网络安全法与跨国公司

《网络安全法》将于2017年6月1日起正式施行。网络安全法出台后，有关部门也在近期发布了一系列重要的配套补充文件，包括国家互联网信息办公室于2017年2月发布的《网络产品和服务安全审查办法（征求意见稿）》，以及于2017年4月发布的《个人信息和重要数据出境安全评估办法（征求意见稿）》（下称“个人信息和重要数据出境意见稿”）等。这些法规引发了在中国运营的跨国公司的极大关注。本文拟就跨国公司通常关注的三个重点问题分析如下。

网络安全法的适用。网络安全法规定在中华人民共和国境内建设、运营、维护和使用网络，适用该法。但实践中可能存在一些跨国公司难以判断其是否应遵守网络安全法的情况。例如，企业在中国境内从事工业和信息部发布的《电信业务分类目录》中的一些业务，一般会被认定为“网络运营者”（网络安全法并未给出明确定义）中的“网络服务者”。如果网络安全法适用于该企业，则其应遵守网络安全法项下的要求。

而如果跨国公司在境外提供该等服务（例如一个允许中国用户购物并能发货至中国地址的境外网站），是否应遵守网络安全法？如该等服务在技术上使用境外服务器，是否属于网络安全法所规定的“在中华人民共和国境内”提供？根据目前的法律法规，这些问题并无清晰答案。因此，跨国公司需关注进一步立法，以及有关部门的执法实践，以准确判断其是否需要遵守网络安全法。

个人信息和重要数据出境。网络安全法规定，关键信息基础设施（包含公共通信、能源、交通、水利、金融和公共服务、信息服务和电子政务等）的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。

个人信息和重要数据出境意见稿则突破了网络安全法关于个人信息和重要数据境内存储仅限于关键信息基础设施的运营者这一规定，要求所有网络运营者均满足此项要求。如最终出台的《个人信息和重要数据出境安全评估办法》作此要求，一旦跨国公司被认定为“网络运营者”，则其个人信息和重要数据出境将面临严格的安全审查。

另外，网络安全法已明确将“个人信息”定义为电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息（包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等）。个人信息和重要数据出境意见稿将“重要数据”定义为与国家安全、经济发展，以及社会公共利益密切相关的数据（具体范围参照国家有关标准和重要数据识别指南）。该定义涵盖的范围较广，为有关标准和指南的发布提供了依据。跨国公司应关注后续国家标准、指南及法规中关于“重要数据”的具体规定。

网络安全法的域外效力。网络安全法规定，境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动，造成严重后果的，依法追究法律责任；并且国务院公安部门和有关部门可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。

在此方面，网络安全法参考国际上一些国家的做法，为网络安全法域外效力提供了法律依据。但是目前的网络安全法并未明确规定制裁措施的具体内容以及如何执行落实。因此，网络安全法域外效力的相关规定在多大程度上会针对境外主体实际执行，存在一定的不确定性。

终上所述，网络安全法的实施仍存在一些不确定性，建议跨国公司密切关注网络安全法生效后的相关立法和执法，并及时咨询法律顾问意见，评估其是否属于“网络运营者”及如何满足相应的合规要求（如完成个人信息和重要数据出境的安全审查等）。

达辉律师事务所律师柴向阳、律师李硕