鄧志松，戴健民

（北京大成律師事務(wù)所，北京 100020）

《網(wǎng)絡(luò)安全法》時(shí)代數(shù)據(jù)跨境傳輸?shù)钠髽I(yè)合規(guī)挑戰(zhàn)

鄧志松，戴健民

（北京大成律師事務(wù)所，北京 100020）

近年來(lái)，中國(guó)政府已開始逐漸關(guān)注數(shù)據(jù)跨境傳輸問題。《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的通過標(biāo)志著中國(guó)從法律層面首次對(duì)數(shù)據(jù)的跨境傳輸進(jìn)行限制。雖然世界各國(guó)在限制數(shù)據(jù)的跨境傳輸方面有著不同的規(guī)范體系及模式，但《網(wǎng)絡(luò)安全法》僅對(duì)“關(guān)鍵信息基礎(chǔ)設(shè)施”的數(shù)據(jù)跨境傳輸進(jìn)行限制。目前中國(guó)的網(wǎng)絡(luò)安全法律體系已經(jīng)初步建立，但“關(guān)鍵信息基礎(chǔ)設(shè)施”的具體范圍尚不明確，有待后續(xù)規(guī)定的落實(shí)?？梢灶A(yù)見，《網(wǎng)絡(luò)安全法》的有關(guān)規(guī)定將為在華運(yùn)營(yíng)的企業(yè)，尤其是跨國(guó)公司帶來(lái)新的合規(guī)挑戰(zhàn)。在商業(yè)運(yùn)營(yíng)中，企業(yè)應(yīng)完善自身合規(guī)制度，密切關(guān)注后續(xù)實(shí)施細(xì)則的制定與實(shí)施，依法進(jìn)行跨境數(shù)據(jù)傳輸?shù)陌踩u(píng)估工作，并做好數(shù)據(jù)本地化的技術(shù)準(zhǔn)備。

網(wǎng)絡(luò)安全法；企業(yè)合規(guī)；數(shù)據(jù)跨境傳輸；數(shù)據(jù)本地化

鄧志松 (1978-)，男，江西進(jìn)賢人，法學(xué)博士，北京大成律師事務(wù)所高級(jí)合伙人

戴健民 (1978-)，男，廣東新會(huì)人，法學(xué)碩士，北京大成（上海）律師事務(wù)所合伙人

一、數(shù)據(jù)跨境傳輸?shù)膷湫伦兙?/h2>

2016年11月7日，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（以下簡(jiǎn)稱“《網(wǎng)絡(luò)安全法》”）經(jīng)三次審議后于十二屆全國(guó)人大常委會(huì)第24次會(huì)議正式通過，2017年6月1日起施行。《網(wǎng)絡(luò)安全法》共包括七章，七十九條，其首次對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)和用戶個(gè)人信息保護(hù)制度等從法律層面上進(jìn)行了規(guī)定。其中，限制關(guān)鍵信息基礎(chǔ)設(shè)施的數(shù)據(jù)跨境傳輸?shù)挠嘘P(guān)規(guī)定自《網(wǎng)絡(luò)安全法（草案）》初次審議（以下簡(jiǎn)稱“一審稿”）并公布以來(lái)一直倍受全球范圍的廣泛關(guān)注，直至近日終于落地。

作為中國(guó)網(wǎng)絡(luò)安全領(lǐng)域的基本法律，《網(wǎng)絡(luò)安全法》第三十七條規(guī)定，“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評(píng)估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定?！边@一規(guī)定將為在華運(yùn)營(yíng)的企業(yè)，尤其是跨國(guó)公司帶來(lái)新的合規(guī)挑戰(zhàn)，應(yīng)當(dāng)予以高度重視并持續(xù)關(guān)注后續(xù)相關(guān)立法進(jìn)程。需要明確的是，跨國(guó)公司并不僅限于傳統(tǒng)意義上的“外企”，隨著中國(guó)企業(yè)在海外業(yè)務(wù)的不斷拓展，許多中國(guó)企業(yè)也已加入到跨國(guó)公司的行列，也將同樣面臨數(shù)據(jù)跨境傳輸?shù)姆上拗啤?/p>

