标签:公司与并购-公司合规体系,数字经济,电信、传媒、娱乐与高科技
引言
随着信息技术高速发展,网络和数据安全威胁和风险日益突出。目前我国面临的国家安全威胁常常不是来自海上、陆地、领空、太空等疆域,而是来自被称为第五疆域的网络空间[1]。此外,由于网络和数据安全具有“牵一发而动全身”的影响,网络和数据安全相关威胁和风险也在向其他国家安全领域传导渗透,导致国家安全风险不断加大。
我国目前已建立起网络与数据安全总体法律法规体系,为维护国家安全提供了制度基础。在日趋复杂的国际环境下,企业的网络与数据安全内部制度不仅应具备基础的安全保障能力,还应把握守护国家安全的战略方向。本文作为“国家安全法律专题”系列文章的第三篇,将重点介绍国家安全视角下我国网络与数据安全重点要求,以期帮助企业更好的落实和遵从网络和数据安全要求,确保不触碰国家安全的红线。
一、国家安全、网络安全与数据安全之间的关系
习近平总书记指出:“当前我国国家安全内涵和外延比历史上任何时候都要丰富,时空领域比历史上任何时候都要宽广,内外因素比历史上任何时候都要复杂,必须坚持总体国家安全观,以人民安全为宗旨,以政治安全为根本,以经济安全为基础,以军事、文化、社会安全为保障,以促进国际安全为依托,走出一条中国特色国家安全道路”[2]。总体国家安全观强调大安全理念,涵盖政治、军事、国土、经济、金融、文化、社会、科技、网络、粮食、生态、资源、核、海外利益、太空、深海、极地、生物、人工智能、数据等诸多领域,并将随着社会发展不断动态调整。
网络与数据安全和国家安全紧密相关,网络与数据安全是信息化时代国家安全的重要组成部分,没有网络和数据安全就没有国家安全。影响国家安全的因素众多,但网络和数据安全涉及面广,影响众多领域的安全。例如,2023年修订的《反间谍法》明确,窃取、刺探、收买、非法提供关系国家安全和利益的文件、数据、资料、物品,以及对国家机关、涉密单位或者关键信息基础设施等的网络攻击、侵入、干扰、控制、破坏等活动构成间谍行为[3]。
网络安全与数据安全是两个不同概念,但却相互交织影响。网络安全是指保护计算机系统和网络免受未经授权的访问、攻击、侵入、干扰、破坏、非法使用和意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性及可用性的能力[4]。数据安全是指保障数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力[5]。由此可见,网络安全是实现数据安全的必要手段及重要保障,确保数据安全是网络安全的基本目标。关于国家安全、网络安全、数据安全之间的关系,可参考如下图示:
二、国家安全视角下的网络安全重点要求
1. 网络安全事件的预防与应对
从全球范围来看,网络安全事件目前已成众多国家的安全威胁:例如,(1) 2019年3月,委内瑞拉电力系统遭遇网络攻击,导致其首都加拉加斯等多个城市灯火骤熄,大半个国家陷入黑暗,多个地区供水和通信网络中断[6];(2) 2021年5月,美国最大输油管道公司因黑客攻击而停运6天,首都华盛顿及东南部地区出现汽油短缺,该公司被迫支付了500万美元赎金才得以解锁[7];(3) 2022年3月,俄罗斯石油管道巨头Transneft遭到网络攻击,79GB数据泄露,对俄罗斯和企业的安全构成了严重威胁[8]。
近年来,我国重大网络安全事件亦呈上升态势,来自境内外的各种网络攻击活动时有发生,影响政治、经济、生物、航空、地理、政务等多个重要领域,对我国国家安全造成了严重威胁和危害:例如,(1) 2022年8月,网络黑客曾以4000美元在暗网论坛上兜售“某政务服务平台数据”,并声称已获得4850万用户的个人信息,包括用户姓名、手机号、身份证号、UIUD(通用唯一识别码)等个人信息,意味着该平台用户的大量个人信息可能已泄露[9];(2) 2022年4月,某疫情防控信息平台曾在使用高峰期遭受境外网络黑客攻击,得益于其保障团队及时有效的应对,相关数据最终未受影响,但平台上存储的大量用户姓名、联系方式等一般个人信息和疫苗接种、健康风险、核酸检测等医疗、生物医药数据仍是受到了威胁 [10];(3) 2022年初,网络安全企业360公司发布报告称,某国国家安全局从2010年起对全球持续发起无差别的网络攻击,其中,某国国家安全局针对中国政府、各行业龙头企业、高校、医院、科研机构、关键信息基础设施运维单位等机构开展秘密攻击,窃取了海量个人信息、商业秘密、重要数据;(4) 2020年底,某境外公司委托某中国公司收集中国铁路信号数据,包括物联网、蜂窝和GSM-R信号数据,其中GSM-R是高铁移动通信专网,承载了高铁列车运行控制和调度指挥等重要指令,虽然该案最终被公安机关破获,但仍有大量敏感数据被不可逆地传输至境外[11];(5) 国家安全机关工作发现,多个境外机构以免费提供设备、共享航空信息为诱饵,依托网络社交平台面向境内航空爱好者精准招募“志愿者”,并跨境邮寄设备,指挥“志愿者”在我境内非法采集、向境外秘密传输我国飞行器飞行数据[12]。
通过前述案例不难发现,网络安全事件可能对国家安全造成严重的威胁和危害,其既可能直接导致社会秩序被破坏,例如水电煤气供应中断,又可能埋下威胁国家安全的隐患,例如窃取的海量敏感数据(如前述案例中涉及的政务数据、医疗数据、生物医药数据、新基建数据等)可能被用于危害国家安全。
网络安全事件对国家安全的影响是全方位、长时间、深层次的,企业应根据《网络安全法》及其他相关法律法规的要求注重预防并妥善应对,包括但不限于:制定网络安全事件应急预案,并定期进行演练;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按法律法规向有关主管部门报告。
