大数据时代,信息技术与互联网的发展促使各国经济朝着数字化方向转型。伴随数字经济的深入发展,数据的作用日益凸显,数据的跨境流动也变得异常频繁。为了推动数据流通在国际贸易中发挥更重要的作用,并保障各国家间、企业间经济交往的良好秩序,包括欧盟、美国、俄罗斯、印度、中国在内的世界各国纷纷开展了数据领域的立法和数据跨境流通的监管工作。
然而随着各国对数据跨境流通的含义和影响的认识日益深入,出于对数据资源的保护、国家安全的需要以及防止行政权、司法权落空等目的,数据跨境流动的相关立法和国际规则的制定也呈现出新的趋势和特点。从最新动态可以看出,目前各国对数据保护的立法日益体现出“数据主权”的理念,纷纷增强了对数据境内存储以及严格监管数据境外流通的规定。这一新趋势使得网络安全和数据隐私保护成为国家间贸易的新壁垒。
贸易保护主义下的数据流通监管趋严的态势,对跨国企业进行数据跨境流通管理提出了更高的要求。本文将通过分析我国现有的数据跨境流动监管规则,并介绍美国、欧盟等域外数据跨境流动监管新动向,为企业数据跨境流通的管理提出有效的建议。
一、中国数据跨境流通监管
2016年11月7日,全国人大常委会表决通过《中华人民共和国网络安全法》(下称“《网络安全法》”),并于2017年6月1日起正式实施。该法是我国网络安全管理领域的基础性法律,对关键信息基础设施的运营者数据跨境传输的义务进行原则性规定。然而,该法规中涉及数据跨境流通的条款和规定相对比较笼统,而其他相关的配套法规目前尚未出台(仍处于征求意见阶段)。这一立法现状导致了我国目前在数据跨境流通监管方面的执法力度仍然相对宽松。但结合其他尚未生效的征求意见稿,我们仍然能够看到国家对于数据跨境流通监管的基本态度和措施。因此,对于数据跨境流通监管规则的梳理,能够为企业数据合规管理提供借鉴,以帮助其应对相关措施的随时出台。
1. 数据跨境流通监管的对象
《网络安全法》对关键信息基础设施的运营者提出了数据流通监管要求。第三十七条规定,关键信息基础设施的运营者在境内运营中收集和产生的个人信息和重要数据应当:1)数据境内存储;2)数据出境需开展安全评估[1] 。而对于关键信息基础设施以外的网络运营者的数据流通,《网络安全法》没有提出强制性要求及处罚性措施。
《网络安全法》对数据跨境流通监管的对象作出了是否为“关键信息基础设施运营者”的区分。然而,随后公布的《个人信息和重要数据出境安全评估办法(征求意见稿)》(下称“《评估办法》”)、《数据出境安全评估指南(征求意见稿)》(下称“《数据出境评估指南》”)、《个人信息出境安全评估办法(征求意见稿)》(下称“《个人信息评估办法》”)等相关征求意见稿中,将数据跨境流通监管的对象扩大为“网络运营者”。此等规定目前尚未正式生效,且这种将《网络安全法》规定的监管对象扩大化的做法有下位法超越上位法之嫌疑。尽管我们无法预估正式出台的各项办法中是否会将监管对象做此扩大化的规定,但征求意见稿的表述体现出我国目前数据跨境流通监管趋严的态势,为企业的数据合规管理敲响警钟。
1)关键信息基础设施的运营者
对于《网络安全法》中规定的“关键信息基础设施的运营者”的法律内涵,《网络安全法》和《关键信息基础设施安全保护条例(征求意见稿)》都采用了“特定行业范围+严重危害后果”的方式进行描述。从相关规定中可以看出,《网络安全法》目前对数据跨境流通监管的领域主要从国家安全角度出发,主要包括公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施领域[2] 。
2)个人信息和重要数据
《网络安全法》中对跨境流通受到监管的数据明确定义为个人信息和重要数据。然而,《网络安全法》目前仅对个人信息作出了解释。根据第七十六条的规定,个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。其他征求意见稿基本采纳了上述同样定义。因此,对于个人信息的判断之关键在于是否具有身份可识别性。
但对于重要数据,目前仍然没有法定的定义。参照《个人信息和重要数据出境安全评估办法(征求意见稿)》[3] 和《数据安全管理办法(征求意见稿)》[4] 中对重要数据的解释,我们可以将其理解为与国家安全、经济发展,以及社会公共利益密切相关的一系列数据。
2. 数据出境安全评估内容及准则
