◆文/陳宏志

一、前言

 滴滴出行是中國大陸知名的網路叫車平臺，在2021年6月底赴美風光上市，當時創下近7年來大陸企業在美IPO（initial public offering，首次公開發行）規模最大的紀錄。然6月底完成上市後，7月初旋即被大陸主管機關－國家互聯網信息辦公室（以下簡稱網信辦）以違反網路（絡）安全審查為由，下架該公司之滴滴出行APP[2]。

細究網信辦認定滴滴出行違反網路安全審查之事由，主因或為滴滴出行掌握諸多大陸境內數據，卻未經相關機關安全審查而於境外上市。2021年9月中國大陸《數據安全法》施行後，依該法第3條規定，包含以電子或其他任何形式記錄的資訊，都被認定在數據的範圍內，而受規範；雖該案發生之時間點為2021年7月，彼時《數據安全法》尚未施行，然滴滴出行所持有數據既被認為影響中國大陸安全甚鉅，而屬於關鍵信息基礎建設(Critical Information Infrastructure, CII)或網路平臺營運者，故網信辦認為滴滴出行仍須依《網絡安全法》與《網絡安全審查辦法》相關規定辦理。

在《數據安全法》立法時，大陸官方就強調數據是維護其國家安全的必然要求，也是基礎戰略資源[3]。而該法第21條指出：其將依數據在經濟社會的重要程度，及遭竄改或洩漏對國家安全、公共利益或其他合法權益造成的危害，對數據進行分類分級保護要求。此即為大陸數據安全評估依據之一，應予注意。

由於《數據安全法》之規定，凡與網際網路或科技製造相關者，如從事數據技術研發、商業創新之企業，以及數據交易中介服務機構等，因所處理之數據不論在質或量上都非常可觀，故所持有之大量資訊亦難外於該法範疇。以在陸臺商而言，因亦受到大陸重要數據或國家核心數據規範之影響，考量到現階段臺商除在大陸發展外，亦以全球布局為常態，故相關規定中，以境內外資料流動與相關安全管理議題最為重要，本文亦將以此為觀察重點之一，解析中國大陸數據安全評估規範，並研提具體建議供臺商參考。

二、中國大陸數據安全評估規範

(一)數據安全評估概述

在《數據安全法》施行後，大陸就數據分級、分類及不同主體權利或義務之事宜（含出境安全管理）已有綿密的要求。如依該法規定，數據依是否關係其經濟命脈、國家安全或重大公益等，區分為「國家核心數據」、「重要數據」及「其他數據」三級。

如相關資訊一旦被認定為「重要數據」，就必須依《數據安全法》第30條，向主管機關提出數據的種類、數量、數據處理（含蒐集、存儲、加工、傳輸、提供、公開等）的情形，及數據風險評估與應對措施。而同法第22條也規定，大陸將建立集中統一之安全風險評估、報告、資訊共用、監測預警機制。

相關業者除依上開規定向主管機關報送內部完成之風險評估報告，因關鍵在於對其國家安全之影響，主管機關另會針對特定業者進行網路安全審查；此可參考《網絡安全法》子法之《網絡（即網路，以下同）安全審查辦法》（2022年2月施行），共計23條。現行內容不僅取代2020年之版本，且施行後無論是對關鍵信息（即資訊，以下同）基礎設施或網路平臺營運業者，只要涉及國家安全之數據（含企業申請上市文件），皆須向相關主管機關（如網信辦或工信部）申報；外商欲在其境內投資時，亦同。

依該辦法第10條規定，網路安全審查重點評估主要是與國家安全有關，如產品或服務使用後，CII被非法控制、遭受干擾或破壞的影響；產品或服務供應中斷對CII業務連續性的危害等。綜此，企業內部之風險評估與主管機關之網路安全審查，建構出數據安全評估整體機制。

(二)出境安全管理重點

2021年9月，論者已分析《數據安全法》對臺商的影響 [4]，當時已提及相關法令將涵蓋諸多行業，並受其主管機關部門規章等影響甚大；本文續試以2021年滴滴出行案及大陸後續相關法令進行研析，協助臺商深入了解其出境安全管理規範與影響。