2. 关键基础信息设施运营者的监管与保护
根据《关键信息基础设施安全保护条例》(“《关基条例》”),关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等[13。关键信息基础设施的功能稳定与服务持续是维护网络安全乃至国家安全的关键所在。
关键信息基础设施运营者(“CIIO”,Critical Information Infrastructure Operator)是保护关键信息基础设施安全的第一责任主体。根据《关基条例》第十条,关键信息基础设施的主管部门、监管部门负责认定本行业领域内的关键信息基础设施,并将认定结果通知相关企业。若企业接到通知其运行或管理的信息系统或者网络设施被认定为关键信息基础设施,则该企业属于CIIO;若企业未收到相关通知,并不意味着其一定不属于CIIO,企业需结合关键信息基础设施的定义判断自身是否可能属于CIIO。
根据《网络安全法》《关基条例》《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》等法律法规,CIIO应履行相应的合规义务,包括:(1) 确保安全保护措施与关键信息基础设施同步规划、同步建设、同步使用[14];(2) 建立健全网络安全保护制度和责任制,明确运营者主要负责人负总体责任,保障人力、财力、物力投入[15];(3) 设置专门的安全管理机构,并对专门安全管理机构负责人和关键岗位人员进行安全背景审查[16];(4) 对关键信息基础设施每年至少进行一次网络安全检测和风险评估,及时整改相应问题并按要求向主管部门、监督管理部门(以下简称“保护工作部门”)报送情况[17];(5) 关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,按规定向保护工作部门、公安机关报告[18];(6) 优先采购安全可信的网络产品和服务,并与提供者签订安全保密协议;(7) 可能影响国家安全的,应当按规定通过安全审查[19];(8) 加强重要数据和个人信息保护[20],向境外提供个人信息或重要数据应当申报数据出境安全评估等[21]。
3. 网络安全审查
《国家安全法》提出建立国家安全审查制度,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险[22]。根据《国家安全法》《网络安全法》《数据安全法》和《关基条例》的规定,为确保关键信息基础设施供应链安全,保障网络安全和数据安全,维护国家安全,国家安全部、国家互联网信息办公室(“网信办”)等部门于2020年制定了《网络安全审查办法》,并于2021年对其进行了修订。
网络安全审查主要适用于影响或可能影响国家安全的情形。根据《网络安全审查办法》,网络安全审查的适用方式可分为企业依法主动申报或监管机构决定适用:(1) 企业依法主动申报网络安全审查的适用范围包括:(i) 关键信息基础设施[23]运营者采购网络产品和服务,影响或者可能影响国家安全[24];(ii) 掌握超过100万用户个人信息的网络平台运营者赴国外上市[25];(2) 监管机构决定适用网络安全审查的适用对象是监管机构认为影响或可能影响国家安全的网络产品和服务以及数据处理活动,该等数据处理活动由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,可开展网络安全审查[26]。目前监管机构主动发起网络安全审查的对象多为交通、公共通信和信息服务、国防科技等敏感行业和/或涉及处理大量个人信息的可能影响国家安全的主体或设施。
网络安全审查重点评估国家安全风险因素,包括:(1) 产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险;(2) 产品和服务供应中断对关键信息基础设施业务连续性的危害;(3) 产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;(4) 产品和服务提供者遵守中国法律、行政法规、部门规章情况;(5) 核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险;(6) 上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险;及(7) 其他可能危害关键信息基础设施安全、网络安全和数据安全的因素等[27]。
符合网络安全审查主动申报条件的企业需注意根据《网络安全审查办法》的规定履行网络安全审查申报义务。拟赴国外上市的企业需注意网络安全审查一般需要3至6个月,特殊情况可能需要更长时间,为了避免延误企业上市时间表,企业应尽早评估和确认是否涉及网络安全审查。
三、国家安全视角下的数据安全重点要求
1. 向境外司法或执法机构提供数据
根据《数据安全法》与《个人信息保护法》,中国境内的组织、个人不得未经中国主管机关批准向外国司法或者执法机构提供数据(含个人信息)[28]。需注意,前述法规下“数据”的范围非常宽泛,除重要数据和个人信息外,也包含任何其他以电子或者其他方式对信息的记录。
实践中,中国企业需要向境外司法或执法机构提供数据的情形较常见,例如:(1) 出口管制与经济制裁等相关领域的各类限制性清单移除;(2) 申请出口许可证、海关通关等行政许可;(3) 供应链溯源;(4) 申报境外上市;(5) 应对境外诉讼,对外提供证据材料等。
企业在未经主管机关批准的情况下直接向外国司法或执法部门提供数据将违反《数据安全法》第36条的规定,这并不意味着间接提供就不违反《数据安全法》第36条的规定。
