【百家鸣“数”】姜斯勇:全球视野下的数据跨境流动合规
日期:2023-11-23 21:24:53   来源:数据采集转换类

  社会总是朝集约、高效的方向发展。云计算作为一种利用互联网提供计算资源,可按照每个用户需求来扩大或缩小规模的效用服务,已经逐渐成了企业出海背后的助推器,让“一切”运行在云端,公司能够更好地轻装上阵,集中精力做产品、做服务。云计算也仅是企业数据跨境流动的一个集中领域,而在企业全球化布局中,有个因素正在制肘着企业的出海之路,那就是数据跨境传输(International Data Transfers)困局。

  1、跨境:指的是从一个法域到另一个法域,而非必须指不同国家,如香港可作为一个单独的法域,本文通常以国家统称;

  2、个人数据:通常指可识别或关联某个自然人的数据(个人隐私信息),而非其他工业数据或自然数据;

  3、传输:关于如何定义“传输(transfer)”的问题,访问算不算传输?通常来讲,传输的作用无非就是让接收方获得该份数据,而数据作为无形物,所见即所得,从这个方面上看,访问跟传输无本质区别。但有必要注意一下的是,在不同法域下,对传输的定义会存在一定的差异,如欧盟把访问视同传输,但俄罗斯可能就把访问排除在传输之外,所以,在真实的操作中,精准把握不同法域的规则(泛指各类有约束力的法律文件),没准会有柳暗花明又一村的奇效。

  数据跨境传输的流程周期是:数据产生--数据传输--数据接收。而数据跨境传输困境的来源恰恰分别来自这三个环节。

  本地合规也可以称为源头合规,指的是数据出口国(数据输出国)的法律对于数据收集的要求,针对的是数据收集阶段,如数据本地化存储、数据主体同意、政府申报、任命数据保护官(DPO)等,如果源头上被污染了,那传输就变成了帮凶,所以本地合规也是跨境传输不可忽视的一环。

  传输目的限制指的是,企业(数据控制者或处理者)要将数据从本地转移到另一个国家,通常要合适的理由,并不能随心所欲,对于个人数据的出境目的,主要以经济目的为主。

  如果接收国的数据保护水平低于数据出口国,那相当于变相规避了数据出口国的法规,此为数据出口国所不能接受。因此,一般会要求接收国的数据保护水平要达到充分水平,至少二者水平要相当,并需要经过数据输出国认可。

  基于以上三个层面,各地区颁布了各自的数据跨境传输规则,并互有异同,给不少出海企业造成了不同程度的合规困扰。下面我们着重梳理了欧盟、美国、俄罗斯、印度、澳大利亚、日本、韩国、新加坡与中国大陆的数据跨境传输(流动)的规则,以期给有需要的企业或个人提供参考。

  想要精准把握欧盟的数据保护规则,就必须去了解GDPR,而理解禁止性原则是把握GDPR的关键,即原则上禁止对个人数据来进行收集以及一系列处理,因为个人数据权益属于个人,企业要想收集或处理个人数据,一定要活得禁止的例外。

  基于此,就不难理解欧盟对数据跨境传输的态度,即原则禁止数据的跨境传输,除非符合特定例外情形。

  欧盟委员会能确定某第三国、或该第三国国内的特定领域、部门或国际机构能保证数据得到充分保护,则企业向这些地区传输个人数据无需再经过审批。评估接收国是不是达到充分保护水平,主要考核以下因素:a.立法水平;b.司法、行政执法能力;c.国际参与。

  简而言之,只要接收国拿到欧盟的数据出境“签证”,数据就能自由跨境,这也被称为“白名单”制度,特点是需要事先获得认定。目前,通过上述充分性认定的司法管辖区包括:新西兰、安道尔、 阿根廷、加拿大(仅包括商业组织)、法罗群岛、根西岛、泽西岛、以色列、马恩岛、瑞士、乌拉圭、日本和美国(隐私盾协议)等。目前中国不在欧盟的白名单中。

  对于其他没取得欧盟白名单的国家来讲,并非就无路可走,只要具备为数据主体提供有效的补救措施,并采取了以下适当措施:具有约束力的集团企业规则(BCR);符合欧盟颁布的标准合同条款(SCC);符合欧盟批准的行为准则(CoC);经批准的认证机制、封印或者标识。

  获得数据主体的明示同意;企业与数据主体签订、履行合同之必要条件;为了建立、行使或抗辩法律主张;保护数据主体或他人重大利益、公众利益。

  可见,以上三种欧盟数据跨境传输的情形,在逻辑安排上是层层递进的关系,但在实践操作层面,企业却不必拘泥于此顺序,只要结合自己情况,满足其中之一就可以实现数据跨境传输的合规要求。

