数据出口管制合规浅析
The following article is from 安理律师 Author 陈轶凡 陈俊豪
《中华人民共和国数据安全法》(以下称“《数据安全法》”)已经于2021年9月1日正式施行。对于数据安全的保护,《数据安全法》沿袭《网络安全法》相关规定,明确国家将建立数据分类分级保护制度。对于数据分类分级的方法,现行《数据安全法》下即有根据数据的重要程度等区分的“重要数据”、“国家核心数据”(第二十一条),也有根据数据的具体特征区分的“涉及国家秘密的数据”(第五十三条)、“与维护国家安全和利益、履行国际义务相关的属于管制物项的数据”等(第二十五条)。
在数据分级分类保护大原则下,同一数据可能身兼多重法律属性,从而受到多重法律法规的监管和限制。因此,在探讨数据的合规要求时,首先有必要对于数据本身的法律属性进行“定性”,在确定数据的所属分类的基础上,对于该等分类的数据的合规要求进行讨论。本文尝试围绕《数据安全法》以及《出口管制法》规定的属于管制物项的数据合规问题进行浅析,以期抛砖引玉。《个人信息保护法》涉及到的个人信息出境相关问题,限于篇幅,我们另行提供报告。
一、属于出口管制物项的数据
《数据安全法》第二十五条规定,国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。根据此前于2020年12月1日生效的《出口管制法》第二条规定,“出口管制物项”的范围包括两用物项、军品、核以及其他与维护国家安全和利益、履行防扩散等国际义务相关的货物、技术、服务等物项,其中包括前述物项相关的技术资料等数据。”
由此可知,属于“出口管制物项的数据”原则上包括两类,其一是本身即在出口管制物项清单中列明的作为管制物项的数据,例如《禁止出口限制出口技术目录》所列的技术的相关数据资料,《两用物项和技术进出口许可证管理目录》中列明的规划、计划、图标、数学模型、计算公式、工程设计和技术规范、手册和书面介绍等数据资料,《导弹及相关物项和技术出口管制清单》所列的设计技术、技术资料、规程等相关数据资料,以及《商用密码出口管制清单》中列举的用于研制、生产或使用管制物项产品的软件和技术相关数据资料等。其二,是其本身未在出口管制物项清单中列明,但是与管制物项相关的技术资料等。
就出口管制物项清单,截至本文截稿之时,目前已经公布有《禁止出口货物目录》、《禁止出口限制出口技术目录》、《两用物项和技术进出口许可证管理目录》、《生物两用品及相关设备和技术出口管制清单》、《各类监控化学品名录》、《易制毒化学品进出口管理目录》、《有关化学品及相关设备和技术出口管制清单》、《核出口管制清单》、《导弹及相关物项和技术出口管制清单》、《核两用品及相关技术出口管制清单》、《军品出口管理清单》、《商用密码出口管制清单》、《增列禁止向朝鲜出口的两用物项和技术清单》等多项出口管制物项清单,上述清单中所列明的直接属于管制物项的数据以及与管制物项相关的技术资料等数据,均属于“属于管制物项的数据”。
二、出口管制物项数据的出口管制
根据《出口管制法》第二条三款,出口管制,是指国家对从中华人民共和国境内向境外转移管制物项,以及中华人民共和国公民、法人和非法人组织向外国组织和个人提供管制物项,采取禁止或者限制性措施。
由此可知,受管制的出口行为,既包括从境内向境外转移管制物项的行为,也包括在中国境内,中国公民、法人和非法人组织向外国组织或外国个人提供管制物项的“视同出口”的行为。企业使用电子邮件、电话、传真、工作软件、社交软件、云储存等工具向境外或外国组织或外国个人传输属于管制物项的数据的,即可能构成出口“属于管制物项”的行为。
同时,对于出口管制物项的出口行为管制,国家可采取的禁止或限制性措施包括出口许可、临时管制、管控名单、禁止出口等。对于未取得相关管制物项的出口经营资格从事有关管制物项出口的、未经许可擅自出口管制物项的、超出出口许可证件规定的许可范围出口管制物项的、出口禁止出口的管制物项的出口经营者,可能被处以责令停止违法行为、没收违法所得、罚金、责令停业整顿直至吊销相关管制物项出口经营资格的处罚。
三、数据出口管制与数据跨境流动、技术出口
