中國正在為其龐大的互聯網行業建立新的監管支柱,但新的數據安全法和其他規則在某些方面模棱兩可,讓公司擔心他們可能會意外越界。
數據安全法將於今年9月1日生效。該法將要求中國所有公司將其處理的數據分為幾類,並管理此類數據如何存儲和傳輸給其他方。
重點類別包括“國家核心數據”和“重要數據”,處理不當可處以最高1000萬元的罰款甚至刑事指控。但律師表示,政府尚未為這些數據提供定義或進一步詳細說明哪些類型的數據可能屬於哪個類別。
例如,法律僅規定希望將“重要數據”轉移到海外的公司必須每次都進行安全評估。
北京LEAF律師事務所的高級顧問尼古拉斯·巴赫曼亞爾(Nicolas Bahmanyar)說:“沒有清單,沒有附件,也沒有範例,所以我們在這裡有點不知所措。”
中國還將在同一天實施旨在保護“關鍵信息”的新規則,但專家表示,此類基礎設施的定義同樣不明確。
關鍵信息基礎設施的運營商將面臨更嚴格的數據安全要求,尤其是在跨境數據傳輸方面。北京在2017 年提供了一份它認為從廣義上講至關重要的行業清單,例如“公共傳播”。
預計特定行業的監管機構將發布更詳細的框架,但尚未這樣做。
年利達律師事務所上海辦事處的法律顧問亞歷克斯·羅伯茨(Alex Roberts)表示:“即使你可以從新聞中發生的事情以及針對某些公司的執法行動的公告中推斷出來,也沒有官方的方式來衡量自己。”
這些法律舉措反映了北京對私人公司積累的海量數據以及這些信息是否可能面臨攻擊和濫用的風險,尤其是被外國濫用的風險日益增長的擔憂。
中國2017年的網絡安全法要求公司在中國存儲數據並同意安全審查,並將在11月1日通過管理個人信息處理方式的法律進一步補充。
上海一家營銷機構的高級工程師說,他的一個客戶聘請了第三方審計師來評估他的公司是否能夠滿足項目的新規定。該工程師因未獲准向媒體發表講話而拒絕透露姓名。
該工程師說:“你需要證明你的數據是如何存儲的,你有一個恢復計劃,無論發生什麼你的應用都是安全的,你的所有數據都在中國。”
他說:“這些流程非常官僚,適用於非常大的公司,而我們不是。”
一個備受關注的案例是滴滴全球。中國強大的網絡空間監管機構上個月,即滴滴在紐約上市僅兩天后開始調查其數據安全風險。
中國網信辦還以國家數據安全風險為由,對看准旗下的在線招聘平台博思智品和全車聯盟運營的兩個商業貨運平台進行調查。