為利後續執行，網信辦自去 (2021) 年10月後，已陸續發布《網絡安全審查辦法》、《網絡數據安全管理條例（草案）》及《數據出境安全評估辦法（草案）》等配套子法。且在相關產業亦有細部規定，如2021年10月網信辦發布之《汽車數據安全管理若干規定（試行）》，或2022年5月工信部發布意見稿，公開徵求對《工業和信息化領域數據安全管理辦法（試行）》的意見，皆有數據安全評估之相關要求。

由於《數據安全法》不僅對於境內數據進行分類管理，對於可能出境之數據亦有相關要求。如滴滴出行之情形，不僅需要申報，申報後還須經過相關主管機關進行審查。如《網絡安全審查辦法》第7條規定，若掌握超過100萬用戶個資的營運者赴國外上市，即須向網信辦下設的網路安全審查辦公室（目前具體工作係委託網路安全審查技術與認證中心執行），申報網路安全審查[5]。

又網信辦配合《數據安全法》之施行，前於2021年10至11月間已陸續草擬《網絡數據安全管理條例（草案）》與《數據出境安全評估辦法（草案）》。尤其是後者，2021年10月29日對外公開徵求意見後，因該辦法之主要適用對象，直指類似滴滴出行等擁有大量資料之企業，頗受到各界關注 [6]。故在資料出境管理上，即使臺商認為自身企業規模不大，或業務雖涉數據，但與其國家安全無關等，仍宜注意相關規定之內容與進展。

三、對臺商之影響與建議

大陸法規對於網路或資料之安全管理已有一定規範，且配套規定亦甚不少。除企業自行完成之風險評估外，因其主管機關尚可能針對特定業者進行網路安全審查。以滴滴出行為例，擁有數據之臺商倘被認定為CII，因2021年9月《網絡安全法》另一子法《關鍵信息基礎設施安全保護條例》施行後，對於CII運營者責任義務有更明確之要求，除要求提供經費、配置人員、建立網路安全保護制度、事件通報外，尚明文規範應配合其主管機關之檢查檢測、資訊共享機制等，且規定違反者應負相應之責任。

此外，CII運營者除受《關鍵信息基礎設施安全保護條例》規範外，《網絡安全法》與《數據安全法》也有規定。倘涉及CII或網路平臺營運業者，因可能涉及蒐集或產出其所謂重要數據，更須注意出境安全管理之要求，如向其主管機關申報網路安全審查，以符合《數據安全法》第31條、《網絡安全法》第31至39條，及《網絡安全審查辦法》等規定。

《數據安全法》第31條規定，CII出境安全管理適用《網絡安全法》之要求。而《網絡安全法》多為原則性規範，故關於運營者責任義務或其他具體細節，須再視《關鍵信息基礎設施安全保護條例》處理，主要規範包含CII之認定、運營者責任義務、保障與促進，及法律責任。

凡屬認定之CII，其運營者即負有一定之義務，例如：建立保護機制（含每年一次的檢測與評估，詳該條例第15條）、事件通報，並應配合資訊分享機制等。綜此，如有興趣的企業、組織或研究人員，對於各部門之CII相關法律與行政規章可持續注意。

四、結論

在資料經濟時代內，臺商擁有數據或是商場勝出的關鍵。對應滴滴出行案，擁有大量資訊之臺商宜預先留意安全管理相關規範。且無論是否為CII，都應注意大陸數據安全評估規定，包含但不限於企業內部之風險評估與主管機關之網路安全審查。若特別是往來兩岸或規劃至其他國家營運時，更務必留意資料出境管理之需求。

因出境安全評估可能涉及之行業涵蓋甚廣，且評估重點以大陸之國家安全為主。如依《數據出境安全評估辦法（草案）》規定，凡在境內蒐集與產生的資料或個資，數據處理者向境外提供數據前，須透過省級之網信部門，向網信辦申報數據出境安全評估（草案第4條）。而在未完成立法前，暫依《網絡安全法》與《網絡安全審查辦法》相關規定辦理。

最後，建議在掌握與理解對岸此類規範時，在具體運作上，還需注意其國家標準。例如：依《網絡安全法》第23條之規定，網路關鍵設備與網路安全專用產品，應當按照相關國家標準的強制性要求；此外《關鍵信息基礎設施安全保護條例》第1條提及之網路安全等級保護制度等，也與其國家標準息息相關，建議臺商都應有所掌握或了解。