范佳宜 上海市海华永泰(武汉)律师事务所律师
内容摘要:2018年颁布的《一般数据保护条例》作为个人数据保护领域的一部重要的法律规定,有其非常典型的示范意义。受其域外适用效力的影响,全球范围内的众多跨国企业的数据合规都面临了较大的挑战。中国在数据安全领域同样出台了相关的法律法规及行业规则,通过这样的法律文本正在逐渐完善其相关的法律体系。中国在涉及数据跨境领域的法律法规与GDPR的要求,具有某种程度的一致性,同时也存在一定的差异。在这样的背景下,中国企业如何在数据跨境上实现合规是一个值得探讨的问题。
关键词:GDPR 数据安全 企业数据合规 数据跨境 个人数据
随着贸易全球化进程的推进以及技术手段的不断提升,数据早已成为一种重要的资源与生产资料,数据跨境活动作为连接组织维系全球的经济活动。跨境数据流动(Trans-border Data Flow,简称TDF)概念首先由经济发展合作组织(简称经合组织)在《关于保护隐私与个人数据跨境流通的准则》采用。该准则是当时国际社会达成的第一份有关信息化背景下隐私保护和数据跨境流动的法律文件,在该文件中首次使用了跨境数据流动的术语。在该准则中,数据跨境流动被界定为个人数据的跨越国界流动。根据数据显示,数据的跨境流动在全球GDP增长中相较于货物贸易所占据的份额更大,并且无论是数据输出国或是数据输出国都在数据流中获益。但数据不同于传统的商品,作为一种传输的主体往往由于包含的内容而具有高度的敏感性,但正是因为这种敏感信息的存在决定了它所高度具有的商业价值。基于此,在数据传输领域,特别是数据的跨境流通过程中,如何在保障数据安全及实现数据自由流动之间寻求平衡对监管者来说是一个基本的话题。纵观全球涉及数据安全及数据保护的相关立法及司法实践,各国及地区基于自己的价值判断针对数据控制者或是数据处理者等数据相关人提出了相应的监管要求。
其中欧盟于2018年出台的《一般数据保护条例》(General Data Protection Regulation,简称GDPR)因其典型性受到了全球瞩目。欧洲通过GDPR正在实现其数字单一市场的建设,同时通过GDPR的域外适用效力将与市场有关的社会和经济政策及监管措施外部化,对全球的数据监管产生了深远的影响。通过这样的制度设计,欧盟在向其他国家及地区输出其标准,并在国际标准的制定的竞争上取得了先机。鉴于此,本文将就GDPR中关于数据跨境的相关规定作一定的介绍,分析我国现有的关于数据跨境流动的相关法律规定,并探讨中国企业如何在数据跨境上进行数据合规。
一、GDPR对于数据跨境的相关规则
从GPDR的章程设置上来看,共11章99个条款,其中第5章第44条至50条涉及个人数据跨境流动的具体规则。通过这些条款,GDPR为个人数据跨境流动及传输确立了基本原则,同时也对数据跨境的流程做出了规定。GDPR对于企业的不合规行为设置了高额的处罚机制,并且近年来其执法案例所给出的处罚金额也是不断攀升,这对企业的合规工作而言极具挑战,但从另一方面说,也为企业合规提供了相应的动力。企业作为数据传输的主体要做到合规,首先必须对相关的规则进行深入的了解。
总体而言,GDPR所确立的数据传输的一般性原则是,数据控制者或处理者在全面满足各条款的具体要求时,才能够将个人数据从欧盟转移到第三国或国际组织,类似的考虑也适用于从第三国或国际组织向其他国家或国际组织的转移。GDPR其中第50款“为保护个人数据的国际合作”是涉及欧盟委员会和监管机构应当采取适当的措施以促进关于个人数据的国际合作的具体规则。从企业合规的角度来看,其与数据跨境合规的联系相对没有那么紧密,因此本文的探讨主要限于GDPR的第44至49条的具体条文。针对数据跨境的具体规则主要涉及以下的几个方面:
