查看原文
其他

十国/地区数据保护法十大合规要点对比 | #4 数据跨境传输规则与要求

王捷 资深出海法律顾问 出海互联网法律观察
2024-08-25

必读收藏

十国/地区个人信息保护法十大合规要点大比对


本文是“十国/地区数据保护法十大合规要点对比”系列的第四部分,主要是围绕数据跨境传输规则与要求

进行解读、对比与分析。

第一部分请参见:十国/地区数据保护法十大合规要点对比 | #1 法律适用范围与域外适用效力

第二部分请参见:十国/地区数据保护法十大合规要点对比 | #2 个人信息处理规则与特别注意事项

第三部分请参见:十国/地区数据保护法十大合规要点对比 | #3 数据本地化存储要求



第四部分:数据跨境传输规则与要求


在数字经济时代,数据是各国竞相争夺的基础性战略资源,各国不断出台数据跨境传输规则与政策,强化本国对数据资源的掌控能力,以便在全球数字经济发展格局中占据有利地位。与此同时,数据只有流动才能产生经济红利,如何平衡跨境数据流动为跨国合作带来极大促进作用的同时,也能更好地维护主权国家在个人隐私权、企业商业利益和国家安全的问题上,提出了法律规制上的全新挑战。



(一)我国个人信息保护法解读

01  跨境提供个人信息的前置条件

我国个保法正式确立了我国个人信息跨境流动的规则体系,规定个人信息以在境内存储为原则,并确定了需要在满足法律规定的条件下可以向境外提供个人信息的规则。

 

可见,我国基于个人信息的跨境流动将会影响到个人隐私安全、企业利益甚至国家安全,以及数据的跨境流动具有不可逆的特性,采取了对个人信息跨境传输活动进行事前监管的方式。


个保法第三十八条明确规定,个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当至少具备下列一项条件:


01

照本法第四十条的规定通过国家网信部门组织的安全评估;

02

按照国家网信部门的规定经专业机构进行个人信息保护认证;

03

按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;

04

法律、行政法规或者国家网信部门规定的其他条件。

我国缔结或者参加的国际条约、协定对向境外提供个人信息的条件等有规定的,可以按照其规定执行。

首先,从法条本义解析出发,至少满足其中一项条件即可,但实践中,如果能同时满足其他条件,亦为更佳。


其次,需要注意的是,安全评估或个人信息保护认证,并非企业自我评估或自我认证就可以,而是两者都需要由国家网信部门的安排与组织下进行。根据2019网信办发布的《个人信息出境安全评估办法(征求意见稿)》,与安全评估的相关规则还处在征求意见阶段,暂未见其他进一步的强制规定与政策指南。


所以,尽管目前还没有具体的由国家网信部门指定的标准合同,但相比前两者来说,目前跨国企业在进行个人信息跨境传输时较为可行的方式,是采取“与境外接收方订立合同”的方式,通过要求提供方与接收方公司签订合同以约定双方在个人信息处理和保护的权利和义务。



02 跨境提供个人信息的基础要求

跨境传输是个人信息处理活动的一种,因此,在满足“前置条件”的情况下,企业在向境外提供个人信息的时候,仍需要继续按照我国个保法的基础要求进行,主要包括:

01

数据主体告知境外接收方的身份和联系方式,个人信息的处理目的、处理方式,个人信息的种类、数据主体对应权利,以及保存期限(且应当为实现处理目的所必要的最短时间等);

02

获得数据主体的单独同意;

03

进行事先的个人信息保护影响评估(DPIA或PIA)

04

采取必要措施,保障境外接收方处理个人信息的活动达到个保法要求的个人信息保护标准;

05

确保境外接收方没有落入国家网信部门的黑名单(列入限制或者禁止提供个人信息的公告清单)。


03 跨境提供个人信息的对等要求

我国个保法确立了信息跨境传输的“对等原则”,即,如果信息接收国家和地区在个人信息保护方面对我国采取歧视性的禁止、限制或者其他类似措施,则我国可以根据实际情况对该国家或者地区采取对等的禁止、限制或其他类似的措施。在这样的情况下,当个人信息是向该等国家或地区提供的时候,则会受到相应的限制,需要视情况而具体分析。



04 跨境提供个人信息的特殊要求

A

在向境外提供个人信息时候,还需要特别关注被传输的个人信息的性质,以及数量问题。

对于关键信息基础设施运营者,以及处理个人信息达到国家网信部门规定数量的个人信息处理者,应当:

01

将在境内收集和产生的个人信息存储在境内;

02

确需向境外提供的,应当通过国家网信部门组织的安全评估;但法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。

关于“关键信息基础设施”的认定,在刚刚生效的《关键信息基础设施安全保护条例》中有所体现,主要是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。


关于“个人信息达到国家网信部门规定数量”的界定,可参考本年7月份网信办发布的《网络安全审查办法(修订草案征求意见稿)》,以及2017年网信办发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》中的规定。


B

在协助境外司法执行方面的规定

我国个保法在这方面设置了非常高的门槛,明确规定了,对于存储在我国境内的个人信息,如果没有经过我国主管机关的批准,不得向外国司法或者执法机构进行提供。可见,我国对此情形下亦强调并采取了事前监管原则,即便进行了各种安全评估、获得数据主体同意、进行个人信息保护认证等方式也不能成为可以向境外司法或执法机构提供的前置条件,而唯有获得中国主管机关的明确批准,才能流出境外。


