Language

浅议《数据安全法》下的数据跨境传输

2021610日,历经三次审议和修改的《中华人民共和国数据安全法》(以下简称《数据安全法》)在第十三届全国人民代表大会常务委员会第二十九次会议通过并发布,将于202191日起正式施行。

此次《数据安全法》的正式出台,除了在数据分类分级保护、政务数据的利用、数据安全审查制度等方面作出了规定,在数据出境和跨境传输方面也作出了亮点性的规定。本文就《数据安全法》中与数据跨境传输相关的规定进行梳理和解读,以期为关注这方面的读者提供些许帮助。

一、确立数据安全的宗旨,明确域外效力

《数据安全法》第二条第二款规定:在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。

这一规定体现了维护国家安全和数据主权的立法宗旨,赋予《数据安全法》必要的域外适用效力。

这一规定以后果论为标准,域外的数据活动给我国国家、社会、公民利益带来损害的,相关组织或个人应被追究法律责任,确立了我国的对数据管辖权的长臂管辖,进一步明确了维护国家数据安全的决心。

站在企业合规的角度,以中国公民为数据处理对象,或者数据处理活动对中国可能产生实际影响的境外主体,都需要履行《数据安全法》的安全义务,为跨国企业面向中国提供服务、开展数据活动提供了依据。

 

二、明确数据跨境的必要,促进数据跨境的安全和自由流动

《数据安全法》第十一条规定:国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动。

这条规定体现了我国对数据跨境传输的基本准则。国家积极利用数据可以跨国流通这一特性,大力发展数据相关产业,但需以安全作为前置要求,体现了我国对数据跨境传输在安全上的重视程度。

综合全球来看,数据已经成为一种全新的国际竞争领域。2020年,我国向国际社会公开呼吁全面客观看待数据安全问题,维护全球信息技术产品和服务的供应链开放、安全、稳定,并发出《全球数据安全倡议》。[1] 如今随着《数据安全法》的出台,进一步提升了我国对于数据主权的竞争优势。

 

三、明确了关键基础设施运营者的数据出口管制

《数据安全法》第二十五条规定:国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。

目前我国在物品、技术等领域均有严格的出口管制制度,以《对外贸易法》、《技术进出口管理条例》等规定规制。在技术领域,2020年我国更新了《中国禁止出口限制出口技术目录》,以清单管理的方式,将大数据分析等有关技术列入目录。

但在数据领域,我国的出口管制还不完善,除了《网络安全法》第三十七条规定了关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估……,其他领域的数据出口管制并未有明确规定。

在个人信息保护领域,《个人信息和重要数据出境安全评估办法(征求意见稿)》、《个人信息出境安全评估办法(征求意见稿)》、《信息安全技术数据出境安全评估指南(征求意见稿)》均未生效,未来国家出口管制管理部门是否会将相关技术以及数据直接纳入出口管制范畴仍有待观察确认,《数据安全法》目前为将来的配套措施出台留下了空间。

 

四、明确重要数据出境安全管理制度

《数据安全法》第三十一条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。

这一条款明确了关键信息基础设施的运营者在境内运营中收集和产生的重要数据的出境安全管理,应当适用《网络安全法》第三十七条提出的一般情形+例外规定,即关键信息基础设施的运营者因业务需要,确需向境外提供重要数据的,一般情况下应由国家网信部门会同国务院有关部门制定的办法进行安全评估,法律、行政法规另有规定的则从其规定。可见作为关键信息基础设施领域,数据的境内存储是基本原则,出境是例外,并且数据的出境安全评估是必须实行的一项工作。

对于其他数据处理者在境内运营中收集和产生的重要数据,目前可参考的相关规定是2017年的《个人信息和重要数据出境安全评估办法(征求意见稿)》,其中第九条规定了六类重要数据出境时网络运营者应提交行业主管部门或监管部门进行安全评估的场景[2]

虽然《数据安全法》没有明确规定对非关键信息基础设施运营者进行数据跨境传输的具体要求,但其首次在法律层面明确了相关要求将由国家网信部门会同国务院有关部门通过部门规章予以规定,为后续制定、出台相关具体部门规章和条例提供了法律依据和立法展望。但在此之前,有跨境数据传输需要的企业可参照参照《个人信息和重要数据出境安全评估办法》(征求意见稿)》以及《信息安全技术数据出境安全评估指南(草案)》进行数据跨境传输的合规审查。

 

