中國數據保護新資訊

中國急速發展的數據保護環境出現了一些有用(但可惜始終有限)的指引,環繞兩個不明確的範疇闡明詳情。

中國《網絡安全法》應用指引首見於新制定的網絡安全戰略

新制定的《中華人民共和國網絡安全法》(「《網絡安全法》」)獲得通過後,中國互聯網監管機構於2016年12月27日發布國家首份《國家網絡空間安全戰略》(「《戰略》」)。《戰略》總結《網絡安全法》及其他最近規例範圍內的目標之外,也建議了幾項全新措施。《戰略》特別強調,現時有需要在戰略上保護關鍵信息基礎設施運營者。

關鍵信息基礎設施運營者在《戰略》被定義為「關係國家安全、國計民生,一旦數據洩露、遭到破壞或者喪失功能可能嚴重危害國家安全、公共利益的信息設施」的運營者。這符合《網絡安全法》的定義,顯示當要決定誰人被視為關鍵信息基礎設施運營者的時候,網絡安全遭到破壞而潛在的影響是主要的考慮因素。

此外,《網絡安全法》列出「公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域」的同時,《戰略》亦詳細說明這些行業和領域:

  • 列出「提供公共通信、廣播電視傳輸等服務的基礎信息網絡」,擴濶「公共通信」運營者的定義;
  • 指出「教育」、「科研」、「工業制造」、「醫療衞生」、「社會保障」等領域和國家機關的重要信息系統亦屬於關鍵信息基礎設施;及
  • 指出「重要互聯網應用系統」亦被視為關鍵信息基礎設施運營者。非官方報告認為,這是想把廣受歡迎的應用系統包括在內,例如淘寶和微訊;這些應用系統每日有數以百萬計用戶有可能受到安全漏洞的影響。

可惜有一點仍然未解釋清楚,就是這些指定行業機構要是都在中國經營網絡業務(甚至有可能只是運作一個網站),是否就會自動成為關鍵信息基礎設施運營者。此外,《網絡安全法》還有其他關係重大但仍未明確的地方(包括「網絡運營者」和「重要商業數據」的定義)。

未成年人網絡保護條例草案

國務院已經發布《未成年人網絡保護條例(草案徵求意見稿)》(「《條例草案》」)。「未成年人」指十八歲以下中國公民。尤其是,《條例草案》建議更多數據保護責任,都是「網絡信息服務提供者」(看來任何在中國運作網站或處理在線數據的也包括在內)有需要遵守的責任。

其中主要的規定包括:

  • 積極審查網站∕平台,如有任何被視為不適宜未成年人接觸的內容,展示內容之前,先以顯著方式作出警示。鼓勵各部門就如何管理上述內容提供進一步指引。
  • 收集、使用未成年人個人信息(即是以電子或者其他方式記錄的能夠單獨或與其他信息結合識別未成年人身份的各種信息)的時候,在醒目位置標注警示標識,並徵得未成年人或其父母∕監護人的同意。這個規定有需要用上「明確的私隱政策」,雖然現時未清楚所需要的會否有別於一般的網站私隱政策。
  • 網上搜尋功能展示的搜尋結果絕不可以包含未成年人的個人信息;未成年人或其父母∕監護人有權要求刪除或屏蔽網上該未成年人的個人信息。

那麼,有甚麼實際意思呢?

雖然《網絡安全法》仍有一些未確定的地方,但預見此法於2017年6月1日施行的機構都在更新它們在中國的數據保護合規計劃,此時,中國各部門也正設法向各機構提供多一點有用的實用指引,強調多一點有需要採取的有用步驟。在中國營運網絡及∕或經營在線業務的機構,應當留意並相應地更新其政策和作業方式;由於進一步指引將在未來數週以至數個月內公布,因此亦應繼續密切注意相關發展。

Jurisdictions: 

歐華律師事務所 顧問律師