某日午前,同事突然走过来,问:"那个,那个公司调查里常用的英文叫什么来着?就是那个在文件里遮挡敏感信息的英文。"马上,她就反应过来:"啊!我想起来了,叫'Redaction'。"转而,她就回去继续写文件去了……在合规和争议解决业务中,"Redaction"是法律顾问常用的文件编辑手段,指的是将文件中因种种原因不可向他方开示的敏感信息进行屏蔽/遮挡的过程。
最极端的例子,我们可以看一下2004年美国公民自由联盟诉雅斯科[1]一案中,因为美国政府断然要求原告保守政府秘密,在经过"去敏感信息化"涂黑以后,所公开的起诉状中的一页会是什么模样:
虽然这份除了段号以外"全黑"的起诉状的讽刺意味不言而喻,然而对于被调查公司、法律服务者及其他利益相关方来说,出于自我保护以及合法合规的原因,在调查过程中对敏感信息进行屏蔽工作的重要性也可见一斑。
近年来,随着跨境的公司调查越来越普遍,各国的执法机构及法律服务者对中国的法律环境也越来越熟悉。在中国开展公司调查,查什么、怎么查、查到什么程度在这些外国的调查参与方看来,已不再是隔靴搔痒,无所适从。在任何一项需要境内外多方合作的跨境公司调查中,各方需要共享的调查信息、资料不计其数。
那么,对于共同参与调查的中国法顾问而言,最重要的工作内容之一就是隔离在调查过程中发现的,可能涉及"国家秘密"的信息或资料。在获得有关主管部门的批准之前,这些信息或资料,既不能与境外人士、机构共享,更不能传递出境。[2]本着最大的谨慎及从严的态度,任何可能涉及"国家秘密"的潜在敏感信息都应该被截留在境内,对于那些因调查需要而不得不跨境分享的含有敏感信息的文件,我们都先把这些信息"涂黑",再把文件交给外方。
然而,在这些合规业界的从业常识之外,《网络安全法》(以下简称"《网安法》")的生效,无疑把去敏感信息的要求推向了新高度,仅仅重点关注隔离含有国家秘密的敏感信息已不能符合我国现行的法律规定,这也为跨境公司调查业务带来了新的挑战与机遇。在下一篇分享中,我们会详细讨论关键信息基础设施运营者的范围,而本文将从实务的角度,谈一下在公司调查中如何识别"重要数据"和"个人信息"的问题。
什么样的信息会是"重要数据"?
《网安法》作为高位立法,有关"重要数据"的规定很简洁:"关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。"[3]然而《网安法》下附则的各项定义之中却没有 "重要数据"的定义。对于"重要数据"仅仅规定了"境内存储"及"安全评估后可出境"为后《网安法》时代的实务操作带来了很大的不确定性。
而另一方面,国家互联网信息办公室(以下简称"网信办")牵头起草了《个人信息和重要数据出境安全评估办法(征求意见稿)》(征求意见截止至2017年5月11日)(以下简称"《评估办法》")。在该《评估办法》中,网信办不声不响地把对于"重要数据"负有境内存储及出境评估义务的对象从"关键信息基础设施的运营者"换成了"网络运营者。"[4]也就是说,《评估办法》一旦生效以后,判断被调查公司是否落入关键信息基础设施运营者的范围已不是重点,无论是网络的拥有者、管理者或是服务提供者,任何公司只要跟"网络"二字搭上关系,都极有可能被认定为网络运营者[5],因而负有对"重要数据"区别对待的法定义务。在《网安法》配套法规尚不成熟的当下,这样从严把握的观点我们已看到了众多共识。
所幸,该《评估办法》中还对 "重要数据"范围进行了定义与指引:重要数据,是指与国家安全、经济发展,以及社会公共利益密切相关的数据,具体范围参照国家有关标准和重要数据识别指南。[6]但是,什么才是"与国家安全、经济发展,以及社会公共利益密切相关的数据"呢?这些"重要数据"跟我们一直以来所隔离的"国家秘密"[7]有区别吗?
