全球70个国家地区限制数据跨境流动 “数据合规”精英律师解读11万亿跨境数据传输市场中的中国机遇丨律新观察
出品丨律新社研究中心
作者丨郭浩文
数据跨境流动与开放发展密切关联。
目前,新一代信息通信技术,包括5G、云计算、大数据和人工智能等,正在全球范围内快速发展并逐步实现跨界融合,极大地推动了全球数字化转型和国际数字贸易的进步。数据作为新型生产要素,在现代数字经济中的跨境流动具有重要地位,因其既带来机遇又伴随风险,已成为各国和地区广泛关注的议题。
全球数据流动也对经济增长具有拉动作用。据麦肯锡估算,数据流动量每增长10%,将促使GDP增长0.2%[1]。预计到2025年,全球数据流动对经济增长的贡献将达到惊人的11万亿美元。截至目前,全球已有超过70个国家或地区对数据跨境流动进行了不同程度的限制。
企业作为数据跨境活动中最为活跃的主体之一,在数据跨境合规方面扮演着关键角色。在具体实践中,如何采取有效且合适的措施,仍面临诸多挑战和问题。在律新社《精品法律服务品牌指南(2024):数据合规领域》的调研过程中,律新社研究中心与多位数据合规领域的资深律师进行了深入对话,为企业在数据跨境合规方面提供实务建议。
01
数据跨境驱动全球数字经济加速增长
数据跨境的安全有序流动,是数据要素高效运转的核心环节。早在20世纪80年代,经济合作与发展组织将数据跨境流动定义为个人数据跨国界传输[2]。自2008年以来,其对全球经济增长的贡献已经超越了传统的跨国贸易与投资[3]。它支持了包括商品、服务、资本、人才等各类资源的全球化活动,成为推动数字经济增长的主导力量。数据跨境流动不仅是经济全球化的必然趋势,更是当前及未来经济发展的新常态。它在促进数字创新、提升经济增长效率以及增进社会福祉方面具有重大的战略意义。
此外,跨境数据流动也加速了企业的国际化发展进程。企业在市场中的主体地位决定了其业务与经营模式需实现跨境数据流动的高频化、规模化及常态化。随着全球产业分工的日益细化,企业的海外业务布局往往涉及多个国家;因此,数据的集中协同处理成为企业经营的必然需求。跨境数据流动不仅有助于资源要素的顺畅流动及市场主体的深度融合,还能推动企业运营模式的不断优化、供应链的持续完善以及商业模式的创新,从而助力企业实现资源的高效配置。
根据经济合作与发展组织(OECD)的测算,数据流动对各行业利润增长的平均促进率达到了10%,在数字平台、金融业等行业中的促进作用更是高达32%。通过利用数字技术和信息网络推动数据的跨境流动,可以促进各种资源要素的高效流动和各类市场主体的快速融合,从而进一步推动数字经济的持续健康发展。
02
各国加快构建自身数据跨境流动规则
在数字经济快速发展的背景下,数据跨境流动已成为推动其增长的重要动力。然而,这一过程也诱发了不容忽视的安全隐患。目前,国际社会普遍认为,数据跨境流动不仅涉及物理层面的国界跨越,还包括第三国主体对数据的跨境访问和使用。随着经济全球化进程的推进和国际交流合作的增多,数据跨境传输、存储、访问和使用的频率显著增加,相关安全风险已渗透到数据的全生命周期。这些风险不仅关乎个人隐私和商业利益的保护,更上升到了国家数据主权乃至国家安全的层面。
各国对数据跨境流动的意义和影响的认识逐渐深化,使得数据跨境流动成为国家和地区间博弈的关键议题。在综合考虑国家安全、经济发展、隐私保护和技术能力等多方面因素的基础上,各国制定了不同的数据跨境流动策略,并据此加快构建和完善自身的数据跨境流动规则体系。
从国家层面来看,目前数据跨境流动规则尚处于探索阶段,各国对此尚未形成统一共识,呈现出多样化和差异化的特征。截至目前,全球已有超过70个国家或地区对数据跨境流动进行了不同程度的限制。
表1:各个国家或地区对数据跨境流动的政策
数据来源:《企业数据跨境合规与技术应用白皮书(2023)》
各国在数据跨境流动方面的规章制度呈现出显著的多样性与冲突性,这无疑增加了数据跨境流动的复杂性。然而,在国际层面,主流的跨境管理思想已经达成了相对一致的共识:根据数据的重要性和敏感性进行分类分级的管理,同时在现有的国际合作框架下积极探索数据跨境合作的可能性。在综合考虑经济发展、数据安全以及国际环境等多重因素的基础上,构建出符合各方利益的数据跨境流动规则。
