【合规】跨国企业数据本地化的法律合规启示——以苹果中国iCloud为例
本文转载自“汇业法律观察”
文 | 黄春林 合伙人 刘冠男 律师 汇业律师事务所
2018年1月9日,苹果公司(以下简称“Apple”)官方宣布自2018年2月28日起,中国内地的iCloud服务将由云上贵州大数据产业发展有限公司(以下简称“云上贵州”)运营。事实上,早在2017年7月,Apple就已公开宣布投资10亿美元在贵州省贵安新区建立iCloud数据中心,并与云上贵州进行合作。
根据合作协议,Apple为满足数据本地化要求设置的具体商业模式如下:(见下图)
Apple将中国大陆的iCloud数据中心设在中国贵州省贵安新区,以满足数据本地化存储及运维要求;
Apple授权云上贵州作为Apple在中国大陆运营iCloud服务的唯一主体;
Apple在贵安新区注册实体公司与云上贵州公司共同提供iCloud服务;
Apple就iCloud数据中心的本地化运营事宜单独告知中国大陆地区用户。
一、Apple为什么设立本地化iCloud数据中心?
长期以来,苹果中国内地的iCloud数据中心建立在境外并由爱尔兰公司Apple Distribution International实际运营,即所谓的“境外数据中心+境外运营”的模式,该种模式因数据中心及运营主体皆不在境内,不受中国电信业务准入的相关法律规制,无需获得相应的电信业务经营牌照。
但2017年6月1日正式实施的《中华人民共和国网络安全法》(以下简称《网安法》)提出的境内存储要求倒逼Apple在华设立数据中心。根据《网安法》第三十七条规定,“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。”虽然目前暂未公布《关键信息基础设施识别指南》,但结合《关键信息基础设施安全保护条例(征求意见稿)》、《信息安全技术 数据出境安全评估指南(征求意见稿)》等规定,电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位应当纳入关键信息基础设施保护范围。
根据上述规定,Apple的iCloud数据中心被纳入“关键信息基础设施”已基本确认,在此基础上,其通过iCloud服务在境内收集的个人信息和重要数据依法应当存储在中国境内。因此,Apple在华设立iCloud数据中心既满足了上述境内存储的合规要求,同时也能从技术角度改善因境外数据中心导致的网络服务不稳定问题,提升用户的体验感。
二、Apple为什么与云上贵州合作对iCloud数据中心进行本地化运营?
根据上文分析,Apple在华设立iCloud数据中心虽然解决了数据存储的合规问题,却无法规避数据中心的牌照问题。根据《电信条例》、《电信业务分类目录》(2015年版)以及《关于规范云服务市场经营行为的通知》(征求意见稿)的规定,云服务(即互联网数据中心业务(IDC)中的互联网资源协作服务业务)企业需要取得第一类增值电信业务互联网数据中心业务(IDC)业务许可。
虽然《外商投资电信企业管理规定》允许外资在出资比例不超过50%的情况下,以合资形式申请取得电信业务许可。但实践中,“无形之手”却让上述获牌的可能微乎其微,诸多世界知名的云服务商纷纷以合作、联合运营的模式规避牌照问题。例如,微软AZURE通过与持牌的北京世纪互联宽带数据中心有限公司、亚马逊AWS与持牌的北京光环新网科技股份有限公司合作运营开展实际业务。
根据公开信息查询,云上贵州为机关法人,由贵州省经济和信息化委员会(中共贵州省委国防工业委员会)独资设立,持有增值电信业务经营许可证(黔B1-20170001,互联网数据中心业务)。
Apple与云上贵州的核心交易结构如下图:
三、Apple为什么要在境内设立实体公司进行本地化运维?
实践中,很多跨国企业为避免核心技术流失,往往由其母公司通过远程运维的方式提供后续的技术支持服务,但Apple此次却选择在贵安新区注册实体公司提供相应的运维服务,主要归因于《关键信息基础设施安全保护条例(征求意见稿)》第三十四条的明确规定,“关键信息基础设施的运行维护应当在境内实施。”
虽然《网安法》未对关键信息基础设施的运维提出要求,但《关键信息基础设施安全保护条例(征求意见稿)》的上述突破性规定,使得Apple面临既要防范其核心技术不落入他人之手,又必须满足在境内提供运维的合规要求的两难境地,最终只能通过在境内注册实体公司来解决上述问题。
四、Apple为什么要就数据本地化事宜单独通知用户?
根据《网安法》、《关于加强网络信息保护的决定》、《电信和互联网用户个人信息保护规定》、《信息安全技术 个人信息安全规范》等规定,网络运营者收集、使用用户个人信息的,应当明确告知用户收集、使用信息的目的、方式和范围,查询、更正信息的渠道以及拒绝提供信息的后果等事项。
本次Apple变更iCloud运营主体,实际上是对数据控制主体的变更,根据上述规定,网络服务提供者必须履行对用户的告知义务,包括用户拒绝提供信息的法律后果,并征得用户同意。
事实上,Apple表示从1月10日起以电子邮件和推送通知的方式,告知每一个中国内地的用户(将Apple ID的国家或地区设置为中国的用户),并明确表示用户如不想使用由云上贵州提供的iCloud服务,可停止使用iCloud账户。
实践中,很多跨国企业在数据本地化或运营主体变更过程中,未及时、单独履行用户告知并征得用户同意的义务,在当前网安执法趋严的大背景下,存在较大的法律风险。
五、结语
《网安法》实施至今已半年有余,《网安法》各项配套措施逐渐落地,监管部门执法的热情高涨,执法力度和广度也进一步扩大。以Apple为代表的知名跨国企业及互联网头部企业,积极、主动的调整业务模式以适应《网安法》时代的新合规要求,具有重要的行业参考意义。
当然,跨国企业落实《网安法》本地化合规的过程中,在交易结构及商业模式设计时,应当多维度综合考虑包括业务控制力、电信业务牌照合规、网络安全与个人信息保护合规、知识产权保护等多样化风险因素及合规要求,以实现业务控制、法律关系及资金流向等多层面的统一与合规,避免穿透监管模式下的法律合规风险。
【原创连载2】何渊:论数据权的区分保护和利用制度——政府数据篇
何渊:欧盟议会全球首个“关于制定机器人民事法律规则的决议”(介绍部分)
何渊:人工智能时代“大数据”加上“差异化算法”带来的身份歧视,就是商业领域隐匿的穷人与狗不得入内!
【前沿5】美国布鲁斯的经典隐私理论和德国的人格权理论:四种类型的隐私侵权体系比整体保护体系更好吗?
【前沿2】《自动驾驶的监管挑战:面对悲剧性选择人工智能如何决策》
诚意推荐 欢迎关注