  美国一直刻意避开联邦层面的统一数据保护立法,只在特殊领域或者个别州实现定点立法,主要动因是担心过多的法律规则会使美国互联网公司发展丧失活力与优势。

  在个人数据跨境传输的政策规制上,美国持开放态度,但在其他重要的非个人数据上,则采取了相应限制,如《出口管理条例》(EAR)对部分关键技术与特定领域的数据出口进行限制;另外,还应当着重关注医疗健康领域的《健康保险携带和责任法案》(HIPAA),有必要注意一下的是,该法案的适用主体范围有限,并非所有网络服务商均需遵守;此外,金融服务数据方面的《格雷姆-里奇-比利雷法案》(GLB)仅适用于金融服务商,而不及于一般的金融技术企业。在处理美国法域数据合规时,应当格外的注意各州之间不同的法律规制,比如加州的隐私法保护程度通常严于美国其他州[狄乐达著,何广岳译,《数据隐私法实务指南-以跨国公司合规为视角》,法律出版社]。

  中国互联网企业近几年进军俄罗斯市场的热情高涨,但讲到俄罗斯,就必须提其数据本地化政策,上文提到本地合规是数据跨境传输合规的第一步,如果不足以满足其数据本地化的要求,则数据跨境传输则无从谈起。

  俄罗斯关于数据存储本地化的规定大多分布在在《关于“进一步明确互联网个人数据处理规范”对俄罗斯联邦系列法律的修正案》[第242号令]。

  该修正案第一条对《关于信息、信息技术和信息保护法》进行如下修改:“2.第十六条第四款(信息所有者、信息系统运营商根据俄罗斯联邦法律规定,需保证)增加第七项:“7.对俄罗斯联邦公民个人隐私信息进行搜集、记录、整理、保存、核对(更新、变动)、提取的数据库存放于俄罗斯境内。”

  “1.第十八条增加第五款:‘(五)收集个人数据(包括使用互联网手段)时,运营商需保证使用位于俄罗斯境内的数据库,对俄罗斯公民的个人数据来进行搜集、记录、整理、保存、核对(更新、变动)和提取。本法律第六条第一款中第二项、第三项、第四项、第八项所规定的情况除外。’”

  由此可见,俄罗斯对个人数据存储本地化的要求相当严苛,基本上要求在俄罗斯存储的个人数据要满足最先、最全、最新的要求[ 洪延青,俄罗斯数据本地化和跨境流动条款解析,微信公众号:网安寻路人,网址:,2019.07.17访问]。虽然俄罗斯通信执法机构在本地化执法初期,曾一度澄清只要在俄境内存有数据副本,个人数据就可自由传输至境外[ 王融,数据跨境流动政策认知与建议,《信息安全与通信保密》,2018年第三期],但随着执法力度的加强,企业不得不寻求在俄罗斯本地增设服务器的解决方案,严重阻碍了企业运用云服务来提高效能。

  值得注意的是,数据存储本地化并不等同于禁止数据跨境传输。俄《个人数据保护法》第十二条对个人隐私信息的跨境转交作了安排,符合以下情形的,能够直接进行跨境传输,但有必要注意一下的是,数据本地化是跨境传输的前提。

  1、接收国符合同等保护要求;2、经个人隐私信息主体书面同意;3、俄罗斯联邦签署的相关国际性条约;4、国防和国家安全需要的情况;5.执行合同时,合同一方为个人隐私信息主体;6.在没办法得到个人隐私信息主体书面同意的情况下,出于保护个人隐私信息主体或者别人的生命、健康及其他与生命息息相关的利益时。

  俄罗斯同样存在类似欧盟的白名单制度,主要有《欧洲理事会第108号公约》的签署国(欧洲各国以及摩洛哥和乌拉圭),除此之外,据公开资料显示,俄罗斯的白名单还包括以下国家:安哥拉,阿根廷,澳大利亚,加拿大,智利,哥斯达黎加,以色列,哈萨克斯坦,马来西亚,墨西哥,蒙古,摩洛哥,新西兰,秘鲁,卡塔尔,新加坡,南非,韩国等。目前中国不在此列。

  可见,俄罗斯对个人数据跨境传输也规定了诸多例外情形,并且许多规定与欧盟GDPR高度一致,不同的是,前者多了本地化政策,并且这个严苛的本地化政策使得这些例外情形更多成了一种摆设。

  数据存储本地化:《个人数据保护法案》草案要求,个人数据跨境传输须在境内留有副本,每个数据受托人应确保在印度境内服务器或数据中心存储至少一份个人数据的服务副本;并且关键个人数据必须在位于印度的服务器或数据中心中处理;而对个人敏感数据的要求则更加严格。由于印度对个人数据来进行了三级分类,每一类型的个人数据对应不一样的等级的保护限制,相比于俄罗斯的本地化政策显得相对友好,但仍然引起国际更界的不满,其中欧盟就对此提出了“抗议”。

