查看原文
其他

【实务导师谈形势】“数据跨境传输”常见问题ABC ——说说“出海”必修的数据合规课

薛颖 法嘉LAWPLUS 2022-04-10

作为“沪航”贸易高质量发展项目的一部分,我们将持续发挥“国际经贸人才实训平台”的优势与作用,邀请各个领域经验丰富的实务导师,在上海市商务委员会的指导下,于“上海公平贸易“公众号和”法嘉LAWPLUS“公众号上开设“实务导师谈形势”专栏,结合国际最新动态及热点事件焦点通报,为企业提供第一手的法律合规指导。

欢迎大家关注、转发。


“出海”已成为目前国内企业拓展市场的一个重要趋势,而随着越来越多的企业在海外市场进行布局和发展,“数据跨境传输”也成为一个绕不开的话题:海外业务运营中的用户个人信息会在目的地国、本地国甚至第三国之间进行流转、传输,从而不可避免地涉及数据跨境传输问题。

虽然各国立法和国际/区域性条约等大都提及支持“数据自由流动”[1],但与实物产品的跨境运输和通关模式不同,“数据跨境传输”涉及非常复杂的场景识别、数据本地化、跨境合规机制、用户端告知等多重合规要求。而众多开展出海业务的中国企业常把“数据跨境”问题简单化为“采用加密措施”、“在哪里部署服务器”,因此对这一问题的误解很多,也给出海业务带来潜在的重大合规风险。

本文拟以中国境内A公司向海外用户提供B2C的在线信息服务、收集和处理了目的地国用户个人数据为模拟场景,梳理中国企业应对出海业务数据跨境传输的常见问题。


【问题一】:A公司处理哪些数据会触发目的地国的数据跨境传输要求?只要不是传输身份证号码、手机号、邮箱之类的个人数据就没事儿吧?

答:在考察出海目的地国的跨境传输要求时,应当基于“数据分类”来识别风险,因为不同类型的数据所适用的跨境传输要求会有很大差别。通常来说,各国通常会对下述三类数据设置跨境传输要求,因此A公司通常需要区分出其出海业务中是否处理了目的地国的下述类型数据:

  •   当地用户或员工等的“个人数据”

  •   当地用户或员工等的“敏感个人数据”

  • 当地法律和政策规定的特定行业或类型的“重要数据”,或可能被当地监管机构认定为涉及“国家安全”、“商业秘密”等其他数据。

对“个人数据”的界定,虽然各国法律规定不完全一致,但一般可参考欧盟GDPR下第4条对个人信息的界定:“指已识别到的或可被识别的自然人的所有信息”——因此,并非只有身份证号、手机号、邮箱等可直接识别或直接关联到个人的数据才是个人数据。

【问题二】:如果A公司把欧盟用户个人数据存储到美国的服务器,这就是“数据跨境传输”吧?除此之外不会触发 “数据跨境传输”的监管要求吧?

答:确实,中国公司处理海外业务中最常见的“数据跨境传输”方式就是指将目的地国运营产生的数据存储到目的地国之外的服务器中。

但是,数据的传输方式并不仅限于存储空间的转移,触发数据跨境传输监管要求的场景还有很多:

大部分国家对“数据跨境”的认定采用的是“提供”说,即向境外“提供”了数据。因此,除了将目的地国的用户个人数据存储到中国或其他国家中的服务器外,如果A公司在中国境内进行远程网络访问与处理、接收邮件、通过实体存储介质交付等获取和处理目的地国个人数据,也会构成“数据跨境传输”,即使数据本身被存储在目的地国的服务器中。

至于何为“境外”,则需要结合目的地国的实际监管尺度来判断,常见的情形可能包括:实际接收数据的服务器部署在境外的、数据接收方的注册/国籍地或主要经营地在境外、 主要数据处理活动的实际发生地在境外。

【问题三】:听说数据跨境流通的最大障碍就是“本地化要求”,是不是目的地国要求“数据本地化”就无法进行数据跨境传输了?A公司怎样做才能符合目的地国的“本地化”要求?

答:“要求数据本地存储”并不必然意味着禁止“数据跨境传输”。出海目的地国对某类数据存在“数据本地存储”要求的,可能会完全禁止跨境传输,但也可能只是要求本地存储保留副本,并不禁止将数据传输到境外进行处理。同理,即使目的地国不要求“数据本地存储”,也可能对数据跨境传输设定各种限制条件、并非可自由跨境流通。

总体而言,如果A公司要将某个目的地国业务下产生的数据传输到其他国家处理,就要精细出目的地国针对数据“跨境传输”和“本地存储”两个维度的要求,然后采取不同的服务器部署方案和处理活动:

【问题四】:如果A公司把海外某国用户的个人信息传输到该国之外的法域,需要向该国用户进行披露告知吗?

