国家相继出台《数据安全法》(21年9月已经生效)(“数安法”)、《个人信息保护法》(21年11月已经生效)(“个保法”),与此前2017年生效的《网络安全法》(“网安法”)共同构成了现阶段中国数据与信息领域的基本法律体系。
21年12月31日全国信息安全标准化技术委员会秘书处刚发布《网络安全标准实践指南——网络数据分类分级指引》,用于指导数据处理者开展数据分类分级工作,也可为主管监管部门进行数据分类分级管理提供参考1;22年1月4日国家互联网信息办公室又公布《网络安全审查办法》(自22年2月15日起施行),就这两部新规相关要点,本文也将予以体现。
相关部门也发布了一系列的征求意见稿,如21年10月的《数据出境安全评估办法(征求意见稿)》,21年11月的《网络数据安全管理条例(征求意见稿)》,尤其值得注意的是22年1月13日刚发布的《信息安全技术 重要数据识别指南(征求意见稿)》2,相较于21年9月发布的版本,新版改动较为明显。征求意见稿并非生效法律,但是代表了立法动态,具有参考和指导意义。
跨国公司常常需要将在中国境内产生收集的业务运营数据(如市场、客户数据、个人信息等)和境外总部或集团成员互通分享。如何合法合规地和境外分享这些数据?需要遵循什么要求和程序?出台的法律对该互通分享有何影响?我们相信,这些都是企业萦绕于心的问题。为此,我们推出系列文章,分别从数据出境规制概览、个人信息出境、重要数据出境等方面进行梳理并提出实务建议。
本系列往期文章《境内数据出境,你必须知道的那些事(一)数据出境规则概览》,我们讨论了何谓数据出境,数据处理主体有哪几类,从而得出小结:法律重点监管和规制个人信息及重要数据出境;个人信息和重要数据之外的一般数据出境,目前生效施行的法律没有规定要求,可以自由出境。本系列往期文章《境内数据出境,你必须知道的那些事(二)个人信息出境合规》,我们梳理讨论了个人信息具体指哪些信息、个人信息出境应遵循的程序和要求等。本文作为系列之(三),我们为大家梳理讨论什么是重要数据以及重要数据出境需遵循的程序和要求。
1.1 如何认定重要数据?
现行的法律法规尚未明确定义“重要数据”,重要数据由各地区、各部门制定本地区、本部门以及相关行业、领域的重要数据目录进行认定和保护,目录尚未出台。
重要数据指“一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。
注1:重要数据不包括国家秘密。注2:重要数据一般不包括个人信息和企业内部管理信息,但达到一定规模的个人信息或者基于海量个人信息加工形成的衍生数据,如其一旦遭到篡改、破坏、泄露或者非法获取、非法利用可能危害国家安全、公共利益,则可能属于重要数据。”3
1.2 识别“重要”数据应遵循的基本原则?
识别重要数据应遵循的基本原则之一是 “聚焦安全影响:从国家安全、经济运行、社会稳定、公共健康和安全等角度识别重要数据。只对组织自身而言重要或敏感的数据不属于重要数据,如企业的内部管理相关数据。”4。因此,在识别重要数据时,企业应着眼于相关数据对国家和社会公共安全的影响,而非对其自身的影响。
1.3 如何识别重要数据?