03
数据跨境流动的“中国经验”
近年来,我国已经发展成为数字贸易大国,积极构建海量数据。根据IDC的预测,我国的数据量在2021—2025年间平均增长速度为30%左右,将成为全球数据量最大的国家[4]。随着国际贸易和数字服务进出口规模的持续扩大,跨境流通的数据量持续增加,我国跨境数据流通呈现规模化、区域化的特点。
自2017年《网络安全法》实施以来,我国立法机关及相关政府主管部门逐步推进与数据出境相关的法律、法规和监管规则的制定工作。通过构建以《网络安全法》《数据安全法》和《个人信息保护法》三大法律为核心的监管框架,并辅以配套办法、规定、标准和指南,形成了全面的数据跨境传输合规监管体系。随着2021年《个人信息保护法》的正式生效,以及后续不断制定和完善的配套措施,如《数据出境安全评估办法》《数据出境安全评估申报指南(第一版)》《个人信息出境标准合同办法》《个人信息出境标准合同备案指南(第一版)》《网络安全标准实践指南——个人信息跨境处理活动安全认证规范V2.0》等文件,我国已经形成了清晰的数据出境合规路径,具体包括数据出境安全评估申报、个人信息出境标准合同备案以及个人信息保护认证三条主要路径。
表2:数据跨境流动政策
数据来源:根据公开资料整理
在地方层面,全国各省市相继制定并颁布了数据条例或数据条例草案,旨在推动数据流通利用,激发市场主体的活力。这一系列从中央到地方的实践探索,为跨境数据实现自由、高效、有序的流动奠定了坚实的基础。
04
企业应如何应对跨境数据传输中的合规问题?
伴随着全球化发展,数据出境成为许多企业的常规业务,但这也带来了多重合规挑战。
余昕刚
北京市中伦律师事务所权益合伙人
北京市中伦律师事务所权益合伙人余昕刚向律新社表示:“关于数据出境,我认为存在几个特殊点,这些可能是企业尤为关注的。首先,关于何为数据出境的明确界定。许多企业对此概念并不清晰,误以为仅有意识且主动的数据传输行为才构成数据出境。然而,实际上,数据出境既可能为主动,也可能为被动。举例来说,当企业向境外开放某些权限,使得境外的浏览者能够查看境内的数据时,这也可能被视为一种数据出境的形式。因此,鉴于数据合规的法律体系相对较新,企业需要不断细化和了解相关法律规定,以明确数据出境的具体要求及其基本概念。
其次,数据出境的监管与其他国内数据合规要求存在显著差异,因为它可能涉及国家安全问题。这也是为何数据出境在数据合规体系中成为特别关注点的原因。从这个角度看,监管数据出境的法律可能不仅限于与网络和数据相关的法律,还可能涉及国家安全和国家秘密的问题。企业在处理数据出境时,需要特别关注这些方面,并了解数据出境的基本要求,例如哪些数据在出境时需要关注,以及需要遵循哪些程序才能进行数据出境。
尤其值得强调的是数据出境方面与其他合规业务相比的特殊点,这些是需要企业特别留意的。通过深入了解并遵循相关规定,企业可以确保在数据出境方面的合规性,从而避免潜在的法律风险。”
李瑞
北京市中伦律师事务所合伙人
北京市中伦律师事务所合伙人李瑞认为,除需明确自身知识要素、促进方式及内容外,还需关注两大核心点。
首先是数据合规基础工作对数据属性的影响,它与一家公司的数据制度及合规体系紧密相关,更与整体数据合规体系搭建的合理性、完善性有深刻联系。许多企业在数据属性方面的工作遇到挑战,往往是因为基础数据合规体系搭建不足。因此,若要做好数据出境工作,必须全面审视并强化这些基础工作。
其次,数据安全工作的重要性。近年来,监管部门在数据出境政策上有所调整,给予部分地区如自贸区一定灵活空间。与此同时,监管部门也十分关注数据在业务中的赋能及资产化作用,并出台了很多促进性政策。尽管如此,从监管视角看来,数据出境也关乎国家安全,因此企业也需要关注从国家安全角度对数据出境内容的内容和方式进行管理。企业需综合评估业务风险,设计合适的商业模式,设置恰当的合规流程,必要时引入适当的合规工具,以适应监管政策的要求。
总的来说,虽然监管框架看似明确,但每家企业仍需从战略、业务模式到安全风险等多方面进行细致推敲,以制定出适合自己的方案。