答:是的,这是跨境传输活动中需要采取的非常重要的2C端合规措施,即需要向目的地国的用户披露“跨境”这一数据处理活动,以满足个人数据处理的透明度原则和处理规则告知等基本义务。例如,欧盟在发布新版SCC条款时就特别提示,根据GDPR第13(1)(f)条和第14(1) (f)条的规定,向数据主体“提供有关其打算将个人数据转移到第三国这一事实的信息”,即需要向欧盟用户告知会将其个人数据进行跨境传输。

当然,对于这一“披露”行为的详细颗粒度、告知之后是否必须要获得个人信息主体的“同意”才能开展跨境行为等,不同法域的法律法规要求则有所不同。

A公司可以考虑的常见做法是,在面向用户发布的多语种隐私政策中,提供 “全球性数据转移”或数据存储专门条款,告知数据存储和跨境处理访问的基本情况——

例如:“How We Store and Share Your Personal Information. Our corporate group operates around the world and your personal information will be processed on servers located in PRC/US... In addition, your information can be accessed from outside of where you live by our support, engineering and other teams around the world (namely, the United States team…)”或者,

“How do we operate and transfer data as part of our global services. We share information globally, both internally within our Group, and externally with our partners in accordance with this policy. Your information may, for example, be transferred or transmitted to, or stored and processed in the United States or other countries outside of where you live for the purposes as described in this policy. These data transfers are necessary to provide the services set forth in the Service Terms and to globally operate and provide our Service to you. We utilize standard contract clauses, rely on the European Commission's adequacy decisions about certain countries, as applicable, and obtain your consent for these data transfers to other countries.”

【问题五】针对A公司的出海业务,有哪些常见的数据跨境传输“合法性机制”可供选择?

答:一般来说,在允许跨境传输的情况下,各国法律会提供一定的合法性机制供企业选择,即规定跨境传输合规方式或曰数据跨境传输要满足的条件,以指引和规制企业实现合法合规的数据跨境传输。

常见的数据跨境传输合法性机制通常有如下几种:

1)数据出境方获得个人信息主体的有效同意或者基于与个人信息主体的有效合同约定;

2)数据出境方完成目的地国法律规定的安全评估、审查登记、备案等流程;

3)境外数据接收方通过目的地国法律认可的安全水平认证、合规准则认证、适用有约束力的规则[2]

4)数据出境方选择将数据传输至目的地国所认定的“白名单”或达到“充分性保护水平”的法域[3],从而实现数据自由流动;

5)数据出境方与数据入境方签署了目的地国法律认可的官方标准合同条款。这一方式是最为普遍采用的一种跨境传输合法性机制,在数据接收方难以获得充分认定的情况下,大多数企业都会与境外接收方签署适用法所批准的官方标准合同条款,通过合同来限制境外数据接收方的数据处理活动、全面约定数据保护义务和责任、个人信息主体受益人条款等。

实操中需要特别注意,此类官方标准合同条款通常不能由合作双方来自行修改、翻译或约定减免。

尽管规定了数据跨境传输的合法机制或曰限定条件,欧盟、俄罗斯、印度等国家也规定了一定的豁免或克减情形,以便在不符合上述合规路径的情况下仍可进行跨境传输。但这些情形的适用条件还是比较严苛:国家安全需要、相关主管机关批准、关乎生命或健康的重大情形等。

【问题六】:最普遍的那个疑问来了——欧盟GDPR项下所规定的“跨境传输机制”是否适用于从欧盟用户个人到中国A公司的数据传输环节?什么情况下应该签署关于跨境传输的欧盟标准合同条款(SCC)?

答:欧盟GDPR第五章规定的“跨境传输机制”并不适用于欧盟用户个人和中国A公司之间的数据传输环节,即中国A公司能够跨境获取和处理欧盟用户个人的C2B跨境数据传输并不是依据第5章规定的“跨境传输机制”(应基于第6条规定的“正当性事由”)。

根据欧盟GDPR规定,如果一个组织要把欧盟的个人数据从EEA(European Economic Area)向第三国传输则需要符合GDPR第5章要求的跨境传输机制。简单地说,适用该章规定的数据跨境机制的典型场景为:获取欧盟个人数据的企业再把该等数据转移到其他非EEA地区的企业,即B2B之间的数据跨境传输环节。其中中国公司最普遍采用的机制就是安排数据输出方和接收方之间签署欧盟批准的SCC。

具体到中国境内A公司而言,需要针对数据接收方所在的不同法域,分别判断是否需要与其签署欧盟最新版的SCC文件,具体示例场景如:A公司作为数据控制者收集和处理了欧盟用户个人数据,且A公司也分别委托不同的合作伙伴(B1、B2、B3)来提供针对欧盟用户数据的分析服务,则相应适用的“数据跨境传输合规机制”如下图——

当然,按照EU的新版SCC规定,即使签署了SCC,A公司也还是应评估是否需要针对该种跨境传输的合法性采取“补充性措施”。

【问题七】对于A公司开展出海业务的数据跨境传输行为,还有哪些实操性建议?