根据《网络安全法》的规定,因业务需要,相关数据确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。目前,配套法规和安全评估准则仍处征求意见阶段,没有正式出台。但《评估办法》、《数据出境评估指南》和《个人信息评估办法》已经初步对数据出境的安全评估模式作出了规定,尽管仍未生效,相信对于未来具体细则的出台会有重要的指导意义。
1)评估方式
2)重点评估内容
3)不得出境数据
3. 不开展安全评估的法律后果
1)对关键信息基础设施的运营者
《网络安全法》规定,关键信息基础设施的运营者在数据境外传输时不开展安全评估或者存在其他违法行为的,将受到给予警告、没收违法所得、罚款、责令停产停业、吊销相关证照的处罚;并对负责人员处以一万元以上十万元以下罚款[6] 。
2)对网络运营商
对于其他网络运营者,尽管目前没有已经生效的法规对其不开展安全评估的法律后果做出规定,但是根据《数据出境评估指南》,网络运营者在数据境外传输时不开展安全评估或者存在其他违法行为的,将可能受到公开曝光、没收违法所得、暂停相关业务、停业整顿、关闭网站、吊销相关证照等处罚;如果构成犯罪的,还将依法追究刑事责任[7] 。
二、美国数据跨境流通监管
与中国相类似,美国对于数据保护的立法也在不断完善。近日,美国共和党参议员提出一项关于数据保护的新法案,旨在防止美国网络用户的敏感数据被传输到中国和其他引起国家安全担忧的国家,该法案的内容主要针对抖音海外版TikTok及苹果(Apple)等公司。新法案延续了美国此前出台的CLOUD 法案中对数据控制的态度。尽管还没有正式出台,但却呈现出了美国对跨境数据流通更加严格的监管趋势。
1. CLOUD 法案
2018年3月美国通过《澄清域外合法使用数据法》(the Clarifying Lawful Overseas Use of Data Act,“CLOUD 法案”)。该法案采取“数据控制者”标准,打破“服务器标准”,规定了美国政府可调取公司拥有、监管和控制的数据,无论该信息存储境内或境外[8] 。这一法案在一定程度上肯定了美国执法机关对美国企业“控制”的境内外数据均享有“主权”的态度,并反映出美国试图打破各国数据本地化政策屏障的意图。CLOUD 法案在联邦层面为美国对境内外数据的控制权提供了立法保障。与之相呼应,各州关于数据保护的立法延续了美国对于加强个人数据保护的态度。2018年通过的《加州消费者隐私法案》(“CCPA”)被认为是美国国内最严格的隐私立法。该法案旨在加强消费者隐私权和数据安全保护,赋予了加州居民可以在特定情况下要求相关企业提供其个人信息、删除相关个人数据以及自行选择是否销售个人信息等权利。
然而,相比于《网络安全法》,美国目前仍然没有生效的法律要求在美国领土产生的数据需要进行境内存储并在境外输出时进行安全评估,从整体上来讲,对数据跨境流通的态度更加开放和自由。然而,在“数据主权”的浪潮下,美国相对宽松的监管政策也正在发生变化。
2.《国家安全与个人数据保护法案》法案的提出
2018年,为了遵守中国法的要求,苹果被要求将中国用户的 iCloud 数据转移到中国本土服务器上。尽管苹果承诺在过渡期间将保持强大的数据隐私和安全保护,但此举仍受到一些用户的批评。基于此类事件的产生,为了加强对美国公民或居民的用户数据的控制、避免美国网络用户的数据存储到中国等其他对美国国家安全构成威胁的国家,美国国会共和党参议员乔希·霍利(Josh Hawley)于11月18日提出了一项新法案《国家安全与个人数据保护法案》(National Security and Personal Data Protection Act,下称《NSPDPA法案》)。对于跨国开展业务的特别关注科技公司(Covered Technology Company),尤其是涉及COC国家(Country of Concern,包括中国和俄罗斯)的企业,该提案建立了明确的数据回传美国和禁止COC国家本地存储要求,同时对于用户数据的向COC国家输出进行了严格管制。
新法案的提出延续了CLOUD 法案对于数据控制的态度。该法案一旦生效,将对美国在华企业在境内收集数据的管理产生重大影响。一方面,根据《网络安全法》及可供参考的征求意见稿的规定,在华企业在境内收集的个人信息和重要数据应当在中国境内存储并受到数据出境的评估审查。但根据《NSPDPA法案》的规定,在华的美国企业需要将数据回传至美国并禁止在中国境内存储,否则可能受到相关处罚。这无疑使得企业陷入数据存储冲突的两难境地,在一定程度上为跨国贸易设置了更高的贸易壁垒。