沈飏
北京安杰世泽(上海)律师事务所合伙人
北京安杰世泽(上海)律师事务所合伙人沈飏在调研中表示,数据跨境业务在近两三年内已成为业界瞩目的焦点,众多企业纷纷涉足其中,或已完成布局,或正在积极推进,亦或保持观望态度。然而,据其观察,鲜有外企完全置身事外。在此过程中,部分企业表现卓越,但也确实存在部分企业在安全评估、标准合同制定以及数据出境场景梳理过程中发现的合规问题,比如企业内部的数据合规相关内部政策不完善等。需要强调的是,即使企业已经完成了安全评估审批或标准合同备案,这并不意味着数据出境的工作就已经结束。实际上,这是一项需要长期投入和持续关注的任务。随着企业业务的扩展,新的数据出境场景可能会不断涌现,境外的数据接收方也可能发生变化,数据存储的需求也可能延长等等。因此,我们必须对数据出境进行动态的维护和管理。
随着中国企业逐渐走向海外市场,他们在国外收集数据的情况也将越来越普遍。因此,对于数据出境的安全管理和合规性要求,必须给予足够的重视,确保数据的合法、安全和有效流动。一些公司已意识到,将数据回传到中国会面临一定的挑战,因此选择在当地进行数据存储。然而,在某些情况下,这可能会面临实际困难,例如,公司仅在当地设有办事处,缺乏相应的数据处理能力。因此,他们需要将数据收集并回传至中国或其他国家。此外,基于业务需求,一些公司必须将数据收集至中国境内进行处理。在此情况下,公司必须密切关注和严格遵守境外国家关于数据跨境传输的相关规定。
林蔚
北京市道可特律师事务所高级合伙人
北京市道可特律师事务所高级合伙人林蔚对律新社表示,企业在跨境数据传输方面应注意以下合规问题:
1. 数据保护法规的遵守:企业需要了解并遵守数据出境起始地和目的地国家的数据保护法律。例如,根据我国的《数据出境安全评估办法》,企业在向境外提供重要数据、处理大量个人信息时需进行安全评估,以确保数据传输不会对国家安全、公共利益、个人或组织合法权益带来风险;欧盟的GDPR要求企业在将数据传输至欧盟以外的国家或地区时,必须确保目的地国家或地区具备足够的数据保护标准,或者采取适当的保障措施,如标准数据保护条款、绑定性企业规则等,以保护数据主体的权利和自由。
2. 数据主体的同意:在许多情况下,跨境传输个人数据前需要获得数据主体的明确同意。企业需要确保收集同意的过程符合相关法律要求,并且数据主体对数据使用的目的有充分了解。
3. 合同和数据传输协议:企业之间的合同或数据传输协议需要明确规定数据的使用、处理和保护条件,以确保所有方面均遵守数据保护标准。
4. 数据传输机制的合法性:企业需要利用合法的数据传输机制,如欧盟的标准合同条款(SCCs)、绑定性企业规则(BCRs)等,确保跨境数据传输的合法性。
5. 数据安全和加密:在跨境传输过程中,确保数据的加密和安全性是至关重要的。企业需要采取适当的技术和组织措施来防止数据在传输过程中的非法访问和泄露。
6. 监管机构的通报和合作:某些情况下,企业可能需要在进行跨境数据传输前通知相关监管机构,并与这些机构合作,以确保合规。
7. 应对法律冲突:全球范围内的数据保护法律可能存在冲突。企业需要了解这些潜在冲突,并准备相应的策略来应对可能的法律风险。
05
小结
在全球化的时代背景下,数据跨境的顺畅流动已成为不可逆转的趋势。从《数据流动规定》的征求意见稿到最终发布稿的变迁,凸显了我国对于推动数据开放与流动所持有的明确立场和坚定决心。然而,尽管监管部门在不断地完善数据跨境的法律法规,力求为企业提供更清晰的数据跨境活动指导,但在此过程中仍然不可避免地存在一些不确定性因素。因此,各企业应继续强化内部管理,完善自身的数据保护制度,严谨对待数据出境的法律合规流程。同时,加强与监管部门的沟通与交流,以便及时了解和适应最新的监管动态,从而以积极且审慎的态度应对这一挑战,稳健地推进数据跨境流动与保护工作的平衡发展。
参考文章:
[1] 《个人信息保护合规系列:数据跨境流动新规解读及企业合规应对建议》
[3] 《企业数据跨境合规与技术应用白皮书(2023)》
[4] 《企业跨境数据流动安全合规白皮书(2023)》
END