《数据安全法》第36条规定的背景是中国阻断境外长臂管辖的立法措施,目的在于在数据管辖权冲突的情况下,维护中国的司法主权、国家安全和中国企业、个人的合法权益。
就许可证申请、供应链溯源调查等被动数据出境场景下的国家安全法律风险与防范建议,可以参考《国家安全合规:对美数据被动出境场景分析与次生国家安全法律风险防范》一文[29]。
2. 数据分类分级保护
《数据安全法》提出了数据分类分级管理的要求。建立数据分类分级保护制度是维护数据安全,释放数据价值的关键基础。对企业现有数据资产进行盘点与梳理并逐步完成数据的分类与分级是企业维护数据安全的第一步,也是企业应履行的《数据安全法》等法律规定的数据保护义务。
(1)数据分类
就数据分类而言,企业需要根据行业要求和特点、业务需求、数据来源和用途等因素进行分类。部分行业出台了针对本行业数据分类的指引性文件,例如《智能制造 工业数据 分类原则》(GB/T 42128-2022)明确了工业数据的分类原则与分类方法。企业可以参考行业内的数据分类指引性文件(如有),在充分梳理内部数据资产的基础上按照系统层级或产品设计生产各生命周期等分类逻辑对数据进行分类。
(2)数据分级
就数据分级而言,《数据安全法》初步明确了数据分级的一般标准——依据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据进行分级[30]。依据前述标准,数据可分为一般数据、重要数据及核心数据[31]等不同级别。鉴于前述分级标准尚待进一步细化,实践中,企业还可参考行业内的相关规定、规范和标准(例如,就工业数据而言,可参考《工业和信息化领域数据安全管理办法(试行)》,“《工信数据管理办法》”)和相关国家标准及其征求意见稿(例如《信息安全技术 数据分类分级规范(征求意见稿)》)。
《信息安全技术 数据分类分级规范(征求意见稿)》将数据分级标准细化为影响对象和影响程度两个层次。影响对象包括国家安全、经济运行、社会稳定、公共利益、组织权益、个人权益。影响程度包括一般危害、严重危害、特别严重危害。该国家标准征求意见稿结合影响对象与影响程度将数据具体分级为一般数据、重要数据、核心数据 :
基于我们的经验,企业可以参照前述数据分级的分级原则与方法,在完成对企业内部数据分类的基础上,对企业内部数据进行分级。对于数据分级的具体流程可参考《国之重器——智能制造公司工业数据保护探析》一文。
3. 核心数据与重要数据的识别与保护
如前所述,核心数据与重要数据是《数据安全法》明确需要更严格保护的数据级别。核心数据与重要数据与国家安全密切相关,企业在日常生产经营中处理核心数据或重要数据时,应实施更高级别的数据安全防护措施,以确保核心数据与重要数据的安全。
(1)核心数据与重要数据的识别
核心数据与重要数据的识别,是核心数据与重要数据管理的基础。
特定行业已经形成该行业内核心数据和重要数据识别的指引性规定,如《工信数据管理办法》《汽车数据安全管理若干规定(试行)》(“《汽车数据管理规定》”)等。此外,还可参考相关国家标准及其征求意见稿,例如《信息安全技术 数据分类分级规范(征求意见稿)》提出了核心数据及重要数据识别方法详见本文第三(二)部分),《信息安全技术 重要数据识别规则(征求意见稿)》提供了典型重要数据示例。
核心数据与重要数据的识别还需要结合定性与定量的方法[32]。例如,就汽车行业而言,企业收集到的汽车充电网运行数据和车辆流量等反映经济运行情况的数据的规模越大,其被识别为核心数据或重要数据的可能性也越高。上海市委网络安全和信息化委员会办公室曾在2023年5月18日公布重要数据目录试点成果分享的优秀案例,其中上海市新能源汽车公共数据采集与监测研究中心试点优秀案例——《重要数据识别规则》围绕重要数据识别规则和目录管理,从实践基础、重要数据的定义、重要数据识别方法和重要数据目录说明等方面,阐述了数据分类分级工作中如何确定数据集的重要数据索引项以及如何识别重要数据,对重要数据的识别和管理工作具有参考意义。
企业可以基于所在行业和领域综合考虑前述指引性文件及相关识别方法,采用就高从严[33]的原则识别企业内部核心数据与重要数据,并形成企业内部核心数据目录及重要数据目录。
(2)核心数据与重要数据的保护
由于核心数据与重要数据一旦遭受篡改、破坏、丢失等,可能对公共利益、社会问题、经济运行、国家安全产生影响,企业应当对核心数据和重要数据采取更加严格的管理制度和保护措施,覆盖核心数据和重要数据从收集、存储、使用加工、传输、提供、委托处理、销毁到跨境传输等全生命周期。
前述要求逐渐在具体行业得以细化,例如《工信数据管理办法》对核心数据与重要数据保护主要提出了以下要求:
企业若识别到核心数据和/或重要数据,则应遵守本行业内对核心数据与重要数据保护的相关要求(如有),亦可参考其他行业对核心数据与重要数据保护的相关要求及相关国家标准及其征求意见稿(如《信息安全技术 重要数据处理安全要求(征求意见稿)》),加强对核心数据与重要数据的保护力度。
4. 典型领域
基于《数据安全法》数据分类分级管理的要求,我国对部分高度敏感且与国家安全息息相关的数据提出了严格的数据安全保护要求:
(1)气象数据
气象数据作为基础数据,常见的种类有日常观测数据、卫星数据、雷达资料等,是信息安全和资源安全的构成元素,与军事安全、粮食安全、生态安全、气候变化、公共利益密切相关,非法采集和跨境传输气象数据的行为危害我国家主权、安全、发展利益。
