【前沿思考】中国出海企业开展跨境业务面临的国内数据合规挑战与建议
中国出海企业开展跨境业务
面临的国内数据合规挑战与建议
2020年4月27日,国家互联网信息办公室(以下简称“网信办”)联合11部门,正式发布了《网络安全审查办法》,于2020年6月1日正式生效。在总体国家安全观的框架下,《网络安全审查办法》的出台,对于加强和保护关键信息基础设施的安全运行,维护国家安全,起到“安全阀”的法律制度保护作用。
7月伊始,网信办网络安全审查办公室先后密集发布公告,对“滴滴出行”、“运满满”、“货车帮”、“BOSS直聘”(以下简称“滴滴等4平台”)等主体实施网络安全审查(“网络安全审查事件”)。这是2020年6月1日《网络安全审查办法》(以下简称“《审查办法》”)实施以来,网络安全审查办公室首次公开对相关企业进行网络安全审查,出海互联网企业所涉网络及数据安全、个人信息安全等议题一时引起热烈关注和评论,许多专家、学者也大多从《网络安全审查办法》及其修订案这些法律文本条款本身对此次网络安全审查事件进行了解读。
以此次网络安全审查事件为契机,本文提供另一个视角,以供开展跨境业务的中国企业参考,即在当前国内外监管环境背景下,开展跨境业务的中国企业不仅要注重传统的境外监管要求,更要关注国内监管政策的发展,尤其是在个人信息安全、网络安全、数据安全等新兴领域的法律法规要求,立足国内,方能更好地助力中国企业合规地“走出去”开展跨境业务。
1. 新形势下,开展跨境业务的中国企业不仅要注重国外监管要求,更要把握总体国家安全观视角下国内有关法律法规的要求,做到双向合规
在传统的跨境交易中,对交易进行合规性审查的主要驱使因素之一是为了应对外国监管部门对交易合规性的审查。自中美贸易摩擦以来,在中美博弈不断的背景下,制定、实施更加严格的投资新规,尤其是加强外国投资国家安全审查,成为以美国为代表的西方发达国家制衡竞争对手的主要手段和政策趋向,注重东道国的合规要求无可厚非。例如,美国先后通过的《2019财政年度国防授权法案》、《2018年外国投资风险评估现代化法案》(“FIRRMA”)以及《2018年出口管制改革法案》(“ECRA”)等新规对外国主体在美投资、美国出口管制实践和范围等进行了进一步的规制,尤其是在那些可能触及东道国国家安全的“关键技术”、“关键信息”等敏感领域。
而近期滴滴等4平台的网络安全审查事件则提醒开展跨境业务的中国企业,在开展跨境业务时,不但要关注国际监管环境的变化,更要立足国内,关注总体国家安全观视角下相关法律体系对中国企业开展相关业务的合规要求,做到双边合规,以降低企业开展跨境业务的法律风险。
具体而言,自2014年总体国家安全观提出以来,我国先后出台了《国家安全法》、《网络安全法》以及即将生效实施的《数据安全法》等重要法律法规,网络安全、数据安全是国家安全不可分割的一部分。具体而言,通过总体国家安全观的形成,伴随数据经济的不断发展的同时,网络安全、数据安全等问题受到了越来越高的重视,成为国家安全中的重要领域。《国家安全法》第25条、第59条就制定了专门条文规定了网络安全和数据安全可控问题,并规定了相应的安全审查制度。此后不久,《网络安全法》《数据安全法》也相继在全国人大常委会通过,成为与《国家安全法》紧密配套的重要立法,专门针对网络、数据领域问题进行规则,另一重要的法律《个人信息保护法》则在审议之中,尚待出台。在此基础上,其他各项配套法律与制度也在随之扩展推进,其中就包括《网络安全审查办法》及其新进发布的征求意见稿等法规。上述主要法律法规也正是此次网络安全审查事件所援引的法律依据,在此不再赘述。
2. 个人信息安全、网络及数据安全等数据合规问题愈发成为中国出海企业的监管合规要点
在主体国家安全观的视角下,《网络安全法》、《数据安全法》以及尚待出台的《个人信息保护法》各有其定位,但又相互交叉、统一。就各自定位和区别,本文暂不做介绍和探讨。
