?

?

即使對(duì)于存儲(chǔ)在美國境外服務(wù)器上的信息，美國執(zhí)法機(jī)構(gòu)仍有權(quán)要求美國服務(wù)商提供，除非（1）所涉用戶不是美國人士且不居住在美國，（2）服務(wù)器所在國與美國簽署了云法案所要求的數(shù)據(jù)信息獲取的相關(guān)協(xié)定，且（3）服務(wù)商直接提供信息將造成違反服務(wù)器所在國法律的重大風(fēng)險(xiǎn)。云法案希望促使其他國家與美國簽署信息獲取的協(xié)定，而在沒有這種協(xié)定的情況下，云法案則授權(quán)美國司法機(jī)構(gòu)通過對(duì)美國運(yùn)營(yíng)商執(zhí)法獲取其存儲(chǔ)在美國境外的信息[1]。也就是說，云法案在一定條件下將美國執(zhí)法機(jī)構(gòu)獲取信息的權(quán)力延展到了美國境外。?

?

如何在網(wǎng)絡(luò)時(shí)代看待云端數(shù)據(jù)、云服務(wù)提供商、以及國家主權(quán)和司法管轄權(quán)的邊界，是一個(gè)全新的問題，微軟郵件信息案也因此轟動(dòng)一時(shí)。在這方面，我國早在1996年就發(fā)布了《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》。2015年的《國家安全法》明確提出要"維護(hù)國家網(wǎng)絡(luò)空間主權(quán)、安全和發(fā)展利益"。2017年6月我國實(shí)施了《網(wǎng)絡(luò)安全法》，其目的就是"保障網(wǎng)絡(luò)安全，維護(hù)網(wǎng)絡(luò)空間主權(quán)和國家安全、社會(huì)公共利益，保護(hù)公民、法人和其他組織的合法權(quán)益，促進(jìn)經(jīng)濟(jì)社會(huì)信息化健康發(fā)展"。

?

《網(wǎng)絡(luò)安全法》第三十七條規(guī)定："關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國家網(wǎng)信部門會(huì)同國務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評(píng)估。"2017年4月，國家互聯(lián)網(wǎng)信息辦公室公布了《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法（征求意見稿）》（下稱"《評(píng)估辦法》"），更是將《網(wǎng)絡(luò)安全法》中對(duì)"關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者"的安全評(píng)估要求擴(kuò)大到所有"網(wǎng)絡(luò)運(yùn)營(yíng)者"（指"網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者"）。

?

《網(wǎng)絡(luò)安全法》從兩方面做了原則性的規(guī)定：

?

一方面羅列了公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等特定行業(yè)和領(lǐng)域；

?

另一方面則通過危害后果加以界定，即一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益。

?

此前，國家網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室于2016年6月公布的《國家網(wǎng)絡(luò)安全檢查操作指南》規(guī)定：

?

?

網(wǎng)站類

如黨政機(jī)關(guān)網(wǎng)站、企事業(yè)單位網(wǎng)站、新聞網(wǎng)站等；

?

平臺(tái)類

如即時(shí)通信、網(wǎng)上購物、網(wǎng)上支付、搜索引擎、電子郵件、論壇、地圖、音視頻等網(wǎng)絡(luò)服務(wù)平臺(tái)；

?

生產(chǎn)業(yè)務(wù)類

如辦公和業(yè)務(wù)系統(tǒng)、工業(yè)控制系統(tǒng)、大型數(shù)據(jù)中心、云計(jì)算平臺(tái)、電視轉(zhuǎn)播系統(tǒng)等。

?

2017年7月國家互聯(lián)網(wǎng)信息辦公室公布的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見稿）》則規(guī)定：

可見，這些法律和規(guī)定都是從所涉行業(yè)和危害后果兩方面對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施加以界定的。

?

盡管上述法律和規(guī)定中對(duì)于"關(guān)鍵信息基礎(chǔ)設(shè)施"的表述不盡相同，也都存在一定的模糊性，但如果用來分析微軟郵件信息案，微軟向用戶提供的網(wǎng)絡(luò)郵件服務(wù)很可能會(huì)落入其中列舉的行業(yè)范疇[2]，如果它被大量用戶使用，也就可能因此被認(rèn)定為一旦遭到破壞或數(shù)據(jù)泄露會(huì)造成嚴(yán)重危害，從而構(gòu)成"關(guān)鍵信息基礎(chǔ)設(shè)施"，使得相關(guān)信息出境需要進(jìn)行《網(wǎng)絡(luò)安全法》所規(guī)定的安全評(píng)估。此外，如果被認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施，其運(yùn)營(yíng)者還將承擔(dān)其他一系列的義務(wù)，包括系統(tǒng)建設(shè)、安全保護(hù)、采購中的安全審查和保密、以及年度安全檢測(cè)評(píng)估等方面。

?

當(dāng)然，如果《評(píng)估辦法》按現(xiàn)行的版本實(shí)施，對(duì)數(shù)據(jù)出境的安全評(píng)估將適用于任何"網(wǎng)絡(luò)運(yùn)營(yíng)者"，而不限于"關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者"?！对u(píng)估辦法》還進(jìn)一步明確了有關(guān)數(shù)據(jù)出境安全評(píng)估的兩個(gè)關(guān)鍵問題：

?

