4月11日,中國國家互聯網信息辦公室(網信辦)發布《個人信息和重要數據出境安全評估辦法(徵求意見稿)》(下稱《意見稿》),提出進一步強化對數據資訊的監管:在中國大陸境內開展網絡業務的公司如要向境外轉移數據,需要事先報請行業主管或監管部門組織進行「安全評估」。
網絡運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據,應當在境內存儲。因業務需要,確需向境外提供的,應當按照本辦法進行安全評估。
《意見稿》稱,新舉措針對的是「網絡運營者」,包括網絡的所有者、管理者和網絡服務提供者。業界專家認為,具體而言監管範圍可能涵蓋技術公司以及通過網絡開展業務的其他類型公司。
而需要進行安全評估的出境數據被界定為,只需滿足以下條件之一:
- 含有或累計含有50萬人以上的個人資訊;
- 數據量超過1000 GB;
- 包含核設施、化學生物、國防軍工、人口健康等領域數據,大型工程活動、海洋環境以及敏感地理資訊數據等;
- 包含關鍵資訊基礎設施的系統漏洞、安全防護等網絡安全資訊;
- 關鍵資訊基礎設施運營者向境外提供個人資訊和重要數據;
- 以及兜底條款:其他可能影響國家安全和社會公共利益,行業主管或監管部門認為應該評估的;若行業主管或監管部門不明確的,由國家網信部門組織評估。
例如,如果準備轉移到境外的數據涉及用戶真實姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等個人資訊時,《意見稿》提議需要得到客戶和中國政府的許可;而如果相關審查部門認為數據出境會對中國的政治、經濟、科技、國防等帶來風險,影響國家安全、損害社會公共利益時,那麼這些數據將不得出境。網信辦表示,這些規則對於保護個人重要數據安全以及保護互聯網主權和國家安全是必要的。
《意見稿》引起了業界的一些批評。對於跨國公司而言,數據本地化通常會導致基礎設施的重複建設,以及提高運營成本並阻礙跨境業務的開展。美中貿易全國委員會(U.S.-China Business Council)中國區事務副會長彭捷寧(Jake Parker)指出:「有關保護數據隱私的最嚴格國際標準是由行業內統一意見以及全球最優的操作方式決定,但目前還沒有處理數據如何儲存以及轉移的問題。」
《意見稿》現正處於現向社會公開徵求意見階段,有關單位和各界人士可以在5月11日前透過實體信函或電子郵件提出意見,因而最終出台的版本可能會有所不同。分析指,根據以往經驗及其他近期出台的網絡監管正式規定,在相關公司與外國政府的反對聲中,《意見稿》最終版本都會有所弱化。
在歐洲,一些國家也在聲稱需要數據本地化存儲以保證安全,並同樣引發爭議,歐盟也正在徵求公眾意見。而俄羅斯國家杜馬早在2014年7月就通過《個人數據法》,規定所有在俄境內開展業務的互聯網公司,必須將俄羅斯公民的個人數據存儲在境內。
俄羅斯當局表示,此舉旨在保護該國公民的隱私免受黑客盜用,但批評者聲稱該法律將為俄羅斯當局迫使互聯網公司交出用戶的敏感資訊打開方便之門。去年11月,俄羅斯莫斯科市立法院裁定,禁止拒絕將用戶數據儲存在本地的職業社交網站 LinkedIn 在俄羅斯運營。