通力法评 | 从人类遗传资源出境案评中国数据出境审查制度
作者:通力律师事务所 潘永建 | 洪馨
注: 本篇文章独家授权威科先行法律信息库发布, 未经许可, 不得转载。
2018年10月24日, 中华人民共和国科学技术部(以下简称“科技部”)首次在其网站上公示了六则涉及人类遗传资源采集、收集、买卖、出口、出境审批的行政处罚。这六则行政处罚实则涉及三起案例, 其中两起涉及人类遗传资源出境的处罚分别在2015年和2016年作出。根据科技部的公示, 某公司(以下简称“涉案公司”)和某医院(以下简称“涉案医院”)未经许可, 与英国牛津大学开展“中国女性单相抑郁症的大样本病例对照研究”的中国人类遗传资源国际合作研究, 且涉案公司和涉案医院未经许可将部分人类遗传资源信息从网上传递出境。2015年,科技部对此向涉案公司和涉案医院作出行政处罚: 停止该项研究; 销毁尚未出境的遗传资源材料及研究数据; 停止涉及我国人类遗传资源的国际合作, 整改验收合格后, 再行开展。
该事件经新闻媒体曝出后引起普遍关注, 有媒体称本案是《网络安全法》(以下简称“网安法”)实施后数据出境执法第一案。事实上, 该案系网安法颁布之前的旧案, 且数据出境审查制度并非网安法规定的一项新制度。在网安法颁布之前, 中国法律已对若干特殊类型的数据出境设置了限制或禁止性规定, 而网安法及其配套法规对原制度做出了扩大及细化规定。本文拟从网安法之前的数据出境制度、网安法的相关制度与发展趋势三个阶段评析中国数据出境管理制度。
一、网安法前制度
(一) 人类遗传资源出境之限制
本案中, 科技部作出处罚的主要依据是1998年由国务院发布的《人类遗传资源管理暂行办法》(“《暂行办法》”)。根据《暂行办法》, “人类遗传资源”是指, 含有人体基因组、基因及其产物的器官、组织、细胞、血液、制备物、重组脱氧核糖核酸(DNA)构建体等遗传材料及相关的信息资料[1]。现实中, 医药研发、生产和经营企业的日常活动经常性地会涉及人类遗传资源的采集、收集、使用和转移。人类遗传资源的主管部门是中国人类遗传资源管理办公室(“遗传办”), 由科技部和卫生部联合成立[2]。国家严格控制重要人类遗传资源的出口、出境和对外提供[3]:
(1) 对于重要遗传家系[4]和特定地区遗传资源[5], 国家实行申报登记制度, 任何单位和个人未经遗传办的许可, 不得擅自出口、出境或以其他形式对外提供[6]。通过审批的, 由遗传办颁发《中国人类遗传资源的采集、收集、买卖、出口、出境审批书》以及《中国人类遗传资源材料出口、出境证明》。
(2) 携带、邮寄、运输人类遗传资源出口、出境时, 应如实向海关申报, 海关凭遗传办核发的《中国人类遗传资源材料出口、出境证明》予以放行[7]。
(二) 其他特殊类型数据的出境限制
除人类遗传资源信息之外, 在网安法出台之前, 若干法律法规已经对特殊类型的数据提出了数据本地化储存和限制数据出境的要求。例如:
(1) 国家秘密: 是指关系国家安全和利益, 依照法定程序确定, 在一定时间内只限一定范围的人员知悉的事项[8]。任何组织和个人不得邮寄、托运国家秘密载体出境, 或者未经有关主管部门批准, 携带、传递国家秘密载体出境[9]。
(2) 国家情报: 是指关系国家安全和利益、尚未公开或者依照有关规定不应公开的事项[10]。若为境外机构、组织、人员窃取、刺探、收买、非法提供国家秘密之外的情报, 将被以为境外窃取、刺探、收买、非法提供情报罪定罪处罚[11]。
(3) 人口健康信息: 是指各级各类医疗卫生计生服务机构在服务和管理过程中产生的人口基本信息、医疗卫生服务信息等人口健康信息[12], 其不得在境外的服务器中存储[13]。
(4) 征信机构在中国境内采集的信息: 其储存应当在中国境内进行。征信机构向境外组织或者个人提供信息, 应当遵守法律、行政法规和国务院征信业监督管理部门的有关规定[14]。
(5) 银行业金融机构在中国境内收集的个人金融信息: 其储存应当在中国境内进行。除法律法规及中国人民银行另有规定外, 银行业金融机构不得向境外提供境内个人金融信息[15]。
(6) 境外发行证券与上市过程中, 提供相关证券服务的证券公司、证券服务机构在境内形成的工作底稿等档案: 其储存应当在中国境内进行。工作底稿涉及国家秘密、国家安全或者重大利益的, 未经有关主管部门批准, 不得将其携带、寄运至境外或者通过信息技术等任何手段传递给境外机构或者个人[16]。
(7) 为执行石油合同所取得的各项石油作业的数据、记录、样品、凭证和其他原始资料: 其所有权属于中国海洋石油总公司, 且其运出、传送出中华人民共和国, 都必须按照国家有关规定执行[17]。
(8) 网约车平台公司所采集的个人信息和生成的业务数据: 其储存应当在中国境内进行。除法律法规另有规定外, 上述信息和数据不得外流[18]。
二、网安法制度
