中国出台《数据出境安全评估办法》(组图)
根据上周发布的规定,许多在华企业向境外提供数据时将需寻求中国有关部门的批准,这也是中国政府为加强国内数据控制而出台的越来越多的法规的一部分。
中国网信办的《数据出境安全评估办法》将于9月生效。图片来源:YAN CONG/BLOOMBERG NEWS
根据上周发布的规定,许多在华企业向境外提供数据时将需寻求中国有关部门的批准,这也是中国政府为加强国内数据控制而出台的越来越多的法规的一部分。
法律专家表示,中国国家互联网信息办公室(简称:网信办)上周四发布的、将于9月1日生效的《数据出境安全评估办法》,可能会增加企业的合规成本,并促使更多跨国公司将数据存储在中国。相关规定在去年10月曾公布征求意见稿,新规明确了在中国产生的数据出境和从境外访问数据的程序。
根据上述规定,“关键信息基础设施运营者”必须通过网信办的安全评估,才能向境外提供个人信息;这里指的是那些为电信、国防、能源和金融等关键行业处理数据的公司。
上述规定称,“处理100万人以上个人信息的数据处理者向境外提供个人信息”必须坚持事前评估。该规定显示,“自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息”,也需进行类似评估。
过去五年,中国政府发布了一系列规则,旨在建立数据治理体系和网络主权,即国家对本国互联网的方方面面拥有绝对控制权的观念。这些规则影响了国内和外国公司的运营,导致了额外成本和业务调整。
美中贸易全国委员会(US-China Business Counci)副会长马修(Matthew Margulies)表示,对许多外国公司来说,中国已经是一个成本高、合规严、运营高度复杂的地方。
他说:“要求对数据传输进行复杂的政府评估将减慢业务速度,并削弱中国成为一个对跨国公司更友好的商业环境的雄心。”眼下各公司已经在面临许多不利宏观经济因素。
为企业和政府提供数据合规建议的上海交通大学法学教授何渊表示,上周四公布的相关规定让企业明确了哪些数据需要批准才能离开中国以及数据出境的步骤。他说,过去这一直是一个灰色地带。
不过,多名法律专家表示,最终规则缺少关键细节。
中国不同行业的监管机构已表示,仍在为每个相关行业制定“重要数据”目录。图片来源:ALEX PLAVEVSKI/SHUTTERSTOCK
他们称,新规则明确规定,向国外提供“重要数据”必须获得批准,但监管机构尚未澄清什么样的数据属于重要数据,企业也无法预见安全审查的结果,或允许对外提供的数据的类型。
总部设在华盛顿哥伦比亚特区的智库New America侧重研究中国问题的网络政策研究员Samm Sacks表示,这些都是企业在作出未来在华商业决策之前需要解答的关键问题。
中国不同行业的监管机构已表示,仍在为每个相关行业制定“重要数据”目录。中国监管机构过去在涉及此类数据时使用了宽泛且不透明的定义,将其描述为那些若遭滥用、损坏或泄露恐将危及国家安全、经济和社会稳定的数据。
网信办未回应记者的置评请求。
美富律师事务所(Morrison Foerster)执行合伙人麦保罗(Paul D. McKenzie)表示,数据最终能否获批出境的不确定性也可能导致更多跨国公司将数据存储和处理本地化,以减少对监管机构的依赖。
中国的数据管理新规已开始对跨国公司和本土公司产生影响。
去年,中国开始要求特斯拉(Tesla Inc., TSLA)和其他车企将在本地生成的数据存储在中国。随着智能电动汽车时代的到来,汽车产生和收集的数据也越来越多。特斯拉去年10月表示已在上海建立一个数据中心。
汽车数据通常由车辆摄像头收集,可能包含与军事和政府地址以及公共交通有关的敏感信息,而不仅仅是司机和乘客的个人信息。在前述数据本地化规定出炉前,中国限制了军事人员和关键国企的员工使用特斯拉汽车。
去年,滴滴(Didi Global Inc.)的股票在美国上市仅两天后,中国便宣布对这家网约车巨头实施网络安全审查。这项仍未结束的调查已重创了滴滴的业务和股价,并导致其从纽约证券交易所退市。
滴滴被调查之后,中国监管机构还开始要求掌握超过100万用户个人信息的互联网平台运营者赴国外上市必须申报网络安全审查。