国家针对属于管制物项的数据的“出口”行为,依法实施出口管制。此外,如前所述,同一数据从不同的分类角度可能被归属于不同的法律属性,从而受到不同法律法规的多重监管。例如,2020年8月28日修订的《禁止出口限制出口技术目录》中,我国将3D打印技术、航空、航天轴承技术、无人机技术、航天遥感影像获取技术、人工智能算法成果、5G通讯技术、密码安全技术等先进领域技术,以及与此类技术相关的技术资料等数据纳入监管范畴。而该等技术相关数据同时可能落入“重要数据”、“涉及国家秘密的数据”等的不同的数据分类范围。若企业处理相关数据时,则将面临重要数据出境、出口管制、技术进出口管理等法律法规的多重监管。
四、数据出口管制合规实务要求
为了帮助企业建立与出口管制制度相适应的合规体系,商务部于2021年4月28日发布2021年第10号公告《商务部关于两用物项出口经营者建立出口管制内部合规机制的指导意见》(以下简称“《指导意见》”),要求出口经营者按照“健全制度、全员参与、严格执行、规范经营”的指导思想,“合法性、独立性、实效性”的原则建立并完善出口管制内部合规机制。《指导意见》所附的《两用物项出口管制内部合规指南》(以下简称“合规指南”)对于数据出口管制合规问题最为集中的领域进行了特别强调。
《合规指南》特别指出,企业应摸排日常经营中的技术交流、技术传输的出口风险和隐患,注意电子邮件、电话、传真、社交软件、云存储、软件上传以及日常技术运维等途径可能出现的“视同出口”等数据出口违规行为;此外企业内部任何有关出口管制的存档文件如需向境外提供,都应当按照《出口管制法》要求进行。企业在内外信息交互、集团公司内部信息交互、内部资料保管及传输时,应特别注意与出口管制相关的内容,并确保这些内容以任何形式对外提供均符合法律的规定。结合合规指南的要求,企业对于数据合规管理时,应注意:
第一、建立数据库管理体系,对于管理的数据、资料库等进行分类分级管理。
第二、规范处理数据的权限管控与监管,明确数据访问权限,并记录访问、上传、下载情况。
第三、按照合规指南建立完善的合规体系。采取包括建立合规组织机构、全面评估数据合规方面风险、确立数据出口审查程序,制订应急措施、完善合规审计、开展教育培训等措施。
五、总结
《数据安全法》与《出口管制法》相衔接,针对数据出口管制,包括各类重要数据、国家核心数据、政府和公共数据、一般数据、行业技术数据等的具体出口规则奠定制度基础,同时也提醒企业及时关注数据流动中的隐形风险,将数据出口合规同时纳入整个出口管理合规体系中。虽然在后续具体的数据出口规则出台之前,企业的出口管理合规重点仍在于实体类管制物项,但相对于实体类管制物项,数据类管制物项的识别和管控难度更大,数据出口管制给企业带来的合规挑战也更大。企业经营者需要充分认识到这一点,有意识地在出口管理合规体系中为数据出口管理制度保留空间,便于在后续数据出口规则出台后,及时、顺利地将具体数据出口管理措施纳入合规体系,既保证企业内部管理制度的稳定性,又确保出口管理合规体系紧跟立法脚步,不在合规竞争中被淘汰。
注:陈俊豪律师为本文共同作者,律师助理徐梦琦对本文亦有贡献。
作者介绍
陈轶凡
安理律师事务所
上海及东京办公室
合伙人
陈轶凡,日本国中央大学法学学士、法学硕士,执业领域:中日双向投资/并购、债权回收、劳动法、涉外争议解决、公司法务等。在外商直接投资与公司并购领域,陈轶凡律师曾经为数十家日本企业在中国设立外商投资企业、外资并购项目以及外商投资企业合并/分立、清算等提供全方位的法律服务;在劳动法领域,陈轶凡律师拥有丰富的经验和突出的业绩;在中国企业对日投资方面,陈轶凡律师主持编撰了《对日投资指南》一书;在公司法务方面,为企业在公司法,商业交易,知识产权保护以及合规等方面提供制度设计,文件制作等全方位法律服务。陈轶凡律师在2015-2020年连续入选LEGALBAND评选的中国劳动法领域的顶级律师排行榜。
近期热点活动
成长不走弯路,才是真的减负
企业VIP法商内训定制服务
未来已来!法嘉助力进博,聚焦数字化转型
近期热点文章
总法嘉谈 | 公司法律合规部遵从与利用外商投资负面清单浅析——外商投资法制“捉虫记”(二)