4月11日,中国国家互联网信息办公室(网信办)发布《个人信息和重要数据出境安全评估办法(征求意见稿)》(下称《意见稿》),提出进一步强化对数据信息的监管:在中国大陆境内开展网络业务的公司如要向境外转移数据,需要事先报请行业主管或监管部门组织进行“安全评估”。
网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据,应当在境内存储。因业务需要,确需向境外提供的,应当按照本办法进行安全评估。
《意见稿》称,新举措针对的是“网络运营者”,包括网络的所有者、管理者和网络服务提供者。业界专家认为,具体而言监管范围可能涵盖技术公司以及通过网络开展业务的其他类型公司。
而需要进行安全评估的出境数据被界定为,只需满足以下条件之一:
- 含有或累计含有50万人以上的个人信息;
- 数据量超过1000 GB;
- 包含核设施、化学生物、国防军工、人口健康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等;
- 包含关键信息基础设施的系统漏洞、安全防护等网络安全信息;
- 关键信息基础设施运营者向境外提供个人信息和重要数据;
- 以及兜底条款:其他可能影响国家安全和社会公共利益,行业主管或监管部门认为应该评估的;若行业主管或监管部门不明确的,由国家网信部门组织评估。
例如,如果准备转移到境外的数据涉及用户真实姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等个人信息时,《意见稿》提议需要得到客户和中国政府的许可;而如果相关审查部门认为数据出境会对中国的政治、经济、科技、国防等带来风险,影响国家安全、损害社会公共利益时,那么这些数据将不得出境。网信办表示,这些规则对于保护个人重要数据安全以及保护互联网主权和国家安全是必要的。
《意见稿》引起了业界的一些批评。对于跨国公司而言,数据本地化通常会导致基础设施的重复建设,以及提高运营成本并阻碍跨境业务的开展。美中贸易全国委员会(U.S.-China Business Council)中国区事务副会长彭捷宁(Jake Parker)指出:“有关保护数据隐私的最严格国际标准是由行业内统一意见以及全球最优的操作方式决定,但目前还没有处理数据如何储存以及转移的问题。”
《意见稿》现正处于现向社会公开征求意见阶段,有关单位和各界人士可以在5月11日前透过实体信函或电子邮件提出意见,因而最终出台的版本可能会有所不同。分析指,根据以往经验及其他近期出台的网络监管正式规定,在相关公司与外国政府的反对声中,《意见稿》最终版本都会有所弱化。
在欧洲,一些国家也在声称需要数据本地化存储以保证安全,并同样引发争议,欧盟也正在征求公众意见。而俄罗斯国家杜马早在2014年7月就通过《个人数据法》,规定所有在俄境内开展业务的互联网公司,必须将俄罗斯公民的个人数据存储在境内。
俄罗斯当局表示,此举旨在保护该国公民的隐私免受黑客盗用,但批评者声称该法律将为俄罗斯当局迫使互联网公司交出用户的敏感信息打开方便之门。去年11月,俄罗斯莫斯科市立法院裁定,禁止拒绝将用户数据储存在本地的职业社交网站 LinkedIn 在俄罗斯运营。