全球正加速迈入数字经济时代,数据已经成为驱动经济发展的关键生产要素。党的二十大提出了数字中国的建设,是构筑国家竞争新优势的有力支撑。数据跨境传输作为数字经济发展中的重要组成部分,涉及跨境贸易、个人隐私保护、司法管辖及国家安全等。因此,各国积极完善数据跨境传输和数据安全保护法律体系。本文梳理归纳中国和欧盟的数据跨境传输的基本法律体系和纲要,以资参考。
一、中国
中共中央国务院于2022年12月2日发布了《关于构建数据基础制度更好发挥数据要素作用的意见》,鼓励国内企业开展数据跨境流动业务。
根据《数据安全法》的规定,数据是指任何以电子或者其他方式对信息的记录。数据处理包括数据的收集、存储、使用、加工、传输、提供、公开等。
1.数据类型
国家互联网信息办公室(“网信办”)2022年7月7日发布的《数据出境安全评估办法》(“《安全评估》”)中将数据类型简要分为个人信息和重要数据。
(1)个人信息
根据《个人信息保护法》的规定,个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
国家标准GB/T 35273《信息安全技术个人信息安全规范》(“《安全规范》”)对个人信息的判定主要依据其两大特性,即可识别和相关联。包括从信息到个人,由信息本身的特殊性识别出特定自然人,或从个人到信息,如已知特定自然人,由该自然人在其活动中产生的信息(如位置信息、浏览记录等),均为个人信息。
全国信息安全标准化技术委员会(“信安标委”)于2023年3月16日发布的国家标准《个人信息跨境传输认证要求(征求意见稿)》将个人信息定义为:以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,不包括匿名化处理后的信息。
《个人信息保护法》将个人信息分类为一般个人信息和敏感个人信息。敏感个人信息被定义为是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。该法还并进一步规定,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。
(2)重要数据
根据《安全评估》的规定,重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。信安标委于2022年1月13日发布的《信息安全技术重要数据识别指南(征求意见稿)》中将重要数据的定义为:以电子方式存在的,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。重要数据不包括国家秘密和个人信息,但基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。
工信部于2022年12月8日印发的《工业和信息化领域数据安全管理办法(试行)》第十条规定,危害程度符合下列条件之一的数据为重要数据:
(一)对政治、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成威胁,影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关的重点领域;
(二)对工业和信息化领域发展、生产、运行和经济利益等造成严重影响;
(三)造成重大数据安全事件或生产安全事故,对公共利益或者个人、组织合法权益造成严重影响,社会负面影响大;
(四)引发的级联效应明显,影响范围涉及多个行业、区域或者行业内多个企业,或者影响持续时间长,对行业发展、技术进步和产业生态等造成严重影响;
(五)经工业和信息化部评估确定的其他重要数据。
《网络安全法》中规定的关键信息基础设施包括公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的。
2.数据出境
《安全评估》第2条规定,数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息,即为数据出境。网信办于2022年8月31日颁发的《数据出境安全评估申报指南(第一版)》中说明,数据出境行为包括除了在境内收集和产生的数据传输、储存至境外以外,数据储存在境内,而境外的机构、组织或个人可以查询、调取、下载、导出等情形也属于数据出境行为。
(1)安全评估
根据《网络安全法》和《安全评估》的规定,如果企业向境外传输重要数据或是关键信息基础设施的运营者在境内运营中收集和产生的重要数据因业务需要,确需向境外提供的,其数据出境需要通过安全评估。对于触发《安全评估》申报门槛的数据处理者应当向相应网信办申报的内容包括法律文件中数据传输和存储约定、数据接收方的约束性要求、争议解决条款等。通过安全评估的数据处理者可开展数据出境活动,通过安全评估的结果有效期为2年。
值得注意的是,《网络安全法》第37条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。
根据《安全评估》的规定,对于个人信息的数据处理者,若处理100万人以上个人信息的数据处理者向境外提供个人信息,或自上年1月1日起累计向境外提供10万人个人信息,或者1万人敏感个人信息的数据处理者向境外提供个人信息的,则触发安全评估的门槛。