《評(píng)估辦法》羅列了應(yīng)重點(diǎn)評(píng)估的內(nèi)容，包含了數(shù)據(jù)出境的必要性，涉及的個(gè)人信息或重要數(shù)據(jù)的數(shù)量、范圍、類型、敏感程度，以及數(shù)據(jù)出境可能帶來的風(fēng)險(xiǎn)等。

?

網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)在數(shù)據(jù)出境前，首先自行進(jìn)行安全評(píng)估。如果擬出境數(shù)據(jù)數(shù)量或涉及人數(shù)達(dá)到一定規(guī)模、或涉及敏感領(lǐng)域或網(wǎng)絡(luò)安全防護(hù)，或存在其他可能影響國家安全和社會(huì)公共利益的情形，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)報(bào)請(qǐng)行業(yè)主管或監(jiān)管部門組織安全評(píng)估。特別地，《評(píng)估辦法》規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者向境外提供個(gè)人信息和重要數(shù)據(jù)應(yīng)報(bào)請(qǐng)行業(yè)主管或監(jiān)管部門組織安全評(píng)估。也就是說，如果微軟郵件信息案中向用戶提供的網(wǎng)絡(luò)郵件服務(wù)被認(rèn)定為"關(guān)鍵信息基礎(chǔ)設(shè)施"，則用戶郵件信息的出境應(yīng)經(jīng)行業(yè)主管或監(jiān)管部門的安全評(píng)估。

?

對(duì)于安全評(píng)估的具體操作，2017年8月全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布的《信息安全技術(shù) 數(shù)據(jù)出境安全評(píng)估指南（征求意見稿）》（下稱"《評(píng)估指南》"），給出了更詳細(xì)的指引，且分別對(duì)安全自評(píng)估及主管部門評(píng)估的流程進(jìn)行了描述。

?

凡是涉及數(shù)據(jù)出境的，網(wǎng)絡(luò)運(yùn)營(yíng)者即應(yīng)開展安全自評(píng)估。安全自評(píng)估的主要流程可參見下圖：??

?

具有下列情形之一的，國家網(wǎng)信部門、行業(yè)主管部門可啟動(dòng)主管部門評(píng)估：

?

（1）一年內(nèi)出境的個(gè)人信息數(shù)量達(dá)到國家網(wǎng)信部門、行業(yè)主管部門上報(bào)要求的；

?

（2）包含核設(shè)施、生物化學(xué)、國防軍工、人口健康等領(lǐng)域數(shù)據(jù)，大型工程活動(dòng)、海洋環(huán)境、敏感地理信息數(shù)據(jù)，以及其他重要數(shù)據(jù)的；

?

（3）涉及關(guān)鍵信息基礎(chǔ)設(shè)施的安全缺陷、具體安全防護(hù)措施等網(wǎng)絡(luò)安全信息的；

?

（4）關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)者數(shù)據(jù)出境的；

?

（5）其他可能影響國家安全、經(jīng)濟(jì)發(fā)展和社會(huì)公共利益的；

?

（6）大量用戶投訴、舉報(bào)的；

?

（7）全國性行業(yè)協(xié)會(huì)建議的。主管部門評(píng)估的主要流程可參見下圖：

?

微軟郵件信息案和云法案受到廣泛關(guān)注，也提高了對(duì)數(shù)據(jù)保護(hù)和網(wǎng)絡(luò)主權(quán)問題的敏感和重視。前不久，在中國注冊(cè)的蘋果手機(jī)用戶紛紛收到iCloud服務(wù)變更的提醒，自2018年2月28日起該服務(wù)將改由國有獨(dú)資的云上貴州大數(shù)據(jù)產(chǎn)業(yè)發(fā)展有限公司運(yùn)營(yíng)。在各國加強(qiáng)保護(hù)網(wǎng)絡(luò)安全和數(shù)據(jù)資源的大勢(shì)下，企業(yè)尤其是跨境運(yùn)營(yíng)企業(yè)在數(shù)據(jù)采集、保護(hù)、存儲(chǔ)和傳輸?shù)确矫嫘枰鼮閷徤鳌?/p>

?

近期一系列新規(guī)的出臺(tái)和征求意見稿的公布，使得我國有關(guān)網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)的法律體系日趨完善。筆者認(rèn)為，監(jiān)管部門在制定相關(guān)規(guī)定時(shí)，應(yīng)盡可能清晰明確，以成為企業(yè)合規(guī)運(yùn)營(yíng)的可靠指導(dǎo)；而且，在推進(jìn)網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)的同時(shí)，也應(yīng)考慮商業(yè)便利和營(yíng)商成本的因素，找到合理的平衡點(diǎn)。

?

截止發(fā)稿日，筆者將與個(gè)人信息和數(shù)據(jù)出境比較相關(guān)的法律法規(guī)都總結(jié)在這兒了！不用謝！

?

注：

?