买卖合同纠纷代理    借款合同纠纷代理
    租赁合同纠纷代理    房屋买卖纠纷代理
    建设工程纠纷代理    房产开发纠纷代理
    产品责任纠纷代理    网络侵权纠纷代理
    触电损害纠纷代理    铁路运输纠纷代理
    交通事故纠纷代理    人事仲裁纠纷代理
    离婚争议纠纷代理    财产损害纠纷代理
    不当竞争纠纷代理    网络域名纠纷代理
    特许经营纠纷代理    保险金融纠纷代理
    合伙企业纠纷代理    其他民事纠纷代理
    官网首页 | 行业分析 | 法治建设 | 业务研究 | 学术科研 | 公众服务 | 专业领域 | 委托指引 | 业务受理 | 法律咨询 | 法律援助 | 联系律师
    律师的甄别
    识别真假律师
    不要盲目相信“打关系”律师
    什么样的律师才是好律师
    律师的作用
    为什么需要律师
    律师告诉您官司打不赢的原因
    律师防控冤狱的积极作用
    律师能为企业做些什么?
    如何选择律师
    聘请律师的误区
    聘请刑事辩护律师须知
    律师不接待的五类当事人
    律师收费标准
    重庆市律师收费标准
    律师服务收费管理办法
    律师事务所收费程序规则
    发改委放开部分价格的通知
    委托流程
    委托律师办理法律事务流程
    律师执业范围
    重庆律师网法律事务受理中心
    法律事务受理
    法庭书状与合同协议定制
    法律解决方案设计与法律咨询
    单位个人常年法律顾问聘请
    律师催告函件定制
    All RIGHTS RESERVED © CQLSW.NET 2008-2018  |  重庆律师网版权所有,未经协议授权,禁止复制下载任何信息,任何使用均得恪守《使用协议》联系方式  |  重庆律师业务办理平台(律师网络办公厅)