引言
近年来,美欧等国家日益加强对人权、“强迫劳动”等问题的关注,面对如棉纺织行业、光伏产业等特定劳动密集型行业领域,在向欧美等发达国家出口时,如今愈发受到外国监管市场特殊法律法规和国际条约等设置新的监管要求的挑战,例如美国发布了所谓《维吾尔族强迫劳动预防法》[1](Uyghur Forced Labor Prevention Act,以下简称“UFLPA”或“《涉疆法案》”)、欧盟《禁止销售强迫劳动产品条例》草案、经济合作与发展组织《关于来自受冲突影响和高风险地区的矿石的负责任供应链尽职调查指南》等。
企业面对出口业务的需要和境外执法的硬性要求,一方面该等调查涉及向境外实体包括境外主管机关等提供数据、材料等信息,另一方面国内也在不断加强数据安全保护、企业同样面临国内数据出境的监管约束,因此,面对交叉监管下的企业供应链溯源,也就成为了当下相关企业亟需解决的问题。我们基于近期办理的系列案件的共性,提炼了一个典型案例,并围绕该案例提示、分析供应链溯源案件中可能涉及的数据合规风险,向相关企业提出初步的应对建议。
一、案例介绍
受美国海关与边境保护局(CBP)暂扣令及《涉疆法案》的影响,A公司从去年开始频繁接到美国进口商或国内下游企业的要求,希望其配合应对美国海关的供应链溯源调查要求,证明其供应链“清洁”,并实现其已被暂扣或有暂扣风险的货物顺利通关并最终进入美国市场。
在美《涉疆法案》生效后,美国海关已开始采取“可反驳推定”的方式,即在查扣进口货物后默认货物已存在“强迫劳动”。A公司为了满足该等溯源调查要求,需要直接向国内下游企业及CBP提供其能证明原料来源(即上游全产业链)“清洁”的材料(“原始供应链清洁材料”)。随着企业自动化智能化系统的普及,面对上述材料的提供,各相关企业除了常规的电子或纸质文件的梳理提供形式以外,数据出境的模式与业务场景也愈发趋向复杂,具体如下:1. 通常情形:向下游及海关提供溯源材料在UFLPA执法落地后,通常情形下,美进口商需要在30天内完全配合CBP的调查要求并提交CBP所要求的证明资料。因此,美进口商和国内供应链下游企业,希望企业更为详尽的准备原始供应链清洁材料。实践中,A公司通常被要求提供所有的原料采购交易文件、生产流程管理文件、生产加工记录、工人的工作记录(工时、薪资等)、生产工厂的位置、产能、产量信息等。另外,基于美《涉疆法案》的要求,出口产品整条供应链需要追溯至采矿阶段,并且还从地理位置上要求披露硅矿的位置及矿权人信息。2. 特殊情形:由第三方平台抓取数据除前述通常情形外,由于原始供应链清洁材料的梳理和审阅较为繁杂,某下游客户B公司希望借用信息化产品,为A公司建设定制化溯源数据系统,希望A公司将追溯所需的资料和数据提前上传至其委托的第三方追溯信息系统X平台(服务器在中国境外),日后每次对B公司供货时,原始供应链清洁材料相关信息会在X平台上集成,通过X平台将A公司与B公司需在日常溯源中人工传送相关材料,转变为由系统建立的API接口自动在A公司授权数据区域内直接抓取该等原始供应链清洁材料/数据等信息,再由X平台对原始供应链清洁材料进行一定处理后提供至B公司及美国海关。二、数据合规风险评析
1.数据出境的合规义务主体确定和身份识别如A公司为集团型企业,在中国境内有多家实体和/或在境外设有子公司或分支机构,则A公司需要内部确认负责统筹、提供原始供应链清洁材料的主体:- 在境内主体之间,A公司集团内部需事先整合相关供应链数据形成原始供应链清洁材料,由经确认的负责主体履行包括数据出境在内的一系列数据合规义务;
- 在境内主体和境外主体(从数据合规法律角度,包括设立在香港、澳门、台湾的实体)之间,如由境外主体负责提供原始供应链清洁材料,则集团内部需要事先按照中国的数据出境规则,完成境内主体向境外主体的数据跨境传输。值得注意的是,即使数据(如个人信息和/或重要数据(见下文介绍))已被传输至境外,境外主体对出境数据的再转移并非“法外之地”。在中国网信部门等监管机构组织的官方数据出境安全评估(“数据出境官方评估”)以及个人信息出境的标准合同中,均要求跨境传输双方对数据出境后的再转移进行前置条件的约定和限制[2]。这意味着,境内提供数据的主体仍需对出境数据的后续流向进行整体性且有约束力的把控。
