跨境数据合规 | 中欧数据出境监管机制与企业合规应对措施

走出去智库观察  

9月27日，走出去智库（CGGT）举办“中欧数据跨境传输与企业合规专题研讨会”，来自华为、中兴、TCL、宁德时代、腾讯、百度、京东、比亚迪、长安汽车、华大基因、西门子、UPS等企业嘉宾参加线上研讨会。

本次研讨会由走出去智库（CGGT）总经理陆俊秀博士主持，邀请国内领先律所——中伦律师事务所、国际知名律所——Bird & Bird（鸿鹄律师事务所）的三位政策、法律与合规专家，就中国企业数据出境监管与合规、GDPR的数据跨境传输合规监管机制、企业数据合规管理应对策略等热点话题进行探讨。

今天，走出去智库（CGGT）刊发此次研讨会三位专家演讲的主要内容，供关注中欧数据传输合规管理的读者参考。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

跨境数据合规——针对中国商业的法律解决方案

李瑞（Rachel LI）

中伦律师事务所合伙人

近年来，中国数据出境相关法律法规体系日渐完善，《数据安全法》、《网络安全法》和《个人信息保护法》之间相互衔接、相互补充，从数据安全、网络安全和个人信息保护三个不同维度提出数据跨境传输应满足的监管要求。

数据出境方式包括主动出境与被动出境。主动出境是指数据处理者将其在中国境内收集和产生的数据传输、存储至境外；被动出境数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出。企业首先应准确识别自身的数据出境场景，在此基础上评估出境合规义务。

根据《数据出境安全评估办法》，企业向境外提供重要数据或者达到一定数量的个人信息时，需要向国家网信部门申报数据出境安全评估。企业需要在2023年3月1日前完成对已开展的数据出境活动的整改。

就重要数据的识别而言，在重要数据目录正式出台之前，企业应对标重要数据的定义、行业性法规和国家标准中的规定，初步识别自身是否可能被认定为掌握重要数据，判断该等可能被认定为重要数据的数据是否存在出境情形。因此，无论重要数据的处理者是否为关键信息基础设施（CIIO），通过国家网信部门安全评估已成为一项强制性要求。

对于个人信息如何识别，重要的原则是分析特定自然人与信息之间的关系，即信息本身的特殊性可识别出特定自然人（单独或于其他信息结合），或者特定自然人关联信息从个人到信息，如已知特定自然人，该自然人的一些固有属性特征，以及由该特定自然人在其活动中产生的信息，均可识别为个人信息。在实践中判定个人信息及/或敏感个人信息时，企业还可基于国家标准，比照自身掌握的可能落入个人信息以及敏感个人信息的字段进行判断。由于商务实践进展较快，如果出现了某一类未记载于国家标准、但符合个人信息及/或敏感个人信息定义和识别原则的字段，企业仍应将其作为个人信息及/或敏感个人信息来处理。

企业在数据跨境传输中的合规策略包括：（1）识别计划传输的数据类型；（2）制定数据出境计划，进行风险自评估；（3）确定合法性基础；（4）告知并获取个人信息主体同意（如涉及个人信息跨境传输）；（5）与数据接收方签订数据跨境传输协议，明确责任义务。

GDPR项下的数据跨境传输机制和企业应对建议

龚钰（James Gong）

鸿鹄律师事务所（Bird & Bird）合伙人

欧洲《通用数据保护条例》（GDPR）的颁布使得欧盟对于数据保护的监管达到了前所未有的高度，其域外效力适用于非欧盟的数据控制者与处理者以及对违规行为可能处以高额行政罚款，使得在欧盟经营或与欧盟实体开展业务的中国企业必须重视GDPR的合规挑战。

·GDPR项下的数据跨境传输路径介绍

当个人数据被转移至欧洲经济区（包括所有欧盟国家和非欧盟国家冰岛、列支敦士登和挪威）之外时，需要采取特别保障措施，以确保GDPR提供的个人数据保护水平在数据跨境传输过程中“不会减损”(not undermined）。这包括三个路径：