就其交叉、统一,这是由大数据的特性和价值决定的。作为大数据时代的核心资源要素,数据的价值贯穿于数据活动的全生命周期,具体而言,这一过程建立在不同的活动基础上:数据生产和收集;数据聚合和结构化;数据存储和处理;数据分析、营销和销售;数据的使用和再使用。互联网企业作为数据经济活动中主要的数据控制者、数据使用者,它们在其中发挥了至关重要的作用,对包括个人数据在内的广泛数据(“企业数据”)进行着利用,这些企业数据一般是指由企业实际控制和使用的数据,既包括财务数据、运营数据等商业数据,也包括企业合法收集、利用的用户数据。因此,总的来说,鉴于个人信息本质上就是一种数据的表现形式,这就涉及到个人信息保护问题,而数据本身在不同的载体或情境下当然可能触及到数据安全和网络安全问题。
以滴滴事件为例,网信办就先后于7月2日公告,“为防范国家数据安全风险,维护国家安全,保障公共利益,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》,网络安全审查办公室按照《网络安全审查办法》,对“滴滴出行”实施网络安全审查。”;于7月4日及7月9日先后通报,“滴滴出行”、“滴滴企业版”App存在严重违法违规收集使用个人信息问题,被要求下架处理,以保障广大用户个人信息安全。进一步而言,此次接受网络安全审查的主体中,三家涉及到运输、物流行业领域,一家涉及到人力资源领域,接受审查的主体在各自细分领域中均不同程度的涉及地理位置信息采集、测绘、物流信息采集、金融数据、个人数据收集与利用等网络及数据安全、个人信息安全事项。网络及数据安全、个人信息安全的交叉在此可见一斑,可以说,相关问题往往“牵一发而动全身”。
而跨境业务本身横亘数个法域的特性,毫无疑问更是增加了上述问题的复杂性、敏感性,需要充分考虑跨境业务所涉法域的相关监管规定,双向合规,从而避免法律风险。
3. 中国出海企业开展跨境业务时在个人信息保护、网络及数据安全合规方面的建议
在当前国内外监管环境下,以滴滴事件引发的个人信息安全、网络及数据安全等问题的思考和相应而来的数据合规挑战,我们建议企业,尤其是出海互联网企业从以下几个方面着重展开合规工作:
(1) 评估确认企业自身在开展业务过程中所收集、处理的包括个人信息在内的数据情况。具体包括:收集的数据种类、具体哪个部门在收集、使用、维护相关的数据、数据存储地点、数据传输给了哪些主体、数据在何时、何地被予以了何种处理、数据存储时长、数据的安全控制措施等等。
(2) 在明确上述企业所收集、处理的数据情况的基础上,确认企业相应的境内外合规义务。鉴于出海企业往往横跨多个法域,需要结合其开展业务所在国的相关立法模式及相应法律法规,明确使用的法律法规以及行业标准要求,进而对照自身企业数据进行分析、评估,确认企业在不同法域下面临的相应合规义务。
(3) 鉴于包括中国在内的世界各国在个人信息安全、数据及网络安全等议题方面的立法正处在不断的发展、完善之中,这需要企业:一方面不断更新企业所适用的法律法规,明确相应的合规要求;另一方面,综合考虑所涉及的东道国或地区的法律法规要求,并在要求标准不一致的情况下,从严选择制定企业相应的合规政策。
(4) 此外,无论是对于已制定、实施有关数据合规政策的企业,还是对尚在考虑实施或相关措施尚不成熟的企业,均可以根据自身条件,选择进行相应的数据保护评估或审计活动,既可以由自己内部相关部门开展,亦可针对供应商开展,或是由独立的第三方开展,进而明确企业目前在网络及数据安全以及个人信息保护方面存在的问题以及改善的措施。
(5) 有需要、有条件的企业可以委派包括外部律师在内的第三方协助开展上述任何一项工作;或是协助企业制定、实施相对完整的数据合规项目管理,针对企业数据运行生命周期全过程制定相应的各部门分工协作的体系框架、具体的数据处理要求及防护要求等等,帮助企业全方面提升自身的合规运行和合规意识,减少数据安全事件发生的概率、数据安全事件的影响程度、帮助企业应对安全事件的发生等等。
作者:张志强
(华东政法大学互联网法治研究院兼职研究员、CIPM持有者)
编辑:徐静赛
审稿: 王 镭