1.“充分保护水平”:将个人数据从欧盟转移到第三国的活动仅限于欧盟委员会决定具有“充分保护水平”的国家。GDPR同时提供了评估保护程度的充足性时会考虑的相关因素。
2.“受适当保障措施约束”:数据控制者或处理者必须对数据提供适当的保障措施,以及为数据主体提供可执行的权利以及有效的救济措施,才能进行数据跨境转移。适当的保障措施包括数据控制者或数据处理者与数据控制者、数据处理者或第三国或国际组织的个人数据接收者之间的合同条款。
3.“有约束力的公司规则”:GDPR对公司规则是否具有足够的约束力给出了具体的评价标准,同时明确了欧盟委员会可以明确数据控制者、数据处理者和监管机构之间为了约束性公司规则而进行信息交换的形式和程序。
4.“未经欧盟法授权的转移或披露”:明确了在经法庭判决、仲裁裁决或第三国行政机构决定的情况下,进行数据转移或披露的条件。
5.“特殊情形下的克减”:明确了在不满足前述“充分保护水平”“受适当保障措施约束”以及“有约束力的公司规则”,但仍可以进行数据跨境的情形。
当然,某国是否被认定为具有“充分保护水平”这一话题,通常被认为是极具政治意味的,也不在企业合规的讨论范畴内。从数据合规的角度来看,企业需要在现有的法律框架下完成相关的合规工作以避免潜在的处罚风险。那么,GDPR中其他与企业合规相关性更高的条款就值得引起企业的注意。
首先需要明确的是,相对于数据处理者,数据控制者对GDPR下的数据保护合规性负有相对而言更高的责任。例如根据第28条第1款的要求,数据控制者负有保证其所使用的数据处理者应当提供充分保证,以执行适当的技术和组织措施,使处理满足GDPR的要求,并确保数据主体的权利得到保护。第28条第3款所规定的数据处理者处理个人数据只能基于数据控制者的书面指示,包括有关个人数据向第三国或国际组织的转移,也印证了二者在GDPR下所负的义务不同。这将直接影响到企业在不同语境下所应尽的合规义务。同时第28条第4款、第5款所涉及的数据控制者与数据处理者之间的合同安排、被认可的行为准则的履行及遵守状况,也将影响到企业是否符合“受适当保障措施约束”的判断。
其次,“有约束力的公司规则”是针对企业,特别是跨国企业的一项制度,该规则要求企业通过内部设置规则的方式实现自我约束,从而满足合规要求,达到数据跨境传输的要求从而可以实现数据跨境。总体而言,约束性企业规则与GDPR问责制是具有逻辑一致性的,它可以保证企业在GDPR的总体框架下通过其内部的制度保证内部适用统一的标准来实现统一标准下对数据主体的保护,以此来达到防范数据跨境可能引发的潜在风险的目的。而企业如何保证其所设置的公司规则具有足够的约束力以达到GDPR的要求,则是企业数据合规的重要课题之一。
综上所述,GDPR对企业数据跨境合规指明了原则,同时通过具体的条款设置对数据控制着和数据处理者在处理该项业务时提出了具体的要求。企业在了解相关要求后,如何将其有机结合到企业日常的数据合规中是下一步工作的重点。在GDPR的语境下,合规是必然的要求,良好的数据合规治理也是企业在面对数据安全调查时的一项有效防护。而对于具有数据跨境需求的中国企业而言,同样需要考虑到本国对数据安全及数据传输的相关要求。
二、中国现有涉及数据跨境的相关法律法规