（1）接收方所在国家/地区已取得欧盟充分性认定（Adequacy Decision）；

（2）为数据主题提供“适当的保障措施”(Appropriate Safeguards);

（3）特定情况下的克减（Derogations）。

·欧盟个人数据跨境传输的近期发展

2013年6月，受斯诺登披露的“棱镜计划”影响，奥地利一公民向爱尔兰数据保护局提出申诉，要求禁止Facebook将欧洲获得的数据传输至美国。

2015年10月，欧盟法院判定欧委会对美欧《安全港协议》（Safe Harbor）的充分性认定是无效的。（Schrems Ⅰ案）

2016年7月，欧委会通过了《隐私盾协议》(Prviacy Shield)以取代安全港协议。

2020年7月，欧盟法院判定欧委会对美欧《隐私盾协议》的充分性认定是无效的。（Schrems Ⅱ案）

2022年，欧委会和美国发布联合声明，表示已就新的跨大西洋数据隐私框架达成原则性协议。

后Schrems 案时代，欧盟数据保护委员会（EDPB）公布了《数据跨境传输补充措施的最终建议》（正式稿），在合同措施、技术措施、组织措施方面做出进一步要求，依照最小必要原则，确保信息的准确、安全。

鉴于GDPR的影响力和相关司法管辖区个人数据保护法律的迅速发展，中国企业在欧洲以及亚太等地区无论是日常经营还是进行投资并购，都应当提高数据合规意识，尽早开展数据合规工作，从而避免因违规产生的风险。

“三法”齐驱背景下企业如何统合数据风控合规能力

贾申（Jason JIA）

中伦律师事务所顾问

自《数据安全法》实施、《个人信息保护法》出台，中国迈入数据合规纪元已有一年。《网络安全法》也于今年首次修订，随着国内数据安全与个人信息保护领域基础法律框架的确立，企业数据合规工作配套的各项法规细则、政策指导、国家及行业标准与技术文件也已经逐步落地、征求意见或列入立法计划，不断完善着数据合规的监管版图。

目前而言，上述法律就负责机构设置的底线要求仍未明确，各行业、领域重要数据的识别与目录制定工作尚未落地，国家网信部门也暂时未对必须确定负责人的个人信息量级予以规定。尽管如此，这并不意味着企业数据合规领导机构与负责人的设置工作就可以因此搁缓。

根据实践经验与观察，互联网平台以及电信、金融、交通、汽车、医疗健康、国防科技等面向大量个人用户或在业务运营中可能处理敏感程度较高数据的行业或领域的企业，即便未在处理量级上达到前述规定，也应当重点关注数据合规负责机构与负责人设置的相关立法动态。

建议上述企业尽快引入数据合规官及相关的合规专员，完善自身数据合规管理体系架构，在底线要求尚未明确时积极转型以适应复杂多元的合规要求，若监管环境进一步收紧或未来规则出台时能够更迅速地应对整改要求。

对于外部个人信息合规管理，企业应当建立个人信息处理合同管理制度，对隐私协议、服务合同中的个人信息授权处理条款进行定期审阅与更新，确保其符合个保法的一般性要求，能够有效实现获取同意、满足最小必要原则，并及时公示个人信息处理规则。

目前CIIO的认定主要是由重要行业和领域的主管部门、监督管理部门制定规则并逐一通知，尽管目前尚未有行业公开相关认定规则，但据观察，不少行业内已经由保护工作部门下发业内通知的形式进行了部分CIIO的认定。被认定为CIIO的企业应当在遵循保护工作部门监管意见的基础上，在一般性的数据合规义务之外还应着重关注几点：（1）年审与报送制度：（2）网络产品与服务供应链管理：（3）关键岗位安全背景审查。

对于重要互联网平台而言，建立外部独立监督机构，制定公开、公平、公正的平台规则，跨平台用户个人信息互联机制监管，对于有赴境外上市计划、掌握超过100万用户个人信息的重要互联网平台，还必须向国家网信部门申报网络安全审查，尽管并非常态化的合规义务，也应当在上市前做好合规审计与审查申报的对接机制。