气象资料包括各级气象主管机构组织收集并存档的各种气象观(探)测记录,以及由该等记录加工处理而成的各类气象数据集、各种气候统计值和数值分析资料等[48],气象资料中包括气象数据。气象资料不仅能用于天气预报、防灾减灾,还与军事打击精度密切相关。因此,我国严格监管气象资料的流通,包括:(1) 企业不得有偿或无偿转让其从各级气象主管机构获得的气象资料,包括企业对该等气象资料进行单位换算、介质转换或者量度变换后形成的新资料,以及对其进行实质性加工后形成的新资料[49];(2) 任何组织和个人不得向未经批准的外国组织或者个人提供气象探测场所和气象资料[50];(3) 对于从各级气象主管机构获得的气象资料,用户不得将其用作向外分发或供外部使用的数据库、产品和服务的一部分,也不得间接用作生成它们的基础;(4) 可以在内部分发或存放在仅供本单位使用的局域网上,但不得与广域网、互联网相连等[51]。
2022年,为依法维护气象数据安全,中国气象局、国家安全部、国家保密局联合出台《涉外气象探测和资料管理办法》。2023年以来,国家安全机关会同气象、保密等部门在全国范围内依法开展涉外气象探测专项治理,调查境外气象设备代理商10余家,检查涉外气象站点3000余个,发现数百个非法涉外气象探测站点实时向境外传输气象数据,广泛分布在全国20多个省份,对我国国家安全造成风险隐患。该等涉外气象探测活动,或因未向我国气象主管机构申请涉外气象探测行政许可,或因未向我国气象主管机构汇交气象资料,或因向境外传输气象数据未经我国气象主管部门审批,违反了《涉外气象探测和资料管理办法》《数据安全法》等相关规定[52]。
(2)地理信息数据
随着全球信息化快速发展、天地一体化不断深入以及自动驾驶技术、导航电子地图技术等新技术不断融合应用,地理信息数据越发引起各方的重视。地理信息数据具有高精度、易采集、易传输的特点,并能够还原交通、能源、军事等重要领域特定区域的三维地貌图,其一旦被窃取将可能对国家安全带来严重的威胁和隐患。
地理信息数据主要指测绘数据,《测绘法》规定测绘是指对自然地理要素或者地表人工设施的形状、大小、空间位置及其属性等进行测定、采集、表述,以及对获取的数据、信息、成果进行处理和提供的活动[53]。
测绘数据的处理需注意的合规义务包括:(1) 特定测绘数据可能属于国家秘密(如(i) 军事禁区平面精度优于(含)10米或地物高度相对量测精度优于(含)5%的三维模型、点云、倾斜影像、实景影像、导航电子地图等实测成果;及(ii) 军事禁区以外平面精度优于(含)10米或地物高度相对量测精度优于(含)5%,且连续覆盖范围超过25平方千米的三维模型、点云、倾斜影像、实景影像、导航电子地图等实测成果[54]),未经有关主管部门批准,禁止携带、传递此类涉密测绘数据出境[55];(2) 从事测绘活动涉及获取、持有、提供、利用属于国家秘密的地理信息,应当遵守保密法律、行政法规和国家有关规定[56];(3) 对外提供属于国家秘密的测绘成果,应当按照国务院和中央军事委员会规定的审批程序,报国务院测绘行政主管部门或者省、自治区、直辖市人民政府测绘行政主管部门审批;测绘行政主管部门在审批前,应当征求军队有关部门的意见[57];(4) 任何主体在中国从事测绘活动,必须取得相应的测绘资质或委托有测绘资质的单位进行[58];(5) 需要从事测绘数据收集、存储、传输和处理的车企、服务商及智能驾驶软件提供商等,亦须取得相应的测绘资质或委托有测绘资质的单位进行(其中外商投资企业只能委托有资质的单位进行)[59];(6) 目前已在提供智能网联汽车售后和运营服务的企业,存在向境外传输测绘数据行为或计划的,应依法履行对外提供审批或地图审核程序[60],涉及重要数据的,还需通过数据出境安全评估等[61]。
随着技术迭代与飞速发展,地理信息数据不仅成为了一种重要的战略性数据资源,同时作为高价值情报日益受到境外情报机关的关注。根据我国安全部门的介绍,部分境外组织通过窃取我国高精度地理信息数据,可还原出我国交通、能源、军事等重要领域特定区域的三维地貌图,为侦察监视、军事行动提供关键支持,严重威胁我国军事安全[62]。
(3)汽车数据
近年来,随着汽车“新四化”的不断演进,智能网联汽车产业在中国蓬勃发展。以自动化、机器学习、人工智能和互联网技术为主导的第四次工业革命(工业4.0)为汽车行业带来了深刻的变革。智能网联汽车通过V2X(Vehicle to Everything)等技术实现人、车、路、云之间的交互,汽车数据的来源愈发多样,涵盖范围也逐步拓宽。
汽车数据主要包括汽车设计、生产、销售、使用、运维等过程中涉及的个人信息数据和重要数据[63]。汽车数据,尤其是汽车数据中的重要数据与国家安全紧密相关,《汽车数据管理规定》明确了汽车行业的重要数据主要包括如下类型:
汽车行业数据处理者处理重要数据的,除应完成重要数据的安全防护义务外,还应满足以下要求:(1) 开展重要数据处理活动,应当按照规定开展风险评估,并向有关部门报送风险评估报告[64];(2) 向境外提供重要数据,不得超出出境安全评估时明确的目的、范围、方式和数据种类、规模等[65];(3) 每年还应向省、自治区、直辖市网信部门和有关部门报送年度汽车数据安全管理情况[66]。基于我们的观察,自2021年开始,江苏、上海、北京、广东等各省逐步开始要求汽车行业处理重要数据的数据处理者报送年度汽车数据安全管理情况报告。
(4)金融数据
银行业属于国家重点领域,随着技术发展,银行基础业务和核心流程的运行越来越依赖信息化载体,在高度数字化的金融基础设施中,大量存储并高频流转着各种敏感的金融个人信息和重要数据,海量的金融数据在释放数据要素价值的同时,金融数据非法处理、泄露、篡改、丢失等潜在安全问题也使得个人、企业、甚至国家安全面临巨大挑战。
