被認為嚴格的新跨境數據傳輸法於9月1日生效,該法要求跨國企業進行數據審查,以監管傳送到境外的資料。
該法例早在去年11月擬定草案,由中國國互聯網信息辦公室(網信辦)發佈的《數據出境安全評估辦法》中,該法要求企業將自中國搜集的重要數據輸往海外前,得先向網信辦提出申報並進行安全審查,有違者可被處以上一年營收的5%或是人民幣5,000萬元罰款。
然而,該辦在上週三(8月31日,條例生效前一天)才發布新方針,再次說明要求,包括一份自我評估報告,提供有關尋求出口數據的公司、海外接收方以及他們將如何處理數據的詳細信息。中國網信辦會在45個工作日內完成安全審查,該機構還可以酌情決定進行更長時間或無限期的審查。
該法規為北京政府為管控數據而推出的一系列新規之一,其他法規包含上年9月生效的《數據安全法》,以及同年11月生效的《個人信息保護法》。作為WilmerHale律師事務所北京辦公室負責人,一直關注中國數據網絡法案的羅斯(Lester Ross),認為將數據出口的規範顯然存在偏見,審查過程太長,跨過企業要被迫投入大量資金,來滿足中國的法規要求。同時,跟中國政府近期申請加入的「跨太平洋夥伴全面進步協定」(CPTPP)以及「數位經濟夥伴關係協定」(DEPA)的目標互相衡突。
儘管北京仍在充實其不斷增長的數據網絡法律的細節,但香港作為國際門戶的地位將受到質疑懷疑,因為新措施可能意味著公司在香港存儲數據可能比在大陸更麻煩。
港澳數據流規管未明
而在新法規中,並無具體說明來自香港和澳門的數據流是否包括在內,按照
一國兩制原則,兩個特別行政區往往被視為中國境外的區域。就此,香港個人資料私隱專員公署在上周四(1日)發表聲明,提醒香港企業—包括在內地開展業務的銀行、保險公司和證券公司—如果符合國家反腐敗委員會的規定,應採取措施並進行自我評估。該辦公室還表示將組織一次有關該主題的網絡研討會,以幫助公司了解這項新的中國法規。
根據指引中的類別,網信辦審查過程預計將廣泛地適用。然而,新規定並沒有明確定義何為「重要數據」的內容。
這個法規涵蓋包括在2021年已擁有超過100萬中國公民作為用戶的公司、尋求出口「重要數據」的公司、處理超過10萬中國人個人信息的公司以及擁有10,000多人的「敏感」個人數據的公司。
此類企業需要在其申請表中說明,例如,將處理要傳輸的信息的數據中心的名稱,以及此類設施中相關服務器機房的物理位置和互聯網協議地址。
數據中心是具有溫控設施,用於容納大容量服務器和數據存儲系統,這些服務器和數據存儲系統由多個電源支持並連接到高帶寬互聯網存取。這些站點主要用於託管雲計算操作。
上海年利達律師事務所技術、媒體和電信法律顧問亞歷克斯·羅伯茨 (Alex Roberts) 於9月1日對南華早報SCMP表示,雖然一直在跟踪此事發展的公司「將很高興看到指引與之前發布的數據法規的保持一致」,但最新指令提出了更多未解決的問題。羅伯茨指,這些公司可能會因缺乏有關如何為自我評估報告進行關鍵風險計算的指導而感到沮喪。
他表示「不知道這份報告是否應該是一份簡明的4頁文件,還是一份關於敏感安全協議和漏洞的20頁詳細檔案,這將成為全國信息安全團隊爭論的焦點」。提交潛在敏感信息的要求,例如接收者將要傳輸的數據存儲在哪裡,也可能引起關注,他指出,如果此類詳細信息洩露,犯罪分子可能會嘗試對這些企業發起有針對性的網絡攻擊。
根據新法律及其強大的監管機構,在內地經營的國際公司別無選擇,只能想方設法遵守規定,以繼續在該國開展業務。
