林彦华：信息保护的立法与实践 − 论坛发言 − 法佬汇

林彦华：信息保护的立法与实践

wm1d5376

林彦华

方达律师事务所，合伙人

（本文是根据林律师在2016全球法商领袖论坛发言整理）

【以下是发言实录】

今天的分论坛主题《数据隐私、信息安全与数据传输》是很有前沿性的话题。我是方达律师事务所的林彦华，隶属争议解决部门。

说到争议解决，可能大家首先想到的是传统的诉讼和仲裁业务，但是这几年合规业务的需求增长非常快，而且很多合规事项的背景是跟跨境的流动相关，这里面有一个非常重要的流动，就是跨境的数据流动。今天主要跟大家讲一下，我们在这几年业务里观察到的与这个话题相关的当前立法现状和实践发展趋向。

对于企业的合规和法律的风险来说，重点关注的是敏感度较高的数据。用敏感度来区分的话，我们可以认为，最敏感的数据，站在国家主权角度，应该就是国家秘密。接下来就是要保护公民个人信息，这也是一个比较敏感的数据类型。所以，我今天分享的内容主要由两部分组成，一是国家秘密和可能构成国家秘密的敏感信息，二是个人信息保护。

国家秘密和可能构成国家秘密的敏感信息

说到国家秘密，我在参与与之相关的法律服务之前，也觉得国家秘密是一个离普通老百姓，或者正常商业运作来说比较遥远的事情。但是我做了相关业务之后发现其实不然。

首先，在中国法律体系下，根据《保守国家秘密法》，国家秘密要经过一定的程序来定密，所以最严格的解释国家秘密，通常指的是一份文件已经有定秘、有标识。

但是事实上依据我们国家的法律法规，有可能有一部分信息，虽然现在还没有被标示为国家秘密，但是仍可能在日后被有权机关定密、并标示成国家秘密。从这个角度讲，跟已被明确标明为国家秘密的信息一样，受到同等保护的信息范围可能是很宽泛的。

%e5%be%ae%e4%bf%a1%e6%88%aa%e5%9b%be_20161104142121

根据我国法律，“国家秘密”是关系国家安全和利益，依照法定程序确定，在一定时间内只限一定范围的人员知悉的事项。这个定义其实是非常宽泛的，很多的信息都可能被认为涉及国家秘密。这里需要注意的问题包括：

❶某些定义国家秘密和其具体范围的法律并不是完全公开的。

❷现有的公开的规定，对国家秘密的范围界定非常宽泛，它的具体判断标准不是特别明晰，而且取决于相关的有权定密机构最终的意见。

❸如果被认为不当泄露国家秘密，这个法律后果是非常严重的。刑法上最高刑是死刑。

❹有些信息表面上看来可能不构成国家秘密，但是如果不当泄露，可能会被认为涉及国家安全和公共利益，那么是有可能被事后认定为“国家秘密”的。我们在实务中也碰到过类似问题。

举个例子，大量的公民信息，如果一个企业收集和保存的公民个人信息达到一定的体量，而这个企业因为一些原因，需要把大量的中国公民信息往境外进行传输的时候，尤其是当接受数据传输的境外主体是外国政府部门（境外监管部门或者法院），可能这样大量的中国公民信息集合，会被认为涉及国家安全和公共利益的。

在这种情况下，如果在信息传输之前没有对其进行一定的“脱敏处理”，或者没有获得我国有关主管部门的事先批准，那么这种数据的跨境传输也有可能会引发与中国保守国家秘密法相关的法律风险。

还有一类受到出境限制的信息，是因为特定活动产生的数据，比较明显的例子就是金融数据、金融信息，这个行业是比较敏感的。还有一些中介机构，比如会计师事务所，例如在给海外上市的中国公司提供审计服务时，证监会明确要求审计工作底稿必须保存在境内，出境之前要经过相关的政府部门审批，这些数据的敏感度都很高。

个人信息保护

首先，我们国家还没有统一成文的个人信息保护法，所以对于个人信息的保护，目前的情况是散见于一些单行的法律法规中，甚至对于个人信息的含义，目前也没有统一的法律定义。

总体而言，如果某一信息单独或者跟其他的信息相结合，可以让你识别一个人，具体到一个人的身份特征的信息，都可以认为是个人信息。这个范围很广，你的姓名、电话号码、住址，甚至教育背景等等，都可以被认为是公民个人信息。

现行的法律下，对个人信息的收集和使用的原则涉及“安全保障、知情同意、正当使用和及时补救”。我认为最重要的基本原则是同意。如果某个公司要采集使用任何个人的信息，都需要得到相关个人本人同意。

一个典型的例子，就是网站或手机APP的隐私保护政策，用户填写个人信息注册账户的时候，都需要点击“我同意”表示接受网站或者APP的隐私保护政策，而这个隐私保护政策里面写明的收集和使用个人信息的用途和范围，在很大程度上决定了网站或者APP在多大范围内能够合法使用其收集到的用户信息。因此，“隐私保护政策”的制定对于防范企业法律风险至关重要。

非法泄露公民个人信息在民事、行政、刑事上都有法律责任。

跨境数据传输

下面跟各位介绍一下，我们在实务中遇到的，协助企业处理与数据跨境传输有关法律问题的几个主要情境：

▌第一个情境：因为自身的业务需求而向境外提供文件/信息。

%e5%be%ae%e4%bf%a1%e6%88%aa%e5%9b%be_20161104142345

这种情况下，如果是跨国公司，母公司和国内子公司日常的跨境数据传输，而且没有涉及敏感项目，比如没有涉及在中国从事军工、或者跟中国大型国企进行交易的项目；只是比较日常的、敏感度较低的信息传输，那么法律风险也较低。

但是，如果有一些特别事项，例如跨国公司在进行内部调查时，需要把某些特定项目的数据传输到境外，但是这些项目本身在中国存在涉密的情形。这种情况下，哪怕只是跨国企业内部的数据跨境传输，也可能会受到中国法律的限制。

▌第二种情境：为了配合境外监管而向境外监管机构提供文件/信息。

%e5%be%ae%e4%bf%a1%e6%88%aa%e5%9b%be_20161104142441

典型的例子是在美国上市的中国公司以及给这些公司提供审计服务的会计师事务所。新闻也有报道，美国证监会在过去的几年间，不时地会向中国证监会提出要求审阅一些在美上市中国公司的审计工作底稿。这些文件在提交给境外监管部门之前，需要根据中国监管部门的要求进行涉密审查并获得批准后，才可以提供出去。我们律所就曾协助过相关机构，根据我国监管要求进行涉密筛查工作。

▌第三种情境：为了应对境外诉讼而向境外提供文件/信息。

%e5%be%ae%e4%bf%a1%e6%88%aa%e5%9b%be_20161104142607

以美国为例，如果企业在美国涉诉，根据美国的证据开示制度，极有可能一个诉讼就会被要求对外开示数以万计的文件。大家也知道，中国有非常优秀的企业在美国上市或者有境外业务，一旦在美国被诉，证据开示过程可能要求把大量的文件/信息提供到境外，若这些信息可能包含中国国家秘密或与之相类似的敏感信息，那么未经审查就对外提供将会带来法律风险。

最后小结一下，经常会有客户来询问，对于国家秘密和敏感信息的判断，有没有一次性的、一刀切的标准？很遗憾答案是没有的。对于企业来说，如果遇到大量数据需要跨境传输的情况，我们仍建议适时咨询专业法律意见，以最大程度地防范法律风险。