Language

浅议《数据安全法》下的数据跨境传输

2021610日,历经三次审议和修改的《中华人民共和国数据安全法》(以下简称《数据安全法》)在第十三届全国人民代表大会常务委员会第二十九次会议通过并发布,将于202191日起正式施行。

此次《数据安全法》的正式出台,除了在数据分类分级保护、政务数据的利用、数据安全审查制度等方面作出了规定,在数据出境和跨境传输方面也作出了亮点性的规定。本文就《数据安全法》中与数据跨境传输相关的规定进行梳理和解读,以期为关注这方面的读者提供些许帮助。

一、确立数据安全的宗旨,明确域外效力

《数据安全法》第二条第二款规定:在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。

这一规定体现了维护国家安全和数据主权的立法宗旨,赋予《数据安全法》必要的域外适用效力。

这一规定以后果论为标准,域外的数据活动给我国国家、社会、公民利益带来损害的,相关组织或个人应被追究法律责任,确立了我国的对数据管辖权的长臂管辖,进一步明确了维护国家数据安全的决心。

站在企业合规的角度,以中国公民为数据处理对象,或者数据处理活动对中国可能产生实际影响的境外主体,都需要履行《数据安全法》的安全义务,为跨国企业面向中国提供服务、开展数据活动提供了依据。

 

二、明确数据跨境的必要,促进数据跨境的安全和自由流动

《数据安全法》第十一条规定:国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动。

这条规定体现了我国对数据跨境传输的基本准则。国家积极利用数据可以跨国流通这一特性,大力发展数据相关产业,但需以安全作为前置要求,体现了我国对数据跨境传输在安全上的重视程度。

综合全球来看,数据已经成为一种全新的国际竞争领域。2020年,我国向国际社会公开呼吁全面客观看待数据安全问题,维护全球信息技术产品和服务的供应链开放、安全、稳定,并发出《全球数据安全倡议》。[1] 如今随着《数据安全法》的出台,进一步提升了我国对于数据主权的竞争优势。

 

三、明确了关键基础设施运营者的数据出口管制

《数据安全法》第二十五条规定:国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。

目前我国在物品、技术等领域均有严格的出口管制制度,以《对外贸易法》、《技术进出口管理条例》等规定规制。在技术领域,2020年我国更新了《中国禁止出口限制出口技术目录》,以清单管理的方式,将大数据分析等有关技术列入目录。

但在数据领域,我国的出口管制还不完善,除了《网络安全法》第三十七条规定了关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估……,其他领域的数据出口管制并未有明确规定。

在个人信息保护领域,《个人信息和重要数据出境安全评估办法(征求意见稿)》、《个人信息出境安全评估办法(征求意见稿)》、《信息安全技术数据出境安全评估指南(征求意见稿)》均未生效,未来国家出口管制管理部门是否会将相关技术以及数据直接纳入出口管制范畴仍有待观察确认,《数据安全法》目前为将来的配套措施出台留下了空间。

 

四、明确重要数据出境安全管理制度

《数据安全法》第三十一条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。

这一条款明确了关键信息基础设施的运营者在境内运营中收集和产生的重要数据的出境安全管理,应当适用《网络安全法》第三十七条提出的一般情形+例外规定,即关键信息基础设施的运营者因业务需要,确需向境外提供重要数据的,一般情况下应由国家网信部门会同国务院有关部门制定的办法进行安全评估,法律、行政法规另有规定的则从其规定。可见作为关键信息基础设施领域,数据的境内存储是基本原则,出境是例外,并且数据的出境安全评估是必须实行的一项工作。

对于其他数据处理者在境内运营中收集和产生的重要数据,目前可参考的相关规定是2017年的《个人信息和重要数据出境安全评估办法(征求意见稿)》,其中第九条规定了六类重要数据出境时网络运营者应提交行业主管部门或监管部门进行安全评估的场景[2]

虽然《数据安全法》没有明确规定对非关键信息基础设施运营者进行数据跨境传输的具体要求,但其首次在法律层面明确了相关要求将由国家网信部门会同国务院有关部门通过部门规章予以规定,为后续制定、出台相关具体部门规章和条例提供了法律依据和立法展望。但在此之前,有跨境数据传输需要的企业可参照参照《个人信息和重要数据出境安全评估办法》(征求意见稿)》以及《信息安全技术数据出境安全评估指南(草案)》进行数据跨境传输的合规审查。

 

五、严格规制面向境外司法或者执法机构的数据出境活动

《数据安全法》第三十六条规定,“……非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。

随着经济全球化及中国经济发展,尤其是中国互联网企业出海,越来越多的行政执法、司法活动中涉及针对中国境内数据的获取。对于企业来讲,遇到境外执法、司法活动,要求提供中国存储的数据时,应报请中华人民共和国主管机关批准,不能私自直接提供。