近年來(lái)，中國(guó)政府已開始逐漸關(guān)注數(shù)據(jù)跨境傳輸問題，但先前已有的法規(guī)在規(guī)制的數(shù)據(jù)類型及領(lǐng)域等方面還比較局限。例如，2013年1月21日國(guó)務(wù)院公布的行政法規(guī)《征信業(yè)管理?xiàng)l例》第二十四條規(guī)定，“征信機(jī)構(gòu)在中國(guó)境內(nèi)采集的信息的整理、保存和加工，應(yīng)當(dāng)在中國(guó)境內(nèi)進(jìn)行。征信機(jī)構(gòu)向境外組織或者個(gè)人提供信息，應(yīng)當(dāng)遵守法律、行政法規(guī)和國(guó)務(wù)院征信業(yè)監(jiān)督管理部門的有關(guān)規(guī)定”；2011年1月21日中國(guó)人民銀行發(fā)布的部門規(guī)章《人民銀行關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作的通知》第六條規(guī)定，“在中國(guó)境內(nèi)收集的個(gè)人金融信息的儲(chǔ)存、處理和分析應(yīng)當(dāng)在中國(guó)境內(nèi)進(jìn)行。除法律法規(guī)及中國(guó)人民銀行另有規(guī)定外，銀行業(yè)金融機(jī)構(gòu)不得向境外提供境內(nèi)個(gè)人金融信息”?？梢钥闯?，以上兩部法規(guī)所針對(duì)的領(lǐng)域僅限于征信領(lǐng)域及銀行業(yè)金融領(lǐng)域，涉及的數(shù)據(jù)范圍也較為局限。

此外，作為中國(guó)首個(gè)個(gè)人信息保護(hù)國(guó)家標(biāo)準(zhǔn)的《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》在第5.4.5條規(guī)定，“未經(jīng)個(gè)人信息主體的明示同意，或法律法規(guī)明確規(guī)定，或未經(jīng)主管部門同意，個(gè)人信息管理者不得將個(gè)人信息轉(zhuǎn)移給境外個(gè)人信息獲得者，包括位于境外的個(gè)人或境外注冊(cè)的組織和機(jī)構(gòu)”。顯然，該指南涵蓋的領(lǐng)域與數(shù)據(jù)范圍要比前述兩部法規(guī)廣很多，但該指南作為“指導(dǎo)性技術(shù)文件”對(duì)相關(guān)企業(yè)及個(gè)人并不具有強(qiáng)制力。

相比而言，《網(wǎng)絡(luò)安全法》系首次從國(guó)家法律層面限制數(shù)據(jù)的跨境傳輸，無(wú)論是從法律層級(jí)、規(guī)制領(lǐng)域范圍、數(shù)據(jù)類型，還是規(guī)制程序、法律責(zé)任等角度來(lái)看，都顯著超越之前的規(guī)范性文件。

二、立法過程及背景

《網(wǎng)絡(luò)安全法》的立法進(jìn)程可謂一直在“加速前進(jìn)”。2015年6月，全國(guó)人大常委會(huì)對(duì)草案進(jìn)行了初次審議并在接下來(lái)的一個(gè)月內(nèi)完成了草案的意見征集。2016年6月，僅一年之后，全國(guó)人大常委會(huì)對(duì)二次審議稿（“二審稿”）進(jìn)行了第二次審議。2016年10月，在全國(guó)人大常委會(huì)第二十四次會(huì)議上，原本不在預(yù)先公布的草案審議議程中的《網(wǎng)絡(luò)安全法（草案）》在開幕首日便提請(qǐng)審議，①新華網(wǎng).十二屆全國(guó)人大常委會(huì)第二十四次會(huì)議分組審議網(wǎng)絡(luò)安全法草案[EB/OL].[2016.11.1] http://www.qianhuaweb.com/2016/1101/3561040.shtml.并最終獲得通過。從2015年6月草案一審到最終審議通過，歷時(shí)僅短短一年半左右的時(shí)間。

