戴健民 | 数据跨境传输合规:全球视野与本土策略
春意盎然,智慧同行。在众多信息通信知识产权界专家、IPR、律师朋友的关心与支持下,第二届知产前沿信息通信论坛(IFIF 2024)于2024年3月13日在上海龙之梦大酒店圆满闭幕。
此次活动由 YIP Events & 知产前沿新媒体 & 合规Plus 联合主办,两天的大会及半天的会前研讨会以“通信领域SEP治理的实践及探索”为主题。
在3月13日的论坛上,北京大成(上海)律师事务所合伙人戴健民为本次大会带来“数据跨境传输合规:全球视野与本土策略”主题演讲。知产前沿现将戴律师的现场主题发言内容整理成文,供知识产权业内人士参考学习。
目次
一、数据跨境传输:全球视野
二、跨境传输:本土策略
三、数据出境最新发展
四、数据跨境传输:本土策略
一、数据跨境传输:全球视野
(一)中国:成型、调整与变化
2021年11月生效的《个人信息保护法》第38条明确规定向境外提供个人信息需满足通过安全评估、订立标准合同备案、经过个人信息保护认证其中之一。2022年9月,《数据出境安全评估办法》正式生效,2023年1月通过全国首个案例(北京)。2023年6月,《个人信息出境标准合同办法》正式生效,6月即通过全国首个备案项目(北京)。《数据出境安全评估办法》与《个人信息出境标准合同办法》均给企业数据合规提出一定要求。2023年7月,《国务院关于进一步优化外商投资环境加大吸引外商投资力度的意见》规定应探索便利化的数据跨境流动安全管理机制。建立绿色通道,高效开展安全评估。2023年9月,《规范和促进数据跨境流动规定(征求意见稿)》进一步规范和促进数据依法有序自由流动。2024年1月,《临港新片区数据跨境流动分类分级管理办法(试行)》将跨境数据分为核心数据、重要数据、一般数据3个级别。2024年2月,国务院政策例行吹风会,商务部外国投资管理司司长表示,《征求意见稿》正在研究完善,准备推动出台。2024年3月,2024政府工作报告提出加大吸引外资力度,推动解决数据跨境流动等问题。2024年以来相关法律法规释放出“放开”信号,意在减轻企业负担。
(二)欧盟通用数据保护条例(GDPR):三种路径
1、获得“充分性认定”(Adequacy Decision),即数据保护水平经过欧盟的认可。目前有16个国家/地区获充分性认定,包括安道尔、阿根廷、加拿大、法罗群岛、格恩西岛、以色列、马恩岛、日本、泽西岛、新西兰、大韩民国、瑞士、英国、美国和乌拉圭。
2、提供“适当保障措施”(Appropriate Safeguards)。包括公共机构之间的协议或行政安排、有约束力的公司规则(BCR)、标准合同条款(SCC)、经数据监管机关批准的行为准则、经批准的认证传输机制。
3、特定情形下的豁免(Derogations for Specific Situations)。包括数据主体充分了解与明确同意、为履行合同之必要、为重要利益或公共利益等。
(三)亚洲其他国家:同意+同等保护+建立合规体系
亚洲其他国家在过去几年也在尽快出台数据相关立法,如韩国、日本、印度、新加坡、泰国、越南等国均有相关规定。具体合规要求如下图所示:
(四)美国:数据跨境流通不再自由?
2024年2月28日,拜登政府发布《关于防止关注国家访问美国人的大量敏感个人数据和美国政府相关数据的行政命令(Executive Order 14117)》。其中,受关注国家包括中国(含港澳)、俄罗斯、伊朗、朝鲜、古巴、委内瑞拉,禁止其传输美国司法部确定数量标准的敏感个人数据(特定个人标识符、地理位置及相关传感器数据、生物识别标识符、个人健康数据、人类组学数据、个人财务数据,以及上述数据的组合)与美国政府相关数据(不限数量)。
此外,《确保信息通信技术和服务供应链安全的最终规则》中规定:如果相关信息通信技术产品和服务交易涉及美国的“个人敏感数据”,且商务部认为交易对美国国家安全带来了严重风险,则有权进行审查,可以要求采取缓解措施,也可以直接否决交易。
二、跨境传输:本土策略
(一)个人信息跨境传输的合规义务
根据《个人信息保护法》可将数据出境合规要求总结如下:
(二)数据出境安全评估的适用条件
具体适用条件包括:1、数据处理者向境外提供重要数据;2、关键信息基础设施运营者向境外提供个人信息;3、处理100万人以上个人信息的数据处理者向境外提供个人信息;4、自上年1月1日起累计向境外提供10万人个人信息的数据处理者向境外提供个人信息;5、自上年1月1日起累计向境外提供1万人敏感个人信息的数据处理者向境外提供个人信息;或者6、国家网信部门规定的其他需要申报数据出境安全评估的情形。
在国内,持有100万人以上信息的数据处理者十分广泛,因此许多企业都要进行数据评估。
(三)个人信息出境标准合同备案的适用条件
具体适用条件包括:1、非关键信息基础设施运营者;2、处理个人信息不满100万人;3、自上年1月1日起累计向境外提供未达到10万人个人信息;并且4、自上年1月1日起累计向境外提供未达到1万人敏感个人信息。
(四)个人信息保护认证的适用条件
具体适用条件包括:1、集团内跨境数据传输(Intragroup Cross-border Transfer of Personal Information),即跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动。2、《个人信息保护法》第三条第二款适用的个人信息处理活动,即在中国境外处理中国境内自然人个人信息,符合下列情形之一的:(1)以向境内自然人提供产品或者服务为目的;(2)分析、评估境内自然人的行为;(3)法律、行政法规规定的其他情形。
(五)数据跨境传输合规路径的实施
首先,进行数据出境情况梳理。通过问卷、访谈等方式,了解目前的数据出境情况,确定不同的数据出境场景及其相关的目的、范围、方式等。此为基础性工作,若未进行会在适用法律上出现错误。其次,进行初步评估。基于评估要素,完成初步评估,识别潜在风险,提出建议的整改方式。再次,整改和合规加强。就初步评估中出现的问题和识别的风险,进行整改,以确保风险降低、符合法律要求。最后,完成评估报告。完成最终的数据出境风险自评估/个人信息保护影响评估报告
(六)安全评估申报/标准合同备案材料:是否真的很复杂?
