中國企業(yè)出海過程中的數(shù)據(jù)合規(guī)-20240425下載

中國企業(yè)出海過程中的數(shù)據(jù)合規(guī)//中國企業(yè)出海過程中的數(shù)據(jù)合規(guī)作者：星瀚微法苑編輯部（星瀚律師事務(wù)所）發(fā)布日期：2023.11.01隨著企業(yè)出海以及內(nèi)部管理越來越多地使用網(wǎng)絡(luò)進行數(shù)據(jù)傳輸，數(shù)據(jù)風險已經(jīng)成為了企業(yè)發(fā)展中需要格外注意的風控內(nèi)容。在開始分享前，首先我們需要明確什么是“出?！?？通常的理解是，國內(nèi)的企業(yè)將自身的業(yè)務(wù)伸向海外。與之對應(yīng)的，還有一個概念是“中國企業(yè)的全球化的布局”。兩者最主要的區(qū)別是企業(yè)的人員、技術(shù)是在國內(nèi)還是海外，這不在我們今天要討論的范圍里。接下來我們就從數(shù)據(jù)合規(guī)這一主題出發(fā)，簡單闡述中國企業(yè)在國際市場擴展過程中所需遵守的數(shù)據(jù)合規(guī)要求。數(shù)據(jù)保護法規(guī)與適用范圍2018年，歐盟推出了史上最嚴格的數(shù)據(jù)法律《通用數(shù)據(jù)保護條例》（GDPR），由此掀起了數(shù)據(jù)合規(guī)熱潮。GDPR不僅內(nèi)容詳實，處罰力度也非常嚴格，罰款金額最高可達近100萬億人民幣。繼GDPR之后，美國也先后制定了《加州消費者隱私法案》（CCPA）、《兒童在線隱私保護法》（COPPA），各國也相繼在此框架下制定了自己的數(shù)據(jù)保護法律法規(guī)。企業(yè)出海時，首先要調(diào)整的一個認知誤區(qū)就是“我在**國家沒有設(shè)立公司主體，我就不用遵守當?shù)氐臄?shù)據(jù)合規(guī)保護法，當?shù)氐谋O(jiān)管也不會來處罰我，我只要遵守公司注冊地所在國家的法律法規(guī)就可以了”。但以GDPR為例，GDPR所約定的適用范圍為：?設(shè)立在歐盟內(nèi)主體?設(shè)立在歐盟之外，只要其向身處于歐盟境內(nèi)的數(shù)據(jù)主體提供商品、或可能處理數(shù)據(jù)主體發(fā)生在歐盟內(nèi)的行為所產(chǎn)生的數(shù)據(jù)，即受到GDPR的管轄因此，當企業(yè)本身并未在歐洲設(shè)立公司，但如果企業(yè)的服務(wù)已經(jīng)覆蓋到了歐盟范圍、擁有歐盟地區(qū)的用戶，甚至進一步會收集、處理歐盟地區(qū)用戶所產(chǎn)生的各類數(shù)據(jù)內(nèi)容，那就會收到相應(yīng)的監(jiān)管。國內(nèi)法規(guī)對企業(yè)出海業(yè)務(wù)也有明確的規(guī)定：《個人信息保護法》第三十八條個人信息處理者因業(yè)務(wù)等需要，確需向中華人民共和國境外提供個人信息的，應(yīng)當具備下列條件之一：（一）依照本法第四十條的規(guī)定通過國家網(wǎng)信部門組織的安全評估；（二）按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機構(gòu)進行個人信息保護認證；（三）按照國家網(wǎng)信部門制定的標準合同與境外接收方訂立合同，約定雙方的權(quán)利和義務(wù)；（四）法律、行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件。《數(shù)據(jù)出境安全評估辦法》第四條數(shù)據(jù)處理者向境外提供數(shù)據(jù)，有下列情形之一的，應(yīng)當通過所在地省級網(wǎng)信部門向國家網(wǎng)信部門申報數(shù)據(jù)出境安全評估：（一）數(shù)據(jù)處理者向境外提供重要數(shù)據(jù)；（二）關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理100萬人以上個人信息的數(shù)據(jù)處理者向境外提供個人信息；（三）自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數(shù)據(jù)處理者向境外提供個人信息；（四）國家網(wǎng)信部門規(guī)定的其他需要申報數(shù)據(jù)出境安全評估的情形。