跨境數據合規 | 中歐數據出境監管機制與企業合規應對措施_風聞

走出去智庫觀察

9月27日，走出去智庫（CGGT）舉辦“中歐數據跨境傳輸與企業合規專題研討會”，來自華為、中興、TCL、寧德時代、騰訊、百度、京東、比亞迪、長安汽車、華大基因、西門子、UPS等企業嘉賓參加線上研討會。

本次研討會由走出去智庫（CGGT）總經理陸俊秀博士主持，邀請國內領先律所——中倫律師事務所、國際知名律所——Bird & Bird（鴻鵠律師事務所）的三位政策、法律與合規專家，就中國企業數據出境監管與合規、GDPR的數據跨境傳輸合規監管機制、企業數據合規管理應對策略等熱點話題進行探討。

**今天，走出去智庫（CGGT）刊發****此次研討會三位專家演講的主要內容，**供關注中歐數據傳輸合規管理的讀者參考。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

跨境數據合規——針對中國商業的法律解決方案

李瑞（Rachel LI）

中倫律師事務所合夥人

近年來，中國數據出境相關法律法規體系日漸完善，《數據安全法》、《網絡安全法》和《個人信息保護法》之間相互銜接、相互補充，從數據安全、網絡安全和個人信息保護三個不同維度提出數據跨境傳輸應滿足的監管要求。

數據出境方式包括主動出境與被動出境。主動出境是指數據處理者將其在中國境內收集和產生的數據傳輸、存儲至境外；被動出境數據處理者收集和產生的數據存儲在境內，境外的機構、組織或者個人可以查詢、調取、下載、導出。企業首先應準確識別自身的數據出境場景，在此基礎上評估出境合規義務。

根據《數據出境安全評估辦法》，企業向境外提供重要數據或者達到一定數量的個人信息時，需要向國家網信部門申報數據出境安全評估。企業需要在2023年3月1日前完成對已開展的數據出境活動的整改。

就重要數據的識別而言，在重要數據目錄正式出台之前，企業應對標重要數據的定義、行業性法規和國家標準中的規定，初步識別自身是否可能被認定為掌握重要數據，判斷該等可能被認定為重要數據的數據是否存在出境情形。因此，無論重要數據的處理者是否為關鍵信息基礎設施（CIIO），通過國家網信部門安全評估已成為一項強制性要求。

對於個人信息如何識別，重要的原則是分析特定自然人與信息之間的關係，即信息本身的特殊性可識別出特定自然人（單獨或於其他信息結合），或者特定自然人關聯信息從個人到信息，如已知特定自然人，該自然人的一些固有屬性特徵，以及由該特定自然人在其活動中產生的信息，均可識別為個人信息。在實踐中判定個人信息及/或敏感個人信息時，企業還可基於國家標準，比照自身掌握的可能落入個人信息以及敏感個人信息的字段進行判斷。由於商務實踐進展較快，如果出現了某一類未記載於國家標準、但符合個人信息及/或敏感個人信息定義和識別原則的字段，企業仍應將其作為個人信息及/或敏感個人信息來處理。

企業在數據跨境傳輸中的合規策略包括：（1）識別計劃傳輸的數據類型；（2）制定數據出境計劃，進行風險自評估；（3）確定合法性基礎；（4）告知並獲取個人信息主體同意（如涉及個人信息跨境傳輸）；（5）與數據接收方簽訂數據跨境傳輸協議，明確責任義務。

GDPR項下的數據跨境傳輸機制和企業應對建議

龔鈺（James Gong）

鴻鵠律師事務所（Bird & Bird）合夥人

歐洲《通用數據保護條例》（GDPR）的頒佈使得歐盟對於數據保護的監管達到了前所未有的高度，其域外效力適用於非歐盟的數據控制者與處理者以及對違規行為可能處以高額行政罰款，使得在歐盟經營或與歐盟實體開展業務的中國企業必須重視GDPR的合規挑戰。

·GDPR項下的數據跨境傳輸路徑介紹

當個人數據被轉移至歐洲經濟區（包括所有歐盟國家和非歐盟國家冰島、列支敦士登和挪威）之外時，需要採取特別保障措施，以確保GDPR提供的個人數據保護水平在數據跨境傳輸過程中“不會減損”(not undermined）。這包括三個路徑：

