应对涉外案件,企业如何满足数据出境合规要求

来源:iLaw合规

文章摘要
中国企业常见的涉外案件 (一)中国企业面临的主要外部风险有哪些? 1. 出口管制与经济制裁 出口管制对中国企业,特别是高科技企业、对美国的供应链有强依赖的企业,影响非常大。
中国企业常见的涉外案件
(一)中国企业面临的主要外部风险有哪些?
1. 出口管制与经济制裁
出口管制对中国企业,特别是高科技企业、对美国的供应链有强依赖的企业,影响非常大。
企业被制裁以后,不仅仅美国企业会断供,欧洲甚至中国的部分企业出于风险偏好可能也不愿意进行合作。所以,出口管制会直接影响企业的供应链的安全。
经济制裁,包括特别指定国民清单( SDN 清单),冻结美元,冻结海外资产,不能用SWIFT系统进行结算等。除了「 一级制裁 」,美国还存在「 二级制裁 」,即要求与美国没有连接点的非美国人也不得违规与美国制裁对象开展交易活动。这种一级制裁和二级制裁对国家、行业、个体的影响非常巨大。
企业在经营过程中,要充分重视出口管制和经济制裁的相关风险,做好内部合规管理,同时对合作伙伴进行尽职调查,避免跟黑名单主体进行交易。
2. 国家安全与网络安全
美国很重视国家安全,国家安全实际上是个「大口袋」。为了打击中国企业,把一些具有领先优势的中国高科技企业放入国家安全这个「大口袋」中进行制裁。
在海外并购过程中,进行安全审查的时候,不管是欧洲还是美国,都会以国家安全为由否决相关收购活动。
去年年底, 拜登签署的《安全设备法》, 阻止联邦通信委员会向被视为「安全威胁」的公司发放电信设备许可证,导致例如中国移动、中国电信从美国撤离。
中国企业,特别是互联网、通信服务企业,在「走出去」的时候要特别关注国家安全和网络安全的风险。
3. 供应链合规风险
供应链的合规风险是近两年很热的合规话题。
美国「 新疆维吾尔强迫劳动法案 」和有关的执法指南,基本上要求中国出口企业完成全程供应链的「地图绘制」,并且要求对供应链有完整全面的合规管理和风险管控工作记录。在「推定有罪」的原则下,要求中国出口企业「自证清白」。
欧盟和德国,近期也出台了最新的关于企业供应链人权和强迫劳动合规管理的法规。
所以,企业要「走出去」,需要熟悉特定国家以及国际组织关于供应链的相关规则,及时做好供应链风险摸排和管理。
4. 知识产权包括商业秘密的风险
现在知识产权或者商业秘密案件比较多的几个地方,一个是美国,一个是德国,还有一个是印度。印度有禁令,很多中国企业在印度被诉。美国有「 337调查」,有惩罚性赔偿,有禁令,证据开示规则以及相关的举证责任对中国企业影响非常大。
美国在近两年有一个新的关于知识产权保护和商业秘密保护的立法趋势,即对于多次知识产权侵权的相关实体,可以将其放到「实体清单」中去,对于商业秘密案件,可以追究刑事责任。
因此,在美国,关于知识产权或者商业秘密,将来不仅仅是民事侵权的问题,还可能带来相关的刑事责任以及实体清单。
所以,到美国去拓展相关市场、投资和研发,要充分关注知识产权新动态,包括一些典型的执法案例。
5. 反贿赂和反腐败
美国的《反海外腐败法》( FCPA )有几个特点:
第一,长臂管辖。只要存在「美国连接点」,包括美国人、在美国境内、使用美元、使用美国的金融工具等,就可以追究相关个人或者实体的反腐败的法律责任。
第二,多国执法。案件发生以后,不仅仅是案件发生的国家进行执法,而是在多个区域、多个不同的法律去追究法律责任。
第三,罚款数额巨大。
第四,企业商誉损失巨大。
6. 数据合规风险
中国企业涉外数据合规比较常见的几项法案是欧盟GDPR、美国「云法案」和《外国公司问责法案》。
GDPR 在全球的影响力、全球执法案例之多、罚款数额之巨,是排在第一位的。GDPR 规定了一系列个人信息保护和管理的准则,并适用于任何处理欧盟公民数据的公司,不管该公司是否位于欧盟成员国境内。
美国「云法案」允许美国执法机构绕开多边、双边刑事司法协助途径,在未告知数据存储国的情况下,要求境内的服务提供者披露存储在境外的电子数据,以实现自行取证。
《外国公司问责法案》要求在美国交易所上市的外国公司须遵守美国审计标准,向美国公众公司会计监督委员会( PCAOB )提供多项公司数据和信息,包括审计底稿、政府对公司的影响力等。
(二)企业数据出境合规管理的场景
1. 公司海外上市
美国证券交易委员会( SEC )的《外国公司问责法案》要求,在美国上市的外国公司必须进行信息披露。