但2023年9月28日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布《規(guī)范和促進數(shù)據(jù)跨境流動規(guī)定（征求意見稿）》（“《數(shù)據(jù)跨境規(guī)定征求意見稿》”）并向社會公開征求意見?！稊?shù)據(jù)跨境規(guī)定征求意見稿》結(jié)合此前數(shù)據(jù)出境安全評估、個人信息出境標準合同備案工作中的實際問題，大幅調(diào)整了數(shù)據(jù)出境評估備案工作的適用標準，實質(zhì)性豁免了具有強出境必要性以及僅涉及少量個人信息出境的數(shù)據(jù)出境場景的評估備案義務(wù)，特別是豁免了部分具體場景下的前置審批義務(wù)（例如集團內(nèi)勞動用工場景、為履行合同必須、緊急情況下為保護自然人的生命健康和財產(chǎn)安全的場景等），不再將企業(yè)所處理的個人信息總量作為判斷是否需要進行安全評估的標準，大大降低了企業(yè)的合規(guī)成本。《數(shù)據(jù)跨境規(guī)定征求意見稿》正式通過后，勢必也會對出海企業(yè)的數(shù)據(jù)合規(guī)布局產(chǎn)生重大影響。在分析企業(yè)出海的合規(guī)要點前，還需要明確數(shù)據(jù)跨境傳輸?shù)亩x。因為數(shù)據(jù)并不像包裹那樣實體存在，數(shù)據(jù)跨境傳輸通常是通過服務(wù)器存儲數(shù)據(jù)的地點來判斷。數(shù)據(jù)存儲在中國國內(nèi)的服務(wù)器上，將數(shù)據(jù)傳輸?shù)絿獾姆?wù)器顯然是跨境傳輸。反之亦然。需要特別注意的是，即使中國企業(yè)將所有數(shù)據(jù)存儲在國外服務(wù)器上，但在國內(nèi)保留技術(shù)人員并時不時查看數(shù)據(jù)，也被視為數(shù)據(jù)出境的場景。接下來，我們將通過三個經(jīng)典案例對企業(yè)數(shù)據(jù)出境時需要注意的合規(guī)要點進行詳細說明。案例1：META因違規(guī)將歐盟用戶數(shù)據(jù)傳輸?shù)矫绹惶幰?2億歐元事件發(fā)生之初，荷蘭作為META的公司注冊所在地，荷蘭數(shù)據(jù)保護局作為其監(jiān)管機構(gòu)僅作出了責令調(diào)整、更改的處罰，這一決定遭到了歐盟其他國家的強烈不滿，并上告至歐洲總部，最后愛爾蘭數(shù)據(jù)保護局（IEDPA）根據(jù)歐洲數(shù)據(jù)保護委員會（EuropeanDataProtectionBoard，EDPB）的決定對其處以包括：12億歐元的罰款、6個月內(nèi)停止非法處理個人數(shù)據(jù)，包括存儲于美國的歐盟用戶個人數(shù)據(jù)、暫時停止數(shù)據(jù)跨境傳輸?shù)却胧?。在GDPR的監(jiān)管下，出海企業(yè)進行跨境傳輸有以下三種途徑：1、充分性決定（白名單模式）：這是歐盟最重要的國際數(shù)據(jù)傳輸機制。即如果跨境的國家是GDPR認定的“安全國家”，那么就可以根據(jù)白名單機制直接傳輸。2、采取適當保障措施：包括但不限于簽訂標準合同（SCC）、制定約束性企業(yè)規(guī)則（BCR）以及其他經(jīng)核準的措施。即在簽訂一些標準合同或者建立完備的制度保護數(shù)據(jù)之后才能進行傳輸，一般企業(yè)都會選擇這條路。3、適用“減損”規(guī)則：即依據(jù)數(shù)據(jù)主體同意、為履行合同必要性、公共利益的實現(xiàn)等。