Language

浅议《数据安全法》下的数据跨境传输

2021610日,历经三次审议和修改的《中华人民共和国数据安全法》(以下简称《数据安全法》)在第十三届全国人民代表大会常务委员会第二十九次会议通过并发布,将于202191日起正式施行。

此次《数据安全法》的正式出台,除了在数据分类分级保护、政务数据的利用、数据安全审查制度等方面作出了规定,在数据出境和跨境传输方面也作出了亮点性的规定。本文就《数据安全法》中与数据跨境传输相关的规定进行梳理和解读,以期为关注这方面的读者提供些许帮助。

一、确立数据安全的宗旨,明确域外效力

《数据安全法》第二条第二款规定:在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。

这一规定体现了维护国家安全和数据主权的立法宗旨,赋予《数据安全法》必要的域外适用效力。

这一规定以后果论为标准,域外的数据活动给我国国家、社会、公民利益带来损害的,相关组织或个人应被追究法律责任,确立了我国的对数据管辖权的长臂管辖,进一步明确了维护国家数据安全的决心。

站在企业合规的角度,以中国公民为数据处理对象,或者数据处理活动对中国可能产生实际影响的境外主体,都需要履行《数据安全法》的安全义务,为跨国企业面向中国提供服务、开展数据活动提供了依据。

 

二、明确数据跨境的必要,促进数据跨境的安全和自由流动

《数据安全法》第十一条规定:国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动。

这条规定体现了我国对数据跨境传输的基本准则。国家积极利用数据可以跨国流通这一特性,大力发展数据相关产业,但需以安全作为前置要求,体现了我国对数据跨境传输在安全上的重视程度。

综合全球来看,数据已经成为一种全新的国际竞争领域。2020年,我国向国际社会公开呼吁全面客观看待数据安全问题,维护全球信息技术产品和服务的供应链开放、安全、稳定,并发出《全球数据安全倡议》。[1] 如今随着《数据安全法》的出台,进一步提升了我国对于数据主权的竞争优势。

 

三、明确了关键基础设施运营者的数据出口管制

《数据安全法》第二十五条规定:国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。

目前我国在物品、技术等领域均有严格的出口管制制度,以《对外贸易法》、《技术进出口管理条例》等规定规制。在技术领域,2020年我国更新了《中国禁止出口限制出口技术目录》,以清单管理的方式,将大数据分析等有关技术列入目录。

但在数据领域,我国的出口管制还不完善,除了《网络安全法》第三十七条规定了关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估……,其他领域的数据出口管制并未有明确规定。

在个人信息保护领域,《个人信息和重要数据出境安全评估办法(征求意见稿)》、《个人信息出境安全评估办法(征求意见稿)》、《信息安全技术数据出境安全评估指南(征求意见稿)》均未生效,未来国家出口管制管理部门是否会将相关技术以及数据直接纳入出口管制范畴仍有待观察确认,《数据安全法》目前为将来的配套措施出台留下了空间。

 

四、明确重要数据出境安全管理制度

《数据安全法》第三十一条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。

这一条款明确了关键信息基础设施的运营者在境内运营中收集和产生的重要数据的出境安全管理,应当适用《网络安全法》第三十七条提出的一般情形+例外规定,即关键信息基础设施的运营者因业务需要,确需向境外提供重要数据的,一般情况下应由国家网信部门会同国务院有关部门制定的办法进行安全评估,法律、行政法规另有规定的则从其规定。可见作为关键信息基础设施领域,数据的境内存储是基本原则,出境是例外,并且数据的出境安全评估是必须实行的一项工作。

对于其他数据处理者在境内运营中收集和产生的重要数据,目前可参考的相关规定是2017年的《个人信息和重要数据出境安全评估办法(征求意见稿)》,其中第九条规定了六类重要数据出境时网络运营者应提交行业主管部门或监管部门进行安全评估的场景[2]

虽然《数据安全法》没有明确规定对非关键信息基础设施运营者进行数据跨境传输的具体要求,但其首次在法律层面明确了相关要求将由国家网信部门会同国务院有关部门通过部门规章予以规定,为后续制定、出台相关具体部门规章和条例提供了法律依据和立法展望。但在此之前,有跨境数据传输需要的企业可参照参照《个人信息和重要数据出境安全评估办法》(征求意见稿)》以及《信息安全技术数据出境安全评估指南(草案)》进行数据跨境传输的合规审查。

 