根据IDC报告所显示的数据,现今中国的数据产生量约占全球数据产生量的23%,比美国的数据产生量大约多出2个百分点,中美两国的数据产生量基本占据了全球数据的一半。而不少中国企业早已发现了数据市场的强大潜力。根据蚂蚁科技集团股份有限公司(简称蚂蚁集团)在香港上市所公布的招股说明书显示,蚂蚁集团在淘宝和支付宝上积累了众多高黏度的客户,并同时发掘了他们的数据信息。这些信息为其小额贷款平台横向捆绑客户购买力提供了大量数据。平台享受到了客户数据所带来的多重红利,这种集群效应有助于最大限度地将数据转化为经济效益。由此可见,企业在数据市场可以挖掘的商业机会十分巨大,同时我国数据市场将迎来数据交易的战略机遇期。同时,在国际范围内,各国处于各自的战略目的,对互联网治理也设置了符合各自预期的法律标准。同样,中国利用监管、创新以及外交政策在多方面试图获取国际话语权,这其中当然也包括了互联网治理领域,其中也包括数据跨境的相关法律规定。
2013年《信息安全技术公共及商用服务信息系统个人信息保护指南》是中国第一个个人信息保护国家标准,该指南首次明确了数据管理者在进行数据转移时所应遵循的原则,针对数据跨境转移流程等予以明确,用以规范个人数据跨境流动。但相关规定是以指南的形式予以确认的,而并非法律规定。
随后,2016年11月颁布的网络安全法正式在法律文本中对数据跨境流动进行了规定。其中第37条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。”该条款从网络运行安全的角度对关键信息基础设施运营者的数据存储做出了具体要求,并对数据向境外转移加以限制,从而确立了我国跨境数据传输的基本制度,即以境内存储为原则,安全评估后允许跨境传输为例外。
国家互联网信息办公室于2017年4月发布的个人信息和重要数据出境安全评估办法(征求意见稿)(简称安全评估办法草案)对个人信息和重要数据出境时所需进行的安全评估的适用范围、重点内容等进行了规定。在安全评估的适用范围上,安全评估办法草案规定所有的网络运营者向境外转移个人数据前均应进行安全评估,而并非网络安全法所规定的关键信息基础设施运营者,也就是说安全评估办法草案扩大了安全评估的适用范围。在安全评估的具体规则中,与GDPR的“受适当保障措施约束”中涉及标准合同运用的内容具有一定程度的一致性,安全评估办法草案同样列明了数据转移合同中所必要的条款。草案同时规定了评估过程的具体内容,并向公众公示了后续监管流程。同样值得注意的是,安全评估办法草案通过第20条的约定,明确了其域外适用效力,这点也与GDPR具有一致性。
之后,国家互联网信息办公室于2019年5月发布的数据安全管理办法(征求意见稿)强调了数据安全需要一个合理的数据治理制度来保障,再次向网络运营者明确了向境外提供重要数据前需经评估并批准,重申了数据出境可能伴随的安全风险。时隔一个月,国家互联网信息办公室发布了个人信息出境安全评估办法(征求意见稿),该办法中涉及处置实体层面安全风险的规定,与国际实践基本保持一致。
2020年10月21日,另一部重要有关数据安全保护的法律,即个人信息保护法公布并公开征求社会公众意见。该法第三章专章规定了“个人信息跨境提供的规则”,明确了个人信息处理者因业务等需要,确需向境外提供个人信息所具备的条件,并为信息输出方提供了更多元化的数据跨境方式;扩大了本地化存储的范畴,将处理个人信息达到国家网信部门规定数量的个人信息处理者也纳入了管理的范围;确立了涉及国际司法协助或者行政执法协助时需遵循的基本原则;建立了限制或者禁止个人信息提供清单制度,明确了在个人信息保护领域可适用的反制措施。同时也通过增强个人信息处理者责任来促进合规。总体而言,基于数据跨境利益牵扯与风险防范的复杂性,该法延续了中国严格管理型的数据跨境治理倾向。如该部法律证实通过并实施,我国将打破在个人信息保护制度领域碎片化的局面,将在该领域建立统一的、系统化的标准体系。