无论提供原始供应链清洁材料的主体如何确定,A公司自身(如为单一企业)或集团体系下确认承担数据出境合规义务的主体(如为集团企业)均需对是否涉及中国数据法律法规项下的特殊身份(例如关键信息基础设施运营者,处理100万人以上个人信息处理者等)进行识别,以确认数据出境时所需满足的合规要求。在供应链溯源的语境下,A公司尤其需关注对其是否属于关键信息基础设施运营者(“CIIO”)的身份识别。一旦A公司被主管部门确认为CIIO,其在中国境内运营中收集和产生的个人信息和重要数据(如下文所介绍)应当在境内存储,且在出境时需完成数据出境官方评估[3]。随着《关键信息基础设施安全保护条例》的颁布,CIIO的认定机制在经历数年讨论后得以确定。相关重要行业、领域(包括公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等[4])的主管部门和监督管理部门是关键信息基础设施(“CII”)的保护工作部门,在公安部门统一指导下开展关键信息基础设施认定工作[5]。如被认定为CIIO,企业将收到监管机构的确认通知[6]。实践中,CII或CIIO的认定结果是不公开的。原则上,如果A公司没有接到来自监管机构的专门通知,则意味着其不是监管机构认定的CIIO。但提请注意的是,我们了解到当前诸多行业领域的CIIO认定工作仍在进行中,因此,我们仍建议像A公司一样面临境外供应链溯源调查的国内企业对其是否涉及CII做初步判断,以便了解将来被认定为CIIO的可能性。2. 出境数据的类型识别出境数据的类型对出境过程中的合规要求有着至关重要的影响。结合《网络安全法》和《数据安全法》,中国建立数据分类分级保护制度。其中,关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据[7];而重要数据则指向特定领域、特定群体、特定区域或达到一定精度和规模的数据,其一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全[8]。目前,法律法规尚未规定核心数据的认定方式和管理要求,但明确要实行更加严格的管理制度。对于重要数据,《数据安全法》规定,行业、领域的主管部门将负责制定具体的重要数据目录[9]。但在实践中,大部分行业领域的重要数据目录仍在制定阶段,具体范围亦不明确。尽管如此,我们仍建议A公司或同样涉及境外供应链溯源调查的境内企业根据重要数据(以及核心数据)的定义描述,结合相关国家标准(如《信息安全技术 重要数据识别规则》征求意见稿)对其可能对外提供的原始供应链清洁材料进行初步梳理,对可能构成重要数据(乃至核心数据)的数据类型进行预先识别。A公司还需关注原始供应链清洁材料是否涉及国家秘密,或是否属于某一行业领域内特别规定的数据(如人类遗传资源信息、人口健康信息、医疗数据、金融征信信息、汽车数据等),这些特殊的数据类型都可能对出境安排产生较大影响。如原始供应链清洁材料包含个人信息,我们建议A公司先行确认该等个人信息是否可通过匿名化提供的方式满足溯源要求。如确需提供个人信息,A公司需满足一系列中国个人信息保护要求,包括获得个人信息主体的单独同意、事先开展个人信息保护影响评估等。3. 直接向B公司或监管机构提供原始供应链清洁材料如案例中所描述的,境外下游客户B公司要求A公司提供原始供应链清洁材料,以证明原料来源的合规性。A公司需要根据中国近期发布的数据出境规则,遵循合适的数据出境路径并满足相应的合规要求。对于个人信息而言,出境的路径包括完成数据出境官方评估、订立个人信息出境标准合同以及聘请专业机构进行个人信息保护认证。对于非个人信息的数据而言,结合上文介绍,A公司需要着重考虑两个维度:(1)A公司自身是否构成(或可能构成)相关中国数据法律法规项下的特殊身份,如CIIO;及(2)拟上传的非个人信息数据是否属于(或可能属于)中国数据相关法律法规项下的特殊类型,如国家秘密、核心数据、重要数据或受到行业或领域特别规定的数据。一旦涉及上述特殊身份和数据类型,A公司将需视情况采取合规措施(如国家秘密不得对外提供,如涉及重要数据,则需要完成数据出境官方评估)完成数据出境官方评估。