在三次公布的草案審議稿中，有關(guān)數(shù)據(jù)跨境傳輸?shù)囊?guī)定也一直在不斷變化，具體體現(xiàn)在對(duì)“關(guān)鍵信息基礎(chǔ)設(shè)施”的定義與范圍規(guī)定的不同。一審稿中，關(guān)鍵信息基礎(chǔ)設(shè)施有明確的范圍，包括1.基礎(chǔ)信息網(wǎng)絡(luò)，主要包括廣電網(wǎng)、電信網(wǎng)、互聯(lián)網(wǎng)；2.重要行業(yè)和公共服務(wù)領(lǐng)域的重要信息系統(tǒng)，例如核島控制系統(tǒng)、銀聯(lián)交易系統(tǒng)、智能交通系統(tǒng)、供水管網(wǎng)信息管理系統(tǒng)、社保信息系統(tǒng)等；3.軍事網(wǎng)絡(luò)，例如軍事通信網(wǎng)、軍隊(duì)指揮自動(dòng)化系統(tǒng)等；4.地市級(jí)以上政務(wù)網(wǎng)絡(luò)，例如電子政務(wù)系統(tǒng)、政府門戶網(wǎng)站等；5.用戶數(shù)量眾多的網(wǎng)絡(luò)服務(wù)商系統(tǒng)。②尹麗波.網(wǎng)絡(luò)安全法將促進(jìn)國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)新局面[EB/OL].[2015-9-1] http://theory.people.com.cn/ n/2015/0901/c387081-27537618.html而在公布的二審稿中，對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的概念采取了概括性規(guī)定，并刪除了有關(guān)關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍的表述，規(guī)定具體范圍由國(guó)務(wù)院進(jìn)行制定。最終通過的《網(wǎng)絡(luò)安全法》將一審稿與二審稿的表述進(jìn)行結(jié)合，進(jìn)一步界定了關(guān)鍵基礎(chǔ)設(shè)施的范圍，既列舉了一些具體行業(yè)和領(lǐng)域，如公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)，又用“其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施”進(jìn)行了兜底規(guī)定，具體范圍仍然授權(quán)國(guó)務(wù)院進(jìn)行制定。

三、數(shù)據(jù)跨境傳輸主管部門、規(guī)范體系與發(fā)展趨勢(shì)

《網(wǎng)絡(luò)安全法》規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施的范圍由國(guó)務(wù)院制定，在中國(guó)網(wǎng)絡(luò)安全領(lǐng)域問題逐漸突出，立法需求逐漸增強(qiáng)，立法進(jìn)程逐步加快的背景之下，可以預(yù)見國(guó)務(wù)院的后續(xù)相關(guān)規(guī)范也會(huì)在不遠(yuǎn)的將來(lái)落地。屆時(shí)，結(jié)合已有的《征信業(yè)管理?xiàng)l例》、《人民銀行關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作的通知》等行政法規(guī)和規(guī)范性文件，中國(guó)的數(shù)據(jù)跨境傳輸規(guī)范體系將初步建成。

從國(guó)際上來(lái)看，數(shù)據(jù)跨境傳輸?shù)牟煌?guī)范模式已經(jīng)基本形成。如美國(guó)基于其信息產(chǎn)業(yè)的優(yōu)勢(shì)地位以及對(duì)數(shù)據(jù)自由流動(dòng)的依賴性，在法律層面并沒有對(duì)數(shù)據(jù)跨境傳輸做出限制性規(guī)定。而針對(duì)特定行業(yè)的外國(guó)資本進(jìn)入，美國(guó)則通過與其簽訂安全協(xié)議的形式對(duì)數(shù)據(jù)本地化（Data Localization）作出要求。①石月.國(guó)外跨境數(shù)據(jù)流動(dòng)管理制度及對(duì)我國(guó)的啟示[EB/OL].[2015-7-23]http://gb.cri.cn/42071/2015/07/23/661 1s5041096.htm.

歐盟雖然不禁止數(shù)據(jù)的跨境傳輸，但即將生效的《一般數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation）對(duì)向歐盟境外的國(guó)家傳輸做出了非常嚴(yán)格的條件，其中之一即為由歐盟委員會(huì)對(duì)接收國(guó)的數(shù)據(jù)保護(hù)體系作出“充分保護(hù)認(rèn)定”（Adequate Decision），確認(rèn)接收國(guó)可以為數(shù)據(jù)提供充分的保護(hù)后才可傳輸?？瓷先コ浞直Ｗo(hù)認(rèn)定與中國(guó)《網(wǎng)絡(luò)安全法》第三十七條中“因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評(píng)估”的規(guī)定略有相似。在將來(lái)中國(guó)的數(shù)據(jù)傳輸?shù)陌踩u(píng)估體系中，對(duì)充分保護(hù)的類似認(rèn)定也可能會(huì)作為考量因素之一。

其他一些國(guó)家如澳大利亞則采取禁止特定領(lǐng)域的數(shù)據(jù)跨境傳輸?shù)囊?guī)制模式，與之相反，俄羅斯的《個(gè)人數(shù)據(jù)法》中的數(shù)據(jù)本地化要求則普遍適用于在境內(nèi)收集個(gè)人數(shù)據(jù)的企業(yè)。中國(guó)的數(shù)據(jù)跨境傳輸規(guī)范會(huì)采取哪種形式，有待國(guó)務(wù)院及相關(guān)部門出臺(tái)各類規(guī)定和實(shí)施細(xì)則。

