早在2020年,我曾撰写过三篇题为《中国网络安全:无处可藏》的博客文章。而在那之前的两年,我们便开始关注中国《个人信息安全规范》的制定工作。
2022年7月7日,中国国家互联网信息办公室(CAC)发布了《境外数据转移安全评估管理办法》(以下简称《安全评估办法》),该办法将于2022年9月1日起施行。
《安全评估措施》为关键信息基础设施运营商(CIIO)及处理超过特定阈值个人信息的数据控制者提供了进一步的数据管理指导;尤为重要的是,该措施要求在任何个人信息被出口前,必须由CAC(中国网络安全中心)进行安全评估。
安全评估措施的表面目的是保护个人和组织的权利,但正如往常一样,真正的核心问题在于保护中国及其执政党——中国共产党的"国家安全利益"。
数据保护在欧盟、美国及许多其他司法管辖区都是重要议题,而中国近年来出台的数据保护法律总体上仍处于追赶阶段。然而,具有中国特色的数据保护更侧重于强化中国共产党的核心目标:加强信息管控、维护政治稳定,并对任何公开表达异议的行为施加限制。
除对中国境内及与中国开展业务的组织和个人产生直接影响外,中共制定的一系列网络安全法律为全球其他威权政府提供了可供效仿的模板。正如在其他领域所做的那样,中国希望建立一套具有影响力的全球性"规范",为威权政府拒绝美国及其他民主国家推崇的开放跨境数据处理政策提供掩护。
简而言之,安全评估措施要求,当CIIO和数据控制者处理的个人信息或"敏感个人信息"数量超过特定阈值时,必须申请安全评估。
在向CAC申请正式评估前,CIIO和数据控制者必须进行"境外数据转移风险"自我评估,旨在评估国家安全(及个人信息安全)风险,同时需与接收数据的境外方签订合同,明确接收方的数据安全保护责任与义务。
法律规定须在45天内向申请人作出正式答复,并包含若需进一步说明或补充文件时的延期条款。申请人可对拒绝决定提出申诉,并有权在15天内获得重新评估,但当局的后续裁决将为最终决定。获批评估将授予申请人两年有效期,在此期间可依据与境外方签订的协议条款出口数据,期满后须重新办理相关手续。
中国显然渴望成为数字全球经济的领导者,但一如既往地,它希望按照自己的规则走向世界——掌控每笔交易的每个环节,并保留随时实施进一步限制的权利。另一方面,信息渴望自由。
这种矛盾在中国与世界的诸多互动领域中均有体现。尽管中国渴望在全球货币政策制定、区域安全框架构建及技术标准确立等领域成为主导力量,但其抱负远超实际成就——很大程度上源于其政策立场明显带有自利色彩。中共唯一的战略目标,不过是维持掌权。
成为数字全球经济的领导者只是次要目标,因此中国完全可以接受封锁包括Facebook、Twitter、Instagram、Snapchat和YouTube在内的外国社交媒体平台。这也解释了为何中国对微软2021年10月宣布领英将因"运营环境显著恶化及合规要求加剧"而退出中国市场毫无异议。 数周后的2021年11月1日,恰逢中国《个人信息保护法》生效之日,雅虎也宣布将停止在华运营。该公司表示退出中国市场是因"日益严峻的商业与法律环境"所致。
2019年,我们曾撰文探讨中国、欧盟和加利福尼亚州数据隐私法律之间的一项重要差异:
在美国或欧盟开展业务的企业若想处理中国公民数据,将无法仅凭签订合同作为依据。除非符合其他极少数严格限定的例外情形,否则企业必须详尽说明数据的所有使用方式并获取使用许可。 若在收集数据并获得同意后想变更处理方式,多数情况下将无法实现——除非存在其他例外情形。 必须重新获取授权。换言之——正如众多客户反复要求我们确认的那样——您为符合《通用数据保护条例》及美国/加州数据隐私法所做的努力,对中国市场几乎毫无助益。针对中国市场,您需要开展完全独立且截然不同的合规工作。
中国新出台的《安全评估办法》与《个人信息保护法》、《网络安全法》(2017年6月实施)及《数据安全法》(2021年9月实施)共同构成了中国政府的法律工具箱,用于管控境内组织及在华经营的外国企业对信息的运用。
正如《China Law Blog》在2019年所写:
根据《网络安全法》,中国政府有权要求境内任何个人或实体提供其认为可能影响中国安全的任何信息。 中国政府深知,外国企业和个人在被要求时往往不愿主动交出信息。因此,中国网络安全部门无意通过礼貌的正式请求获取信息。新网络安全体系的基本前提是:政府将利用其对通信的控制权直接获取信息,无需与用户协商。所有数据都将向中国政府开放。
这些网络法规共同赋予中国监管机构以下权力:发出警告、命令企业采取纠正措施、暂停服务及/或处以罚款。合规至关重要,而建立合规机制的成本高昂,且未来仍将持续增加。
我们的中国律师团队(尤其在过去五年间)多次撰文阐述外国企业在华经营必须遵守中国各项法律法规。这一原则同样适用于《个人信息保护法》。若贵公司获取中国客户数据,务必确保自身行为符合中国数据隐私法律要求。
要深入了解中国近年来逐步实施的网络安全法律所产生的影响,请参阅我于2020年末发表的一系列博客文章:
一如既往,我们非常欢迎您的反馈(可通过下方匿名提交)。中国的网络安全新法规是否改变了您对中国的前景展望?