根据中国的数据出境规则和我们目前的实践观察,数据出境官方评估从前期准备到后期正式获批,至少需要几个月的时间,这对A公司响应溯源要求有着较大影响。另外,鉴于《涉疆法案》等境外规定的敏感性,中国监管机构是否会认可A公司数据出境的直接或间接目的,存在着较大的不确定性。相较于普适性的数据出境规则,如A公司直接向境外监管机构(如外国海关、商务部等)提供原始供应链清洁材料,其需满足的前置性条件将更为严格。《数据安全法》和《个人信息保护法》均明确,非经中国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息或数据[10]。一方面,这一规定所适用的出境数据并不局限于个人信息、重要数据、核心数据、行业特殊规定数据等数据类型,而是适用于所有类型的数据;另一方面,规定中提及的中国主管部门审批目前尚未有相关配套规定,审批部门、期限、申报材料、审核要素和尺度等细节问题仍有待根据个案进行分析和处理。另外值得留意的是,根据《数据安全法》,中国建立数据安全审查制度,对影响或者可能影响中国国家安全的数据处理活动进行国家安全审查[11]。这意味着,如A公司对外提供原始供应链清洁材料的行为触发敏感事件,国家安全审查的适用并非不可能。4. 向X平台上传原始供应链清洁材料实践中我们观察到,越来越多中国上游供应企业收到了境外下游客户有关使用第三方溯源平台的要求。如案例中所描述的,A公司使用X平台,对B公司向监管机构和消费者证明其原材料的合规性有着极大帮助,但A公司可能因此背负较大的数据合规风险。我们以案例为基础,将相关风险点举例提示如下:(1)引入X平台的前置条件A公司如被认定为CIIO或涉及CII,其采购网络产品和服务且可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查[12],同时需与产品或服务提供者签订安全保密协议,明确安全和保密义务与责任[13]。因此,鉴于X平台提供的是数据相关服务,A公司需考虑其身份因素,事先评估确认其是否适用特殊合规要求。(2)X平台的数据处理角色根据《数据安全法》的定义,数据处理包括对数据的收集、存储、使用、加工、传输、提供、公开等活动[14]。A公司向X平台上传的数据将被存储于该X平台,由此,X平台不仅提供了技术、软件、运维等服务,其存储行为亦很可能被中国法律认定为对数据的处理。不仅如此,据我们的观察了解,第三方溯源平台对其接收到的原始供应链清洁材料的处理远不止存储这么简单。第三方溯源平台常常会对原始供应链清洁材料进行梳理、抓取、计算、整合等一系列分析行为,并将分析后生成的数据(无论是否会直接披露特定供应商)视情况提供给供应链中的其他下游企业。由此,A公司需留意在与X平台订立的相关协议中明确原始数据和处理后数据的归属以及X平台的数据处理权限,以确保对与自身有关的供应链数据保持足够的主动控制权。(3)数据出境一般而言,为了满足境外下游客户应对原材料合规监管的需求,中国上游供应企业被要求使用的第三方溯源平台服务器多架设于中国境外,甚至有不少的第三方溯源平台并未在中国境内设立经营实体。A公司如向X平台上传其原始供应链清洁材料,这无疑将构成中国法律所界定的数据出境行为。结合上文中对数据出境路径、要求和限制的简要介绍,一旦A公司向X平台上传数据的行为触发数据出境官方评估程序(无论是基于A公司自身的身份亦或数据本身的属性界定),A公司需对数据出境行为进行“三性”解释(合法性、正当性、必要性)。不论中国监管部门是否会批准该等数据出境行为,即使在申请数据出境官方评估程序阶段,A公司就需要X平台提供充分的配合,包括签署(符合中国监管部门要求的)数据跨境传输协议、配合完成数据出境风险自评估等。A公司需要事先与X平台明确该等需求,提前确认X平台是否有意愿提供相应配合。(4)第三方溯源平台的技术安全措施和水平如X平台无法确保数据的安全性,由此造成的后果在极端情况下可能是非常严重的,甚至会对中国的国家安全、公共利益造成威胁,并导致A公司受到严厉处罚。因此,无论从数据交互还是数据出境的角度,A公司都需对X平台的技术安全措施进行评估。