金融数据主要是指金融业机构开展金融业务、提供金融服务以及日常经营管理所需或产生的各类数据[67]。金融数据监管框架主要体现在中国人民银行、银保监会、证监会等主管部门发布的法律法规及标准文件中。在规定层面,《监管数据安全管理办法(试行)》明确了银保监会在监管数据采集、存储、加工处理和使用方面的法定义务;《证券期货业网络和信息安全管理办法》明确了证券期货交易场所、证券登记结算机构、证券公司、期货公司和基金管理公司等主体的网络安全保护义务,个人信息保护义务,并强调证券期货业关键信息基础设施运营者的安全防护义务;《中国人民银行业务领域数据安全管理办法(征求意见稿)》细化了中国人民银行业务领域数据安全的基线要求,明确了中国人民银行业务领域数据处理者的基本义务,为银行业等金融数据安全管理活动提供了具体指引。
在标准层面,《金融数据安全 数据安全分级指南》(JR/T 0197-2020),《金融数据安全 数据生命周期安全规范》(JR/T 0223-2021),《个人金融信息保护技术规范》(JR/T 0171-2020)等标准在金融数据分类分级,金融数据处理全生命周期技术保护、个人金融信息安全保护等多场景为金融数据处理提供明确的管理和技术要求。
(5)人类遗传资源信息
人类遗传资源信息(“人遗信息”)是指利用人体基因组、基因等遗传物质的器官、组织、细胞等遗传材料(“人遗材料”,与人遗信息合称“人遗资源”)产生的数据等信息资料,不包括临床数据、影像数据、蛋白质数据和代谢数据[68]。
人遗信息与敏感个人信息(如基因数据、指纹、声纹等个人生物识别信息、家族病史等个人健康生理信息)及重要数据(如反映族群特征的遗传信息)存在交叉,人遗信息处理者亦需考虑遵守个人信息与重要数据保护相关的合规义务。
此外,由于人遗信息安全关系到生物安全、种族安全等国家安全重大利益,我国对人遗信息的采集、保藏、利用、对外提供均有特殊要求,包括:(1) 将人类遗传资源信息向境外组织、个人及其设立或者实际控制的机构提供或者开放使用的,中方信息所有者应当向科技部事先报告并提交信息备份[69];(2) 将人类遗传资源信息向境外组织、个人及其设立或者实际控制的机构提供或者开放使用,可能影响我国公众健康、国家安全和社会公共利益的,应当通过科技部组织的安全审查[70];(3) 外国组织、个人及其设立或者实际控制的机构(“外国组织”)不得在我国境内采集、保藏我国人遗资源(包括人遗信息,下同),不得向境外提供我国人遗资源[71],外国组织应当与我国科研机构、高等学校、医疗机构、企业合作方可开展利用人遗资源的科学研究活动[72];(4) 采集我国重要遗传家系、特定地区人遗资源或者采集国务院科学技术行政部门规定种类、数量的人遗资源的,应当经国务院科学技术行政部门批准等[73]。
5. 数据跨境安全
数据跨境传输是维护数据安全的重要场景,也是保障国家安全,掌握数据主权的重点领域。目前,我国针对数据出境的监管已形成基本制度,该等基本制度重点关注国家秘密、核心数据、重要数据、个人信息等数据类型,以及关键信息基础设施运营者等主体类型。除该等基本制度外,对于特殊的行业(如医药行业)和场景(如境外上市场景),数据出境还有其他特别规定。
在基本制度层面,《保守国家秘密法》《个人信息保护法》《数据出境安全评估办法》《个人信息出境标准合同办法》等法规明确:(1) 国家秘密和核心数据原则上应在中国境内存储,未经有关主管部门批准,不得向境外提供;(2) 重要数据出境需通过国家网信办主导的数据出境安全评估;(3) 个人信息出境主要有三条路径:即通过国家网信办主导的数据出境安全评估、完成个人信息出境标准合同备案或进行个人信息保护认证。
对于特定行业和场景的特殊规定,企业需结合所在行业或场景具体分析。例如,医药行业企业应特别注意健康医疗大数据、人口健康信息、人类遗传资源信息等特定数据类型能否出境以及出境的法定程序。例如《关于加强境内企业境外发行证券和上市相关保密和档案管理工作的规定》要求境内企业向其他单位或个人提供涉及国家秘密、国家机关工作秘密的文件资料的,应当报相关主管部门批准[74];境内企业向其他单位或个人提供、公开披露不属于国家秘密和国家机关工作秘密,但泄露后会对国家安全或者公共利益造成不利影响的文件、资料的,应当履行相关前置程序[75];《人口健康信息管理办法(试行)》明确规定不得将人口健康信息在境外的服务器中存储,亦不得托管、租赁在境外的服务器[76]。
同时,特定场景也可能存在关于数据出境的特殊规定。例如在境外上市的场景下,《关于加强境内公司境外发行证券和上市相关保密和档案管理工作的规定》明确境内公司向有关证券公司、证券服务机构、境外监管机构等单位和个人提供、公开披露,或者通过其境外上市主体等提供、公开披露涉及国家秘密、国家机关工作秘密的文件、资料的,应当依法报有审批权限的主管部门批准,并报同级保密行政管理部门备案。又如,部分外国驻华使领馆为了配合其本国执法机构而在中国境内开展调查以及收集证据或资讯,中国企业配合调查向驻华使领馆提交相关数据资料的行为也应属于数据出境的一种特殊情形,并可能触发前文述及的《数据安全法》第36条的规定,相关企业应遵守数据出境的相关规定。
四、其他法域的监管实践
目前,世界多国出台了数据主权、网络安全及国家安全相关的法律,从网络安全与数据安全方面加强对国家安全的保障,以美国、德国和日本为例:
1. 美国
早在2018年,美国国会便通过《澄清域外合法使用数据法案》(Clarifying Lawful Overseas Use of Data Act),该法案以美国获取域外数据为原则,以限制美国获取域外数据为例外,一方面扩大了美国法律的适用范围,为美国获取域外数据提供了合法性基础,另一方面将外国政府调取存储在美国的相关数据纳入调整范围,外国政府想要获取美国数据要满足繁复的条件;此外,无论是授权美国获取域外数据,还是限制外国获取美国数据,《澄清域外合法使用数据法案》都授予了美国极大的自由裁量权[77]。