《網(wǎng)絡(luò)安全法》第八條第一款規(guī)定，“國(guó)家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)安全工作和相關(guān)監(jiān)督管理工作。國(guó)務(wù)院電信主管部門、公安部門和其他有關(guān)機(jī)關(guān)依照本法和有關(guān)法律、行政法規(guī)的規(guī)定，在各自職責(zé)范圍內(nèi)負(fù)責(zé)網(wǎng)絡(luò)安全保護(hù)和監(jiān)督管理工作。”由此條款可知，《網(wǎng)絡(luò)安全法》在國(guó)家層面的實(shí)施將至少涉及國(guó)家網(wǎng)信部門、國(guó)務(wù)院電信主管部門和公安部門，這和網(wǎng)絡(luò)安全本身牽涉甚廣的現(xiàn)實(shí)是相符的，相關(guān)配套規(guī)范的研究制定及后續(xù)執(zhí)法工作，尚需各相關(guān)部門的相互協(xié)調(diào)與通力合作。此外，通觀整部法律，有關(guān)“網(wǎng)信部門”的描述（含近似描述）共在條文中出現(xiàn)13次，所涉職權(quán)包括負(fù)責(zé)統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)安全工作和相關(guān)監(jiān)督管理工作；會(huì)同國(guó)務(wù)院有關(guān)部門制定、公布網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄，并推動(dòng)安全認(rèn)證和安全檢測(cè)結(jié)果互認(rèn)，避免重復(fù)認(rèn)證、檢測(cè)；對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者采購(gòu)的可能影響國(guó)家安全的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，會(huì)同國(guó)務(wù)院有關(guān)部門組織的國(guó)家安全審查等等?？梢姡W(wǎng)信部門在《網(wǎng)絡(luò)安全法》相關(guān)配套規(guī)范制定及實(shí)施監(jiān)管中擔(dān)任著十分重要的角色，其在以往出臺(tái)和正在制定的相關(guān)規(guī)范文件及執(zhí)法實(shí)踐，亦值得企業(yè)重點(diǎn)關(guān)注與參考。

四、企業(yè)風(fēng)險(xiǎn)管理

貿(mào)易全球化與企業(yè)運(yùn)營(yíng)國(guó)際化的當(dāng)下，信息的跨境傳輸每時(shí)每刻都在世界各地發(fā)生，尤其對(duì)跨國(guó)公司來(lái)說，海量信息伴隨著其內(nèi)部運(yùn)營(yíng)、現(xiàn)金流轉(zhuǎn)、業(yè)務(wù)往來(lái)等在各國(guó)、各地區(qū)間頻繁傳遞。根據(jù)《網(wǎng)絡(luò)安全法》第六十六條的規(guī)定，“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者違反本法第三十七條規(guī)定，在境外存儲(chǔ)網(wǎng)絡(luò)數(shù)據(jù)，或者向境外提供網(wǎng)絡(luò)數(shù)據(jù)的，由有關(guān)主管部門責(zé)令改正，給予警告，沒收違法所得，處五萬(wàn)元以上五十萬(wàn)元以下罰款，并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營(yíng)業(yè)執(zhí)照；對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬(wàn)元以上十萬(wàn)元以下罰款。”違反有關(guān)限制數(shù)據(jù)跨境傳輸?shù)囊?guī)定，不但將面臨網(wǎng)信部門的行政調(diào)查和罰款，更嚴(yán)重的法律后果包括吊銷有關(guān)許可證和執(zhí)照，從而對(duì)企業(yè)的跨境運(yùn)營(yíng)造成根本性影響。

盡管《網(wǎng)絡(luò)安全法》中最終刪掉了一審稿中“用戶數(shù)量眾多的網(wǎng)絡(luò)服務(wù)提供者所有或管理的網(wǎng)絡(luò)和系統(tǒng)”的具體表述，但這并不意味一般企業(yè)就不會(huì)成為限制數(shù)據(jù)跨境傳輸?shù)囊?guī)制對(duì)象。首先，“公共通信和信息服務(wù)”的表述可以做廣泛的解釋。僅就信息服務(wù)業(yè)而言，其本身所涉范圍甚廣，一般認(rèn)為可分為三大類：即信息傳輸服務(wù)業(yè)；IT服務(wù)業(yè)（信息技術(shù)服務(wù)業(yè)）；信息資源產(chǎn)業(yè)（主要指信息內(nèi)容產(chǎn)業(yè)）。其次，國(guó)務(wù)院在出臺(tái)后續(xù)規(guī)范時(shí)，會(huì)將“關(guān)鍵信息基礎(chǔ)設(shè)施”、“重要數(shù)據(jù)”等圈定在多大的范圍之內(nèi)尚不明確。

