网络安全法:中国铸就网络安全新长城

数字化战略 2017年 09月 28日

2017年6月,新近出台的中国网络安全法正式生效。该项法律细化了个人信息保护和相关制裁的规定,确立了跨境数据传输规则,并规范了网络运营商在国内网络空间的权利和义务,还就众多在国内运营的本土企业和跨国公司在数据使用方面提出了明确的指导方针。西方跨国品牌和技术公司是否该因这一新法的出台而感到担忧呢?

中国网络空间数据管理不再是灰色地带

此第一部网络安全法规范了旧的规定和义务,将其转变为实际法律,并明确了网络运营者的义务,即要保证其网络产品和服务的安全性。如发现安全缺陷等风险,供应者须立即采取补救措施。该项法律也直接向运营者提出了具体的要求,包括网络运行纪录、数据分类、数据加密和相关网络日志保存不少于六个月等。

上述“网络运营者”具体指哪些人?

“网络运营者”是指包括电信公司在内的网络所有者和管理者,以及使用他人所有和管理的网络以提供包括信息在内等相关服务的网络服务提供者。持有 ICP(互联网内容提供商)许可证的商业网站,如电子商务平台,和有ICP备案纪录的商业网站,如品牌官网和在线新闻网站,均为网络运营者。

保护个人信息是该网络法的重要组成部分

中国互联网协会发布的《中国网民权益保护调查报告2016》显示,近一年来经估算,我国6.88亿网民因垃圾短信、诈骗信息、个人信息泄露等造成的经济损失达915亿元。个人信息保护已成当务之急。该项法律的出台并重点突出个人信息保护皆源于此前一件丑闻诈骗案。案件中,一名中国大学生因个人信息遭泄漏而上当受骗,随后心脏病突发而死。

该部法律虽未明确界定何为“个人信息”,但通常其所指即为个人身份信息,类似于西方观念中的“个人身份信息 (PII)”。这一新法律提出使用个人信息应当遵循“合法、正当、必要”的原则,并严格限制收集、转让和使用网络运营者采集的用户个人信息。

  • 正当性和必要性:不得收集与所提供的服务无关的个人信息;
  • 合法性:不得违法违规收集个人信息;
  • 严格保密性:严禁泄漏或损毁个人信息;
  • 事先同意:运营者需获得相关个人同意后才可收集个人信息或与第三方共享收集到的个人信息;
  • 制裁:未能执行网络安全保护标准的运营者可能会面临最高金额达一百万元的罚款(约十三万欧元)。

经历了此前学生受骗致死的事件后,中国政府成立了专案组调查这个日益严重的个人信息泄漏问题。许多大数据公司涉事其中,因为它们可能都曾有过违规操作的行为。就在该网络安全法生效前,一家上市大数据公司(数据堂)的副总裁被拘捕并接受调查。

免费数据时代已结束?

有关跨境数据传输的新规定使所有在华运营的跨国企业深表忧虑。该部法律规定“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储”。上述条款引发诸多讨论,众多企业紧张不已。中共中央网络安全和信息化领导小组办公室发言人澄清了这一争议,“跨境数据传输并不是被禁,而是要提前获得政府批准和用户同意之后才可以实施”。虽然有些跨国企业就这些最新条款表达了抗议,但不可否认,司法界已探讨跨境数据传输多年,西方国家尤为如此。早在2009年,欧盟通过了著名的《电子隐私指令》第四版,提出了类似于国内数据传输授权同意的原则。目前,《欧美隐私保护框架》允许美国企业跨境运营数据服务,只要其跨大西洋数据交换不违反欧盟和瑞士隐私法即可。

新的数据存储规定可能会对在华众多跨国团体的数据策略和组织构架产生深刻影响。包括苹果在内的许多大型技术公司迅速调整其合规策略。最近,苹果宣布将在贵州省创成立新的 iCloud 数据中心,这意味着中国苹果用户的 iCloud 数据最终会在中国境内储存。

中国网络安全法根据本国具体国情制定,旨在适应不断发展的数字信息社会。消费者数据对各种商业活动的重要性愈发凸显,企业做出战略决策、开发产品、有效开展市场营销和销售活动都要依赖消费者数据信息。众多像宝洁(P&G)这样的跨国企业自上世纪八十年代在华开展业务以来,30年间教会了中国企业要以数据为依据做决策。这一期待已久的数据法也为在数字空间运营的竞争者们踏上新赛道铺平了道路。过去几个月里,我们目睹许多跨国企业快速反应,以适应这一新法律,上文提及的苹果公司就是其中之一。五十五数据公司是一家专门从事数据咨询的企业,我们助力各品牌在华运营,为其定制开发有效的数字数据策略,并融入其全球客户战略。联系我们,即刻助您取得成功,打造长期数据资产,推动您在华业务的增长。

还想再来一杯茶吗?