五、严格规制面向境外司法或者执法机构的数据出境活动

《数据安全法》第三十六条规定,“……非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。

随着经济全球化及中国经济发展,尤其是中国互联网企业出海,越来越多的行政执法、司法活动中涉及针对中国境内数据的获取。对于企业来讲,遇到境外执法、司法活动,要求提供中国存储的数据时,应报请中华人民共和国主管机关批准,不能私自直接提供。

这一条款制定的背景,是当今数据竞争的⽇益激烈,各国都在试图扩⼤数据⽅⾯的管辖权。20183月,在微软爱尔兰数据案[3]之后,美国国会通过《澄清海外合法使用数据法》(ClarifyingLawful Overseas Use of Data ActCLOUD),简称云法案),其中第103(a)(1)条规定电子通信服务提供商和远程计算服务提供商应当依据本章规定,保存、备份或披露其拥有、监管或控制的用户通讯数据、记录及其他信息,无论该等通讯数据、记录及其他信息储存于美国境内或境外,从而为美国数据领域的长臂管辖规则提供了基础,使得执法部⻔可依据搜查令直接调取境外数据。同样在欧洲,201911月,欧洲数据保护委员会(EDPB)对GDPR第三条进⾏统⼀解释,并发布了GDPR地域适⽤的指南,明确了符合营业机构标准或⽬标指向标准其中之⼀的数据处理者和控制者,均需要遵守GDPR的规定,确立了欧洲在数据领域的长臂管辖

在这一背景下,我国《数据安全法》的规定充分体现了我国维护数据主权和国家安全的决心。关于数据出境对责任人的处罚,《数据安全法》明确了未经主管机关批准向境外的司法或者执法机构提供数据的法律责任,包括对企业和直接负责的主管人员的罚款、责令企业暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照等。[4]这一明确的法律责任形式,不仅意味着第三十六条的规定是企业应严格履行的一项数据合规义务,也是企业在对抗境外执法或司法机构可能的数据调取要求时的抗辩理由之一。

但该条仅规定了跨境司法或执法机构协助数据传输的原则性要求,未明确企业如何申请获得相关批准,因而需要主管部门后续出台实施细则进一步明确具体审批要求。我们也将持续关注相关法律制度的更新和完善情况,并在后续的专业文章中予以探讨。

 

总结

 

《数据安全法》历经起草、初审、公开征询意见,并提交二审、三审,将于20219月正式实施。《数据安全法》并非完美无瑕,有限于篇幅和体系的限制,《数据安全法》仍在一些方面留下了未来出台配套立法、政策措施的空间,并需要一定的时间进行实践的检验和校准。但正如《中华人民共和国网络安全法》作为网络安全的基础法律一样,《数据安全法》作为我国数据领域内的一部基础法律,为我国数字市场发展提供基础制度保障,结束了我国数据行业发展较为混乱的时代,规范了行业的监管,为我国企业出海保驾护航,也加强了企业未来数据跨境传输的合规要求,为我国企业“走出去”创造了更有利的法律和规则条件。

 

 



[1] 外交部:《全球数据安全倡议》,https://www.fmprc.gov.cn/web/wjbzhd/t1812949.shtml

[2] 《个人信息和重要数据出境安全评估办法(征求意见稿)》第九条:出境数据存在以下情况之一的,网络运营者应报请行业主管或监管部门组织安全评估:(一)含有或累计含有50万人以上的个人信息;(二)数据量超过1000GB;(三)包含核设施、化学生物、国防军工、人口健康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等;(四)包含关键信息基础设施的系统漏洞、安全防护等网络安全信息;(五)关键信息基础设施运营者向境外提供个人信息和重要数据;(六)其他可能影响国家安全和社会公共利益,行业主管或监管部门认为应该评估。行业主管或监管部门不明确的,由国家网信部门组织评估。

[3] 201312月,美国缉毒局(DEA)在调查一起案件时发现若干电子邮件可能是案件证据,向地区法院申请搜查令,要求微软公司向执法部门提交某邮箱用户的全部电子邮件及其他信息。但微软发现该等数据只存储在爱尔兰都柏林的数据中心。微软坚持数据存储地标准,认为数据存储在爱尔兰,搜查令只适用于美国境内,不能覆盖爱尔兰;而政府和地区法院坚持数据控制者标准,认为微软有能力在美国境内操作并向政府披露数据,搜查令适用于美国境外,微软应配合美国政府获得该数据。此案先后上诉至美国联邦第二巡回上诉法院和联邦最高法院,引发广泛关注。

[4] 《数据安全法》第四十八条:违反本法第三十六条规定,未经主管机关批准向外国司法或者执法机构提供数据的,由有关主管部门给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;造成严重后果的,处一百万元以上五百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。


