中国正在为其庞大的互联网行业建立新的监管支柱,但新的数据安全法和其他规则在某些方面模棱两可,让公司担心他们可能会意外越界。
数据安全法将于今年9月1日生效。该法将要求中国所有公司将其处理的数据分为几类,并管理此类数据如何存储和传输给其他方。
重点类别包括“国家核心数据”和“重要数据”,处理不当可处以最高1000万元的罚款甚至刑事指控。但律师表示,政府尚未为这些数据提供定义或进一步详细说明哪些类型的数据可能属于哪个类别。
例如,法律仅规定希望将“重要数据”转移到海外的公司必须每次都进行安全评估。
北京LEAF律师事务所的高级顾问尼古拉斯·巴赫曼亚尔(Nicolas Bahmanyar)说:“没有清单,没有附件,也没有范例,所以我们在这里有点不知所措。”
中国还将在同一天实施旨在保护“关键信息”的新规则,但专家表示,此类基础设施的定义同样不明确。
关键信息基础设施的运营商将面临更严格的数据安全要求,尤其是在跨境数据传输方面。北京在 2017 年提供了一份它认为从广义上讲至关重要的行业清单,例如“公共传播”。
预计特定行业的监管机构将发布更详细的框架,但尚未这样做。
年利达律师事务所上海办事处的法律顾问亚历克斯·罗伯茨(Alex Roberts)表示:“即使你可以从新闻中发生的事情以及针对某些公司的执法行动的公告中推断出来,也没有官方的方式来衡量自己。”
这些法律举措反映了北京对私人公司积累的海量数据以及这些信息是否可能面临攻击和滥用的风险,尤其是被外国滥用的风险日益增长的担忧。
中国2017年的网络安全法要求公司在中国存储数据并同意安全审查,并将在11月1日通过管理个人信息处理方式的法律进一步补充。
上海一家营销机构的高级工程师说,他的一个客户聘请了第三方审计师来评估他的公司是否能够满足项目的新规定。该工程师因未获准向媒体发表讲话而拒绝透露姓名。
该工程师说:“你需要证明你的数据是如何存储的,你有一个恢复计划,无论发生什么你的应用都是安全的,你的所有数据都在中国。”
他说:“这些流程非常官僚,适用于非常大的公司,而我们不是。”
一个备受关注的案例是滴滴全球。中国强大的网络空间监管机构上个月,即滴滴在纽约上市仅两天后开始调查其数据安全风险。
中国网信办还以国家数据安全风险为由,对看准旗下的在线招聘平台博思智品和全车联盟运营的两个商业货运平台进行调查。