动态|美国通过WTO要求中国暂缓实施网安法最终措施(译文及评析)
2017年9月25日,美国向WTO贸易服务委员会提交了针对中国《网络安全法》的文件,重点针对中国《网络安全法》第三十七条所规定的数据跨境安全评估制度。在该份文件中,美国认为中国《网络安全法》所采取的针对个人信息和重要数据跨境进行安全评估的措施会严重阻碍数据自由流动,对外国供应商产生不利影响。为此,美国希望中国在相关事宜未解决之前,暂缓发布和实施有关数据跨境安全评估的最终措施。公安三所网络安全法律研究中心对该文件进行了全文翻译和短评。
中国已经采用和正在发展中的网络安全法措施
美国代表团2017年9月25日将以下文件内容递交给贸易服务委员会成员。
1.美国向贸易服务委员会提交议题议程的目的在于表达其对中国已经采用和正在发展中的诸多措施的关注,这些措施会阻碍信息的跨境传输。这是美国对中国网络安全法及其相关措施最为关注的核心问题。如果这些措施以目前的形式充分进行实施,将对以商业存在形式提供和以跨境为基础的贸易服务效果产生重大负面影响。我们将其作为议题事项提交委员会,缘于这些潜在影响会扩展至所有服务部门,并影响其他成员的权益。
2.我们关注的措施包括:2016年11月通过、2017年6月生效的网络安全法;与网络安全法和国家安全法(2015年7月通过)相关的诸多措施,包括“个人信息和重要数据跨境安全评估”和“国家标准草案——信息安全技术——数据跨境安全评估指南”。
3.中国的相关措施在很多情况下将阻碍、中断或禁止商业日常业务中信息的跨境传输。具体而言:
1)该措施适用于“网络运营者”,可能包括任何拥有网站或使用互联网与用户、服务商和分支机构通信的外国服务供应商。如此广泛的定义意味着该措施会对诸多外国公司产生负面影响。
2)涉及“重要数据”和“个人信息”的措施要求满足一套广泛而繁琐的适用情形,否则将对跨境传输进行严格限制。适用情形甚至对现代商业基础性和常规性的信息传输进行了限制,包括:(1)网络运营者(在一些情况下还包括政府授权的机构)进行“安全评估”;(2)传输目的满足合法性、必要性和公正性的标准;(3)防止可能影响国家安全、社会公共利益和个人合法权益的风险。我们认为,证明传输的必要性非常困难,因为这与商业选择和长期存在的、被贸易规制所支持的商业计划相冲突,并且很多普遍性的交易无法满足这些标准。
3)根据规定的情形,“网络运营者”传输“个人信息”需要事先征得每一个人的同意,这将产生非常繁重的义务要求,阻碍商业运作,对隐私保护也并无裨益。目前已经存在实现隐私保护的且并不繁琐的其他选择,包括国际跨境隐私保护框架,例如中国支持的APEC跨境隐私规则;网络运营者与第三方订立协议;第三方评估。
4)在一些情况下,安全评估的结果会彻底禁止数据跨境传输,包括非常广泛且模糊的定义——例如传输可能威胁“国家安全”“经济发展”和“社会公共利益”,或跨境传输不利于公共和国家利益——这将无限制地扩大可能涵盖的交易范围。
5)该措施强制要求“关键信息基础设施”的数据本地化存储,而“关键信息基础设施”在网络安全法中的定义非常广泛而模糊。数据跨境传输需要经过中国授权机构进行审查,这些规定将阻碍信息跨境的自由流动并中断日常的商业运行。
4.为此,这些措施将对广泛而模糊定义的数据跨境附加特别审查、特殊程序或禁止性规定,这将阻碍数据跨境传输,并增进数据国内处理和存储的趋势。由于外国供应商日常会向总部或其他分支机构传输数据,这些措施将对在中国运营的外国供应商产生不利影响。位于中国境外的公司提供基于数据跨境的服务提供将受到最为严重的影响,因为这些公司的业务开展依赖于能够访问中国的用户。
5.有鉴于此,我们提请中国应在受这些措施影响的诸多服务中承担关贸总协定规定的市场准入和国民待遇等方面的相关义务。此外,中国数据跨境传输的义务要求涵盖非常广泛的部门——从审计到金融数据处理到旅游服务。这些服务脱离数据访问便无法开展,而其中的很多服务属于禁止或限制数据跨境传输的类别。
6.美国已经将这些顾虑直接转达给中国的高级官员和相关机构,我们提出这一事项是希望其他成员国对相关措施及其贸易影响引起重视。我们要求中国在相关问题解决之前暂缓发布和实施最终措施,我们也将持续向委员会报告有关事项的进一步进展。
这份文件与2016年8月10日以美国商会(American Chamber of Commerce)为首的46家外国团体针对我国《网络安全法(草案)》和保监会发布的《保险机构信息化监管规定》发出的联名意见函,以及2017年5月15日54家国际商业机构发出的意见类似,主要认为《网络安全法》及其配套措施的实施将损害贸易自由,并对信息社会产生影响。但从提交的主体身份、接受文件的WTO机构性质等方面分析,显然美国这份信函的影响力将更大,因此各方均应对此给予充分重视。
随着《个人信息和重要数据出境安全评估办法》(征求意见稿)和《信息安全技术 数据出境安全评估指南》(草案)等规范性文件、标准的推出,《网络安全法》原有的一些原则性规定和条款正在逐步澄清,上述草案也经历了从一审稿到二审稿的修订、调整和完善,已经部分回应了国内外企业的主要关注点。上述机构的部分要求已经对立法产生了影响,例如对需要评估的数据量、数据留存期限等,但各方的争议和妥协并未平息,这也将持续考验立法机关的技术和协调能力。
可以预见,尽管《网络安全法》已经正式施行,但围绕其进行的倾向性解读、各利害攸关方的博弈仍将继续。