2019年美国参议员向参议院提交了《国家安全和个人数据保护法案》(National Security and Personal Data Protection Act,NSPDPA)以国家安全为由管制科技公司向关注国家(包括中国、俄罗斯[78])进行数据传输。法案对特别关注科技公司(Covered Technology Company)[79]在数据收集、使用、存储、出境、删除等方面进行限制。特别是在数据跨境传输方面,禁止特别关注科技公司将任何用户数据或破译该数据所需的信息(如加密密钥)传输到关注国家(包括通过非关注国家的第三国间接传输)[80]。
同时,在出口管制方面,将美国境内数据传输至美国境外时也会受到美国出口管制相关法规管制。美国《出口管制条例》(Export Administration Regulations)下管制的物项包括特定军民两用的商品、软件和技术[81]。技术包括产品发展、制造和使用所必需的具体信息等,可以是以技术数据的形式,也可以是技术援助的形式:技术数据包括蓝图、计划、图表、模型、公示、表格、工程涉及和说明、手册及编写或记录在媒体或设备上的说明等;技术援助可以采取指导、技能培训、工作知识和咨询服务等形式[82]。许多数据出口或传输行为都需要获得美国商务部工业与安全局(Bureau of Industry and Security)的出口许可。
2. 德国
2021年德国发布《IT安全法2.0》(German IT Security Act 2.0)进一步加强对关键基础设施的保障,包括在现有的能源、水、信息技术/电信、食品、卫生、金融/保险和运输/交通行业基础上扩大关键基础设施的范围至包括城市垃圾管理行业,要求关键网络组件的供应商需满足高级别的安全要求且关键网络组件需经认证[83],以及要求关键网络组件的供应商提供可信声明(保证声明)表明如何确保关键组件不被用于破坏、间谍或恐怖主义的目的[84]等。
2023年6月14日,德国政府公布《德国综合安全—国家安全战略》(National Security Strategy: Integrated Security for Germany),该文件全面系统的分析了德国国家安全环境,并将“网络安全”作为国家安全的重点内容予以规制。《德国综合安全—国家安全战略》针对内外安全风险,具体从加强防护性、韧性和可持续性等三方面布局实施路径,在实操层面推进政策支撑和落实[85]。该战略还明确德国政府将特别提高有关当局和机构,尤其是情报部门网络安全方面的侦察和预警能力;加强德国联邦信息安全办公室的自主能力;并在提供关键基础设施企业与德国联邦信息技术安全局之间建立沟通渠道[86]。
此外,德国联邦信息技术安全局(Bundesamt für Sicherheit in der Informationstechnik,BSI)每年发布《德国网络安全年度报告》,分析总结针对德国国家机关、公共机构、企业及个人的各类网络攻击事件,并根据不同风险类型给出特定防范建议[87]。
3. 日本
依据2014年《网络安全基本法》(サイバーセキュリティ基本法)[88]第25条规定,日本内阁设立了网络安全战略本部,推动国家安全战略制定和实施的相关事项。
2022年5月11日,日本国会通过《关于通过实施整体经济政策措施推进确保安全保障的法律》(経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律)[89]。为确保日本关键基础设施的安全性和可靠性,对于该法第50条列举的供电、供气、石油储备、供水、通信、金融等行业中,运营重要社会基础设施如发生停止运作等情况则很有可能危害国家或国民安全的设施的经营者(“特定社会基础服务运营者”),该法要求该等特定社会基础服务运营者将某些重要设备的引进及委托维护等计划列为事前审查的对象,且重要设备的定义不仅包括有形的设备、机器,也涵盖了计算机程序,以呼应日本《网络安全战略》提出的加强关键基础设施运营商网络防御、态势感知能力的要求。
2022年12月,日本政府修订新版《国家安全保障战略》(国家安全保障戦略について)明确强化网络防御方针,研究引入“主动网络防御”及实现其实施所需的措施,强化日本全国网络安全能力[90]。
五、国家安全视角下的网络与数据安全合规建议
在国家安全视角下,企业保障网络与数据安全应守住合规红线。具体而言,我们建议企业充分考虑所在行业、所在领域的特殊性,结合网络与数据安全的基本制度要求与行业特殊规定,充分摸排、梳理公司内部数据情况、网络系统情况、数据服务器情况等,完成数据分类分级,并进行数据处理全生命周期管理。
通常情况下,企业可以通过建立网络与数据安全制度管理体系以及采取网络与数据安全技术保障措施两种路径,搭建企业内部网络安全与数据安全合规体系:
1. 建立网络与数据安全制度管理体系
根据我们的经验,企业可以通过建设内部网络与数据安全管理制度,有效降低内外部网络安全与数据安全风险,提高企业网络安全与数据安全合规能力。通常情况下,企业可以建立网络与数据安全管理基本制度,明确企业网络与数据安全的基本制度框架,以及企业内部网络与数据安全负责人,管理机构等。基于企业基本管理制度,企业应明确各典型数据处理流程(包括数据收集、存储、使用加工、提供、跨境传输、销毁、网络安全事件或数据安全事件应急响应等)的流程管控指引,形成典型数据处理流程的流程工具(如隐私政策模板、数据处理协议模板、跨境提供数据审批流程与工作职责、数据删除与销毁审批流程等)。企业还应遵循业务即合规的理念,企业通过网络与数据安全基本制度及一系列具体的流程管控指引,将合规嵌入企业具体业务之中,提升企业风险防范能力。
2. 强化网络安全与数据安全技术保障措施