识别重要数据时,可考虑如下因素,具备下述因素之一的,是重要数据。5
反映国家战略储备、应急动员能力,如战略物资产能、储备量属于重要数据:
支撑关键基础设施运行或重点领域工业生产,如直接支撑关键基础设施所在行业、领域核心业务运行或重点领域工业生产的数据属于重要数据:
反映关键信息基础设施网络安全保护情况,可被利用实施对关键信息基础设施的网络攻击,如反映关键信息基础设施网络安全方案、系统配置信息、核心软硬件设计信息、系统拓扑、应急预案等情况的数据属于重要数据:
关系出口管制物项,如描述出口管制物项的设计原理、工艺流程、制作方法等的信息以及源代码、集成电路布图、技术方案、重要参数、实验数据、检测报告属于重要数据:
可能被其他国家或组织利用发起对我国的军事打击,如满足一定精度要求的地理信息属于重要数据:
反映重点目标、重要场所物理安全保护情况或未公开地理目标的位置,可能被恐怖分子、犯罪分子利用实施破坏,如反映重点安保单位、重要生产企业、国家重要资产(如铁路、输油管道)的施工图、内部结构、安防等情况的数据,以及未公开的专用公路、未公开的机场等的信息属于重要数据:
可能被利用实施对关键设备、系统组件供应链的破坏,以发起高级持续性威胁等网络攻击,如重要客户清单、未公开的关键信息基础运营者采购产品和AR务情况、未公开的重大漏洞属于重要数据:
反映群体健康生理状况、族群特征、遗传信息等的基础数据,如人口普査资料、人类遗传资源 信息、基因测序原始数据属于重要数据:
国家自然资源、环境基础数据,如未公开的水情信息、水文观测数据、气象观测数据、环保监测数据属于重要数据:
关系科技实力、影响国际竞争力,如描述与国防、国家安全相关的知识产权的数据属于重要数据:
关系敏感物项生产交易以及重要装备配备、使用,可能被外国政府对我实施制裁,如重点企业 金融交易数据、重要装备生产制造信息,以及国家重大工程施工过程中的重要装备配备、使用等生产活动信息属于重要数据:
在向政府机关、军工企业及其他敏感重要机构提供服务过程中产生的不宜公开的信息,如军工企业较长一段时间内的用车信息:
未公开的政务数据、工作秘密、情报数据和执法司法数据,如未公开的统计数据:
其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外 利益、生物、太空、极地、深海等安全的数据。
重要数据出境根据主体性质,遵循如下特殊要求。
注:非经中国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中国境内的数据。7
(a)重要数据是对国家安全、经济运行、社会稳定、公共健康和安全公共利益重要的数据,而非对企业重要。
(b)我们理解:
一般工业企业的业务运营数据不属于重要数据,但如果业务运营数据涉及上述1.3-b、1.3-c,关系到CIIO所在行业、领域核心业务运营以及网络安全,则可能是重要数据。
如果待出境数据涉及上述1.3-d,落入物项出口管制清单8,需要向国家出口管制管理部门提出申请许可后才能进行数据出境。需要注意,与2020年8月28日修订的《中国禁止出口限制出口技术目录》中所列技术相关的技术资料等数据也将纳入监管范畴。
对于药械企业,如果出境数据涉及1.3-h,可能构成重要数据。
(c)具体需密切关注重要数据定义和目录相关的后续动态才能确定。一旦公司运营数据中包含重要数据,和境外公司的互通需遵循本文第2部分讨论的届时出台的要求和细则。
注释及参考文献:
1、参考全国信息安全标准化技术委员会秘书处于21年12月31日发布的《网络安全标准实践指南——网络数据分类分级指引》之“摘要”。
2、根据全国信息安全标准化技术委员会标准起草组对《信息安全技术 重要数据识别指南(征求意见稿)》修改思路的披露,较21年9月公布的标准草案,本次标准的主要改动体现在:取消了对重要数据的“特征”说明,因为这些特征依然不可避免地涉及行业分类,对各地方、各部门制定部门、本行业以及本系统、本领域的重要数据识别细则带来了不必要的约束。并选择了美国制定的《国家安全系统识别指南》作为参照,对重要数据的识别仅做出原则性的规定,触角不深入到各地区、各部门的具体数据类别之中。
3、参考《网络安全标准实践指南——网络数据分类分级指引》第2.2条。
4、参考《信息安全技术 重要数据识别指南(征求意见稿)》“4. 识别重要数据的基本原则”。
5、参考《信息安全技术 重要数据识别指南(征求意见稿)》“5. 重要数据的识别因素”。
6、关键信息基础设施运营者(“CIIO”),是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等的运营者。
7、见《数据安全法》第三十六条:“中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。”
8、出口管制物项清单见产品安全与进出口管制局网站,http://aqygzj.mofcom.gov.cn/article/glml/