(2)标准合同
对于未触发《安全评估》申报门槛的个人信息处理者,可以通过签订标准合同的方式向境外提供个人信息。《标准合同》内容是不可更改的,国家网信部门可以根据实际情况对其进行调整。《标准合同》要求适中国法律,将仲裁机构的地域选择限定在《纽约公约》成员国中;若选择法院管辖的,要求将管辖法院的选择限定在中国境内。《标准合同》同时规定个人信息主体[1],即个人信息所标识或者关联的自然人,作为合同的第三方受益人,可以向有管辖权的人民法院提起诉讼。
网信办于2023年2月24日公布了《个人信息出境标准合同》(“《标准合同》”),或将成为个人信息跨境传输中应用最广泛的合规路径。《标准合同》罗列的主要条款包括个人信息处理者的义务、境外接收方的义务、当地个人信息保护政策法规对遵守标准合同条款的影响、个人信息主体的权利、救济措施等。《标准合同》只需在个人信息处理者所在地的省级网信办备案,无需审批。
(3)个人信息保护认证
如果个人信息处理者在认证范围内开展的个人信息处理活动符合认证要求的,企业可以通过指定机构[2]进行认证实现数据跨境,这是与标准合同并列的个人信息合规跨境传输方式。与标准合同相比,其可以避免签订多份合同的繁琐,并为跨国集团内部的数据传输提供了便利。
现行有效的个人信息跨境处理活动认证的依据是《安全规范》以及TC 260-PG-20222A《个人信息跨境处理活动安全认证规范》(“《安全认证规范》”)。申请认证的个人信息处理者需具有法人资格,认证机构综合评价后作出决定,有效期为三年。《安全认证规范》对个人信息处理者和境外接收方的责任义务作出了约束,与《标准合同》一样,要求在个人信息跨境处理的纠纷中适用中国法律。2023年3月16日,信安标委发布了《个人信息跨境传输认证要求(征求意见稿)》。
二、欧盟
2020年2月,欧盟在《欧洲数据战略》(A European Strategy for Data)提出,对国际数据流动采取开放而又坚定的态度非常重要。欧盟的数据治理体系将数据区分为个人数据保护和非个人数据保护,分别由《通用数据保护条例》(General Data Protection Regulation, “GDPR”)和《数据治理法案》(European Data Governance Act,“DGA”)进行规范。
1.GDPR
GDPR于2018年5月25日起适用于所有欧盟成员国。GDPR适用于个人数据的保护,第4条将个人数据定义为:与可识别的自然人(“数据主体”)有关的任何信息。可识别的自然人是可以通过某种标识符如姓名、证件号、位置信息、在线标识符,或与该自然人的身体、生理、遗传、精神、经济、文化或社会身份有关的一个或多个具体因素,直接或间接地被识别出来的个人(‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person)。由于该定义包括“任何信息”,则“个人数据”被尽可能广泛地解释[3]。
与我国《个人信息保护法》将个人信息划分为一般个人信息和敏感个人信息相类似,GDPR将个人数据区别为一般数据与敏感数据。敏感数据就包含,揭露种族或民族起源的数据、揭示政治观点的数据、揭示宗教或哲学信仰的数据、揭示工会会员身份的数据、基因数据、为唯一识别自然人而处理的生物特征数据、关于健康的数据。相关违法行为涉及这些敏感数据的,则会招致GDPR执法机构的顶格处罚,即对违法主体处以2000万欧元或者全球营业额的4%的罚款。
值得注意的是,GDPR仅为欧盟各成员国以及挪威、冰岛、列支敦士登的通用性一般规则,即这些国家至少要遵守GDPR规定的这些通用规则,在此基础上,各国还可以规定更细甚至更严格的规则,例如德国和意大利等国家的保护力度和处罚严格程度就远远超出GDPR的规定。另外,英国脱欧前当然适用GDPR规则,英国脱欧后,英国当局对是否继续适用GDPR相关规则并未做出明确规定,但可以预计的是,GDPR规则将在相当长的时间内对英国社会产生影响。
GDPR第五章将数据出境定义为:向第三国或国际组织传输个人数据(Transfers of personal data to third countries or international organizations)。在GDPR下数据跨境传输的路径和要求主要有三种:充分性保护水平,标准合同条款,有约束力的公司规则。
(1)充分性保护水平 (Adequacy decision)
GDPR中的“充分性保护水平”类似白名单制度:如果欧盟委员会决定第三国、一个地区或该第三国中的一个或多个特定部门或有关国际组织能确保充分的数据保护水平,则可不需要任何其他的许可或授权即可将个人数据传输到第三国或国际组织[4]。截至2023年,欧盟委员会认定达“充分性保护水平”的国家和地区仅14个[5],中国不在其列。
(2)适当性保障措施 (Appropriate safeguards)
GDPR将数据控制者(Controller)定义为:单独或与他人共同决定处理个人数据的目的和手段的自然人或法人、公共当局、机构或其他机构[6];处理者(Processor)则被定义为:代表控制人处理个人数据的自然人或法人、公共当局、机构或其他机构[7]。未被认定达到 “充分性保护水平”数据控制者或处理者只有在提供了适当的保障措施的情况下,才可以将个人数据转移到第三国或国际组织。
