如何应对中国网络安全法

如何应对中国网络安全法

模糊的法律条款引发普遍关注和担忧

导读：

尽管中国在2016年11月7（以下简称“网络安全法”）后已经建立了相对全面的网络安全监管体系，但许多外国公司仍然认为遵守网络安全法及其不断发展的实施指导方针具有挑战性。

重点：

随着《网络安全法》相关指导方针的不断发布，网络主权仍然是首要议题。

相关法律的模糊不清仍然是与会者最关心的问题。网络安全法中的关键术语，包括“个人数据”和“关键信息基础设施”没有明确的定义。商会成员们担心信息和通信技术行业的监管可能将是分散化和不一致的。

相关进展：

2018年5月1（以下简称“规范”）正式实施。

规范分为两类：个人信息（例如行踪轨迹）和个人敏感信息（例如个人生物识别信息）。

规范进一步说明需要征求授权同意的例外情况，包括与国家安全和其他公共利益有关的情景。

规范没有法律效力，但在其他法律和法规中被提及时可能会成为强制性规定。这是值得关注的实施不确定性的一个例子。

网络安全法第31条至第39条：关键信息基础设施的运行安全

目前还不清楚被列为关键信息基础设施的所有企业是否会受到同等程度的审查。

“重要行业和领域”（见第31条）名录尚不完整。

信息技术采购相关的国家安全检查（第35条）细节仍然不清晰。

网络安全法第21条至30条：网络运营者应履行的义务

网络运营者必须立即向有关部门报告任何与数据有关的紧急事件，包括违规、损失和破坏情况，但时间线和具体主管部门并不明确。

网络运营者应当为执法部门提供技术支持和协助的范围仍不清楚。

网络安全法第37条：数据本地化

强制关键信息基础设施的运营者在中国境内运营中收集和产生的个人信息和重要数据在境内存储。

确定跨境数据是否必要的数据安全评估由两个因素组成：“合法目的”和“低安全风险”。

对数据本地化的新要求将导致在华运营的外企进行大规模合规性调整。

尚不清楚哪些企业将需要接受这些安全评估。

外企应如何应对即将出现的变化？

积极地使法律和合规团队参与日常业务运营。

为潜在的数据泄露和其他数据相关事故准备应急计划，并定期开展隐私影响评估。随着实施指南的变更，相应地调整相关计划情景。

为员工和第三方商业伙伴举办内部合规培训。

复审与商业伙伴签订的合同条款。