  • 相关资讯 More
  • 点击次数: 1000003
    2024 - 09 - 13
    作者:金涟伊为确保药品在生产、销售和使用过程中的安全性,国家市场监督管理总局发布了药品生产监督管理办法、药品经营和使用质量监督管理办法等一系列法规、规章,设立了药品生产质量管理规范、药品溯源制度等配套制度,同时,对于违反相关法律法规部门规章的行为,国家依法予以处罚,确保落实药品安全。处罚手段中,“没收违法所得”是最常见的处罚方式。 实践中,药品案件的违法所得应当如何确定? 对于该问题,国家食品药品监督管理局曾于2007年2月8日作出《国家食品药品监督管理局关于“违法所得”问题的批复》(国食药监法[2007]74号),批复称,一般情况下,《药品管理法》、《药品管理法实施条例》中的“违法所得”,是指“实施违法行为的全部经营收入”。《药品管理法》第八十二条、第八十七条(对应2019年修订后的第一百二十二条、第一百三十八条)规定的“违法所得”是指“实施违法行为中收取的费用”。《药品管理法实施条例》第八十一条(对应2019年修订后的第七十五条)规定的“违法所得”是指“售出价格与购入价格的差价”。 如参考以上批复,对于药品案件的违法所得可以有两种计算方式。第一种即以全额计算。此种计算方式可称之为“全额说”,是将违法所得等同为涉案产品的销售收入,计算违法所得时不扣除合法成本或税收。此种计算方式带有惩罚性,当事人应当承担超过其获利的处罚责任,其投入成本越高,惩罚性越明显。 第二种是对于《药品管理法实施条例》第七十五条的情况,即“药品经营企业、医疗机构未违反《药品管理法》和本条例的有关规定,并有充分证据证明其不知道所销售或者使用的药品是假药、劣药的”,此种情况药品经营企业、医疗机构无主观违法恶意,适用惩罚性处罚手段显失公平,因此违法所得以售出价格与购入价格的差价进行计算。 此外,不论以何种方式计算违法所得,都应当排除应退赔的部分。行政处罚法第...
  • 点击次数: 1000011
    2024 - 08 - 30
    作者:陈巴特朋友张先生今年年初入职一家科技公司,担任技术主管一职,因工作需要,常常受公司安排出差,而且通常在周末夜间乘坐夕发朝至的火车卧铺,出差时间也通常连续长达十天半月,期间必然经过双休日,有时甚至经过法定节假日。但是,公司从未向其支付加班工资。张先生百思不得其解,其始终认为,被安排到外地出差的在途时间,以及双休日仍出差在外,属于自己的时间却不能由自己支配,因此应视为加班。近日,张先生约我“喝茶”,我义务为其解答后,张先生释然,果断放弃了申请仲裁的计划。张先生的疑虑,或许正是很多劳动者困扰的问题。那么,当出差遇到休息日,究竟算不算加班呢?一、加班是什么?根据《中华人民共和国劳动法》第四十四条,加班是指劳动者在正常工作时间之外,按照用人单位的安排进行的工作。包括正常工作日延长工作时间,或者双休日或国家法定假期期间工作。认定加班需要有特定的工作内容为支撑。对加班的劳动者,用人单位应当依法支付高于正常工作时间工资的工资报酬。在竞争激烈的当今社会,加班司空见惯,已然形成“加班文化”。适当的加班,对用人单位的经营发展及劳动者收入的提高,有一定积极意义。但超时加班与体面劳动、舒心工作、全面发展不相符,与国家提倡的提升人民生活品质也脱节。如果劳动者加班后不能获得相应的报酬,则其合法权益将会受到侵害,用人单位也违反了法律规定。 二、休息日出差在途,算不算加班?加班的本质是在正常工作时间之外进行额外的工作,需要以特定的工作作为内容支撑,并非单纯的时间经过。出差在路上的时间,主要是乘坐交通工具,如同正常上下班在路上的耗时,都是为下一步工作而进行准备的时间。期间劳动者如未实际进行工作任务的执行,也没有产生具体的工作成果,仅有时间的消逝,则并不满足加班的这一认定条件。况且,出差在途期间,劳动者虽然不能自由支配时间,但仍可以照常休息,如乘坐高铁、飞机等交通工具时,可以休息或从事个人活动,...
  • 点击次数: 1000008
    2024 - 08 - 23
