在《企业出海的数据合规挑战及应对策略(上)》中,我们介绍了出海企业目标国的数据保护立法情况,梳理了不同目标国的主要数据合规要求及基本应对策略。数据跨境传输在企业出海数据合规框架的构建中,至关重要也备受瞩目。本篇文章将聚焦主要出海目标国的数据跨境传输机制及合规要点,帮助企业深入了解各国在数据跨境流动方面的合规要求,为企业提供应对跨境数据合规挑战的参考。
《网络安全法》《数据安全法》《个人信息保护法》提出了三种数据合法出境路径,分别是经过网信部门的数据出境安全评估(“安全评估”)、经专业机构进行个人信息保护认证(“保护认证”)和按照网信部门要求制定的标准合同与境外接收方订立合同(“标准合同”) 。其中,安全评估适用于重要数据和个人信息出境,保护认证和标准合同适用于符合条件的个人信息出境。2024年3月,国家互联网信息办公室正式发布了《促进和规范数据跨境流动规定》以及相配套的《数据出境安全评估申报指南(第二版)》和《个人信息出境标准合同备案指南(第二版)》,其与此前发布的《数据出境安全评估办法》《个人信息出境标准合同办法》共同确立了以个人信息、重要数据为主要管理对象,以数据安全评估、个人信息标准合同、个人信息保护认证以及其他豁免情形为主要合规路径的数据跨境传输合规管理框架。2025年1月开始正式实施的《网络数据安全管理条例》重申和确立了上述数据跨境传输的合规路径。至此,中国境内数据向境外传输的相关合规路径的立法规范已经完成,安全评估、标准合同的合规路径也已经基本成熟落地,保护认证有望在今年继续推进落实。
1、个人数据跨境传输机制
关于个人数据跨境传输,主要依据《通用数据保护条例》(“GDPR”)及相关指南,传输路径按照从高到低的优先顺序分为充分性决定、适当性安全保障和减损规则等。
(1)充分性决定(白名单)
充分性决定是指获得充分保护水平认定的国家、地区或者国际组织的欧盟官方白名单,无需经过欧盟数据监管机构的事前授权,即可实现与欧盟的数据跨境自由流动。目前欧盟的充分性保护认定国家共有15个,包括:安道尔、阿根廷、加拿大、法罗群岛、根西岛、以色列、马恩岛、日本、泽西岛、新西兰、大韩民国、瑞士、英国、美国和乌拉圭。[1]
(2)适当性安全保障
适当性安全保障指在对白名单之外国家、地区进行个人数据跨境传输中,可以采用包括约束性公司规则(“BCR”)、标准合同(“SCC”)、认证机制等措施,以实现达到确保个人数据安全保障充分水平的目的。各项适当性安全保障不存在优先顺序,企业可以根据自身情形选择适用。
约束性公司规则适用于由相关集团公司或从事联合经济活动的企业集团。其具体适用要求如下:
|
|
|
|
|
|
|
|
GDPR基本原则的适用,如目的限制、最小化、限期储存
|
|
|
|
|
|
|
|
|
|
|
|
|
ii. 由企业集团选定数据监管当局并向该数据监管当局提交BCR ;
|
|
iii. 该数据监管当局审核并向欧洲数据委员会报送BCR草案;
|
|
iv. 该数据监管当局根据欧洲数据委员会的意见修改或拒绝修改草案。如拒绝修改草案,则该数据监管当局启动欧盟内部合作机制,会同与集团有业务往来的其他成员国的数据监管当局对提交的BCR草案进行审查;
|
|
|
标准合同条款(SCCs)通过合同义务确保数据接收方对数据主体的个人数据提供与欧盟同等水平的保护。最新版SCCs分为四个版本:控制者到控制者、控制者到处理者、处理者到控制者以及处理者到处理者。根据跨境数据传输中数据传输方和接收方的角色不同,各方可进行选择适用。
值得注意的是,尽管欧盟法院在2020年7月的Schrems II案件中确认了SCCs的合法性,但欧盟法院同时提出,依据SCCs进行数据跨境传输是不充分的。企业还应进行尽职调查并采取适当的补充措施,确保欧盟个人数据被传输至欧洲经济区之外的地区时,仍能享有与欧盟相当的保护水平。