GDPR第46条认定的适当保障措施包括:(A) 标准数据保护条款;(B)具有约束力的公司规则;(C)公共当局或机构之间具有法律约束力和可执行的文书(International agreements and Administrative arrangement);(D)批准的行为准则(approved code of conduct);(E)批准的认证机制(approved certification mechanism)。在现实中(C)、(D)、(E)途径比较困难,故本文仅就(A)、(B)途径作出讨论。
A. 标准数据保护条款(Standard Contractual Clause, “SCC”)
标准合同条款的目的是为确保个人信息在出境后的保护水平不低于本国标准,进而要求境内传输方与境外接收方签订的由监管机构统一制定的制式合同。欧盟在2021年6月4日公布了最新版本的SCC,涵盖四种数据传输模型[8],即处理者和控制者之间四种不同的传输情况,具体包括控制者-控制者、控制者-处理者、处理者-处理者、处理者-控制者。该版SCC还规定了对基本数据保护原则[9]、安全义务、第三方受益人权利和提交给欧洲法院的管辖权的承诺。
在控制者-控制者、控制者-处理者、处理者-处理者三种模型的数据传输中,SCC在争议解决条款中对管辖法院的选择作出了限制:“这些条款引起的任何争议应由欧盟成员国的法院解决(Any dispute arising from these Clauses shall be resolved by the courts of an EU Member State)[10]”,第18条(c)项则允许数据主体在其惯常居住地的成员国的法院对数据传输方或数据接收方提起诉讼。
实务中,SCC采用的是政府监管要求相对宽松且效率更高的备案制,因此更受欢迎。SCC是迄今为止欧洲公司使用最多的数据跨境传输途径。尽管SCC的合同主体是数据处理者和控制者,其制定旨在保护数据主体的利益。除必要的信息填入、选择管辖法院、监督机构等,SCC的核心内容是不可修改的。
B. 具有约束力的公司规则 (Binding Corporate Rules,“BCR”)
如果跨国企业内部制定了一套在处理个人数据时候遵守的数据保护规则,并通过了欧盟数据保护机构的批准,则该企业可以通过BCR的方式在企业内部向欧盟以外的地方传输个人数据[11]。通过BCR方式进行个人数据传输的接收方限定于企业内部,不可涉及第三方。想要申请BCR的公司应当向监管机构提交申请,监管机构再传达给欧洲数据保护委员会。
实务中,BCR采用的是政府监管要求相对严格且效率更低的批准制。适用BCR使得跨国企业在不同法域的公司统一达到欧盟批准的数据保护水平,这增加了企业的合规成本。因此,适用BCR进行数据跨境传输的往往是大型跨国公司,如摩根大通、路易酩轩、英特尔、空客[12]等。
2.DGA
《数据治理法案》(European Data Governance Act,“DGA”)于2022年6月23日开始生效(enter into force),并将于2023年9月24日开始适用(apply)。
与强调个人数据保护的GDPR不同,DGA旨在欧盟内部推动数据共享,促进数据流动。DGA将数据的定义为:行为、事实或信息的任何数字表述以及此类行为、事实或信息的任何汇编,包括声音、视觉或音像记录的形式(‘data’ means any digital representation of acts, facts or information and any compilation of such acts, facts or information, including in the form of sound, visual or audiovisual recording)。
只要涉及到个人数据,DGA不得对抗GDPR的规定。在非个人数据方面,来自第三国的访问请求(access request from third countries)和向第三国转移(transfer to a third country)也有类似GDPR的保障措施:只应转移到对数据的使用提供适当保障的第三国,并接受相应的欧盟管辖权。
结语
在数据融入到人民生活、生产中每个环节,尤其是我国出海企业越来越多、对外交流越来越频繁的当今社会,数据的跨境传输需求越来越大。而数据的跨境传输作为数据处理的其中一个重要环节,必然涉及到对相关管理当局数据合规方面法律法规的遵守及违法后果的承担。且数据跨境传输往往涉及不同法域的法律法规,管控强度并不统一,合规风险存在差异,需要谨慎对待。实务中,为了更好地保护相关权益,规避相关风险,数据合规、隐私保护与网络安全往往相辅相成,彼此交叉且有必要共同推进。
数据出境之合规纲要
作者:高文杰 顾倩 刘钰琳 黄步步来源:天元律师

全球正加速迈入数字经济时代,数据已经成为驱动经济发展的关键生产要素。党的二十大提出了数字中国的建设,是构筑国家竞争新优势的有力支撑。