网络与数据安全风险防范的技术措施主要包括识别、防护、检测、响应、恢复、反制与治理等环节。具体而言,除《个人信息保护法》《网络安全法》《信息安全技术 个人信息安全规范》(GB/T 35273-2020)等法律法规及国家标准明确提及的加密、去标识化、匿名化等技术措施外,企业还可采取脱敏技术、隐私计算技术、身份认证技术、威胁检测技术、流量检测技术、事件还原技术等技术措施防范相关环节的网络安全与数据安全风险。
针对与国家安全密切相关的CIIO等特殊主体,以及国家秘密、核心数据、重要数据等特定数据类型和存储该等数据的网络系统,应采取更为严格的制度管理与技术措施。
结语
随着网络和信息技术的快速发展,数据依托于网络空间,融于生产、分配、流通、消费和社会服务管理等各个环节,成为新型生产要素。网络与数据安全和经济发展、社会治理、人民生活等国计民生紧密联系。网络与数据安全是国家安全的重要组成部分,也是企业日常经营中面对的基本任务。在大国博弈、贸易摩擦日益频繁、地缘政治风险加剧的背景下,企业做好网络与数据安全的第一责任人,即是为筑牢国家安全防线贡献力量。
在总体国家安全观下,企业在建设完善网络与数据安全保障体系过程中,除了坚持合法合规为原则,还应放眼维护国家安全的战略高度,识别企业经营中的国家安全风险,筑牢风险防范壁垒,在发展中保安全,在安全中促发展,以高水平安全保障高质量发展。
感谢律师助理米华林、徐虹宇,实习生叶影、卢虹羽对本文作出的贡献。
下期预告:国家安全法律专题系列(四)——起底“商业间谍罪”:从商业秘密角度看国家安全风险防范
扫码订阅“金杜律师事务所”,了解更多业务资讯扫码订阅“金杜律师事务所”,了解更多业务资讯
《习近平总书记指引我国网络安全工作纪实》:http://www.xinhuanet.com/2022-09/28/c_1129038548.htm。
2014年4月15日,习近平总书记在中央国家安全委员会第一次会议上强调:http://www.xinhuanet.com/politics/xxjxs/2019-04/15/c_1124367882.htm。
《反间谍法》第4条。
《网络安全法》第76条。
《数据安全法》第3条。
《委内瑞拉电力系统再遭攻击》:http://www.xinhuanet.com/world/2019-03/26/c_1210092001.htm。
《油价上涨近10% 揭秘“网络黑客”如何攻击美国输油管道》:https://m.news.cctv.com/2021/05/14/ARTIa8ybzpLxSey69WntqGtw210514.shtml。
《管道巨头Transneft遭攻击 79GB数据泄露》:https://new.qq.com/rain/a/20220320A03OKD00。
《上海随申码数据泄露,4850万居民信息存在泄露风险》:https://www.163.com/dy/article/HFK1M7P40511BI8B.html。
《今天北京健康宝遭受网络攻击,源头来自境外,已有效处置》:http://www.news.cn/local/2022-04/28/c_1128605758.htm。
《国家安全机关公布一起为境外刺探、非法提供高铁数据的重要案件》:https://frjs.jschina.com.cn/31007/202204/t20220415_7504351.shtml。
《航空爱好者切莫变为“窃密志愿者”》:https://mp.weixin.qq.com/s/7HNLRAoAnOpv_i3Rd5xA4g。
《关基条例》第2条。
《关基条例》第12条。
《关基条例》第13条。
《关基条例》第14条、《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》第三(五)条。
《关基条例》第17条。
《关基条例》第18条。
《关基条例》第19条。
《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》第五(四)条。
《网络安全法》第37条;《数据出境安全评估办法》第4条。
《国家安全法》第59条。
关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
《网络安全审查办法》第5条。
《网络安全审查办法》第7条。
《网络安全审查办法》第16条。
《网络安全审查办法》第10条。
《数据安全法》第36条;《个人信息保护法》第41条。
《国家安全合规:对美数据被动出境场景分析与次生国家安全法律风险防范》,https://www.kwm.com/cn/zh/insights/latest-thinking/national-security-compliance-scenes-of-passive-data-transfer-to-the-us-and-legal-risks-prevention.html。
《数据安全法》第21条。
根据《数据安全法》第21条,关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。根据《数据出境安全评估办法》第十九条,重要数据,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。
《信息安全技术 重要数据识别规则(征求意见稿)》第4条(识别重要数据的基本原则)。
《信息安全技术 数据分类分级规范(征求意见稿)》第4条(基本原则)。
《工信数据管理办法》第7条。
《工信数据管理办法》第12条。
《工信数据管理办法》第14条。
《工信数据管理办法》第14条。
《工信数据管理办法》第15条。