GDPR认证机制也是个人数据转移的适当保障措施之一。欧盟发布《关于欧洲隐私认证标准的意见》《关于认证作为跨境传输工具的07/2022号指南》《关于欧盟数据保护委员会通过国家认证标准和欧盟数据保护印章标准的程序的相关意见》等多份文件对认证机制和流程进行了详细的说明。具体认证流程如下:
|
|
|
第三国数据接收方自愿申请认证,并就其从欧盟经济区所接收的数据的处理以及其控制下的任何操作进行认证;
|
|
监管机构或认证机构根据认证方案中的认证标准和要求对第三国数据接收方进行合规性评估;
|
|
数据传输方遵守GDPR合规义务,对认证进行核实,并评估认证在第三国现行法律和惯例下是否有效。如前述条件无法满足,则应要求数据接收方采取适当补充措施;
|
|
|
|
|
在无法满足上述充分性认定和适当性安全保障的情况下,数据控制者才能适用减损规则。
-
-
-
-
为了建立、行使或抗辩法律主张需满足必要条件才可基于合法利益。
如果无法满足上述条件,则只能基于其合法利益,进行偶然的、有限数据主体数量的传输,同时需要进行数据安全评估、向监管机构进行报告并对个人主体进行告知。
关于非个人数据的跨境传输,主要通过《数据法案》《数据治理法案》及其指导文件[2]对欧盟非个人数据的限制性传输予以规定。《数据法案》要求,如果非个人数据的传输与欧盟或成员国法律产生冲突,则数据处理服务提供商需要采取合理的保障措施,限制欧盟境内非个人数据向第三国的跨境流动。《数据治理法案》及其指导文件则规定对于受保护的公共数据[3]应在非欧盟/欧洲经济区国家提供的知识产权和商业秘密保护水平基本等同的情况下,以再利用为目的,并以提前通知公共部门机构并进行合同承诺才能将上述非个人数据转移至欧盟以外国家的接收者。
美国没有统一的跨境数据传输法律,其数据跨境流通由相关行业法规和规定确立,同时以自愿性框架和标准合同作为数据跨境流动的基础,例如《“基于信任的数据自由流通”倡议》[4]《全球跨境隐私规则声明》[5]等。
但另一方面,随着保护主义色彩监管态势,美国也出台了收紧数据跨境流通各项法律或者行政命令,例如《外国投资风险审查现代化法》[6]《出口管制条例》[7]《关于防范外国对立方侵犯美国敏感数据的行政命令》[8]等。目前最受中国企业关注的美国数据跨境传输要求为2024年2月美国总统拜登颁布的《第14117号关于阻止受关注国家获取美国大规模敏感个人数据及合众国政府相关数据的行政命令》(“EO14117”)[9]。继2024年2月的总统行政命令后,2024年12月26日,美国司法部制定并发布了《关于落实EO 14117行政命令,以防止俄罗斯、伊朗、中国及其他受关注国家获取美国人的大量敏感个人数据和美国政府相关数据的最终规则》[10],限制美国人的敏感个人数据以及美国政府数据向中国等特定国家跨境传输。中国作为受关注国家之一,受到重大影响。
根据EO14117及最终规则,“受监管数据交易”实质上覆盖了各类针对大规模敏感个人数据或政府相关数据向受关注国家或受管辖主体进行的共享、转移、委托处理、授权访问的行为,以及直接或间接产生受关注国家或受管辖主体访问大规模敏感个人数据或政府相关数据可能性的其他特定交易行为[11],且“访问”的性质将不会因为应用安全措施而被影响或改变,并对数据交易的合规安全措施与安全要求提出了较高的要求。合规安全措施包括尽职调查与审计要求、报告与记录保存要求,安全要求[12]则包括组织和系统层面的要求。
|
|
|
|
|
|
|
|
|
|
制定并实施数据合规计划,并制定基于风险的程序来核实数据流
|
|
|
|
|
|
|
|
|
为验证任何受限交易中涉及的数据流而进行的尽职调查的文件
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