    作者:常春引言实用新型专利作为专利权的一种重要类型,主要保护具有新颖性和创造性的产品的形状、构造或其结合,而不涉及工艺或方法。然而,在实际的专利申请和审查实践中,部分实用新型专利的权利要求中引入了方法特征。这种现象引发了学术界和实务界对其合法性和合理性的讨论。本文通过分析相关案例和法律规定,探讨实用新型专利申请中是否可以引入方法特征,并对这种引入是否符合专利法的保护范围和实用新型专利的立法初衷进行详细探讨。一、实用新型专利的保护客体及方法特征的引入现象根据《中华人民共和国专利法》第二条规定,“实用新型专利的保护客体是对产品的形状、构造或者其结合提出的新的技术方案。”不同于发明专利,实用新型专利不保护制造方法、使用方法等工艺过程。这一限定决定了实用新型专利在权利要求撰写时,通常不会涉及方法特征。然而,在实际申请中,一些申请人为了强调产品的创新性,往往在权利要求中加入方法特征,试图通过这些特征对产品形状或构造的创新性进行补充说明。这种情况尤其在涉及产品制造工艺与产品构造密切相关的领域较为常见。二、引入方法特征的实用新型专利权利要求分析尽管方法特征不属于实用新型专利的保护客体,但在权利要求中引入方法特征并非完全无效。关键在于方法特征是否会对产品的形状、构造产生影响。如果该方法特征能够使产品具有特定的形状、构造,则在新颖性、创造性判断中,这些特征仍然可以对权利保护范围起到限定作用。例如,(2019)最高法知行终133号案。该案件涉及一种建筑构件的实用新型专利,权利要求中包含了生产该建筑构件的方法特征。最高人民法院在审理时指出,虽然实用新型专利可以包含方法特征,但这些特征必须对产品的最终形状、构造产生直接影响,才能在专利保护范围内予以考虑。如果方法特征只是工艺流程的一部分,而未对产品本身的形状、构造产生实质性影响,则这些特征应当被排除在新颖性和创造性判断之外。再例如,(2017)最高...
  • 点击次数: 1000003
    2024 - 08 - 16
    作者:王辉近年来,随着竞业限制案件数量逐年递增,竞业限制越来越受到广泛关注,而实务中又颇多争议。下文就对竞业限制领域常见问题以“一问一答”形式进行归纳、提炼,望能对无论是企业还是打工人有所助益。一、什么是竞业限制?  有关法律法规并未对竞业限制有明确定义。但具体来说,基本可以归纳为:竞业限制是指用人单位和知悉本单位商业秘密或其他对本单位经营有重大影响的劳动者约定在与该劳动者解除或终止劳动关系后,一定期限内不得在生产或经营同类产品、从事同类业务的有竞争关系的其他用人单位任职,或自行生产或经营同类产品、从事同类业务。法律依据主要是《中华人民共和国劳动合同法》(以下简称《劳动合同法》)第二十三条及第二十四条。二、用人单位可以与哪些人签订竞业限制协议?根据《劳动合同法》第二十四条之规定,竞业限制的人员限于用人单位的高级管理人员、高级技术人员和其他负有保密义务的人员。实践中,用人单位应根据自身经营情况及劳动者任职情况与那些确实或有条件知悉用人单位商业秘密的人员签署竞业限制协议,而不应盲目与所有员工签订竞业限制协议,徒增用工成本。三、竞业限制的期限可以随意约定吗?根据《劳动合同法》第二十四条之规定,竞业限制的范围、地域、期限由用人单位与劳动者协商约定,不违反法律、法规规定即可。其中,竞业限制的期限不得超过两年,超出两年的期限部分无效。四、竞业限制的经济补偿标准是多少?有约定从约定。如用人单位与劳动者在劳动合同或者保密协议中或者单独签订竞业限制协议约定了竞业限制,但未约定补偿金标准的,劳动者履行了竞业限制义务,可以要求用人单位按照劳动者在劳动合同解除或者终止前十二个月平均工资的30%按月支付经济补偿。若月平均工资的30%低于劳动合同履行地最低工资标准的,按照劳动合同履行地最低工资标准支付。具体法律依据详见《最高人民法院关于审理劳动争议案件适用法律问题的解释(一)》(以...
× 扫一扫,关注微信公众号
北京市铭盾律师事务所 www.mdlaw.cn
Copyright© 2008 - 2020北京市铭盾律师事务所京ICP备09063742号-1犀牛云提供企业云服务
X
1

QQ设置

3

SKYPE 设置

4

阿里旺旺设置

5

电话号码管理

6

二维码管理

展开