网安法颁布之后, 明确要求关键信息基础设施的运营者在将其中国境内运营中收集和产生的个人信息和重要数据在境内储存。因业务需要, 确需向境外提供的, 应当进行安全评估[19]。
(一) 适用主体
作为网安法的配套法律, 《个人信息和重要数据出境安全评估办法(征求意见稿)》(以下简称“《评估办法》”)扩大了规制数据出境的主体, 由“关键基础信息设施运营者”扩大至所有的“网络运营者”。如果最终生效的《评估办法》仍沿用征求意见稿中的表述, 所有网络运营者均将受到数据出境的限制。
(二) 数据类型
网安法和《评估办法》对于数据出境限制的客体对象的规定是一致的, 均为“在中华人民共和国境内运营中收集和产生”, 且“确需向境外提供”的“个人信息及重要数据”。
其中, “个人信息”已由网安法第七十六条作出明确定义, 但“重要数据”的界定还需参照推荐性国标《信息安全技术 数据出境安全评估指南(征求意见稿)》(以下简称“《评估指南》”)。该指南列明26个不同行业(领域)重要数据判定的主管部门, 并列举了重要数据的类型, 具有重要参考价值。企业可以根据其所处的行业(领域)、业务所涉猎的行业(领域)、业务规模、所收集的数据类型、体量、性质, 综合判断其运营过程中收集、产生的数据是否属于重要数据。在需要的情况下, 可以通过与行业主管部门积极沟通, 有效地识别重要数据。
(三) 数据出境的前提条件
《评估办法》明确规定了数据出境的三种限制条件[20]:
(1) 个人同意。个人信息出境的, 网络运营者应当向个人信息主体说明出境的“目的、范围、内容、接受方以及接收方所在的国家或地区”, 并经其“同意”[21], 且不得“侵害个人利益”。
(2) 国家安全和公共利益。数据出境如果会“给国家政治、经济、科技、国防等安全带来风险”, 且“可能影响国家安全、损害公共利益”, 则不得出境。
(3) 安全风险认定。其他数据“经国家网信部门、公安部门、安全部门等有关部门认定不能出境的”, 则不得出境。
(四) 数据出境的安全评估
《评估办法》将安全评估大致分为以下三类:
(1) 自行评估[22]。一般情况下, 所有网络运营者应在数据出境前, 自行组织对数据出境进行安全评估, 并对评估结果负责。网络运营者每年对数据出境至少进行一次安全评估, 并及时将评估情况报行业主管或监管部门[23]。
(2) 行业主管或监管进行评估[24]。出境数据存在以下情况之一的, 网络运营者应报请行业主管或监管部门组织安全评估[25]:
(a) 含有或累计含有50万人以上的个人信息;
(b) 数据量超过1000GB;
(c) 包含核设施、化学生物、国防军工、人口健康等领域数据, 大型工程活动、海洋环境以及敏感地理信息数据等;
(d) 包含关键信息基础设施的系统漏洞、安全防护等网络安全信息;
(e) 关键信息基础设施运营者向境外提供个人信息和重要数据;
(f) 其他可能影响国家安全和社会公共利益, 行业主管或监管部门认为应该评估。
(3) 行业主管或监管部门不明确的, 由国家网信部门组织评估[26]。
根据《评估办法》, 数据出境安全评估的重点内容主要有[27]:
(1) 数据出境的必要性;
(2) 涉及个人信息情况, 包括个人信息的数量、范围、类型、敏感程度, 以及个人信息主体是否同意其个人信息出境等;
(3) 涉及重要数据情况, 包括重要数据的数量、范围、类型及其敏感程度等;
(4) 数据接收方的安全保护措施、能力和水平, 以及所在国家和地区的网络安全环境等;
(5) 数据出境及再转移后被泄露、毁损、篡改、滥用等风险;
(6) 数据出境及出境数据汇聚可能对国家安全、社会公共利益、个人合法利益带来的风险。
值得注意的是, 如果数据接收方发生变更、数据出境目的、范围、数量或类型发生较大变化时, 或者数据接收方或出境数据发生重大安全事件时, 应及时重新进行安全评估[28]。
三、发展趋势
正如前文所述, 《评估办法》征求意见稿扩大了规制数据出境的主体, 由“关键基础信息设施运营者”扩大至所有的“网络运营者”。由于《评估办法》至今尚未公布, 数据出境制度的适用主体及如何实施存在不确定性。笔者整理了近期国内外公布的数据本地存储和出境相关制度, 以期为预测中国数据出境审查制度的落地提供一些线索。
从国际上看, 数据已成为社会发展的重要战略资源, 国家间对数据资源的争夺日趋激烈, 强化数据本地化存储或赋予本国政府对境外数据调取日渐普遍。例如, 美国2018年通过的《澄清域外合法使用数据法》(Clarifying Lawful Overseas Use of Data Act, CLOUD Act)赋予了美国调取存储在美国境外的数据的权力; 欧盟亦在积极考虑立法, 要求欧盟境内的公司有义务向监管部门提交其存储在欧盟境外服务器的客户个人信息[29]; 印度储备银行(Reserve Bank of India)颁布规章, 要求全球支付公司自2018年10月15日起必须将印度客户的交易数据留存在印度本国境内[30]。