五、严格规制面向境外司法或者执法机构的数据出境活动

《数据安全法》第三十六条规定,“……非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。

随着经济全球化及中国经济发展,尤其是中国互联网企业出海,越来越多的行政执法、司法活动中涉及针对中国境内数据的获取。对于企业来讲,遇到境外执法、司法活动,要求提供中国存储的数据时,应报请中华人民共和国主管机关批准,不能私自直接提供。

这一条款制定的背景,是当今数据竞争的⽇益激烈,各国都在试图扩⼤数据⽅⾯的管辖权。20183月,在微软爱尔兰数据案[3]之后,美国国会通过《澄清海外合法使用数据法》(ClarifyingLawful Overseas Use of Data ActCLOUD),简称云法案),其中第103(a)(1)条规定电子通信服务提供商和远程计算服务提供商应当依据本章规定,保存、备份或披露其拥有、监管或控制的用户通讯数据、记录及其他信息,无论该等通讯数据、记录及其他信息储存于美国境内或境外,从而为美国数据领域的长臂管辖规则提供了基础,使得执法部⻔可依据搜查令直接调取境外数据。同样在欧洲,201911月,欧洲数据保护委员会(EDPB)对GDPR第三条进⾏统⼀解释,并发布了GDPR地域适⽤的指南,明确了符合营业机构标准或⽬标指向标准其中之⼀的数据处理者和控制者,均需要遵守GDPR的规定,确立了欧洲在数据领域的长臂管辖

在这一背景下,我国《数据安全法》的规定充分体现了我国维护数据主权和国家安全的决心。关于数据出境对责任人的处罚,《数据安全法》明确了未经主管机关批准向境外的司法或者执法机构提供数据的法律责任,包括对企业和直接负责的主管人员的罚款、责令企业暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照等。[4]这一明确的法律责任形式,不仅意味着第三十六条的规定是企业应严格履行的一项数据合规义务,也是企业在对抗境外执法或司法机构可能的数据调取要求时的抗辩理由之一。

但该条仅规定了跨境司法或执法机构协助数据传输的原则性要求,未明确企业如何申请获得相关批准,因而需要主管部门后续出台实施细则进一步明确具体审批要求。我们也将持续关注相关法律制度的更新和完善情况,并在后续的专业文章中予以探讨。

 

总结

 

《数据安全法》历经起草、初审、公开征询意见,并提交二审、三审,将于20219月正式实施。《数据安全法》并非完美无瑕,有限于篇幅和体系的限制,《数据安全法》仍在一些方面留下了未来出台配套立法、政策措施的空间,并需要一定的时间进行实践的检验和校准。但正如《中华人民共和国网络安全法》作为网络安全的基础法律一样,《数据安全法》作为我国数据领域内的一部基础法律,为我国数字市场发展提供基础制度保障,结束了我国数据行业发展较为混乱的时代,规范了行业的监管,为我国企业出海保驾护航,也加强了企业未来数据跨境传输的合规要求,为我国企业“走出去”创造了更有利的法律和规则条件。

 

 



[1] 外交部:《全球数据安全倡议》,https://www.fmprc.gov.cn/web/wjbzhd/t1812949.shtml

[2] 《个人信息和重要数据出境安全评估办法(征求意见稿)》第九条:出境数据存在以下情况之一的,网络运营者应报请行业主管或监管部门组织安全评估:(一)含有或累计含有50万人以上的个人信息;(二)数据量超过1000GB;(三)包含核设施、化学生物、国防军工、人口健康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等;(四)包含关键信息基础设施的系统漏洞、安全防护等网络安全信息;(五)关键信息基础设施运营者向境外提供个人信息和重要数据;(六)其他可能影响国家安全和社会公共利益,行业主管或监管部门认为应该评估。行业主管或监管部门不明确的,由国家网信部门组织评估。

[3] 201312月,美国缉毒局(DEA)在调查一起案件时发现若干电子邮件可能是案件证据,向地区法院申请搜查令,要求微软公司向执法部门提交某邮箱用户的全部电子邮件及其他信息。但微软发现该等数据只存储在爱尔兰都柏林的数据中心。微软坚持数据存储地标准,认为数据存储在爱尔兰,搜查令只适用于美国境内,不能覆盖爱尔兰;而政府和地区法院坚持数据控制者标准,认为微软有能力在美国境内操作并向政府披露数据,搜查令适用于美国境外,微软应配合美国政府获得该数据。此案先后上诉至美国联邦第二巡回上诉法院和联邦最高法院,引发广泛关注。

