按 Enter 到主內容區
:::

兩岸經貿網

:::

中國大陸「境內外數據安全評估規範」對臺商之影響

  • 資料發布日期:111-06-15
  • 最後更新日期:111-06-20
hand-g9c3576a35_640

文/陳宏志

一、前言

 滴滴出行是中國大陸知名的網路叫車平臺,在2021年6月底赴美風光上市,當時創下近7年來大陸企業在美IPO(initial public offering,首次公開發行)規模最大的紀錄。然6月底完成上市後,7月初旋即被大陸主管機關-國家互聯網信息辦公室(以下簡稱網信辦)以違反網路(絡)安全審查為由,下架該公司之滴滴出行APP[2]

細究網信辦認定滴滴出行違反網路安全審查之事由,主因或為滴滴出行掌握諸多大陸境內數據,卻未經相關機關安全審查而於境外上市。2021年9月中國大陸《數據安全法》施行後,依該法第3條規定,包含以電子或其他任何形式記錄的資訊,都被認定在數據的範圍內,而受規範;雖該案發生之時間點為2021年7月,彼時《數據安全法》尚未施行,然滴滴出行所持有數據既被認為影響中國大陸安全甚鉅,而屬於關鍵信息基礎建設(Critical Information Infrastructure, CII)或網路平臺營運者,故網信辦認為滴滴出行仍須依《網絡安全法》與《網絡安全審查辦法》相關規定辦理。

在《數據安全法》立法時,大陸官方就強調數據是維護其國家安全的必然要求,也是基礎戰略資源[3]。而該法第21條指出:其將依數據在經濟社會的重要程度,及遭竄改或洩漏對國家安全、公共利益或其他合法權益造成的危害,對數據進行分類分級保護要求。此即為大陸數據安全評估依據之一,應予注意。

由於《數據安全法》之規定,凡與網際網路或科技製造相關者,如從事數據技術研發、商業創新之企業,以及數據交易中介服務機構等,因所處理之數據不論在質或量上都非常可觀,故所持有之大量資訊亦難外於該法範疇。以在陸臺商而言,因亦受到大陸重要數據或國家核心數據規範之影響,考量到現階段臺商除在大陸發展外,亦以全球布局為常態,故相關規定中,以境內外資料流動與相關安全管理議題最為重要,本文亦將以此為觀察重點之一,解析中國大陸數據安全評估規範,並研提具體建議供臺商參考。

二、中國大陸數據安全評估規範

(一)數據安全評估概述

在《數據安全法》施行後,大陸就數據分級、分類及不同主體權利或義務之事宜(含出境安全管理)已有綿密的要求。如依該法規定,數據依是否關係其經濟命脈、國家安全或重大公益等,區分為「國家核心數據」、「重要數據」及「其他數據」三級。

如相關資訊一旦被認定為「重要數據」,就必須依《數據安全法》第30條,向主管機關提出數據的種類、數量、數據處理(含蒐集、存儲、加工、傳輸、提供、公開等)的情形,及數據風險評估與應對措施。而同法第22條也規定,大陸將建立集中統一之安全風險評估、報告、資訊共用、監測預警機制。

相關業者除依上開規定向主管機關報送內部完成之風險評估報告,因關鍵在於對其國家安全之影響,主管機關另會針對特定業者進行網路安全審查;此可參考《網絡安全法》子法之《網絡(即網路,以下同)安全審查辦法》(2022年2月施行),共計23條。現行內容不僅取代2020年之版本,且施行後無論是對關鍵信息(即資訊,以下同)基礎設施或網路平臺營運業者,只要涉及國家安全之數據(含企業申請上市文件),皆須向相關主管機關(如網信辦或工信部)申報;外商欲在其境內投資時,亦同。

依該辦法第10條規定,網路安全審查重點評估主要是與國家安全有關,如產品或服務使用後,CII被非法控制、遭受干擾或破壞的影響;產品或服務供應中斷對CII業務連續性的危害等。綜此,企業內部之風險評估與主管機關之網路安全審查,建構出數據安全評估整體機制。

(二)出境安全管理重點

2021年9月,論者已分析《數據安全法》對臺商的影響 [4],當時已提及相關法令將涵蓋諸多行業,並受其主管機關部門規章等影響甚大;本文續試以2021年滴滴出行案及大陸後續相關法令進行研析,協助臺商深入了解其出境安全管理規範與影響。

為利後續執行,網信辦自去 (2021) 年10月後,已陸續發布《網絡安全審查辦法》、《網絡數據安全管理條例(草案)》及《數據出境安全評估辦法(草案)》等配套子法。且在相關產業亦有細部規定,如2021年10月網信辦發布之《汽車數據安全管理若干規定(試行)》,或2022年5月工信部發布意見稿,公開徵求對《工業和信息化領域數據安全管理辦法(試行)》的意見,皆有數據安全評估之相關要求。