材料主要包括:1、营业执照、法人和经办人身份证件、经办人授权委托书、承诺书、申报表(安全评估申报);2、数据出境风险自评估报告/个人信息保护影响评估报告;3、数据处理者与境外接收方拟订立的法律文件/标准合同;4、其他材料。
(七)《规范和促进数据跨境流动规定(征求意见稿)》
该规定重构了数据出境监管框架。首先,其重申监管范围:重要数据和个人信息;其次,对过境数据类型作出规定;再次,新增三种豁免情形:订立、履行个人作为一方当事人的合同、实施人力资源管理、紧急情况;最后,未来自贸区将增设绿色通道。
三、数据出境最新发展
(一)区域性促进数据跨境政策:陆续出台
现已陆续出台区域性促进数据跨境政策,如《关于促进粤港澳大湾区数据跨境流动的合作备忘录》、《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》。其中规定个人信息处理者和接收方注册于粤港澳大湾区内地部分或香港,但未明确限制出境个人信息的数量条件,并简化个人信息保护影响评估应涵盖的内容:个人信息处理目的和合法性、正当性、必要性;个人权益影响及风险;接收方承诺承担的义务和保障个人信息安全的能力-无需在备案时一并提交。
再如《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》,将跨境数据分为核心数据、重要数据、一般数据3个级别。核心数据禁止出境,重要数据安全评估后出境,一般数据备案后出境。各行业陆续制定重要数据目录和一般数据清单。2024年3月6日,十四届全国人大二次会议上海代表团举行全体会议,在会议上,上海临港集团党委书记、董事长,上海自贸试验区临港新片区党工委副书记袁国华表示,20个场景的首批跨境流动分类分级清单将近期公布。
四、数据跨境传输:本土策略
(一)相关场景:业务出海
业务出海的典型场景如下:董事长去中东出差考察,购买了阿联酋航空公司的机票;为了完成境内用户购买进口商品的交付义务,跨境电商海外仓供应链的工作人员会登录内部供应链终端软件,访问境内用户的订单号、地址信息、姓名以及手机号,完成交货单打印及货物交付;在东南亚组织开展品牌宣传、展会等活动,将参会者个人信息传输至境外;海外旅游服务提供者,为了帮助境内用户预定海外酒店,向海外酒店服务提供方提供境内用户的姓名、手机号、护照号。
(二)相关场景:供应商的选择
服务器在境内还是境外应综合数据不能出境的情形与数据出境需要评估的情况进行判断。《网络安全审查办法(2021)》第5条规定,关键信息基础设施运营者(CIIO)采购网络产品或服务需预判该产品和服务投入使用后可能带来的国家安全风险,向网络安全审查办公室申报网络安全审查。
(三)相关场景:应对境外调查/诉讼与国外上市/出口管制
《数据安全法》第36条规定,非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。《网络安全审查办法(2021)》第7条规定,掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查;第2条规定,国家对两用物项、军品、核以及其他与维护国家安全和利益、履行防扩散等国际义务相关的货物、技术、服务等物项(以下统称管制物项)的出口管制,适用本法。
(四)相关场景:跨境并购
具体场景包括前期接洽时涉及的信息跨境提供、尽职调查过程中的信息跨境提供、全球反垄断申报过程中的信息跨境提供、所处特定监管行业的特殊类型数据的跨境、高管个人信息出境等。
综上所述,要将数据合规嵌入公司运作中,数据出境与企业的方方面面均有关联。
作者:戴健民
编辑:Eleven