從META被罰這一案例來看，對于中國企業(yè)而言，需要遵守國內(nèi)外相關(guān)法律法規(guī)的規(guī)定。我們建議企業(yè)在獲得數(shù)據(jù)主體的同意并與接收數(shù)據(jù)的企業(yè)簽訂標準的數(shù)據(jù)保護合同后進行合法的數(shù)據(jù)傳輸，但要避免一攬子同意的情形。案例2：CRITEO因違反數(shù)據(jù)處理原則與數(shù)據(jù)主體的行權(quán)被擬處罰6000萬歐元Cookies是網(wǎng)站上的小型文檔，用于存儲用戶在網(wǎng)站上的瀏覽記錄。一般在海外都會建議企業(yè)上架Cookies協(xié)議。法國數(shù)據(jù)保護監(jiān)管機構(gòu)認為CRITECO雖有Cookies協(xié)議彈出，但用戶并不能明確知道企業(yè)收集信息的用途、原因等，擬對其作出6000萬歐元的處罰。我們來看GDPR對于數(shù)據(jù)處理原則的規(guī)定：①合法性、合理性和透明性：這是CRITEO最嚴重的違法行為，國內(nèi)最常見的是“知情同意”原則；②目的限制；③數(shù)據(jù)最小化；④準確性；⑤數(shù)據(jù)的完整性和保密性；⑥存儲期限；⑦可問責性：即當監(jiān)管機構(gòu)懷疑企業(yè)違反相關(guān)規(guī)定時，企業(yè)需承擔舉證責任，因此企業(yè)需特別注意數(shù)據(jù)留痕的問題。值得注意的是，歐洲的監(jiān)管機構(gòu)作出的處罰決定是綜合性的，無法將違法行為與處罰一一對應(yīng)，因此，對于企業(yè)而言上述的每一條數(shù)據(jù)處理原則都十分重要，不能“避重就輕”。當然，由于從被調(diào)查到作出最后的裁決有一個較長的過程，企業(yè)可以及時做出相應(yīng)的補救，以爭取減少最終罰款金額。案例3：H&M因超范圍收集員工信息被德國漢堡數(shù)據(jù)保護局罰款3500多萬歐元數(shù)據(jù)合規(guī)不僅是互聯(lián)網(wǎng)企業(yè)的事，傳統(tǒng)企業(yè)也不可避免。H&M的案例中，除了超范圍收集員工信息，還出現(xiàn)了在非正式的談話里進行錄音錄像，事后記錄與訪談無關(guān)的信息，甚至是敏感信息，例如LGBT等。因此，企業(yè)在員工信息的處理上也要做好內(nèi)控措施。合規(guī)控制與風險防范機制鑒于風險控制和合規(guī)防范的重要性，在數(shù)據(jù)傳輸和處理中應(yīng)適用特別的數(shù)據(jù)安全保護措施，特別是減少技術(shù)上的數(shù)據(jù)泄漏風險。解決這一問題的措施包括：1、加強數(shù)據(jù)加密和隱私保護。包括對數(shù)據(jù)傳輸、存儲和處理過程中采取加密技術(shù)和安全協(xié)議，確保數(shù)據(jù)在傳輸和存儲過程中不被未授權(quán)方訪問。2、數(shù)據(jù)安全管理制度的建立。包括DPA、服務(wù)器配置、員工權(quán)限管理和應(yīng)急方案。3、加強員工數(shù)據(jù)安全培訓意識。通過定期培訓和教育，讓員工了解數(shù)據(jù)安全風險和合規(guī)要求，并掌握正確的數(shù)據(jù)處理和傳輸方法。此外，企業(yè)可以建立內(nèi)部數(shù)據(jù)安全政策和規(guī)范，規(guī)定員工在處理數(shù)據(jù)時應(yīng)遵守的行為準則，以確保數(shù)據(jù)安全的實施和遵循。結(jié)語在企業(yè)數(shù)據(jù)安全保護的措施中，企業(yè)內(nèi)部、外部和數(shù)據(jù)檢測三方主體的參與是必不可少的。對內(nèi)，企業(yè)應(yīng)當建立權(quán)責分工明確的業(yè)務(wù)部門、技術(shù)部門、合規(guī)/數(shù)據(jù)保護部門，共同協(xié)作，以確保內(nèi)部的合規(guī)運作；輔以外部專業(yè)機構(gòu)的幫助以應(yīng)對監(jiān)管，如ISO認證、律所、審計機構(gòu)