News Detail Banner
All News & Events

文章:2016年中國的《網路安全法》將改變跨國企業在中國的經營方式

商事訴訟報告

2016年11月7日,中國通過了其具有爭議的《網路安全法》。該法將於2017年6月1日生效,並將對跨國企業如何在中國經營具有廣泛影響。該法涉及的問題包括要求特定公司通過國家安全審查,在中國大陸地區儲存使用者和經營資料,並且向中國政府提供技術支援。

廣泛的適用性

該法對兩個層面的經營者施加義務:網路運營商和關鍵資訊基礎設施運營商。“網路運營商”被定義為任何“網路”的所有者或提供者,其中“網路”指收集、儲存、傳輸和處理資訊的任何電腦系統或其他終端(第76條)。考慮到網路的廣泛定義——其有可能包含大多數網路平臺或任何兩台相連接的電腦,幾乎所有經營都有可能會被該條款的範圍所覆蓋。“關鍵資訊基礎設施運營商”沒有被明確地定義,但第31條暗示其包括任何在通信、金融、水、電、交通部門運營的經營者,以及其他任何當運作不當時會導致中國的安全、經濟或公民受到負面影響的基礎設施的經營者。法律對該條款範圍內的經營者施加了更嚴格的責任。

技術審查、監察和認證

法律對特定網路產品和服務的安全性提出了若干要求。例如,第23條規定“關鍵網路設備和網路安全產品”需要符合中國國家安全標準和強制性要求。同時,在該類設備或產品可能在中國適用之前,該設備和產品必須通過安全檢查或者獲得資質機構所頒發的認證(第23條)。法律規定,在將來,中國政府將會發佈受到該要求限制的網路設備和產品的類型目錄(同上),並且發佈特定設備和產品必須滿足的國家標準和要求。

該要求有效地將公司可能使用的網路設備和服務的範圍縮小至限定範圍的預先批准技術。製作網路設備或產品的公司很有可能面臨確保其產品符合中國尚未發佈標準的挑戰,並且使用關鍵網路技術和產品的公司也將在通過安全檢查或獲得使用批准認證的問題上面臨類似的挑戰。法律沒有明確規定認證程式的時間表,這可能會佔有足夠長的時間,導致該產品在中國的運營受到延遲。法律也沒有明確產品會在何種程度上被“調查”,這可能會包括對公司智慧財產權和商業秘密的檢測。

進一步的義務僅適用於關鍵資訊基礎設備運營商,包括要求其在購買任何“可能影響國家安全”的產品或服務前進行“國家安全審查”(第35條)。該法沒有規定該國家安全審查包括的內容,也沒有規定可能影響國家安全的產品或服務類別。同樣存在問題的是國家安全審查的侵入程度,例如是否會要求智慧財產權或商業秘密的披露。

在中國大陸的資料定位

關鍵資訊基礎設施經營者同樣受制于資料定位規定,這要求其將“個人資訊”儲存在位於中國大陸的伺服器上——例如,姓名、出生日期、地址、號碼和與其中國運營的“其他重要資料”(第37條)。雖然法律的草案規定“‘公民’個人資訊”,但最終版本刪除了“公民”,這暗示“個人資訊”包括公民和外國人的資訊。法律沒有定義“其他重要資料”。

除經營者可以表明資訊出於商業原因為“確實需要”並且已經通過政府的“安全評估”的情況外,經營者不得將資訊發送至中國之外(第37條)。法律沒有明確“確實需要”,也沒有對通過“安全評估”寫明具體要求。值得注意的是,雖然之前的草案允許經營者在國外“發送”和“儲存”這類資訊,最終的版本刪除了“儲存”。因此,法律可能禁止運營商在境外儲存任何資訊,即使這樣的儲存是必要的,且通過安全評估。

經常依賴於跨境資料流程的跨國公司會格外受到該要求困擾。即使在狹義的解釋下,一個跨國公司可能不得不需要將所有和中國客戶有關的資訊和交易劃分至中國伺服器上。事實上,跨國公司會被要求準備兩個全球資料系統:一個為中國,另一個為世界其他國家。

與中國政府的密切合作

法律還要求公司在各種情況下和中國政府密切合作。值得注意的是,第28條要求網路運營商在需要時為政府部門“提供資料支援和説明”,以維護國家安全或調查犯罪。法律沒有提供任何關於需要的技術支援和説明類型的進一步細節。

經營者以及權利組織對該要求背後的真實意圖提出了質疑。一些評論員擔心中國政府可能通過援引該條款,要求技術公司對於其產品或和該技術相關的其他資訊(例如,原始程式碼)為中國政府“開後門”。擔憂還包括網路運營商可能因此被卷於其使用者網路活動有關的爭議當中,特別是當第28條和其他法律條款一併被引用的情況。例如: 

  • 第12條禁止使用任何網路危害國家安全,破壞民族團結,煽動顛覆國家政權,煽動分裂國家,或推翻社會主義制度。
  • 第24條規定特定網路運營商——例如,互聯網和電話服務提供者,功能變數名稱註冊提供商,出版和博客平臺,和及時通訊服務商——在提供服務之前獲得其使用者的真實姓名。
  • 第21條要求網路運營商監測和記錄其網路運營狀態和安全事件,並且留存網路日誌不少於六個月。
  • 第47條和第48條規定網路運營商“加強對其使用者發佈資訊的管理”,在發現使用者傳輸“非法”資訊時,運營商必須禁止其傳輸並刪除以防止傳播,“保存有關記錄”,並向有關主管部門報告。
  • 第58條允許政府在需要“維護國家安全和社會公共秩序”時,“對網路通訊採取臨時措施”,包括“限制”這些傳輸。

這些限制網路使用者的自主權並擴張公司監管和報告用戶的義務的條款,可能會對公司造成重大公共關係的挑戰。

展望

雖然該法案的草稿經過了數次的修訂,並且受到了實質性的爭論,很多最終條款仍然並不清晰。法案定義的少量術語含義模糊,很多最重要的條款尚未被定義。我們期待中國政府會在將來幾個月發佈進一步的指導意見,這將使得法案的範圍更清晰。與此同時,我們建議公司評估其受法案的影響,尤其是是否會被定義為“關鍵資訊基礎設施運營者”。如果一個公司可能屬於該定義範疇,那麼其有必要進行內部風險評估其現在與該法案的合規情況,並且需要採取行動達到合規。