国内法律的遵从和海外的信息披露义务该如何平衡,是任何一个已经或准备在海外上市的企业要充分评估的一件事情。
评估的因素包括:如果披露,国内的国家机密能否很好地保护;披露的相关信息会不会涉及国内相关主体的合法权益;如果披露,是否会影响社会公众利益等。
2. 海外销售、海外用户和消费者
中国的海外销售数额非常巨大,出口美国和欧洲的占比也很高,这些国家对数据的跨境移动有很高的要求。
在海外销售的过程中,不可避免需要收集、使用、甚至传输海外地区用户/消费者的一些数据和信息。特别是一些智能化产品,很可能会涉及人脸信息、指纹、地图地形、精准定位等敏感数据,很可能引发欧美国家对于国家安全和网络安全的关注。
3. 海外供应链和商务合作
很多企业会采购海外供应商的产品或服务,在采购过程中,可能会涉及客户订单、客户的联系方式、海外客户的数据传输等。
这些数据在不同国家或地区间传输,企业要尽到数据跨境传输的安全保障义务,在管理上、技术上有效保障数据的保密性和安全性,要对数据使用目的进行充分的调查,要跟数据的相关方签署数据安全保护的合同和条款。
4. 海外关联公司的数据往来
跨国企业总部和关联公司之间的数据管理、使用和传输,往往很多企业容易忽视。
很多企业是通过借助第三方的线上系统或者云服务进行内部数据的流转。这中间是否很好地保证了数据的安全,系统提供商、服务提供商是否有很强的数据隔离和安全能力,跟系统提供商、服务提供商是否有很好的协议约定,一定要充分评估。
跨国企业总部和海外子公司及关联公司之间传输的信息,有时候需要进行数据的处理,如采取去标识化、加密、访问权限设置等措施。
5. 应对海外的执法和司法调查
中国企业在海外被行政执法或者司法调查,需要向境外提供一些材料和数据。这里有两点要特别关注。
第一,这些数据和材料出境之前一定要进行安全性审查。这种安全性审查通常情况下是请国内专业的律所把关,哪些不涉及国家机密、国家安全、个人隐私等。
第二,要特别关注近几年出台的《数据安全法》和国际刑事司法协助的一些条例。数据出境一定要经过国家相关主管部门的审批。如果涉及国际刑事司法协助,也一定要通过国家相关执法部门的审批。
涉外案件的数据出境场景及合规要求
(一)数据出境的含义
数据出境,顾名思义,就是数据从一个国家(地区)到另外一个国家(地区)的流动。数据出境的管制要求,体现在我国各种各样的法律法规中。《网络安全法》、《数据安全法》还有《个人信息保护法》,包括后续的一些实施条例、评估办法都有相应的要求。
《数据出境安全评估办法》就特别提到数据处理者如果向境外提供一些重要数据,或者涉及个人信息出境的,必须要经过相应的评估。这是一种非常典型的数据出境的行为。
除了关于数据的法律外,《出口管制法》中也提到所管制的物项包括技术数据。如果一家企业构成出口经营者,在对外提供技术服务,或者做相应技术授权的时候,把技术数据从国内授权给海外的一个主体,这也是一种数据出境的行为。
不论是我国还是其他国家的法律法规,都没有限定接收方是一个什么样的主体,任何的组织和个人,包括政府机构,都可以是接收方。
也并不是所有的数据出境都受到管制,我国管制特别重要的重要数据、一定量的个人信息以及《出口管制法》和相应的技术限制出口、禁止出口的条例中所规定的一些技术数据。
从具体的行为来看,《数据出境安全评估指南》规定了三种数据出境的情形:
① 向本国境内,但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要数据;
② 数据未转移存储至本国以外的地方,但被境外的机构、组织、个人访问查看的(公开信息,网页访问除外);
③ 网络运营者集团内部数据由境内转移至境外,涉及其在境内运营中收集和产生的个人信息和重要数据的。
不是在我国内部产生的个人信息和重要数据,如果出境,是不管制的。
(二)重点关注的数据类型
如果企业在涉外案件中要对外提供数据,或者在日常运营中跟相应的合作伙伴有一些沟通和往来的话,应当对数据进行分类分级管理。我国三大法中有相应的规定,如重要数据、核心数据和个人信息。
除这三大类型数据外,还要关注:
①企业在经营过程中或者在对外提供数据过程中是不是会涉及国家秘密;
②《出口管制法》中有一些技术数据是受到管制的;
③我国的《证券法》《反洗钱法(修订草案公开征求意见稿)》对于数据出境也有相应的一些限定性条件。比如未经国家证券监督管理机构和国务院有关主管部门的审批,企业不能对外尤其是向外国执法机构提供有关金融证券方面的信息;
④其它类型的数据,如人类遗传资源。