尽管中国在现阶段仍有不少法律处于草案阶段,但可以确定的是,中国在涉及数据跨境领域所搭建的法律框架与全球范围内数据隐私法的逻辑具有一致性,甚至中国处于强有力的一端。相关的法律规定显示了其受到了GDPR的影响,例如“执法工具包”的多样性,但同时也超越了GDPR的一些相关规定。中国制定一系列强有力的数据隐私规则,其所包含的内容广泛,但同时也设置了相当多的例外规则。遗憾的是,中国并没有设立独立的专门的数据保护主管部门,以及强有力但具有一定自由裁量的数据输出/本地化规则。从长远发展而看,在相关领域建立系统化的监管规则,将对数字经济产业的健康发展带来充分利好,企业的合规工作将会在更公平、公开、透明的环境下展开。
三、针对企业数据合规的建议
一方面,信息技术在全球范围内正在实现跨越式发展,该领域尤其显现了法律的滞后性;另一方面,数据保护立法仍缺乏促使全球形成统一标准的基础,因此对数据保护的要求在不同的司法区域呈现一种割据状态。在这种状况下,不难理解数据在跨境的过程中可能引发更为频繁的冲突。跨国企业必然需要在不同的司法区之间建立业务关系,业态发展已决定了这类企业不可能为了避免法律风险而不去获取数据、利用数据等进行商业竞争,技术与立法之间的冲突对企业的创新需求与数据合规产生了诸多方面的影响,在数据交互频繁的今天,企业如何在满足其数据跨境需求的前提下实现合规,是企业数据合规工作的重中之重。
1.关注法律法规的地区差异性
随着信息技术的发展,大型企业将利用人工智能、区块链等多项技术创新争夺数据市场的话语权。技术发展所带来的集群效应也可以帮助企业实现在无须人为干预的情况下进行大量的数据传输的可能,这降低了中小企业进入数据市场的门槛,那么通过这些企业产生的数据流也将更广泛地流入市场,增强数据市场的活力。然而,针对不断增加的流量,不同国家及区域的监管者并未就该现象及其所带来的更普遍的数据安全需求提供协调的监管。全球化的数字数据和服务贸易既没有伴随着互联网法律而实现普遍协调,也没有实现真正的数据保护和数据隐私法的融合。这些都将引发经济损害的风险,阻碍数据服务领域的创新。
在缺乏国际统一的数据保护的立法的情况下,各国及地区普遍地在法律中设置了法律适用域外效力的条款,包括欧盟及我国。在这种情况下,企业在不同的司法行政区开展业务时,必须密切关注当地监管要求的不同。例如,中国企业在面对国外监管机构的调查时,可能会被要求向其提供根据中国法律法规规定的不可传输的特定类型数据,在这种情况下,国外监管机构根据其执法权限对中国企业所提出的数据要求会与中国数据保护的相关法律产生冲突。外国监管和地缘政治考虑有时反映了外国的战略目标。公司必须了解这些复杂性,尽力避免因商业惯性引发的对适用法律规定的理解差异,并重视由此种理解差异引发的商业教训。
2.主动适用,防范风险
尽管在不同的司法行政区,法律规定存在不同,冲突也间或发生,但这绝不意味着企业只能以消极的态度去对待这些关于数据安全的法律规定,相反,企业应当以积极态度去适用。在GDPR的语境下,尽管GDPR没有要求欧洲以外的公司在其业务中采用其设立的合规性标准,但受其实施的影响,实际上很多跨国公司基于不同的原因都在主动适用,例如某些在欧盟区域运营的跨国公司要求其分支机构保持合规的一致性,或是要求其供应商也符合GDPR的要求来规避关联业务所可能产生的风险。欧盟对公司层面的数据治理政策相当重视,一旦经监管机构认定某公司在公司层面形成了适当的公司规则,对涉及数据处理和控制过程进行了足够控制,则被认可为适当的保障措施,在此规则下数据可以进行流动及传输。因此主动合规不仅能够帮助企业规避风险,更为重要的是能为企业建立良好的声誉,更顺利地开展跨境业务。
