本文內容將針對幾個有關 CSL 的常見問題釋疑,也會盡可能清楚闡釋合規性目標。
中國在 2016 年 11 月 7 日通過網路安全法 (Cybersecurity Law, CSL),這是中國第一條全面規範數位隱私權與安全的法規,並於 2017 年 6 月 1 日起正式生效。此後,中國陸續執行過其中幾項法條,鮮少觸及其他法條。
無論執行情形如何,CSL 不但 強制要求在中國境內經營的眾多國內外公司遵行大量新規定,也嚴懲不遵守規定的公司,罰則包括罰款甚至監禁。本文內容將針對幾個有關 CSL 的常見問題釋疑,也會盡可能清楚闡釋合規性目標。
根據這條法規的正式用語,CSL 適用對象概括中國所認定的「網路業者」,以及經營「關鍵資訊基礎設施」(Critical Information Infrastructure, CII) 的業者。「網路業者」一詞的定義是「網路的擁有者、經營者以及服務供應商」,如進一步解讀,等同泛指任何透過電腦網路提供服務或經營業務的公司。
這項法規對於 CII 業者的定義也相當廣泛,更包含電信業相關公司,以及廣播、電視,以及任何從事關鍵基礎設施的相關業者,這類設施就是指「一旦遭到摧毀、無法正常運作或發生資料外洩問題,將會嚴重破壞國家社稷安全、國家經濟以及人民生計與公共利益的基礎設施。」
說穿了,倘若貴公司在中國經營網路業務,您就該準備好乖乖遵守 CSL。
簡而言之,不一定。這條新法的某些規定 (例如資料在地化以及指定專任資安人員) 令人聯想起歐盟的一般資料保護規範 (Global Data Protection Regulation, GDPR),這兩項法律實際上大相逕庭,即便遵守 GDPR,也未必表示遵守 CSL。
同時,CSL 的廣泛週詳程度也不若 GDPR,我懂,這種情況令人感到不解。基本上,這項法律的規範較不嚴謹,卻留給執法機關極大的轉圜餘地,不但有權決定哪些公司必須守法,還能定奪哪些行為稱得上守法。對於在中國經營的西方公司而言,這會是相當棘手的問題,即便法律生效後已經過了兩年,時至今日,這項法律仍有部分法規與執法措施處於模糊不清的地帶。
CSL 和 GDPR 都有資料在地化規定,但法規用語語意不明的程度嚴重得多。依據 CSL 的規定,中國境內所有 CII 業者或所謂網路業者所收集或產生的任何「個人資訊」或「重要資料」,一律必須儲存在中國。也就是說,不得將中國公民的資料儲存在海外。
但是,如果貴公司能夠證明將資料傳輸到海外的必要性,同時透過一項證明資料處理過程具有安全保障的安全評估,就可以將個人或重要資料傳送到海外。也就是說,法律規定先證明資料傳輸過程「合法、合理,而且有必要」,接著再評估傳輸過程本身可能牽涉到的風險。
這條法規有一條自行管理前述考驗的但書,不過,由中國當局透過遠端或現場執行的可能性較高。在任一種情況下,我們都能想見,考驗流程的進行速度一定比不上業務經營步調,因此,最好的做法是不分情況一律遵守資料在地化規定。
CSL 也有一長篇的安全規定,其中有些規定與 GDPR 的規定相當接近,只不過條文用語不若 GDPR 規範嚴謹、鉅細靡遺。根據 CSL 第 21 條,屬於法規規範對象的公司必須指定負責網路安全的人員,而且必須根據中國政府規定的網路安全準則實施安全規章。
各公司還必須採行能夠預防、調查及防禦網路攻擊的技術措施。根據一項草擬準則,這類技術措施包括密碼保護、加密,以及入侵預防。此外,這項準則規定所有用於儲存個人資訊的系統或裝置至少必須採用兩種驗證方法。
最後,CSL 規定必須擬定安全問題通報程序。
CSL 不只規範資料安全,也涉及公司所收集的資料類型,以及資料收集方式。這項法規條列一連串隱私權規定,其中包括收集任何個人資訊前,必須先徵得個人之同意。
貴公司只能收集與自家服務息息相關的資訊,此外,您必須清楚闡述收集資訊的目的、收集方法,以及資料使用範圍。
CSL 有一條但書與 GDPR 的「刪除權」,內容規定網路業者必須按使用者提出的要求刪除或更改使用者的個人資料。
CSL 也包括規範外洩通知的相關規定,內容要求必須向受害者及相關政府部門告知資料外洩問題。
矛盾的是,CSL 在監控與監督方面的規範鮮少論及使用者的隱私權。
根據 CSL 第 47 條,網路業者必須監控其使用者所發表的資訊,嚴格控管「法律或管理法規禁止發表或傳輸的資訊」。
一旦發現此類資訊,網路業者必須移除該項資訊、保留記錄,並且向當局檢舉任何非法內容。
中央網絡安全和信息化委員會辦公室 (Cyberspace Administration of China, CAC) 是中國的中央網際網路監管機關,也是負責監督與執行 CSL 的主管機關。
自從 CSL 法生效之後,CAS 便集中火力進行前述的使用者內容監控。
目前已有幾家大型科技公司遭 CAC 課收罰金,其中包括阿里雲 (Alibaba Cloud) 和淘寶 (Taobao),遭罰理由是「未採行預防散播禁制資訊的措施」。
而至於地方政府措施,中國公安局 (Public Security Bureau, PSB) ─ 也就是地方省級警務局 ─ 在不久前已掌握執法權力。也就是說,他們可以調查相當多的公司 (基本上,登記名義是「網路使用事業體」的公司全都屬於調查對象),其中包括網路業者、ISP、資料中心、網域名稱服務,以及網際網路資訊服務。
PSB 不但有權調查列管公司內部,也有權調查這類公司的網路。他們可以到現場進行調查,也可以透過遠端檢查網路的方式進行。調查流程可能包括審閱與複製文件、約談公司人員,或者是調查網路防護措施。
再者,由於法規用語相當粗略,為 PSB 留下了相當大的餘地,他們可以決定哪些公司必須遵守法規,也能決定進行調查的時間與範圍。
倘若公司未能遵守法規,CSL 的違法懲處包括罰金和刑責,還有攸關業務運作的罰則。根據 CSL 法第 66 條,違反資料在地化法規的公司大約可遭罰 7,500 至 75,000 美元。如公司不守法,直接負責人也可能遭罰,甚至可能會因為違反 CSL 法的特定法規而遭處 15 天以下徒刑。
此外,CAC 也有權關閉網站或撤銷公司執照/許可證,徹底禁止特定公司在中國經營。