作者:薛瀚 马晓雪 金杜律师事务所公司证券部

《网络安全法》(“《网安法》”)自2017年6月1日生效以来,至今已经有数月了。在国家互联网信息办公室(“网信办”)制订、发布《网安法》一系列配套法规[1]以进一步明确、落实《网安法》相关规定的同时,公众围绕《网安法》中关于数据境内存储的规定所展开的讨论从未停止,尤其在近阶段,不少跨国公司开始关注其境外总部或境内实体是否有义务将其数据存储在境内,我们将在下文中对该问题进行具体的讨论与分析。 

跨国公司采用的常见IT基础设施架构 

一般而言,在跨国公司常见的IT基础设施架构下,主要由其境外总部所有、运营、管理公司面向其客户的官方网站(多数情况下会包含出售其自营产品的网上商城)、以及公司的内网系统,该等跨国公司的官方网站、内网的服务器往往均设在中国境外。

境内实体不负责跨国公司官方网站及内网的运营、管理,而仅仅作为该等系统的使用者使用境外总部运营的官方网站来向中国境内的客户提供产品和服务以及在运营中使用内网。

关于数据境内存储的规定 

根据《网安法》第三十七条的相关规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息[2]重要数据[3]应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。值得关注的是,目前还在征求意见阶段的《个人信息和重要数据处境安全评估办法(征求意见稿)》(“《评估办法》”)将《网安法》第三十七条的数据境内存储的要求中的适用主体的范围从“关键信息基础设施的运营者”扩大到了“网络运营者”。

我们将在下文把讨论的重点放在若未来《评估办法》按照目前的征求意见稿版本生效之后,跨国公司的境外总部与境内实体是否会被视为“网络运营者”[4]而需要遵守《评估办法》中数据境内存储的要求。

《评估办法》生效后

我们将在下文探讨若未来《评估办法》及以下提及的其他相关指南按照目前的征求意见稿版本生效,即数据境内存储要求的主体适用范围扩大至“网络运营者”,跨国公司是否需要遵守《评估办法》中数据境内存储的要求。

我们主要判断的依据为:(i)跨国公司境内实体或境外总部是否落入《网安法》中“网络运营者”的定义;以及(ii)境外总部是否在境内开展运营活动。

《网络安全法》对于“网络”的定义较为宽泛。根据《网络安全法》七十六条第一项,网络“是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。” 鉴于《网络安全法》在征求意见的草案中曾经将基础电信运营者、网络信息服务提供者、重要信息系统运营者等都纳入到“网络运营者”的范围中,《网络安全法》下的网络一般包括互联网、局域网、蜂窝通讯网及工业控制系统等各类网络。 网络的“所有者”、“管理者”和“服务提供者”被认定为“网络运营者”。

1. 境内实体

对于境内实体而言,在跨国公司常见的IT基础设施架构下,鉴于是境外总部所有并管理跨国公司的官方网站与内网,而境内实体仅仅是在其日常经营中使用该等官方网站以及内网系统(境内实体既不是网络的所有者,也不是网络的管理者),其并不符合“网络运营者”的定义,所以其并不会受到《评估办法》中数据境内存储要求的监管。

但是,根据《网安法》第二条的相关规定,在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法。因为《网安法》将“网络”的范围定义得较宽泛,以使其不仅包括了公网、也包括了局域网,并且境内实体使用该等网络资源开展了经营活动,我们因此倾向于认为,在适用比较宽泛的解释的情况下,境内实体很有可能仍旧受到《网安法》的监管。

2. 境外总部

对于境外总部而言,首先,如果境外总部作为其官方网站以及内网的所有者与管理者,将可能会落入“网络运营者”的定义内。其次,跨国公司的境外总部究竟是否会受到数据境内存储要求的监管,主要取决于其是否通过官方网站及内网在境内开展运营活动

4. 针对官方网站

根据2017年8月25日发布的《信息安全技术 – 数据出境安全评估指南(征求意见稿)》第3.2条的相关规定,未在中华人民共和国境内注册的网络运营商,但在中华人民共和国境内开展业务,或向中华人民共和国境内提供产品或服务的,属于境内运营。判断网络运营者是否在中华人民共和国境内开展业务,或向中华人民共和国境内提供产品或服务的参考因素包括但不限于:使用中文;以人民币作为结算货币;向中国境内配送物流等。若跨国公司的境外总部符合以上提及的一项或多项因素,则其会被视为在中国境内开展运营活动,从而需要将其在境内运营中收集和产生的个人信息和重要数据在境内存储。

此外,我们注意到,在一些中文版跨国公司官方网站上,实则是由境内实体向境内客户提供产品和服务、与客户签署相关的产品供应协议,在该种情况下应当视为是跨国公司境内实体、而非境外总部在中国境内开展运营活动。

5. 针对内网系统

跨国公司境外总部运营、管理内网的行为实则是在向境内实体提供内部服务、而并非在开展运营活动,所以我们倾向于认为境外总部不会受到《评估办法》中数据境内存储要求的监管。

6. 总结

在跨国公司常见的IT基础设施架构下,如果基于上文分析后判断跨国公司的境外总部在中国境内没有开展运营活动,则无论是从跨国公司境内实体的角度抑或是境外总部的角度来分析,该两者均不会受到《评估办法》中数据境内存储要求的监管。

但是,我们认为,因为《网安法》及相关配套法规的主要目的之一为促使境内运营中产生的个人信息与重要数据在中国境内存储,并且《网安法》的效力及于网络的使用,所以即使境外总部与境内实体字面上并没有完全落入“网络运营者”的现有定义,但如果境内实体使用了境外关联方所有、运营或管理的网络资源在境内开展了业务活动,由此而收集和产生的个人信息与重要数据在《网安法》及相关配套法规的解读和执行实践中,仍然存在比较大的可能性需要在境内存储。


[1] 主要包括《个人信息和重要数据出境安全评估办法(征求意见稿)》、《关键信息基础设施安全保护条例(征求意见稿)》、《网络产品和服务安全审查办法(试行)》、《网络关键设备和网络安全专用产品目录(第一批)》等。

[2] 根据《网络安全法》第七十六条第(五)款,个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

[3] 根据《个人信息和重要数据处境安全评估办法(征求意见稿)》第十七条,重要数据,是指与国家安全、经济发展,以及社会公共利益密切相关的数据,具体范围参照国家有关标准和重要数据识别指南。其后,相关政府机构于2017年8月25日发布了《信息安全技术 – 数据出境安全评估指南(征求意见稿)》,其中附件A的重要数据识别指南列明了各行业中重要数据的范围。该仍在征求意见阶段的重要数据识别指南对于重要数据的范围规定得较为宽泛,我们也会持续关注相关政策的进一步发展。

[4] 根据《网络安全法》第七十六条第(一)款,网络,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。根据《网络安全法》第七十六条第(三)款,网络运营者,是指网络的所有者、管理者和网络服务提供者。