三、欧盟数据跨境流通监管
欧盟同样对于数据保护和跨境流通有严格的监管控制。2018年5月25日,欧盟《通用数据保护条例》(General Data Protection Regulation,简称“GDPR”)正式生效。GDPR要求只要是核心业务直接或间接和欧洲民众个人数据的搜集、处理和利用有关的企业或自然人,从内部系统到数据安全,都必须符合GDPR 对于个人数据保护的规范和要求。而违反GDPR个人数据保护的相关要求则可能面临巨额罚款。作为近年来对全球数据保护影响最大的法规,GDPR自生效以来,欧盟监管机构已经根据其规定对多家行业巨展开调查,甚至开出高额罚单,其中不乏一些在欧盟国家开展业务的中国企业。这些案例为中国企业在欧盟开展业务时的数据跨境流通管理提供了借鉴意义。
2018年12月,据英国《金融时报》报道,摩拜单车因被质疑违反欧洲数据法而接受德国数据监管机构的调查。监管机构称,共享单车和汽车平台通常会通过手机应用收集用户的大量数据,包括用户未使用软件时的定位信息。而一旦摩拜将该类数据发送回总部所在地中国,将违反GDPR中对于非欧洲供应商将其数据转移到欧洲外的地区的额外限定性规定,或将面临最高可达年营收额的4%或2000万欧元的罚款。今年5月,爱尔兰数据保护监管机构还曾对Google如何在与广告商交易中处理其用户信息开展过调查。而此类违反GDPR的调查目前仍然在继续,12月2日,经欧盟官方证实其对谷歌和Facebook展开了有关个人隐私采集、数据处置有关的调查。
GDPR自生效的一年多以来,对包括中国企业在内的多家欧盟外公司开展了数据合规方面的调查,并对相关企业的违法行为开出了巨额罚单。这些案例的存在让我们看到,目前各国对于数据跨境流通的监管已绝不仅仅停留在立法阶段,更多的是将立法上的规定转化为实际中的监管。如果在欧盟开展业务的相关企业不遵守GDPR中对于数据管理的相关规定,势必将面临监管机构严格的调查和处罚。
四、其他国家数据跨境流通监管
为了促进本国数字经济的发展,其他国家和地区也在数据本地化存储和数据出境监管等方面进行了立法上的完善。
俄罗斯规定了更广泛的数据本地化存储的义务对象。《关于信息、信息技术和信息保护法》中要求包括互联网信息传播组织者、运营商都需要对数据进行本地化存储和处理。同时,《俄罗斯联邦个人数据保护法》对于数据出境的监管提出相对严格的要求。相关机构、国外政府或者国家必须拥有同等的保护水平才可以进行数据传输,否则必须满足严格的条件和出境目的才可以将数据传输出境。
印度采取了数据分类监管的方式。《个人数据保护法草案2018》将数据分为个人数据、敏感个人数据和关键个人数据三种类型,并对其实施程度不断增强的数据本地化和跨境流动限制。同时,针对金融数据,印度提出了强制性的本地化存储要求,从而更加严格的控制金融数据的外流。
在区域立法方面,APEC成员国早在2004年就达成了《APEC隐私框架》并对数据跨境流动进行了原则性的规定。框架要求数据控制者将个人信息传输到第三方(无论是境内还是境外)应获得数据主体的同意或者确保数据接收者持续遵守《APEC隐私框架》的原则。
五、应对策略及相关建议
1. 针对在华开展业务的外资企业
对于总部并非在中国的企业,尤其是外资企业,面临的最大挑战就是如何符合中国《网络安全法》中关于数据存储和数据出境的法律要求。由于当前《网络安全法》仅对关键信息基础设施的运营者进行了数据跨境流通的规定,因此外资企业首先应判断自己所属的领域是否属于关键信息基础设施的范畴。如果是,其个人信息和重要数据就必须存放在中国境内。如果个人信息和重要数据需要出境(比如传回国外总部),就需要按照法律法规的要求开展数据出境安全评估。尽管中国目前立法对数据出境的具体评估准则还没有正式出台,但不断出台的征求意见稿体现出了中国对于境内数据向外流通监管趋严的态势,并表现了中国对于重要数据加强控制的态度。在华经营的外资企业在“数据主权”的大背景下,应当做好自身的数据保护与数据流通管理计划,以及时应对随时可能出台的数据跨境流通监管新规定。
2. 针对在境外开展业务的中资企业