（1）接收方所在國家/地區已取得歐盟充分性認定（Adequacy Decision）；

（2）為數據主題提供“適當的保障措施”(Appropriate Safeguards);

（3）特定情況下的克減（Derogations）。

·歐盟個人數據跨境傳輸的近期發展

2013年6月，受斯諾登披露的“稜鏡計劃”影響，奧地利一公民向愛爾蘭數據保護局提出申訴，要求禁止Facebook將歐洲獲得的數據傳輸至美國。

2015年10月，歐盟法院判定歐委會對美歐《安全港協議》（Safe Harbor）的充分性認定是無效的。（Schrems Ⅰ案）

2016年7月，歐委會通過了《隱私盾協議》(Prviacy Shield)以取代安全港協議。

2020年7月，歐盟法院判定歐委會對美歐《隱私盾協議》的充分性認定是無效的。（Schrems Ⅱ案）

2022年，歐委會和美國發布聯合聲明，表示已就新的跨大西洋數據隱私框架達成原則性協議。

後Schrems 案時代，歐盟數據保護委員會（EDPB）公佈了《數據跨境傳輸補充措施的最終建議》（正式稿），在合同措施、技術措施、組織措施方面做出進一步要求，依照最小必要原則，確保信息的準確、安全。

鑑於GDPR的影響力和相關司法管轄區個人數據保護法律的迅速發展，中國企業在歐洲以及亞太等地區無論是日常經營還是進行投資併購，都應當提高數據合規意識，儘早開展數據合規工作，從而避免因違規產生的風險。

“三法”齊驅背景下企業如何統合數據風控合規能力

賈申（Jason JIA）

中倫律師事務所顧問

自《數據安全法》實施、《個人信息保護法》出台，中國邁入數據合規紀元已有一年。《網絡安全法》也於今年首次修訂，隨着國內數據安全與個人信息保護領域基礎法律框架的確立，企業數據合規工作配套的各項法規細則、政策指導、國家及行業標準與技術文件也已經逐步落地、徵求意見或列入立法計劃，不斷完善着數據合規的監管版圖。

目前而言，上述法律就負責機構設置的底線要求仍未明確，各行業、領域重要數據的識別與目錄制定工作尚未落地，國家網信部門也暫時未對必須確定負責人的個人信息量級予以規定。儘管如此，這並不意味着企業數據合規領導機構與負責人的設置工作就可以因此擱緩。

根據實踐經驗與觀察，互聯網平台以及電信、金融、交通、汽車、醫療健康、國防科技等面向大量個人用户或在業務運營中可能處理敏感程度較高數據的行業或領域的企業，即便未在處理量級上達到前述規定，也應當重點關注數據合規負責機構與負責人設置的相關立法動態。

建議上述企業儘快引入數據合規官及相關的合規專員，完善自身數據合規管理體系架構，在底線要求尚未明確時積極轉型以適應複雜多元的合規要求，若監管環境進一步收緊或未來規則出台時能夠更迅速地應對整改要求。

對於外部個人信息合規管理，企業應當建立個人信息處理合同管理制度，對隱私協議、服務合同中的個人信息授權處理條款進行定期審閲與更新，確保其符合個保法的一般性要求，能夠有效實現獲取同意、滿足最小必要原則，並及時公示個人信息處理規則。

目前CIIO的認定主要是由重要行業和領域的主管部門、監督管理部門制定規則並逐一通知，儘管目前尚未有行業公開相關認定規則，但據觀察，不少行業內已經由保護工作部門下發業內通知的形式進行了部分CIIO的認定。被認定為CIIO的企業應當在遵循保護工作部門監管意見的基礎上，在一般性的數據合規義務之外還應着重關注幾點：（1）年審與報送制度：（2）網絡產品與服務供應鏈管理：（3）關鍵崗位安全背景審查。

對於重要互聯網平台而言，建立外部獨立監督機構，制定公開、公平、公正的平台規則，跨平台用户個人信息互聯機制監管，對於有赴境外上市計劃、掌握超過100萬用户個人信息的重要互聯網平台，還必須向國家網信部門申報網絡安全審查，儘管並非常態化的合規義務，也應當在上市前做好合規審計與審查申報的對接機制。