环球法律事务所发布的研究报告《中国网络安全法对外资企业的影响与应对策略》指出,自2017年6月1日实施以来,中国“网络安全法”(简称“本法”)对在华运营的外资企业产生了重大影响。尽管去年数据显示,日本企业对这一法规的认知度相对较低,但今年开始,日本企业开始加大对此法的理解与应对力度。
根据报告,网络安全法主要针对三大类对象实施监管:网络运营者、重要信息基础设施运营商以及网络产品和服务提供者。其中,网络运营者是指拥有、管理或提供网络服务的企业,涵盖所有建立内部数据通信网络的企业及开设网站的一般企业。重要信息基础设施运营商则是指在关键领域如能源、交通、金融等领域的信息系统或工业控制系统运营者,这类企业需要承担比普通网络运营者更为严格的义务。网络产品和服务提供者则涉及生产销售相关设备或软件、提供云计算、数据处理和存储服务、互联网通信服务等业务。
网络运营者和重要信息基础设施运营商需遵循多项规定,包括但不限于设立网络安全负责人、确保产品和服务符合国家强制性标准、对用户提供真实个人信息的要求、紧急应对措施的制定、协助国家安全机关和公安机关活动、配合监管检查、保护用户信息、收集和使用个人信息的公开原则、同意原则、防止个人信息泄露、损坏和未经授权的第三方提供等。
对于重要信息基础设施运营商,除了上述义务外,还需设立专门的安全管理机构和负责人,定期培训员工,制定紧急应对策略,接受国家安全审查,签订安全保密协议,确保在中国收集或产生的个人数据原则上在国内保存,并对数据转移进行安全评估。
值得注意的是,网络安全法对个人数据和重要数据的跨境转移设置了限制,要求在特定情况下进行安全评估。具体而言,当个人数据累计超过50万人,数据总量超过1000GB,涉及核设施、生物化学、国防军事、人口健康、大型工程项目、海洋环境和敏感地理信息等数据时,网络运营者需向相关部门申请安全评估。同样,重要信息基础设施运营商提供个人数据和重要数据到海外时也需进行安全评估。
报告还提到,虽然个人数据的概念在法律上有明确定义,但对于“重要数据”的界定仍较为模糊,这给企业的合规管理带来了挑战。此外,重要数据是否包括业务数据和商业数据的区分也不明确,需要通过相关配套法规进一步明确。重要数据转移的安全评估可能成为企业合规管理的一大负担,特别是在保护数据安全与提高业务效率之间找到平衡点。因此,报告强调,相关部门在制定具体规则时应努力平衡数据安全性和业务便利性。