因此，就數(shù)據(jù)跨境傳輸方面，我們對(duì)企業(yè)的提出如下合規(guī)建議：

（1）密切關(guān)注后續(xù)規(guī)定、實(shí)施細(xì)則的制定與實(shí)施

《網(wǎng)絡(luò)安全法》授權(quán)國(guó)務(wù)院對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和保護(hù)辦法進(jìn)行制定，目前雖尚未從公開渠道獲取國(guó)務(wù)院在此方面的制定動(dòng)向，但可以預(yù)見相關(guān)規(guī)范會(huì)在不遠(yuǎn)的將來(lái)相繼出臺(tái)。企業(yè)應(yīng)對(duì)相關(guān)規(guī)范的制定與實(shí)施進(jìn)行密切關(guān)注，并可在必要時(shí)通過合法途徑提出合理建議和意見。此外，《網(wǎng)絡(luò)安全法》還授權(quán)國(guó)家網(wǎng)信部門和國(guó)務(wù)院有關(guān)部門就因業(yè)務(wù)需求確實(shí)需要向境外傳輸時(shí)進(jìn)行安全評(píng)估，安全評(píng)估的相關(guān)依據(jù)文件相信也在制定當(dāng)中，企業(yè)應(yīng)當(dāng)一并予以高度關(guān)注。

（2）依法進(jìn)行跨境數(shù)據(jù)傳輸?shù)陌踩u(píng)估工作

《網(wǎng)絡(luò)安全法》第三十七條明確要求“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評(píng)估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定”。有關(guān)數(shù)據(jù)跨境傳輸安全評(píng)估制度的確立在一定程度上強(qiáng)化了對(duì)信息保護(hù)的力度，同時(shí)也對(duì)相關(guān)企業(yè)提出了更高的合規(guī)要求。在日后的運(yùn)營(yíng)中，相關(guān)企業(yè)因業(yè)務(wù)需要需向境外傳輸相關(guān)信息的，應(yīng)注意依法配合進(jìn)行安全評(píng)估工作。

（3）做好信息本地化的技術(shù)準(zhǔn)備

梳理本企業(yè)進(jìn)行跨境傳輸?shù)男畔⒑蛿?shù)據(jù)，準(zhǔn)確識(shí)別所涉“個(gè)人信息與重要數(shù)據(jù)”。對(duì)于那些可以本地化存儲(chǔ)和加工的信息和數(shù)據(jù)，做好在中國(guó)境內(nèi)存儲(chǔ)相關(guān)信息的技術(shù)準(zhǔn)備。對(duì)于調(diào)整經(jīng)營(yíng)模式可以縮小跨境傳輸范圍的數(shù)據(jù)，則應(yīng)提前做好相關(guān)技術(shù)準(zhǔn)備。如果企業(yè)運(yùn)營(yíng)確實(shí)需要跨境傳輸部分業(yè)務(wù)，而企業(yè)有可能被包括在關(guān)鍵信息基礎(chǔ)設(shè)施經(jīng)營(yíng)者范圍之內(nèi)，則應(yīng)區(qū)分不同具體情況：可以將關(guān)鍵信息基礎(chǔ)設(shè)施剝離處置的應(yīng)當(dāng)盡早準(zhǔn)備預(yù)案，對(duì)于無(wú)法剝離和隔離的，則應(yīng)制定合規(guī)手冊(cè)，以適應(yīng)《網(wǎng)絡(luò)安全法》的評(píng)估和報(bào)備要求。

（責(zé)任編輯：李曉暉）

The Challenges of Corporate Compliance in Terms of Crossborder Data Flow in the Age of the Implementation of Cybersecurity Law of the People's Republic of China

DENG Zhi-song,DAI Jian-min

In recent years the Chinese government has been increasingly focusing on the issue of cross-border data fl ow.The recently passed Cybersecurity Law of the People’s Republic of China marks its fi rst attempt to regulate this issue at a national law level.Though various countries have different systems and modes of regulation,the China Cybersecurity Law only restricts the crossborder data fl ow of “critical information infrastructure’’,the scope of which is currently unclear,pending further clari fi cation by relevant policies.It is reasonably foreseeable that the Cybersecurity Law will impose new challenges in terms of compliance to businesses operating in China,especially international enterprises.It is advisable for enterprises to keep improving its compliance program,closely follow the progress of the enactment of relevant policies,prepare to initiate the safety evaluation in accordance with the law,and prepare technically for data localization.

Cybersecurity Law of the People's Republic of China,Corporate Compliance,Crossborder Data Flow,Localization of Data

D922

A

1001-4225（2017）05-0070-04