按照中國最新的《數據安全法》和《個人信息保護法》,未來伺服器設在境外,也無法保證業者不會將使用者資料回傳中國。(pixabay)
當人們還在關注中國最大的叫車平台「滴滴出行」赴美上市,因中國政府「資安」和「網安」指控而股價重摔,擔憂著其他科技產業是否連帶受影響的時候,中國人大會議已在6月底通過《數據安全法》(下稱《數安法》,8月20日再通過《個人信息保護法》(下稱《個保法》),雙雙號稱對數據和個人資料提供了最嚴密的保障。
這兩套法律確實對數據安全、個資保護的監管嚴格、要求也很高,但它們更有幾個共通點:
第一是「管到境外的組織、個人和活動」:如《數安法》裡面第二條寫著:「在中華人民共和國境內開展資料處理活動及其安全監管,適用本法。在中華人民共和國境外開展資料處理活動,損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的,依法追究法律責任。」
而《個保法》,第三條同樣提到:「在中華人民共和國境內處理自然人個人信息的活動,適用本法。在中華人民共和國境外處理中華人民共和國境內自然人個人信息的活動,有下列情形之一的,也適用本法︰
(一)以向境內自然人提供產品或者服務為目的;
(二)分析、評估境內自然人的行為;
(三)法律、行政法規規定的其他情形。」
《個保法》第四十二條:「境外的組織、個人從事侵害中華人民共和國公民的個人信息權益,或者危害中華人民共和國國家安全、公共利益的個人信息處理活動的,國家網信部門可以將其列入限制或者禁止個人信息提供清單,予以公告,並采取限制或者禁止向其提供個人信息等措施。」
其次是「資料原則都要留在中國境內、資料出境必須例外核准」:例如《個保法》第三十八條要求由網信部門把關:「個人信息處理者因業務等需要,確需向中華人民共和國境外提供個人信息的,應當具備下列條件之一︰
(一)依照本法第四十條的規定通過國家網信部門組織的安全評估;
(二)按照國家網信部門的規定經專業機構進行個人信息保護認證;
(三)按照國家網信部門制定的標準合同與境外接收方訂立合同,約定雙方的權利和義務;
(四)法律、行政法規或者國家網信部門規定的其他條件。
《數安法》第三十一條:「關鍵資訊基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要資料的出境安全管理,適用《中華人民共和國網路安全法》的規定;其他資料處理者在中華人民共和國境內運營中收集和產生的重要資料的出境安全管理辦法,由國家網信部門會同國務院有關部門制定。」
《數安法》第四十條,關鍵資料基礎設施經營者和一定規模以上的個資處理者,須將中國資料留在中國:「關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者,應當將在中華人民共和國境內收集和產生的個人信息存儲在境內。確需向境外提供的,應當通過國家網信部門組織的安全評估;法律、行政法規和國家網信部門規定可以不進行安全評估的,從其規定。」
《數安法》第四十一條,外國執法機關要求中國境內個資須經主管機關批准:「中華人民共和國主管機關根據有關法律和中華人民共和國締結或者參加的國際條約、協定,或者按照平等互惠原則,處理外國司法或者執法機構關于提供存儲于境內個人信息的請求。非經中華人民共和國主管機關批準,個人信息處理者不得向外國司法或者執法機構提供存儲于中華人民共和國境內的個人信息。
諸君還記得2020年美國總統川普指控抖音國際版TikTok蒐集美國使用者的資料、回傳中國,是「中國間諜」,而TikTok則反駁說所有資料都存在美國的伺服器、根本沒有資安問題嗎? 按照中國最新的《數據安全法》和《個人信息保護法》,未來伺服器設在境外,已經不是百分百的保證了 ; 或者說,伺服器該設在哪裡,恐怕也不是企業自己能決定的事了。
※作者為國立台北科技大學智財所副教授