跨境数据流动合规全景图
跨境数据流动合规全景图
序言
随着全球数字化程度的不断加深,无论是中国内地还是世界各地,越来越多的企业涉足数字产业,数据的跨境流动已经成为经济活动中不或缺的组成部分。然而,对于数据的跨境流动的监管与合规,全球的法律框架相去甚远,很多议题也在探索之中。
2021年10月29日,国家互联网信息办公室("网信办")发布《数据出境安全评估办法(征求意见稿)》("《征求意见稿》"),正式公开征求意见。作为中国数据跨境流通的重要配套规则之一,《征求意见稿》对数据出境安全评估程序作出了较为详细的规定。本文将结合《征求意见稿》及其他法律法规,简析跨境数据流动合规问题。
一.
跨境数据流动的法律框架
在统计网站Statista对2019年各国数字经济发展给出了预测数据。其中,中国在数字产业领域的规模优势遥遥领先,将达到2.56699万亿美元[1]。中国作为数字产业发展最快,规模最大的经济体,在跨境数据流动的法律框架上,也是积极进取,在快速完善的过程中。《数据安全法》、《个人信息保护法》与《网络安全法》一同构成保护我国数据信息安全的三驾马车。
(一)现有的主要法律法规
1、《网络安全法》
2016年11月7日,全国人大常务委员会发布《中华人民共和国网络安全法》,并于2017年6月1日正式生效。《网络安全法》第一次从法律层级对于数据跨境流动提出了安全要求,主要体现在第三十七条:"关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。"
2、《数据安全法》
2021年6月10日,全国人大常委会发布《中华人民共和国数据安全法》,并于2021年9月1日正式生效。《数据安全法》并未就数据跨境流通作详细规定,而是就数据跨境流通的问题引用《网络安全法》的相应规定并明确由国务院与国家网信部门制定具体规则。[2]
3、《个人信息保护法》
2021年8月20日,全国人大常委会发布《个人信息保护法》,并于2021年11月1日正式生效。针对跨境数据流动方面,《个人信息保护法》借鉴有关国家和地区的做法,赋予了必要的域外适用效力,以充分保护我国境内个人的权益。《个人信息保护法》第三条规定,以向境内自然人提供产品或者服务为目的,或者为分析、评估境内自然人的行为等发生在我国境外的个人信息处理活动,也适用本法;并要求境外的个人信息处理者在境内设立专门机构或者指定代表,负责个人信息保护相关事务。同时,《个人信息保护法》的第三章明确规定了个人信息跨境提供的要求与条件。
4、《个人金融信息保护技术规范》
2020年2月13日,中国人民银行发布《个人金融信息保护技术规范》,并于同日正式生效。其中第7.1.3(d)条明确规定:"在中华人民共和国境内提供金融产品或服务过程中收集和产生的个人金融信息,应在境内存储、处理和分析。因业务需要,确需向境外机构(含总公司、母公司或分公司、子公司及其他为完成该业务所必需的关联机构)提供个人金融信息的,具体要求如下:(a)应符合国家法律法规及行业主管部门有关规定;(b)应获得个人金融信息主体明示同意;(c)应依据国家、行业有关部门制定的办法与标准开展个人金融信息出境安全评估,确保境外机构数据安全保护能力达到国家、行业有关部门与金融业机构的安全要求;(d)应与境外机构通过签订协议、现场核查等方式,明确并监督境外机构有效履行个人金融信息保密、数据删除、案件协查等职责义务。"
(二)制定中的法律法规
1、《数据出境安全评估办法(征求意见稿)》
2021年10月29日,网信办在其官网上公布了《数据出境安全评估办法(征求意见稿)》征求意见。该评估办法中就数据出境安全评估作出了较为详细的规定,如强制申报安全评估的情形、申报材料、安全评估重点事项、评估程序、评估结果的时效以及结果失效的情形等。
2、《数据安全管理办法(征求意见稿)》
2019年5月28日,国家互联网信息办公室发布《数据安全管理办法(征求意见稿)》,并请社会公众于2019年6月28日前提出意见。该管理办法中明确要求网络运营者在向境外提供重要数据前,应当评估可能带来的安全风险,并经行业主管监管部门同意,行业主管监管部门不明确的,应经省级网信部门批准。
3、《个人信息出境安全评估办法(征求意见稿)》
2019年6月13日,国家互联网信息办公室发布《个人信息出境安全评估办法(征求意见稿)》,并请社会公众于2019年7月13日前提出意见。该安全评估办法中明确规定,网络运营者与境外个人信息接收者需要签订数据合同,且需要向网信部门申报。同时对数据合同的具体内容也作出了一定要求。
二.