《工信数据管理办法》第16条。
《工信数据管理办法》第17条。
《工信数据管理办法》第18条。
《工信数据管理办法》第23条。
《工信数据管理办法》第20条。
《工信数据管理办法》第21条。
《工信数据管理办法》第28条。
《工信数据管理办法》第24条。
《工信数据管理办法》第31条。
《气象资料共享管理办法》第3条。
《气象资料共享管理办法》第13条。
《涉外气象探测和资料管理办法》第5条。
《气象资料共享管理办法》第14条。
《国家安全机关会同有关部门开展涉外气象探测专项治理》:https://mp.weixin.qq.com/s/Jh89i4zfS2YlmiFnsuMXaQ。
《测绘法》第2条。
《测绘地理信息管理工作国家秘密目录》第10条及第24条。
《保守国家秘密法》第25条。
《测绘法》第47条。
《测绘成果管理条例》第18条。
《测绘法》第27条。
《关于促进智能网联汽车发展维护测绘地理信息安全的通知》第3条。
《关于促进智能网联汽车发展维护测绘地理信息安全的通知》第5条。
《数据出境安全评估办法》第4条。
《国家安全机关会同有关部门开展地理信息数据安全风险专项排查治理》:https://mp.weixin.qq.com/s/404yJjpaM7a6anAxE7FuFg。
《汽车数据管理规定》第3条。
《汽车数据管理规定》第10条。
《汽车数据管理规定》第12条。
《汽车数据管理规定》第13条、第14条。
《金融数据安全 数据安全分级指南》第3.10条金融数据。
《人类遗传资源管理条例》第2条;《人类遗传资源管理条例实施细则》第2条。
《人类遗传资源管理条例》第28条、《人类遗传资源管理条例实施细则》第36条。
《人类遗传资源管理条例》第28条、《人类遗传资源管理条例实施细则》第37条。
《人类遗传资源管理条例》第7条。
《人类遗传资源管理条例》第21条。
《人类遗传资源管理条例》第11条。
《关于加强境内企业境外发行证券和上市相关保密和档案管理工作的规定》第3条。
《关于加强境内企业境外发行证券和上市相关保密和档案管理工作的规定》第4条。
《人口健康信息管理办法(试行)》第10条。
张晓君:《数据主权规则建设的模式与借鉴——兼论中国数据主权的规则构建》,载《现代法学》。
National Security and Personal Data Protection Act of 2019,SEC. 2. DEFINITIONS,COUNTRY OF CONCERN。
National Security and Personal Data Protection Act of 2019,SEC. 2. DEFINITIONS,COVERED TECHNOLOGY COMPANY。
National Security and Personal Data Protection Act of 2019,SEC. 3. DATA SECURITY REQUIREMENTS FOR COVERED TECHNOLOGY COMPANIES。
Export Administration Regulations,第730、734条;Commerce Control List (CCL)。
Export Administration Regulations,第772.1条;Glossary of Export Control Terms:https://research.wustl.edu/glossary-export-control-terms/。
Second act on increasing the security of IT systems (German IT Security Act 2.0):https://www.bsi.bund.de/EN/Das-BSI/Auftrag/Gesetze-und-Verordungen/IT-SiG/2-0/it_sig_2-0.html。
German IT Security Act 2.0,第9b(3)条。
National Security Strategy: Integrated Security for Germany,第29-72页。
National Security Strategy: Integrated Security for Germany,第61页。
《德国首部国家安全战略的源起、内涵与展望》:https://mp.weixin.qq.com/s/13RBrna6qScncwZ5QaG0dA;2023年度的最新报告可通过以下链接获取:https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/Securitysituation/IT-Security-Situation-in-Germany-2023.pdf?__blob=publicationFile&v=8。
平成二十六年法律第百四号,《サイバーセキュリティ基本法》:https://elaws.e-gov.go.jp/document?lawid=426AC1000000104。
令和四年法律第四十三号,《経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律》:https://elaws.e-gov.go.jp/document?lawid=504AC0000000043。
令和四年12月16日 国家安全保障会議・閣議決定,《国家安全保障戦略について》第21-22页:https://www.cas.go.jp/jp/siryou/221216anzenhoshou/nss-j.pdf。