由於《數據安全法》不僅對於境內數據進行分類管理,對於可能出境之數據亦有相關要求。如滴滴出行之情形,不僅需要申報,申報後還須經過相關主管機關進行審查。如《網絡安全審查辦法》第7條規定,若掌握超過100萬用戶個資的營運者赴國外上市,即須向網信辦下設的網路安全審查辦公室(目前具體工作係委託網路安全審查技術與認證中心執行),申報網路安全審查[5]

又網信辦配合《數據安全法》之施行,前於2021年10至11月間已陸續草擬《網絡數據安全管理條例(草案)》與《數據出境安全評估辦法(草案)》。尤其是後者,2021年10月29日對外公開徵求意見後,因該辦法之主要適用對象,直指類似滴滴出行等擁有大量資料之企業,頗受到各界關注 [6]。故在資料出境管理上,即使臺商認為自身企業規模不大,或業務雖涉數據,但與其國家安全無關等,仍宜注意相關規定之內容與進展。

三、對臺商之影響與建議

大陸法規對於網路或資料之安全管理已有一定規範,且配套規定亦甚不少。除企業自行完成之風險評估外,因其主管機關尚可能針對特定業者進行網路安全審查。以滴滴出行為例,擁有數據之臺商倘被認定為CII,因2021年9月《網絡安全法》另一子法《關鍵信息基礎設施安全保護條例》施行後,對於CII運營者責任義務有更明確之要求,除要求提供經費、配置人員、建立網路安全保護制度、事件通報外,尚明文規範應配合其主管機關之檢查檢測、資訊共享機制等,且規定違反者應負相應之責任。

此外,CII運營者除受《關鍵信息基礎設施安全保護條例》規範外,《網絡安全法》與《數據安全法》也有規定。倘涉及CII或網路平臺營運業者,因可能涉及蒐集或產出其所謂重要數據,更須注意出境安全管理之要求,如向其主管機關申報網路安全審查,以符合《數據安全法》第31條、《網絡安全法》第31至39條,及《網絡安全審查辦法》等規定。

《數據安全法》第31條規定,CII出境安全管理適用《網絡安全法》之要求。而《網絡安全法》多為原則性規範,故關於運營者責任義務或其他具體細節,須再視《關鍵信息基礎設施安全保護條例》處理,主要規範包含CII之認定、運營者責任義務、保障與促進,及法律責任。

凡屬認定之CII,其運營者即負有一定之義務,例如:建立保護機制(含每年一次的檢測與評估,詳該條例第15條)、事件通報,並應配合資訊分享機制等。綜此,如有興趣的企業、組織或研究人員,對於各部門之CII相關法律與行政規章可持續注意。

四、結論

在資料經濟時代內,臺商擁有數據或是商場勝出的關鍵。對應滴滴出行案,擁有大量資訊之臺商宜預先留意安全管理相關規範。且無論是否為CII,都應注意大陸數據安全評估規定,包含但不限於企業內部之風險評估與主管機關之網路安全審查。若特別是往來兩岸或規劃至其他國家營運時,更務必留意資料出境管理之需求。

因出境安全評估可能涉及之行業涵蓋甚廣,且評估重點以大陸之國家安全為主。如依《數據出境安全評估辦法(草案)》規定,凡在境內蒐集與產生的資料或個資,數據處理者向境外提供數據前,須透過省級之網信部門,向網信辦申報數據出境安全評估(草案第4條)。而在未完成立法前,暫依《網絡安全法》與《網絡安全審查辦法》相關規定辦理。

最後,建議在掌握與理解對岸此類規範時,在具體運作上,還需注意其國家標準。例如:依《網絡安全法》第23條之規定,網路關鍵設備與網路安全專用產品,應當按照相關國家標準的強制性要求;此外《關鍵信息基礎設施安全保護條例》第1條提及之網路安全等級保護制度等,也與其國家標準息息相關,建議臺商都應有所掌握或了解。


[1] 本文為行政院國家資通安全會報技術服務中心研析成果。
[2] 大陸國家互聯網信息辦公室。網路安全審查辦公室關於對"滴滴出行"啟動網路安全審查的公告。2021年7月2日 (最後造訪日2022年6月9日)。
[3] 大陸全國人民代表大會。數據安全法:護航數據安全,助力數位經濟發展。2021年6月10日 (最後造訪日2022年6月9日)。
[4] 行政院國家資通安全會報技術服務中心。2021年中國大陸數據安全法新制及其對臺商的影響。兩岸經貿月刊,第357期,2021年9月,頁10-12 (最後造訪日2022年6月9日)。
[5] 大陸國家互聯網信息辦公室。《網路安全審查辦法》答記者問。2022年1月4日(最後造訪日2022年6月9日)。
[6] 大陸國家互聯網信息辦公室。國家互聯網信息辦公室關於《數據出境安全評估辦法(徵求意見稿)公開徵求意見的通知》。2021年10月29日 (最後造訪日2022年6月9日)。

回頁首