(二) 海外主要个人信息保护法律对比



总体来说

在数据跨境流动方面,可以看到,各国正在不断强化数据跨境传输的规则与限制要求,体现了主权国家对本国数据资源的管控意识。纵观各国在数据跨境流动的管理思路,主要以美国和欧盟为首的两种做法为主。


美国在数据流入方面主张“数据自由流动”,强调通过美国科技和数据资源上的优势,推动数字经济的发展;在数据流出方面,则通过出口管制手段来限制高科技、军民两用技术的数据出境。


欧盟则选择“欧盟境内松,欧盟境外紧”的数据跨境管理模式。在欧盟境内通过《非个人数据自由流动框架条例》促进欧盟内部数据的自由流动,同时通过《通用数据保护条例》(GDPR),确定欧盟数据保护的法律框架,增强了数据向境外流出的管控,并通过长臂管辖方式加大了对欧盟个人数据的保护力度。



作者介绍

王捷 

执业律师,垦丁W&W国际法律团队创始人,联合国世界丝绸之路委员会专家,广东省法学会信息通讯法学研究会理事,荷兰RuG国际经济法与商法硕士,专注于网络法领域的研究和实务,特别是互联网产品合规、出海合规以及全球数据保护与个人信息保护合规,已为多家知名互联网公司及大中型外资企业提供专业法律服务,覆盖智能终端制造、IOT、人工智能、云计算与服务、社交网络平台、移动互联网、电子商务及平台、短视频视听直播、网络游戏、以及个人信息保护、数据安全等行业领域。

王捷律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作,拥有10年的科技型公司实务经验与中外律所从业背景,深耕海内外多条业务线。专业能力模块包括产品风险管控、业务流程搭建、风险分析评估、数据保护与合规、纠纷案件处理、竞对攻防布局、政府监管合规、海外公司治理、投资项目管理等。她能更准确理解客户核心需求,快速响应并提供基础到战略的有效支持,并为各类出海互联网企业拓展印度、东南亚、中东、非洲、欧美等新兴及重要市场提供有效的合规解决方案与落地支持。

同时为出海互联网法律观察公众号主理人,合著《互联网全球数据合规法律观察报告》,并输出多篇专业互联网与数据合规文章,部分文章刊登于威科先行专业数据库中。

联系方式:



夏律

垦丁律师事务所W&W国际法律团队律师助理。

协助全球数据合规资讯周刊编写,追踪各国数据合规执法状况。


近期更新:

十国/地区数据保护法十大合规要点对比 | #2 个人信息处理规则与特别注意事项

十国/地区数据保护法十大合规要点对比 | #1 法律适用范围与域外适用效力

大数据杀熟-互联网法律人的周末私享会

佛罗里达州众议院通过了《佛罗里达隐私保护法》

爱尔兰数据保护委员会:Facebook5.33亿用户数据泄露

欧盟委员会提出AI专门立法提案

爱尔兰DPC称Facebook发生5.33亿用户数据泄露

欧委会与韩国发表数据流通联合声明

Line违反日本跨境数据传输要求被调查

精品解读:

美国封杀Tiktok事件法律依据、起诉可行性简要分析及出海应对方程式

印度封杀中国APP,谈谈出海印度企业的风险应对策略

针对印度政府禁止59款中国APP最完全版解读

【如何做一块安全的饼干】之cookies的用户告知与法律基础

民法典专题系列 | 对比:《民法典》隐私权&个人信息与GDPR视角下的隐私权&个人数据权利

从印度“删除中国APPs”被Google Play下架谈谈平台合规

游戏出海:

实务|Adjust手游出海指南-东南亚篇

干货|Google移动游戏东南亚出海策略

【游戏出海】国产手游厂商如何应对韩国游戏分级?

游戏出海如何进行合规?听听垦丁律所海外业务负责人王捷怎么说

游戏出海三人游—日本篇

游戏出海三人游-韩国篇(下)

游戏出海三人游-韩国篇(上)

网络法沙龙 | 垦丁网络法广州站第十一期:游戏作品IP化过程中的风控管理与游戏直播背景下著作权法律关系的再思考

跨境电商:

「大咖观点」卓志科技合规管理中心副总监黄颖|跨境电商零售进口实务分享

你真的读懂社交电商吗?——社交电商生态架构的合规设计(含海外社交电商专题)

【值得收藏】中国跨境电商的商业模式与生态链条剖析

「大咖观点」电子商务法立法专家姚志伟|跨境电子商务零售进口中的“中文标签”问题

重磅」《跨境电子商务零售进口法规案例汇编》发布

「大咖观点」 “全球购骑士特权”法总叶意 | 海外支付法律问题分析

执法近况:

美最高院推翻支持hiQ Labs的判决, LinkedIn与hiQ Labs案被发回重审

Line违反日本跨境数据传输要求被调查

罚款3.9亿!WhatsApp因数据合规问题再次被调查!

谷歌诉求被驳回!违反被遗忘权遭瑞典罚款5200万克朗!

125万英镑!跻身ICO罚款Top5!

Zoom再惹麻烦!与FTC协议,将接受独立第三方两年一次的安全计划审查!

重磅原创 | 个人信息保护法(草案)与多国数据保护法要点对比

【突发】特朗普签署总统令:正式封杀微信TikTok,45天后生效

突发!美国政府宣布扩大洁网计划来保护美国资产

【突发】  印度叕禁包括吃鸡在内的118款中国应用,附详细清单




继续滑动看下一个
出海互联网法律观察
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存