(三)数据出境的合规要求
数据出境是数据处理的一种形式,需要遵循数据处理的一些基本原则。
第一,要有相应的合法性依据。
第二,要考虑数据是不是必须要出境,即最小、必要原则。此外,要关注数据出境的相应要求,如数据出境之前,要有基于风险的自评估,还要有相应主管部门的评估,以及主管部门可能会后续持续地进行监控等。
第三,不同数据在出境时有不同的要求。比如个人信息出境,要征求个人信息主体的同意,要披露境外接收方的名称、联系方式,处理目的等。
最后,涉外案件中的数据出境,在任何情况下都不能违反我国的国家安全和公共利益。从具体的法律法规来说,有几点需要特别关注:
《数据安全法》第三十六条规定,非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。通常来说,这是对相应的企业或者组织和个人接收到境外的执法和司法机构的比如传票或是证据提供的要求之后,才做的一个限定性要求。
2018年通过的《国际刑事司法协助法》是关于相关外国机构在我国进行刑事方面的调查、侦查、起诉和相应的执法等活动。所有外国机构在向我国国内主体送达文书,调取相关证据,安排证人出庭作证,或者从国内获取相关合同文档等,都应当经过我国司法部门的审批和同意。
(四)违反合规要求的后果
这在《数据安全法》和《个人信息保护法》中有明确的规定。
《数据安全法》规定:
① 违规向境外提供重要数据的,最高罚款 1000 万元;
② 违规向外国司法或者执法机构提供数据的,最高罚款 500 万元;
③ 直接主管、责任人员最高罚款 100 万元;
④ 责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。
《个人信息保护法》规定:
① 最高罚款 5000 万元或上一年度营业额 5% ;
② 直接主管、责任人员最高罚款 100 万元;
③ 禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人;
④ 责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;
⑤ 记入信用档案,并予以公示;
⑥ 推定侵权,如果个人信息处理者不能证明自己是合规的,就会被推定为存在过错;
⑦ 公益诉讼制度,检察机关、消费者保护组织等,可以基于保护个人信息主体的合法权利而提出相关要求。
若未经法定程序,导致国家秘密或重要数据违规出境,可能会构成相应的刑事犯罪。比如侵犯公民个人信息罪,拒不履行信息网络安全管理义务罪,非法提供国家秘密、情报罪等罪名。
(五)数据出境安全评估
1.需要开展安全评估的主体
(1)关键信息基础设施运营者
关键信息基础设施运营者无论是向境外提供重要数据,还是提供任何数量或任何内容的个人信息,根据法律规定,都需要由有关部门如网信部门进行数据出境的安全评估。
(2)一般数据处理者
对于一般数据处理者,有两类数据需要进行安全评估。
第一类是重要数据。
第二类是达到一定数量级的一般个人信息。处理个人信息达到一百万人的个人信息处理者向境外提供个人信息,或者累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息,需要向有关部门申报数据出境安全评估。
2. 安全评估的内容
数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;
出境数据的数量、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;
数据处理者在数据转移环节的管理和技术措施、能力等能否防范数据泄露、毁损等风险;
境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;
数据出境和再转移后泄露、毁损、篡改、滥用等的风险,个人维护个人信息权益的渠道是否畅通等;
与境外接收方订立的数据出境相关合同是否充分约定了数据安全保护责任义务;
境外接收方所在的国家或地区的政策、法律法规、网络安全环境是否对出境的数据有潜在的威胁。
3. 安全评估的流程
首先,企业根据数据出境的背景、目的,写一份申报书,简要提及本次出境数据的范围、内容,出境的原因,境外接收方的基本信息等。
在申报书以外,企业应进行数据出境的自评估。自评估报告应包括以上安全评估的七大内容。
除申报书和自评估报告外,企业需要向网信部门提交与境外接收方订立的书面合同以及其他具有法律效力的文件。