如果"重要数据"与"国家秘密"是两个概念,我们本能地认为他们应该是两个相包含的圆,即有些信息视其属性与内容,既符合"重要数据"的描述,又落入"国家秘密"的范畴。
然而,根据《评估办法》中所指的"国家有关标准和重要数据识别指南",全国信息安全标准化技术委员会组织起草了新的国家推荐性标准《信息安全技术 数据出境安全评估指南》(征求意见截止至2017年6月27日)(以下简称"《评估指南》")。《评估指南》在附录A中是这么概括定义重要数据的:
重要数据是指我国政府、企业、个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据),一旦未经授权披露、丢失、滥用、篡改或销毁,或汇聚、整合、分析后,可能造成以下后果:
(一)危害国家安全、国防利益,破坏国际关系;
(二)损害国家财产、社会公共利益和个人合法利益;
(三)影响国家预防和打击经济与军事间谍、政治渗透、有组织犯罪等;
(四)影响行政机关依法调查处理违法、渎职或涉嫌违法、渎职行为;
(五)干扰政府部门依法开展监督、管理、检查、审计等行政活动,妨碍政府部门履行职责;
(六)危害国家关键基础设施、关键信息基础设施、政府系统信息系统安全;
(七)影响或危害国家经济秩序和金融安全;
(八)可分析出国家秘密或敏感信息;
(九)影响或危害国家政治、国土、军事、经济、文化、社会、科技、信息、生态、资源、核设施等其它国家安全事项。
虽然"重要数据"划定的范围与"国家秘密"的范围似有重叠,但《评估指南》依然拟对"重要数据"之于"国家秘密"进行区分。简而言之,"重要数据"是在境内收集、产生的不涉及国家秘密的重要信息。所以两者的关系应该是两个相切的圆。
《评估指南》接着罗列了27类重要数据及其主管部门,包括:石油天然气、煤炭、石化、电力、通信、电子信息、钢铁、有色金属、装备制造、化学工业、国防军工、其他工业、地理信息、民用核设施、交通运输、邮政快递、水利、人口健康、金融、征信、食品药品、统计、气象、环境保护、广播电视、海洋环境、电子商务,及万能的兜底描述"其他"。
比如,我们在过去的内部调查过程中审阅过大量民用核设施的技术材料。我们认为这些技术材料含有关键能源设施的技术信息。首先这肯定是重要数据,而且这其中有可能含有"国民经济和社会发展中的秘密事项",还可能含有"科学技术中的秘密事项",为保险起见,作为潜在的"国家秘密"隔离在境内。
今后,我们对同样一份材料的理解可能就不一样了。第一,无论与我们的调查是否相关,如果该材料含有潜在的"国家秘密",这类潜在的"国家秘密"信息依然不能出境。第二,如果该材料与调查相关,且被认定为"非国家秘密",那么我们就能放心地提交出去了吗?根据《评估办法》及《评估指南》,境内收集和产生的重要数据默认应在境内存储,确须向境外提供的,须进行安全评估。数据及数据主体的情况较为简单的,可能自行组织安全评估就足够了。数据及其主体达到一定条件的,还要报请行业主管或监管部门组织安全评估工作。评估结果认定为不得出境的,我们依然要对相关信息进行屏蔽工作。
什么样的"个人信息"才是真正的"个人信息"?
接下来,我们先来设想一下在跨境调查中极有可能出现的情况:2017年6月1日,X国的Y执法机构要求中国的Z律师交出目前正在被调查的公司中若干员工的电话号码和电子邮箱地址。Z律师不迷糊,这在昨天还不是事儿,今天以后就是个问题了。
两高关于办理侵犯公民个人信息刑事案件的司法解释[8]说得很清楚:"公民个人信息",是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的"提供公民个人信息"。
《网安法》也说了:个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。未经被收集者同意,不得向他人提供个人信息。
这么一来,员工的电话号码和电子邮箱地址岂不是赫然在列?Z律师第一念头是建议找到这几位员工,请他们同意把他们的个人信息提供给Y执法机构。但要是他们不同意怎么办呢?那从今往后内部调查还能不能做了?公司内部调查的主要作用就是为了查明事实真相,搞清楚"Who, What, Why, When, Where, How"。难道今后我们提交的跨境公司调查报告中事实部分都写成下面这样?