另外,美国联邦层面行业法律以及各州的法律从保护个人隐私和消费者权益等目的出发,对于涉及个人信息的对外提供也提出具体的规范性要求,对于个人信息跨境传输亦有实质影响。以金融行业《公平信用报告法案》为例,当出现涉及海外消费者报告场景时,即个人数据通过报告机构向美国境外披露,会触发相关主体关于披露义务的合规要求:对于实施数据跨境的消费者报告机构,应确保消费者有权拒绝在非由其发起的信贷或保险交易中使用与其有关的消费者报告,确保信息准确性、响应消费者提出的争议处理要求;作为境外接收方的报告使用者则需要履行不利行动通知以及特定信贷交易通知。同时,企业还应关注美国各州立法中的相关要求,如《加州消费者隐私法案》将可以获得对应价值的数据传输行为视为“售卖个人信息”的一部分,对此企业应告知消费者可能出售、共享的情形及原因,及其享有的选择退出权;如果企业需将未满16周岁的消费者个人信息出售、共享给第三方,则需要获取消费者的明确同意。
日本的个人信息跨境转移体系由法律、实施细则(指南)、双边/多边规则等构成。具体包括《日本个人信息保护法》《日本个人信息保护法施行令》《日本个人信息保护法施行规则》,以及不具有法律强制力的《保护个人信息的基本方针》《〈关于保护个人信息的法律指南〉的问答》等个人信息保护规范指南。同时,日本也签署一系列国际合作领域的的治理协议,包括与欧洲、美国签署的《日欧经济伙伴关系协定》《日美数字贸易协定》,以及区域性的《亚太经合组织跨境隐私规则体系》《全面与进步跨太平洋伙伴关系协定》以及《区域全面经济伙伴关系协定》等。
在个人信息跨境传输机制上,日本以个人信息主体同意为出境原则,以向符合日本法规定的保护标准的个人信息保护机制的接收方出境及向具备同等个人信息保护水平国家的接收方出境作为例外。具体规定如下:
|
|
|
|
|
|
|
|
|
|
|
向符合日本法规定的保护标准的个人信息保护机制的接收方出境
|
基于信息提供方与接收方之间的合同,与GDPR中SCC制度类似
|
|
信息提供方与接收方属于同一公司集团且有共通适用于双方的内部规章、隐私政策等。与GDPR中“有约束力的公司准则”制度类似
|
|
取得了《APEC跨境隐私规则体系》(Cross Border Privacy Rules)的认证
|
|
|
|
新加坡《个人数据保护法》(PDPA)《新加坡个人数据保护条例》是新加坡个人数据跨境传输的基本规则。新加坡个人信息出境主要以适当安全保障和减损规则作为个人信息跨境传输的条件,具体如下:
|
|
|
|
|
|
|
|
|
|
|
已向个人清晰告知个人数据跨境传输的目的、方式、种类和风险,并取得了同意;
|
|
基于个人重大合法利益(如个人生命健康)或国家利益等紧急情况所需
|
《关于保护个人数据的第13/2023/ND号法令》对越南个人数据跨境传输进行了规定。越南数据跨境传输机制具有一定独特性,例如未采用充分性保障的 “白名单”制度,也未采用“标准合同条款”作为出境路径,而以数据跨境影响评估作为前提,并随时备存供越南公安部检查和评估。在监管方面,越南采取事后监管态度,即企业应在处理个人数据之日起60天内向越南公安部发送一份评估副本,并在完成个人数据传输后,将数据传输的相关信息及负责传输的组织或个人的联系方式以书面形式通知越南公安部。越南公安部可根据具体情形,决定每年对个人数据跨境传输活动进行一次检查,并可在特殊场景下要求数据输出方停止向境外传输个人数据。
对于上述出境合规要求,我们建议企业可以从以下角度出发:
根据企业所涉及的数据跨境传输的国家或地区,按照“一国一策”的原则梳理主要法律规定,以指导未来的数据出境合规实践,为下一阶段数据出境合规差距分析提供对标基准,同时帮助企业清晰地识别和应对不同国家/地区的合规风险。实操层面,对于业务涉及多个国家、地区数据跨境传输的企业,可以根据自身业务内容、规模及组织管理架构等情况,以要求相对明确、完整的中国或欧盟的数据跨境传输机制为基础,由此对比和梳理其他国家、地区法律要求的增减项,并以对标基础的要求制定基本制度和法律文件模板,再根据增减项的对比梳理结果,制作各个国家、地区的对应调整版本。