资料提交到网信部门后,网信部门应在 7 个工作日内决定是否受理数据出境安全评估。如果网信部门决定受理,会联合有关部门共同评估,一般自出具书面受理通知之日起 45 个工作日内完成数据出境安全评估,特殊情况下延期。

(六)与境外接收方签订的标准合同
个人信息出境有三种路径:
第一,做出境的安全评估;
第二,获得网信办的相关认证;
第三,跟境外方签订网信部门制定的标准合同。
《个人信息出境标准合同规定(征求意见稿)》规定,个人信息处理者同时符合下列情形的,可以通过签订标准合同的方式向境外提供个人信息(一)非关键信息基础设施运营者;(二)处理个人信息不满 100 万人的;(三)自上年1月1日起累计向境外提供未达到 10 万人个人信息的;(四)自上年1月1日起累计向境外提供未达到 1 万人敏感个人信息的。
企业处理涉外案件的应对建议
(一)涉外案件业务应对
企业经常会突然接到境外的传票或者调查令,要求在较短的时间内提供数据或者证据资料。法务与合规人员可以从外部和内部两个方面去应对。
1. 对外
(1)尽快与境外主体沟通
核实传票内容,具体要求提供哪些数据和资料
为企业内部调查争取时间
商量提交替代性方案的可能
(2)与中国主管部门沟通
向中国主管部门请求释法说明,确认行为的合规风险。
(3)出境文件申报
除申请函和评估报告外,可以附上传票或相关情况说明,并且把相应外文文件翻译成中文版本。
(4)律所协助
证据筛查和安全处理
安全评估法律报告
释法申请
全程参与,指导证据提交工作
(5)信息披露
很多上市公司容易忽略信息披露的义务。公司收到传票,可能触及重大诉讼、仲裁案件的临界点,需要在规定的期限内做临时报告。
2. 内部
(1)事件分析、评估与定性
企业的角色和义务
事件严重程度
境外的有关要求
举证时限和重要的诉讼或仲裁节点
(2)制定相关策略
向高层汇报
成立专项处理小组
危机等级评估
应对策略制定
(3)公司内部调查
相关交易的实际情况
商业模式和合规体系
关联方或第三方调查
(4)证据收集与保存
及时整理
做好保密工作
原件、原机保全和封存
禁止伪造、篡改、毁损、隐匿相关证据
专业数据处理公司
(5)数据安全评估与文件处理
数据出境安全自评估
文件筛查、脱敏
申请文化的准备
(6)应急管理启动
部门和人员
分类分级应对
内部汇报与沟通
(二)合规管理体系及日常管理
第一,要明确企业在经营过程中到底涉及哪些类型的数据,这样才能明确界定合规义务的边界。
第二,要建立企业或者个人信息处理者或数据处理者内部的管理组织。
第三,要完善公司内部的规章制度,把外部的法律要求转化为内部的操作手册、工作指引等。
第四,将合规政策落实到业务流程中,转换成具体的数据处理规则。
第五,对各个业务流程进行审核。
最后,在技术上确保整体的数据安全。
同时,我们理解,企业开展数据合规管理体系建设,需要重点围绕三个有效性进行:设计有效性,执行有效性,结果有效性。
设计的有效性,是指数据合规计划要有针对性,基于企业的业务实际而设计,传达明确的信息,在预防和发现违规行为方面发挥作用。
(1)管理者应当言行一致,并身体力行参与合规工作;
(2)企业应当建立完善的合规管理组织,合规部门在企业组织架构中的地位能够保障其发挥作用,合规人员具备足够的经验及资质,并有充分的资源及自主权确保其有效履行职责;
(3)企业确立完备的合规运作机制、合规保障机制,并合理分配资源,定期更新和修正。
执行的有效性,是指数据合规计划要有执行性,不能停留在纸面,有效的执行必须有高层的支持及各类资源保障,鼓励合规,对违规零容忍。
(1)企业应当发布经良好设计的政策和流程,并确保员工正确理解,将合规要求落实到业务流程中,明确审核职责,有效管控风险;
(2)基于合规风险和业务量身定制培训内容,向员工明示企业对违规行为的态度及立场,为员工寻求建议和指导提供畅通的渠道;
(3)建立可供匿名举报的机制,由适格人员进行及时、充分地调查,并且评估举报机制运作情况;
(4)公平公正公开地及时处罚违规行为,并对合规行为采取多种奖励方式。
结果的有效性,是指企业的数据合规计划应当有效运作,随着内外部环境发展变化而演进改变,以应对现有的和潜在的数据合规风险。
(1)企业应当通过检查、检测等方式,发现合规计划的不足并加以改进,形成良好的合规文化;
(2)开展独立客观的调查,探究违规原因,向高层汇报相关情况;
(3)分析合规管控的缺漏,采取补救措施和追究责任。
技术驱动法律,专业成就未来