跨境数据流动的合规要点
(一)数据出境的定义和范围
全国信息安全标准化技术委员会于2017年8月30日发布的《信息安全技术 数据出境安全评估指南(征求意见稿)》[3]第3.7条将数据出境定义为:"网络运营者通过网络等方式,将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据,通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动。"
根据该条注释[4],数据出境的范围可以参考以下示意图理解。
点击可查看大图
(二)出境安全评估的要点及流程
无论是中国还是其他国家或地区,对于不同数据的保护要求均根据数据的种类、重要性有所差异。根据《征求意见稿》第二条的规定,数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和依法应当进行安全评估的个人信息,应当依照本《征求意见稿》的规定进行安全评估,法律、行政法规另有规定的,依照其规定。
数据安全评估的流程及要点如下图:
点击可查看大图
(三)境外执法机构调取数据审批制度
《数据安全法》第三十六条规定:"中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。"这条的规定与《国际刑事司法协助法》第四条第三款"非经中华人民共和国主管机关同意,外国机构、组织和个人不得在中华人民共和国境内进行本法规定的刑事诉讼活动,中华人民共和国境内的机构、组织和个人不得向外国提供证据材料和本法规定的协助。"互相配套。
根据上述规定,中国在数据出境管理方面的审批制度正在逐步形成。中国无论是基于刑事司法协助还是其他司法程序,有关组织、个人在向境外执法机构提供数据前必须得到批准。审批制度一方面是维护包括数据主权在内国家的司法主权;另一方面也是对境外的外国长臂管辖原则形成封阻,保护重要数据和个人信息安全。
(四)遵守国际规则
不仅中国大陆,欧盟、美国、日本等法域都对数据跨境流动进行了立法,如欧盟GDPR、美国Cloud法案、日本PIPA等。中国的组织和个人在参与数据跨境流动时,不仅需要注意遵守中国相关的法律法规,如果涉及境外数据的,也需要遵守所涉及的其他法域的法律法规。
三.
涉跨境数据流动的企业合规对策
跨境数据流动的合规对于企业的风险管理尤为重要,特别是涉及国际贸易、跨境支付、大数据、云计算等领域的数字科技企业。如果管理不当,很可能导致企业面临高额的罚款,甚至阻碍其业务在某一个法域继续运营。然而,跨境数据流动的合规,具有一定的难度和复杂性。以下是笔者总结的涉跨境数据流动的通用合规对策,具体到每一个企业,还应当结合企业自身的特点,由熟悉跨境数据流动法律规则的法律专业人士协助制定具有针对性的合规对策。
(一)充分认识规则
首先要对跨境数据流动相关的法律规则有充分认识。不仅包括本国的法律规则,也包括与数据业务有关的其他法域的法律规则。必要时,企业也应当咨询相关领域的法律专业人士,对法律规则的适用给予指导。
(二)正确定位角色
法律规则对于不同主体赋予的数据合规义务各有差异。例如,根据《网络安全法》的规定,关键信息基础设施的运营者要比一般的网络运营者承担更为严格的数据安全保护义务。
因此,企业需要结合自身业务,依据适用的法律规则,正确定位自身角色,方可明确自身需要承担的义务,及需要遵守的规定。
(三)完善内控制度
跨境数据流动的合规,不但是数据跨境传输转移的合规。数据采集、数据加工处理等前序步骤,都会影响数据是否可以跨境传输,以及是否需要履行审批程序。而企业运营过程中,一笔业务可能需要多位人员参与操作,不同业务也可能需要由不同的人员参与操作,并不可能要求每一位操作人员都是跨境数据流动合规方面的专家。
因此,企业需要就数据管理建立一套完善的内控制度,从业务合同签署到实际业务操作给予企业人员明确的指引,降低企业违规的风险。
(四)加强人员培训
在建立完善的内控制度后,需要在实际业务运营过程中落实内控制度。为此,企业需要加强人员培训,确保相关人员明确知晓自身的岗位职责,并建立风险意识,在遇到不确定的事项时及时上报,获取正确的处理方式。
结语
Conclusion
随着数字经济的不断发展,数据已经成为一种不可或缺的生产要素。全世界各国和地区纷纷加快立法脚步,保护数据主权的同时加强跨境数据传输的监管与合作。面对日益严苛的跨境数据监管以及时时更新变化的规则,企业应当在专业人士的指导下进一步加强自身合规建设,以尽可能控制数据合规风险。
[注]
声明
本文旨在法规之一般性分析研究或信息分享,不构成对具体法律的分析研究和判断的任何成果,亦不作为对读者提供的任何建议或提供建议的任何基础。作者在此明确声明不对任何依据本文采取的任何作为或不作为承担责任。如需转载或引用本文的任何内容,请联系作者(fanxiaojuan@zhonglun.com); 未经作者同意,不得转载或引用本文的任何内容。