对于具有跨境业务的中资企业,首先同上述外资企业一样,需要制定符合中国数据跨境流通监管模式的配套管理规定,需要特别注意将其境内运营数据传输到境外实体(关联企业、研发中心、客户等)时的合规性管理,时刻遵守《网络安全法》中对于数据出境的要求。同时,中资企业在境外开展业务时,还需要注意是否遵守了业务开展地区对于用户数据和隐私保护的相关法律和要求(如GDPR)。随着欧盟等国家和地区对跨境数据流通监管的立法和执法力度加强,越来越多的中资企业在对外开展业务时会受到相关地区政府的监管和关注。尤其是互联网等相关行业中掌握大量客户数据的中资企业,更应注意是否遵守了境外法律对于用户数据和隐私保护的要求,目前欧盟对谷歌、Facebook的打击是有益的警示。
另外,需要特别提示的是,中资企业除了自身需要遵守境外数据保护的立法,还需要关注其合作方对个人隐私和数据的保护。尤其在进行境外并购时,当面临可能掌握巨大个人信息的企业时,如境外教育机构、传媒机构、互联网企业等,应当在交易前特别注意对此类企业进行尽职调查。通过美国外国投资委员会(CFIUS)近日针对抖音国际版TikTok的母公司字节跳动对美国社交媒体应用平台Musical.ly的收购行为启动国家安全审查可以看出,未来跨国并购案件中,针对目标公司所在国公民的个人数据保护和隐私保护将成为交易能否成功的关键因素。通过加强自身的数据合规管理,并寻找律师等相关专业人士对目标公司进行背景调查,在一定程度上能够避免企业因数据合规问题而导致并购失败或并购成本极大增加的风险。从全球大势上看,各国数据跨境流通监管机构已经将数据及个人隐私的保护提升到捍卫国家安全和进行意识形态竞争的高度,这无疑将成为跨国企业在境外开展业务时需要密切关注的重点。
[1] 《网络安全法》第三十七条关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。
[2] 参照《网络安全法》第三十一条、《关键信息基础设施安全保护条例(征求意见稿)》第十八条的规定。
[3] 《个人信息和重要数据出境安全评估办法(征求意见稿)》第十七条重要数据,是指与国家安全、经济发展,以及社会公共利益密切相关的数据,具体范围参照国家有关标准和重要数据识别指南。
[4] 《数据安全管理办法(征求意见稿)》第三十八条重要数据,是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。
[5] 指“网络运营者与接收者签订的合同”
[6] 《网络安全法》第六十六条违反本法第三十七条规定,在境外存储网络数据,或者向境外提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
[7]《数据安全管理办法(征求意见稿)》第三十七条网络运营者违反本办法规定的,由有关部门依照相关法律、行政法规的规定,根据情节给予公开曝光、没收违法所得、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或吊销营业执照等处罚;构成犯罪的,依法追究刑事责任。
[8] “The Clarifying Lawful Overseas Use of Data Act” 2713. Required preservation and disclosure of communications and records
“A provider of electronic communication service or remote computing service shall comply with the obligations of this chapter to preserve, backup, or disclose (保存、备份或披露) the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider’s possession, custody, or control (在该提供者的拥有、监管或控制之下), regardless of whether such communication, record, or other information is located within or outside of the United States(无论该通讯、记录或其他信息位于美国境内还是境外).”
数据跨境流通监管新动向
作者:蔡军祥 张安彤来源:金诚同达

大数据时代,信息技术与互联网的发展促使各国经济朝着数字化方向转型。伴随数字经济的深入发展,数据的作用日益凸显,数据的跨境流动也变得异常频繁。