中國《網絡安全法》給數據及網絡安全作業模式帶來重大變化

中國《網絡安全法》將於2017年6月1日起施行,對在華營商的中資企業及國際機構有關個人信息和網絡安全的作業模式具有深遠影響。

雖然中方官員強調新法不是關上門,把海外公司拒諸門外,但國際間已經瀰漫不安氣氛,擔心新法可能扼殺競爭,也有人對於在境內存儲資料、增強監測預警,以及向中國當局移交專有資料的規定表示關注。其他新責任――包括加強保護個人資料――過去較少受到爭議,但也可以是中國執法環境改變的訊號。

重要規定包括:

  • 有多項適用於「網絡經營者」機構的新責任。有人猜測這個定義有可能包括在中國擁有或經營資訊科技網絡∕基礎設施,甚至只是網站的公司。

    說到資料保護,新法把一些過往在中國只被視為最佳營商指引的安全措施,規範為具有約束力的法律責任。網絡經營者必須履行全面保護資料的責任,包括通知∕同意書、資料安全及違反通知的規定。雖然早前的草案特別規定保護 「公民」的個人資料,但最終的法例沒有這個規定,因而似乎是要更廣泛地保護所有個人資料。

    至於網絡安全,網絡經營者必須按照保密網絡系統的規定,履行某些相應的安全責任;這個系統訂明了各種各樣的安全措施、標準及通報規定。

    網絡經營者亦必須給國家安全機構提供技術支援和協助。這種合作的形式及範圍目前仍未清楚界定。

  • 除非有進行經政府批准的安全評定程序,或者其他中國法例准許海外轉移,否則在中國營商期間由「主要的信息基礎設施經營者。
     
  • 搜集或生產的中國公民個人資料及 「重要數據」,必須存儲在中國境界範圍內。雖然新法具體說明某些行業(例如公眾事業和金融服務)會被當作為主要的信息基礎設施經營者,但信息基礎設施經營者的定義仍然含糊,加上考慮到違反安全規定的影響,這個名稱因而可以包含多種不同機構。「個人資料」已有定義,不過可以構成「重要數據」的資料種類目前還未確定。
     
  • 增添的安全保障適用於主要的信息基礎設施經營者,包括員工審查和訓練責任,以及年度評估。將來會應用嚴格的網絡採購程序。
     
  • 「網絡產品、服務」的提供者亦必須遵守規定的安全措施、標準和通報規定,更必須提供不能在協定的客戶合約年期內終止的安全維護支持。這需要技術提供者更新其現時的維護建議和合約。
     
  • 網絡關鍵設備和網絡安全專用產品必須由政府認證,或者通過安全檢查規定。

應用和執行新法的方法仍然存在具大不確定性。機構應當在新法施行及其他指引發出之前,檢視其數據合規計劃。

Jurisdictions: 

歐華律師事務所 顧問律師