  允许数据跨境传输的情形:1、符合经批准的标准合同条款或者集团规则;2、政府批准的白名单;3、经数据保护局权宜批准;4、数据主体同意;5、特定个人敏感数据经数据主体明确同意。

  虽然现在印度有关数据跨境的规定只是草案,但可以感觉到其监督管理力度会不断加大,企业应当提前做相应的合规部署。

  新加坡的数据保护一直走在亚洲的前沿,其对于数据本地化没明确的要求,2012年通过的《个人数据保护法》(PDPA)对个人数据跨境流动做了相应限制,正常的情况数据禁止跨境传输,除非接收国能够给大家提供充分性保护,与GDPR类似。

  此外符合以下情形的也可进行数据跨境传输:1、集体企业规则;2、数据主体同意;3、履行合同义务必要;4、关乎生命、健康的重大情形;5、公开的个人数据;6、数据中转。

  根据2017年5月生效的《个人隐私信息保护法》第二十四条规定,个人隐私信息处理业者将个人数据提供给处于外国(指处于本国之域外的国家或地区)应当事先经过数据主体的同意,除非是被认为在保护个人的权利或利益上处于与日本同等水平的、已建立个人隐私信息保护制度的国家或地区。

  澳大利亚1988年《隐私法》规定了跨境披露个人信息的隐私原则:实体一定要采取合理的措施,以确保海外收件人不会违反澳大利亚隐私原则。其原则上对于个人数据跨境传输并不禁止,但《个人控制的电子健康记录法》(PCEHR)对于可识别的健康数据的跨境传输给予了相应的限制[伦一,澳大利亚跨境数据流动实践及启示,《信息安全与通信保密》]。

  根据2016修订的《个人隐私信息保护法》第17条规定,个人隐私信息控制器向境外第三人提供个人隐私信息时,应当将信息类型、目的、接收主体的信息以及保存期限等告知数据主体,并从数据主体处取得电子邮件。违反本法规定,个人隐私信息管理人员不得订立跨国界转让个人隐私信息的合同。

  《网络安全法》第三十七条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人隐私信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当依照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”

  由此确立了数据本地化和数据出境安全评估制度,有必要注意一下的是,这两项制度只针对关键信息基础设施运营者。但网信办2017年发布的《个人隐私信息和重要数据出境安全评估办法(征求意见稿)》却将管控主体从关键信息基础设施运营者扩大到网络运营者,这也导致我国被国际社会误解为采取了数据保护主义政策[高富平,关于中国数据出境管制政策的建议,澎湃新闻]。

  在实践中,何为个人隐私信息与重要数据给公司能够带来了诸多困惑,虽然已经有不少法规对个人隐私信息进行了定义,以及《个人隐私信息和重要数据出境安全评估办法(征求意见稿)》与《信息安全技术 数据出境安全评估指南》(征求意见稿)均对重要数据来进行详细列举。但这始终没有办法完全覆盖现实中的数据类型,给大量数据驱动型公司能够带来了合规上的困扰。比如,做工业设备检验测试的企业,可能要将采集的运行数据传到国外的云平台做处理计算,就会拿捏不定是否要遵循国内的数据出境政策。

  此外,安全评估机制不仅令企业不知所措,也令监督管理的机构无从下手,该制度的合理性一直饱受诟病,如果是要求企业自我评估,这相当于让企业既做运动员也做裁判员,结果可想而知;如果是让监督管理的机构组织评估,效率与效果也是没办法克服的两大难题。

  其实,安全评估机制作为企业内部风控程序,应由企业自主决定是不是施行较为妥当。另外,由于个人数据与国家安全关联度较弱,所以对于个人数据跨境传输不必持否定性态度,在符合同等保护的原则下,对其应予以认可。而对于真正能够影响国家安全的数据则应重点保护,原则性不予出境。

  必须强调,咱们不可以被数据本地化的思维所禁锢,数据本地化应当作为实现数据安全措施的一环,而不应成为数据安全的目的。我们的目的绝不是将数据本地化,而是要保障数据安全,所以数据本地化不等于禁止数据出境,在合乎条件的情况下,数据出境应当是很自然的事情,都说数据是现代社会的商品,禁止商品跨国流动的行为是没办法理解的,这必然阻碍数字化的经济的发展。

  世界各国如何达成“数据WTO”正考验着各国的智慧,尽管事关利益博弈,但随着慢慢的变多的国家展开数据跨境流通的“互相认证”,我们始终相信数据“开放”才是这个时代的主旋律,相信中国的数据政策能够迎头赶上,甚至引领世界数据发展。(作者:姜斯勇,上海明庭律师事务所律师)返回搜狐,查看更加多