[4] 《数据安全法》第四十八条:违反本法第三十六条规定,未经主管机关批准向外国司法或者执法机构提供数据的,由有关主管部门给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;造成严重后果的,处一百万元以上五百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。


  • 相关资讯 More
  • 点击次数: 4
    2023 - 02 - 03
    作者:刘文娟国家知识产权局于近日发布了《商标法修订草案(征求意见稿)》(以下简称“修订草案”),公开征求对商标法的修改意见。在上述修订草案中,我们可以欣喜地发现,立法机关已经开始在立法层面纠正目前商标注册“注而不用”、授权程序冗长繁复、恶意注册非法成本低的弊端。笔者仅就修订草案中涉及商标使用及打击恶意注册的部分进行分析,供大家参考。 第一, 修订草案增加了注册商标权利人主动提交商标使用说明的义务; 此条款借鉴了美国等国家关于商标注册人主动提交商标使用证据的相关规定,是对商标权利人最重要的修改条款。修订草案第六十一条规定,商标注册人应当自商标核准注册之日起每满五年之后的十二个月内,向国务院知识产权行政部门说明该商标在核定商品上的使用情况或者不使用的正当理由。 为了不过度增加权利人的举证义务且要达到督促注册商标使用、清理闲置商标的目的,对商标权利人主动提交商标使用说明的举证标准显然不能等同于撤销注册商标连续三年不使用申请中权利人的举证标准。然而为了不架空本条款,尚有待建立权利人承诺制度及诚信等级,督促商标权的实际使用。 第二,修订草案规定申请人不得重复申请、注册商标; 修订草案第十四条及第二十一条规定,申请注册的商标不得与申请人在同一种商品上在先申请、已经注册或者在申请日前一年内被公告注销、撤销、宣告无效的在先商标相同。 理想情况下,此条款本应是区分性知识产权的应有之意,商标权的可续展性决定了一件商标授权足以满足权利的正常使用。此条规定若能正确执行,将大量有效减少商标恶意注册行为。为规避商标法对商标使用的要求,不少恶意注册人采取“接力式注册商标”,不断重新申请已被撤销或无效宣告的商标,极大增加了权利人的维权成本。 然而,在实践中,因为权利人无法及时清理在先商标的阻碍,不得已需要“接力式申请”,以避免...
  • 点击次数: 6
    2023 - 01 - 13
    作者:李标田经常有人咨询,对方坚决不同意同意,说拖也要拖死我的,在离婚案件中,被告到底能拖多久?今天就从法律层面和大家分享一下这个问题,在弄清楚能拖多久之前,我们先梳理一下我国现行的离婚方式。我国现行的离婚只有二种方式,一种是协议离婚,另一种是诉讼离婚。协议离婚就是夫妻双方都同意离婚,并且双方对孩子抚养权、抚养费、探视权以及财产如何分割等问题达成协议,双方自愿去民政局申请离婚登记,然后经过30天的离婚冷静期,双方在去民政局办理离婚手续,这个过程最快需要32天。如果一方不同意离婚,或者对孩子抚养权、抚养费、探视权以及财产如何分割等问题达不成协议,而另一方又坚定离婚,这个时候就不能协议离婚了,只能去法院诉讼离婚,诉讼离婚能否成功?以及被告就是不同意离婚,最长能拖多久?根据《民法典》相关条款的规定,法院认定应该判决离婚的唯一标准是夫妻之间感情破裂,在离婚诉讼中法院如何认定夫妻之间感情破裂?又分为2种情况,一种是有法定的感情破裂判决离婚认定标准,另一种就是没有法定认定感情破裂的标准,而是根据法院实务经验总结出来的认定标准。我们分别来讨论,先分析《民法典》第一千零七十九条的规定法定判决离婚情况,主要有以下几种:有下列情形之一,调解无效的,应当准予离婚:(一)重婚或者与他人同居;(二)实施家庭暴力或者虐待、遗弃家庭成员;(三)有赌博、吸毒等恶习屡教不改;(四)因感情不和分居满二年;(五)其他导致夫妻感情破裂的情形。经人民法院判决不准离婚后,双方又分居满一年,一方再次提起离婚诉讼的,应当准予离婚。针对上述的规定,我们一一分析。第一种是重婚或者与他人同居,这儿需要注意的,民法典规定的是重婚或与他人同居,而不是出轨,根据最高人民法院关于适用《中华人民共和国民法典》婚姻家庭编的解释(一)的第二条:“民法典第一千零四十二条、第一千零七十九条、第一千零九十一条规定的“与他人同居”的情形,是指有配偶...
