许多国际公司都有中文网站和某种网络系统,无论是为了销售自己的产品还是仅仅为了内部使用。在许多情况下,这些网站和内部系统都托管在中国境外的服务器上。我和组成我的律师事务所中国网络法律团队的其他律师经常被问到,一个在中国境内收集个人信息的公司是否必须在中国境内存储这些信息。
简短的回答是肯定的。
中国的网络安全法于去年生效,它要求关键信息基础设施运营商(CIIO)存储在中国境内收集和产生的个人信息和重要数据。网络运营商是否属于CIIO,通常取决于其行业以及数据泄露对公众利益的损害程度。公共通信和信息服务提供者、能源、金融和公共服务等行业的网络运营商更有可能被视为CIIO。
中国也正在通过《个人信息和重要数据跨境传输安全评估办法》(草案)建立个人信息和重要数据跨境传输的规则。办法)和《数据跨境传输安全评估指南》草案(数据出境安全评估指南,指南)。根据现有的草案,《办法》和《指南》将适用于任何从事 "国内运营 "的网络运营商公司。
术语 "网络运营商 "被定义为包括拥有和管理任何网络的任何个人或实体,也包括网络服务提供商。如果一家公司将其内部网络用于公司的内部运作,并使用其公司网站向客户提供信息,而该系统和网站由其外国母公司拥有和管理,则该外国母公司就是一个网络运营商。
根据《指南》,国内经营是指在中国境内提供产品或服务。未在中国注册但向中国客户提供产品或服务的外国网络运营商从事的是国内业务,将受中国跨境数据传输要求的约束。
该指南还规定了如何确定一家外国公司是否从事国内业务。导致这一结论的因素包括:使用中文,用人民币结算,以及向中国公民或公司交付或分发产品或服务。如果存在其中一个或多个因素,外国公司将被视为从事 "国内业务",因此在从事任何个人信息和重要数据的跨境转移之前,将被要求进行安全评估。但是,位于中国的网络运营商如果只向外国实体提供产品或服务,其业务不涉及任何中国公民的个人信息或重要数据,将不被视为国内业务,因此不受中国跨境数据传输规则的约束。
中国跨境数据传输要求。
只要相关数据的主体同意传输,并且发起传输的实体(通常是公司)对其数据传输进行了安全评估,非中国国际电子商务组织的网络运营商就可以将个人信息传输到位于中国境外的服务器。这些要求在《办法》和《指南》中都有规定。 公司应自行或聘请第三方专业服务机构进行安全评估。 这种评估的报告应至少保存两年。在某些情况下,相关行业监管机构将对评估进行审查。
根据《办法》草案第二稿第7条,相关监管部门将在数据转移时进行 涉及下列情况之一的。
- 含有或累计含有超过50万个人的个人信息的数据
- 与核设施、化学生物学、国防或军事、人口和保健有关的数据
- 与大型工程活动、海洋环境或敏感地理信息有关的数据
- 与关键信息基础设施的网络安全信息有关的数据,如系统漏洞和安全保护措施等
- 其他有可能影响中国国家安全和公共利益的因素
- 所需的同意书
要将个人信息转移到中国境外,网络运营商必须首先获得个人信息主体的同意。这种同意必须以书面形式或通过数据主体的其他肯定行动。例如,可以通过在线弹出通知,要求数据主体点击 "是 "或 "否",或者向数据主体发送短信,要求其对跨境转移做出 "是 "或 "否 "的答复来实现同意。
在某些情况下,可以暗示同意,如打国际电话、在国际上发送电子邮件、国际即时通讯,以及通过互联网进行跨境交易。
- 所需的数据安全评估
办法》要求向中国境外传输个人信息和重要数据的公司对其将用于发送个人信息和重要数据的跨境数据传输系统进行(或利用第三方进行)安全评估。行业监管机构或监管部门将负责监督这些评估,他们应 "定期 "做自己的跨境数据检查。根据《准则》,当有多个实体参与境外数据传输时,发起传输的实体应进行安全评估。
对于 "连续 "的跨境传输,只需要一次安全评估。如果一年内发生了两次独立的数据传输,并且两次传输的目的和接收者相同,信息的范围、类型和数量相似,这些传输将被视为 "连续"。以一家外国零售商的中国子公司为例,该公司在任何初始订单上收集客户的个人信息,然后将这些信息传输给其外国母公司。这种传输可能每天都会即时发生很多次,信息的接收者、范围和类型都是一样的。这些传输可能会被认为是连续的,因此不需要对每一次传输进行单独的安全评估。
在我的下一篇文章中,我将提供更多关于在中国做生意的外国公司需要做什么以遵守中国的网络安全和互联网隐私法律的具体内容。