A公司需要考察X平台的数据安全管理能力,包括管理组织体系和制度建设情况,全流程管理、分类分级、应急处置、风险评估、个人信息权益保护(如适用)等制度及落实情况;同时,也需关注X平台的数据安全技术能力,包括数据收集、存储、使用、加工、传输、提供、公开、删除等全流程所采取的安全技术措施等;另外,还需收集X平台关于数据安全保障措施有效性的证明,例如开展的数据安全风险评估、数据安全能力认证、数据安全检查测评、数据安全合规审计等[15]。X平台要求A公司在其自有数据库开放API接口,由X平台通过该接口自动从A公司数据库中抓取相关供应链信息。如接受该等要求,A公司需高度留意API接口所对应的X平台可访问数据范围。这对A公司日常数据分级分类工作是一项更高且更紧迫的要求。实践中我们还观察到有些第三方溯源平台以使用区块链技术为由对数据处理和管理责任(如及时归还、删除数据等)提出免责。但结合中国立法趋势和监管口径,区块链技术的应用并不能豁免中国上游供应企业和/或第三方溯源平台作为数据处理者的责任。中国上游供应企业需与第三方溯源平台探讨其他技术方式的可行性,或在无法避免使用区块链技术的情况下,对上传数据的类型、范围、方式进行更为严格的把控。(5)管辖法律和争议解决由于第三方溯源平台背后的主体多为境外企业,在第三方溯源平台提供的标准服务合同中,往往将境外法律作为管辖法律,且争议解决机构也一般约定为境外法院或仲裁。为更好保障中国上游供应企业的权利,中国上游供应企业需尽可能争取对中国法律及争议解决机构的适用,或退一步而言,争取对中立国管辖法律和争议解决机构的适用。如确无改变管辖法律和争议解决机构的可能,中国上游供应企业需事先评估、判断该国法院判决或仲裁裁决的可执行力。总结与建议
美国和欧盟等发达国家市场对产品追溯要求逐渐明晰后,对中国企业的应对带来了不小的挑战,企业需要重视供应链合规管理、产品追溯体系建立和劳动合规等现实问题,投入人力、精力、财力以便尽早适应和满足相关市场合规要求。
从数据合规角度,中国上游供应企业需要对溯源过程中的一系列数据合规问题进行预先评估和判断,包括数据流向的具体安排、自身的数据合规角色、数据的范围和类型、相关合规要求(尤其与数据出境相关)等。根据我们的经验,这些工作并非一蹴而就,需要前期部署和整体统筹。如涉及第三方溯源平台,企业尤其需注意与平台明确约定数据处理权限、数据归属,在企业自身、平台、下游客户之间寻找合适的平衡点。向下滑动阅览
脚注:
[1] 美国《涉疆法案》落地后,我们在《涉疆法案生效对中国企业的影响及应对》文章中,就其重点内容、产生影响及短长期应对建议进行了剖析,本文中将不再展开叙述。
[2] 《数据出境安全评估申报指南》(第一版)附件4第二(六)部分、《个人信息出境标准合同》(征求意见稿)第三条第(七)部分[3] 《网络安全法》第37条、《数据安全法》第31条、《数据出境安全评估办法》第4条[4] 《关键信息基础设施安全保护条例》第2条、《网络安全法》第31条、《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》三(一)[5] 《关键信息基础设施安全保护条例》第8、10条[6] 《关键信息基础设施安全保护条例》第11条[7] 《数据安全法》第21条[8] 《信息安全技术 重要数据识别规则》(征求意见稿)2022年5月12日发布版本[9] 《数据安全法》第21条[10] 《数据安全法》第36条和《个人信息保护法》第41条[11] 《数据安全法》第24条[12] 《网络安全法》第35条、《网络安全审查办法》第2条、第5条[13] 《网络安全法》第36条[14] 《数据安全法》第3条[15] 参考《数据出境安全评估申报指南》附件4,内容有删减。作者简介:
赵新华,合伙人 公司业务部业务领域:公司业务、外商直接投资、公司重组及一般公司事务郭欢,合伙人 公司业务部业务领域:企业大合规,以出口管制与经济制裁、海关、外汇管理为中心的跨境合规等陈起超,贸易·出口管制顾问 公司业务部业务领域:出口管制与经济制裁王哲峰,公司业务部刘学朋,公司业务部单文钰,公司业务部刘姝倩,公司业务部特别声明:本篇文章的所有内容仅供参考和交流,不代表金杜律师事务所的法律意见以及对法律的解读。
(来源:金杜研究院)