  • 点击次数: 11
    2022 - 12 - 30
    作者:张琳为了保护公司的商业秘密,公司可与负有保密义务的员工签订竞业限制协议,限制员工在离职后的一定期限内不得到与公司存在竞争关系的其他公司工作或自己经营、从事同类业务。竞业限制在保护公司商业秘密的同时,对员工的择业自由构成了一定的限制,因此公司通过在竞业限制期限内向员工支付经济补偿的方式弥补员工因此可能遭受的损失。竞业限制协议主要是为了保护公司的商业秘密,因此相关法律和司法解释赋与公司任意解除权,但对员工的解除权进行了较为严格的限制,仅在《最高人民法院关于审理劳动争议案件适用法律问题的解释(一)》(2021年1月1日实施)第三十八条规定:“当事人在劳动合同或者保密协议中约定了竞业限制和经济补偿,劳动合同解除或者终止后,因用人单位的原因导致三个月未支付经济补偿,劳动者请求解除竞业限制约定的,人民法院应予支持。”但是,由于有些员工对竞业限制解除的相关法律规定认识不足,认为只要公司不按时支付竞业限制经济补偿,员工就不用履行竞业限制义务,导致在实践中产生了大量的劳动纠纷。现本文拟通过北京地区的二个案例来分析和探讨上述法律问题。由于各地和不同时期的司法实践有所差异,本文的分析过程可能不够全面系统,分析结果仅供大家参考借鉴。一、案例简介案例一:北京市东城区人民法院(2015)东民初字第02422号一审民事判决书、北京市第二中级人民法院(2015)二中民终字第05775号二审民事判决书刘先生与某金融设备公司于2011年7月4日签订劳动合同,2014年10月10日签订竞业限制协议,约定竞业限制期间为劳动合同解除或终止后6个月内,列举了相应的竞争公司,约定了竞业限制补偿费标准且第一个月的竞业限制补偿费将由劳动关系终止或解除的工资结算同时发放至刘先生的工资卡,以后每月的竞业限制补偿将于每月发薪日转账至被告工资卡,还约定了任何一方违反竞业限制约定,违约方应向另一方支付竞业限制违约金,数额为已付...
  • 点击次数: 7
    2022 - 12 - 23
    作者:金涟伊2021年10月28日发布的《“十四五”国家知识产权保护和运用规划》中指出,要“推动企业实施商标品牌战略,加强商标品牌资产管理,强化商标使用导向,支持开展海外商标布局,培育具有市场竞争力、国际影响力的知名商标品牌”。加强建设高质量的商标品牌,企业可以从做好商标管理做起,注册商标和未注册商标的管理重点略有区别。 一、注册商标的管理 注册商标是由企业向国家知识产权局提交申请,经国家知识产权局审核通过并公告注册的商标。商标注册后可获得商标注册证,列明该商标的注册号、商标标识、核定使用商品或服务类别及项目、注册人、注册人地址、注册日期及有效期等信息。商标注册证记载该商标的关键信息,是商标注册人拥有商标专用权的重要凭证,企业应当注意留存。并且商标专用权届满前,企业应根据需要及时续展。 实践中,为向公众宣告商标已获准注册,企业可在使用注册商标时在该商标右上角标注注册商标标志“®”,同时应在使用中注意以下几点: 1、 应注意保存使用证据 根据商标法第四十九条的规定,注册商标没有正当理由连续三年不使用的,任何单位或者个人可以向商标局申请撤销该注册商标。合法合规地使用注册商标并妥善留存商标使用证据是企业商标管理的重点内容。 商标使用证据的主要形式可分为书面材料及实物材料。书面材料包括交易文书、产品检验报告、加工销售合同发票、宣传海报、媒体广告材料、荣誉资质证书等;实物材料包括承载商标的产品容器、标签、说明手册、包装盒、服务场所装潢等。如需提交复印件或照片的,应委托公证机关办理公证。 2、 应注意维护商标专用权 商标获准注册后,商标注册人便在核定使用的商品服务上享有商标专用权,可对侵犯其商标专用权的情况主动进行商标行政、司法保护,以维护合法权益。积极维护商标权有助于企业建立...
× 扫一扫,关注微信公众号
北京市铭盾律师事务所 www.mdlaw.cn
Copyright© 2008 - 2020北京市铭盾律师事务所京ICP备09063742号-1犀牛云提供企业云服务
X
1

QQ设置

3

SKYPE 设置

4

阿里旺旺设置

5

电话号码管理

6

二维码管理

展开