在国内, 2018年10月26日, 十三届全国人大常委会第六次会议表决通过了《国际刑事司法协助法》, 该法第四条规定, “中华人民共和国和外国按照平等互惠原则开展国际刑事司法协助。……非经中华人民共和国主管机关同意, 外国机构、组织和个人不得在中华人民共和国境内进行本法规定的刑事诉讼活动, 中华人民共和国境内的机构、组织和个人不得向外国提供证据材料和本法规定的协助。”某种意义上, 该规定是我国应对CLOUD Act域外效力的反制措施; 2018年10月30日, 海关总署、科技部发布公告称, 自2018年11月1日起, 海关总署、科技部将共同启动《人类遗传资源材料出口、出境证明》电子数据与出口货物报关单电子数据的联网核查工作。科技部签发《人类遗传资源材料出口、出境证明》后, 该证明文件的电子数据将实时地传输至海关, 以便海关在通关环节进行比对核查。此举将使海关对人类遗传资源的出口、出境核查变得更为高效, 也有助于我国加强对人类遗传资源这类数据的控制权。
尽管我国法律关于数据本地化存储、限制数据出境等法规的未来发展存在一定的不确定性, 但从境内外法规和执法实践看, 我国数据出境限制审查有日趋严格之势。在此形势下, 有数据出境需求的企业宜未雨绸缪, 提前做好出境数据梳理和审查的准备工作。
【注释】
[1] 《人类遗传资源管理暂行办法》第二条。
[2] 《人类遗传资源管理暂行办法》第七条。
[3] 《人类遗传资源管理暂行办法》第十四条。
[4] 重要遗传家系人类遗传资源包括但不限于: 遗传性疾病或特定体质特征发生在家族式的(2代及以上)、有血缘关系的群体的遗传资源, 如哮喘、癌症等多发疾病。
[5] 特定地区人群遗传资源包括但不限于: 特殊环境下长期生活, 并且在体质特征或生理特征方面有适应性性状发生的人群遗传资源, 如地理隔离人群(海岛和陆岛人群、处于地理隔离的少数民族聚居群体等)。
[6] 《人类遗传资源管理暂行办法》第四条。
[7] 《人类遗传资源管理暂行办法》第十六条。
[8] 《保守国家秘密法》第二条。
[9] 《保守国家秘密法》第二十五条第(四)(五)款。
[10] 《最高人民法院关于审理为境外窃取、刺探、收买、非法提供国家秘密、情报案件具体应用法律若干问题的解释》第一条。
[11] 《刑法》第一百一十一条。
[12] 《人口健康信息管理办法(试行)》第三条。
[13] 《人口健康信息管理办法(试行)》第十条。
[14] 《征信业管理条例》第二十四条。
[15] 《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》第六条。
[16] 《关于加强在境外发行证券与上市相关保密和档案管理工作的规定》第六条。
[17] 《中华人民共和国对外合作开采海洋石油资源条例》第二十一条。
[18] 《网络预约出租汽车经营服务管理暂行办法》第二十七条。
[19] 《网络安全法》第三十七条。
[20] 《评估办法》第十一条。
[21] 《评估办法》第四条。
[22] 《评估办法》第七条。
[23] 《评估办法》第十二条。
[24] 《评估办法》第六条。
[25] 《评估办法》第九条。
[26] 《评估办法》第十一条。
[27] 《评估办法》第八条。
[28] 《评估办法》第十二条。
[29] Europe seeks power to seize overseas data in challenge to tech giants, https://finance.yahoo.com/news/europe-seeks-power-seize-overseas-083505598.html, 最后访问日期2018年11月3日。
[30] RBI's local data storage norms kick in today; foreign firms seek more time, https://www.businesstoday.in/current/corporate/rbi-local-data-storage-norms-kick-in-today-firms-seek-more-time/story/285101.html, 最后访问日期2018年11月3日。
联系人:
✎ 往期分享
通力法律评述 | 跨国公司合规政策在本地的适用——以FCPA和中国法为视角 (中文版)
通力法律评述 | (中文版) 跨国公司反腐败合规政策难点分析
通力法律评述 | 第三方商业合规管理实务谈
通力法评 | 社交媒体的使用风险分析及应对政策(上)
通力法评 | 社交媒体的使用风险分析及应对政策(下)
威科专栏丨投标方的主要合规风险分析
威科专栏丨招标方的主要合规风险分析
长按下图识别二维码关注我们
© 通力律师事务所
本微信所刊登的文章仅代表作者本人观点, 不代表通力律师事务所的法律意见或建议。我们明示不对任何依赖该等文章的任何内容而采取或不采取行动所导致的后果承担责任。如需转载或引用该等文章的任何内容, 请注明出处。