答:除了上述基本的合法要点和措施,出海业务中的数据跨境传输实操层面还要考虑很多风险控制要点,如:

(1)业务未动、方案先行。A公司在设计出海业务“数据跨境传输”方案时,既要提前考察复杂的适用法和属地监管要求,也要综合考虑技术实施成本、目标市场的用户信任度、境外上市的便利等多个视角,在海外业务战略策划部署时就将数据跨境传输问题提前考虑在内,避免后期返工和增加数据再迁移的成本与风险。

(2)全面审核数据接收方。A公司与境内外的合作方开展商务磋商时,不仅要审核合作协议中的责任和赔偿条款,还要切实审核其中是否有专门的数据保护或合规条款。即使没有适用法下的标准合同条款,也要全方面明确合作方开展数据处理活动的义务,如合作方应确保采取必要的技术组织措施实现数据安全、发生数据泄露安全事件的及时披露、配合A公司进行安全评估或及时响应个人信息主体的行权请求。此外,对于涉及敏感个人信息等高风险的数据处理活动,还应对于合作方的数据处理能力在先进行安全影响评估。

(3)动态监控记录数据跨境活动。即使采取了服务器部署、C端告知(同意)、合作方管理、跨境传输合法性机制等多重措施,A公司也还是需要完整动态地监控和记录其跨境传输的数据处理活动。这一数据处理监控和记录活动应该覆盖跨境传输数据的各方活动、安全措施、合规措施与跨境传输合法机制,并覆盖数据全生命周期和全数据链路,留存相应的安全影响评估报告。这一监控记录行为既是A公司落实适用法下普遍规定的内部组织和技术措施义务,也有利于应对随时会发生的数据跨境违规处理或泄露事件。

(4)关注过境数据可能产生的多重管辖问题。例如,A公司在我国境内供处理海外业务的数据,是否受到我国法律的管辖?虽然按照我国《个人信息保护法》的条文表述,在我国“境内处理自然人个人信息的活动”都适用于该法,但这一问题目前还停留理论层面,有待法律实践的验证。“过境数据”(无论是否是透传)是否接受数据来源国和数据过境国的双重管辖,取决于过境国的数据监管政策和法律采取的是“属地原则”还是“属人原则”及其实际执法和法律适用情况。

综上,各国法律下的“数据跨境传输”要求并非是原则性的规定,而是日趋精准化的治理机制,无论是对不同类型数据的跨境流动进行差异区分,还是对数据的本地化程度进行双维度限制,或是针对不同的数据跨境场景限定不同的条件或提供不同的合法传输机制,都意味着“数据跨境传输”这门中国企业出海的“必修课”并不容易。


[注]

[1] 例如,我国《数据安全法》第11条规定国家“促进数据跨境安全、自由流动”;欧盟GDPR的序言(Recital)第3条规定“确保个人数据在各成员国之间的自由流动”。

[2]以欧盟GDPR第五章规定的跨境传输机制为例,具有约束力的集团企业规则(BCR)可适用于跨国集团之间的数据跨境传输,但BCR需要经欧盟委员会认证通过后才能生效。目前为止通过的BCR的企业非常少,其中也还没有中国本土企业;认证符合欧盟批准的行为准则(Code of Conduct)也有很大难度。

[3]例如,数据接收方所在国与该国签署了国家间或区域性的条约或公约、允许数据在签约国之间跨境流动,或数据接收方所在国属于该国认定的白名单国家,或数据接收方加入了该国与数据接收国之间的认证框架。

实务导师介绍

薛颖律师

完美世界集团数据

合规与知识产权总监

薛律师曾在外企、世界500强公司等从事过多年数据隐私合规工作,拥有深厚的法律专业功底和丰富的互联网场景一线经验,处理过涉及大数据、物联网、游戏、在线资讯、教育等多种业务类型和多法域的数据处理场景,为业务提供了从立法跟进到产品端落地闭环的解决方案。

薛律师分别获得吉林大学和斯德哥尔摩大学的硕士学位,持有中国公司律师执照、CIPP/E,并入选ALB中国知识产权法务15强。

往期文章链接🔗:

近期热点活动

成长不走弯路,才是真的减负

剧透来了——全明星天团的闪亮阵容,来自这里!

律师如何正确地“拼命”和“革命”,以至可以“改命”?

“沪航”贸易高质量发展之出口管制专题培训顺利举办

数字经济与全球数据治理系列研讨会成功举办

近期热点文章

剧透!职场升级打怪,有人这样练……

学会去“爱”、学会用“心”,是一生的课题

【实务导师谈形势】跨国公司资金统筹管理工具 ——跨境双向人民币资金池业务解读

钱颖一:人工智能将使中国教育优势荡然无存

总法嘉谈|卡尼曼新书《噪声》——如何卫生地做决策


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存