随着欧盟等国家和地区对数据监管的立法和执法力度加强,以及走出去的中国企业数量的不断攀升,中国与其他国家及地区的贸易摩擦同样也在不断升级,我国企业势必将面对更为严格的数据安全监管。对于具有跨境业务需求的中国企业而言,在进行数据跨境的处理时,首先需要考虑其营业地法律的要求,主动适用中国的相关规律规定,并根据中国数据跨境流通监管模式的配套制定相应的管理规定。在满足上述要求后,通过内部及外部尽职调查,关注数据跨境的流程,确认关键节点,例如出境地、入境地、境外存储地以及中转地等相关业务地点,同时考察企业是否遵守了这些业务相关地区的法律要求,以及如何设置符合当地数据安全要求的合规策略。尽管考虑到不同司法行政区的规定可能存在不一致的地方,企业需要在兼顾地区差异性的同时,适度调整自己的合规标准及流程等,主动适用当地法律,以避免后续可能面对的多重法律风险。
3.利用数据合规的工具
由于种种原因,在域外法律“标准对立”和“规则重叠”的背景下,对个人数据传输的限制和数据本地化要求层出不穷。虽然这些复杂性阻碍了某些数据的流动,但是在跨境数据流成为当今国际贸易的重要组成部分的大背景下,允许个人数据继续自由流动已成为不可逆转的趋势。那么,对数据主体及其数据提供某些保护则成了监管的重点。对于数据主体而言,数据的收集、使用和传输通常很难被观察到,由于信息不完整也在一定程度上导致数据主体对其权利解读存在偏差,数据主体经常误解其交易的性质和后果。那么从企业的角度而言,可以从信息获取时的合同管理入手,也就是说企业在处理其与数据主体的合同条款上,应当尽量使用平白、简单的语言,并以合理的方式对重要条款向数据主体做出提示,以消除非熟练数据主体由于阅读或理解与信息隐私相关的条款或上述误解而面临的信息障碍。
不论是GDPR或是中国现有的数据保护相关法律规定,都为企业提供了丰富的工具包,为企业进行数据跨境合规工作做出了具体的指引。GDPR向企业提供了多种多样的合规性工具,例如数据处理登记册的具体实施要求、设立专门数据合规官的要求数据跨境流动,以及在进行高风险处理之前,进行数据保护影响评估的要求。企业在数据合规体系搭建的过程中,应当考虑如何将这些数据合规工具应用到具体的日常合规工作中,这不仅有利于为企业技术创新提供安全保障,也将为企业面对外部调查时作为其是否具备合规性的证据要素,为企业提供防护盾。对于中国企业来说,可以通过自行评估与聘请独立评估机构进行评估的方式,考虑是否有采用上述合规性工具的必要性以及如何在控制成本的前提下利用法律法规所提供的合规策略。针对企业数据跨境的相关需求数据跨境流动,GDPR和我国《安全评估办法草案》都建议企业采用其推荐的标准合同。根据GDPR,在第三国未能达到充分性保护水平的情况下,欧盟境内数据控制人和境外的数据控制人或处理者可以签订欧盟委员会审批的标准合同,通过该工具达到GDPR的预期,从而实现数据跨境传输。这些合规工具被采用后,不仅有利于中国企业规避相关的法律风险,同时也为中国企业提供了与欧盟境内企业在同一共识下平等对话的机会,将有助于企业获取商业机会和赢得商业信誉。
综上所述,对于具有数据跨境需求的企业而言,需要深入地理解数据跨境相关司法行政区的相关法律规定,并在此基础上建立相应的数据合规体系。尽管现阶段的数据跨境合规仍具有极高的不确定性,相关工作也较为繁杂,但企业仍应考虑主动适用,以规避风险。企业在进行数据跨境业务时,也可适时考虑借助外部顾问来协助企业完成尽职调查、合规框架构建等相关工作。各司法区实际上也考虑到了数据跨境合规工作的复杂性,因此也为企业提供了相关的工具,如果企业能够将这些合规工具结合进日常的合规体系,也将极大地帮助企业实现数据合规。