结合企业实际业务,全面梳理数据出境场景,根据不同场景选择适用的出境路径。在此基础上:开展目标国数据跨境传输要求与现有流程的合规差距分析,识别不符合要求的环节,并制定整改计划;完成整改并进行复核,确保所有整改措施均满足目标国数据跨境传输的合规要求。
根据确定的数据出境路径,准备必要的合规材料,例如数据跨境传输影响评估报告(TIA)、标准合同、约束性公司规则或其他出境所需的文件,并视目标国要求履行相应的行政审批或备案手续。
由于数据出境传输规则与各国立法、政治关系密切相关,企业需持续关注目标国数据出境的立法更新、行政命令、监管态度与政治趋势等,定期更新目标国数据跨境传输的合规要求,并根据最新的要求及时调整合规措施,并对照自查,确保合规要求的动态适配性。
数据跨境传输的合规性既是向监管机构展示企业内部合规能力的重要窗口,也是保障业务顺利开展的关键环节。因此我们建议企业提前布局、明确政策红线,针对目标国的法律环境,确认数据是否存在禁止出境或限制出境的情况,并在业务规划初期就纳入合规考量。同时完善数据保护合规体系,降低数据合规风险,为数据顺利出境创造有利条件,并为企业全球化业务发展保驾护航。
[1] https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en
[2] 《New Practical Guide to the Data Governance Act》
[3] 受保护的数据包括:商业秘密数据、统计上保密的数据、第三方受知识产权保护的数据等。
[4] Data Free Flow with Trust
[5] Global Cross-Border Privacy Rules Declaration
[6] Foreign Investment Risk Review Modernization Act
[7] Export Administration Regulations
[8] Executive Order on Protecting Americans' Sensitive Data from Foreign Adversaries
[9] Executive Order on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern
[10] Final Rule Implements Executive Order to Prevent Access to Americans’ Bulk Sensitive Personal Data and U.S. Government-Related Data by Russia, Iran, China and Other Countries of Concern
[11] 交易行为指,美国主体获取、持有、使用、转让、运输或进出口任何外国(政府)或外国公民在其中拥有任何利益的财产。
[12] 美国国土安全部网络安全与基础设施局(Cybersecurity and Infrastructure Security Agency)按照EO 14117的指示制定了适用于美国司法部所颁布法规中确定的受限制交易的安全要求,并于2024年10月29日刊登于《联邦公报》对外征求意见。
叶鹏,天达共和律师事务所合伙人,北京办公室
康雅斯,天达共和律师事务所北京办公室律师;业务领域:公司运营管理、网络安全与数据保护、合规审查业务
特别声明:以上所刊登的文章仅代表作者本人观点,不代表天达共和律师事务所或其律师出具的任何形式之法律意见或建议。
原标题:E&C 观点 | 乘风破浪-企业出海的数据合规挑战及应对策略(下篇)
本文转自贸法通公众号,转载请注明出处,版权归原作者所有,侵删