2010年3月至2013年5月间,销售部门的你懂得,作为公司的你懂得岗位领导人员,为提高公司业绩,扩大公司产品市场份额,伙同公司的你懂得与你懂得一起向国有公司你懂得的你懂得行贿,意图获得交易机会。三年期间共为公司获利若干……
根据个人信息安全相关的中国法律法规,公司员工你懂得、你懂得及你懂得的姓名及其他个人信息,未经其本人同意,不能对外披露。
那么回到最初的问题,这些员工的电话号码和电子邮箱地址到底能不能交出去呢?我们倾向于认为,如果是员工的公司直线电话号码和公司电子邮箱地址(注意,我们说的不是员工的手机号和私人电子邮箱地址),基于如下几个理由未必属于个人信息:
- 就公司直线电话号码,甚至于公司在员工入职时派发的工作用手机号码和公司电子邮箱地址的属性而言,这些联系方式是为了员工的日常工作而设,理论上员工不应该也不会将这些联系方式与私生活所涉及的个人信息混同。
- 通常而言,公司会在员工入职时派发这些公司用联系方式。公司,而不是员工本人,才是这些联系方式真正的所有者、管理者。
- 为了日常业务推广之需要或其他正当理由,公司极有可能在未经过员工同意的情况下,公布该员工的工作用联系方式。这很难理解为两高刑法司法解释下的"未经被收集者同意,通过信息网络或者其他途径发布合法收集的公民个人信息"。
- 员工在离职时,通常无权拥有其在职期间的工作用联系方式。员工离职后,这些工作用联系方式应归还公司,由公司统一处置。
因此,能否向第三方披露中国境内任何自然人的个人信息,建议首先应查明有没有法律、行政法规、部门规章规定该信息不得被披露;如没有这样的禁止性规定,其次应审查该信息的属人性,即谁才是该信息的所有者及管理者;再问能不能从该信息的所有者及管理者处获得明示同意;最后,如果不能获得同意,那么能否在调查的查明事实需求与个人信息安全之间找到适当的平衡点。
当然,为了避免上述这样被动的情况出现,我们依然建议公司在员工入职时或其他适当时机,提前取得员工的明示同意,允许公司在必要时向第三方披露其姓名、职位、公司电话、公司电子邮箱等与公司相关的个人一般信息,同时也向员工承诺他们的个人信息安全,比如公司在雇佣关系存续期间掌握的任何员工个人敏感信息都作为公司的保密信息,不会在员工给出特别授权前提供给任何第三方。
最后,用一句套话来概括我们的日常工作就是:没有一刀切的解决办法,遇到问题永远需要"具体问题具体分析"。
[1]American Civil Liberties Union v. Ashcroft (filed April 9, 2004 in the United States).
[2]《保守国家秘密法》(2010修订)第二十五条 机关、单位应当加强对国家秘密载体的管理,任何组织和个人不得有下列行为:
(四)邮寄、托运国家秘密载体出境;
(五)未经有关主管部门批准,携带、传递国家秘密载体出境。
第二十六条 禁止非法复制、记录、存储国家秘密。
禁止在互联网及其他公共信息网络或者未采取保密措施的有线和无线通信中传递国家秘密。
禁止在私人交往和通信中涉及国家秘密。
第四十八条 违反本法规定,有下列行为之一的,依法给予处分;构成犯罪的,依法追究刑事责任:
(四)邮寄、托运国家秘密载体出境,或者未经有关主管部门批准,携带、传递国家秘密载体出境的。
[3]《网安法》第三十七条。
[4]《评估办法》第二条。
[5]《网安法》第七十六条 本法下列用语的含义:
(一)网络,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。
(三)网络运营者,是指网络的所有者、管理者和网络服务提供者。
《评估办法》第十七条 网络运营者,是指网络的所有者、管理者和网络服务提供者。
[6]《评估办法》第十七条。
[7]《保守国家秘密法》(2010修订)第九条 下列涉及国家安全和利益的事项,泄露后可能损害国家在政治、经济、国防、外交等领域的安全和利益的,应当确定为国家秘密:
(一)国家事务重大决策中的秘密事项;
(二)国防建设和武装力量活动中的秘密事项;
(三)外交和外事活动中的秘密事项以及对外承担保密义务的秘密事项;
(四)国民经济和社会发展中的秘密事项;
(五)科学技术中的秘密事项;
(六)维护国家安全活动和追查刑事犯罪中的秘密事项;
(七)经国家保密行政管理部门确定的其他秘密事项。
政党的秘密事项中符合前款规定的,属于国家秘密。
[8]《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(2017年6月1日施行)