这一条款制定的背景,是当今数据竞争的⽇益激烈,各国都在试图扩⼤数据⽅⾯的管辖权。20183月,在微软爱尔兰数据案[3]之后,美国国会通过《澄清海外合法使用数据法》(ClarifyingLawful Overseas Use of Data ActCLOUD),简称云法案),其中第103(a)(1)条规定电子通信服务提供商和远程计算服务提供商应当依据本章规定,保存、备份或披露其拥有、监管或控制的用户通讯数据、记录及其他信息,无论该等通讯数据、记录及其他信息储存于美国境内或境外,从而为美国数据领域的长臂管辖规则提供了基础,使得执法部⻔可依据搜查令直接调取境外数据。同样在欧洲,201911月,欧洲数据保护委员会(EDPB)对GDPR第三条进⾏统⼀解释,并发布了GDPR地域适⽤的指南,明确了符合营业机构标准或⽬标指向标准其中之⼀的数据处理者和控制者,均需要遵守GDPR的规定,确立了欧洲在数据领域的长臂管辖

在这一背景下,我国《数据安全法》的规定充分体现了我国维护数据主权和国家安全的决心。关于数据出境对责任人的处罚,《数据安全法》明确了未经主管机关批准向境外的司法或者执法机构提供数据的法律责任,包括对企业和直接负责的主管人员的罚款、责令企业暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照等。[4]这一明确的法律责任形式,不仅意味着第三十六条的规定是企业应严格履行的一项数据合规义务,也是企业在对抗境外执法或司法机构可能的数据调取要求时的抗辩理由之一。

但该条仅规定了跨境司法或执法机构协助数据传输的原则性要求,未明确企业如何申请获得相关批准,因而需要主管部门后续出台实施细则进一步明确具体审批要求。我们也将持续关注相关法律制度的更新和完善情况,并在后续的专业文章中予以探讨。

 

总结

 

《数据安全法》历经起草、初审、公开征询意见,并提交二审、三审,将于20219月正式实施。《数据安全法》并非完美无瑕,有限于篇幅和体系的限制,《数据安全法》仍在一些方面留下了未来出台配套立法、政策措施的空间,并需要一定的时间进行实践的检验和校准。但正如《中华人民共和国网络安全法》作为网络安全的基础法律一样,《数据安全法》作为我国数据领域内的一部基础法律,为我国数字市场发展提供基础制度保障,结束了我国数据行业发展较为混乱的时代,规范了行业的监管,为我国企业出海保驾护航,也加强了企业未来数据跨境传输的合规要求,为我国企业“走出去”创造了更有利的法律和规则条件。

 

 



[1] 外交部:《全球数据安全倡议》,https://www.fmprc.gov.cn/web/wjbzhd/t1812949.shtml

[2] 《个人信息和重要数据出境安全评估办法(征求意见稿)》第九条:出境数据存在以下情况之一的,网络运营者应报请行业主管或监管部门组织安全评估:(一)含有或累计含有50万人以上的个人信息;(二)数据量超过1000GB;(三)包含核设施、化学生物、国防军工、人口健康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等;(四)包含关键信息基础设施的系统漏洞、安全防护等网络安全信息;(五)关键信息基础设施运营者向境外提供个人信息和重要数据;(六)其他可能影响国家安全和社会公共利益,行业主管或监管部门认为应该评估。行业主管或监管部门不明确的,由国家网信部门组织评估。

[3] 201312月,美国缉毒局(DEA)在调查一起案件时发现若干电子邮件可能是案件证据,向地区法院申请搜查令,要求微软公司向执法部门提交某邮箱用户的全部电子邮件及其他信息。但微软发现该等数据只存储在爱尔兰都柏林的数据中心。微软坚持数据存储地标准,认为数据存储在爱尔兰,搜查令只适用于美国境内,不能覆盖爱尔兰;而政府和地区法院坚持数据控制者标准,认为微软有能力在美国境内操作并向政府披露数据,搜查令适用于美国境外,微软应配合美国政府获得该数据。此案先后上诉至美国联邦第二巡回上诉法院和联邦最高法院,引发广泛关注。

[4] 《数据安全法》第四十八条:违反本法第三十六条规定,未经主管机关批准向外国司法或者执法机构提供数据的,由有关主管部门给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;造成严重后果的,处一百万元以上五百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。


  • 相关资讯 More
  • 点击次数: 1000000
    2024 - 02 - 02
    作者:曲淼引言:2023年12月29日全国人大常委会审议通过的新《公司法》,删除了2018年《公司法》中16个条文,实质性修改了112个条文。其中,新《公司法》对公司存续情况下是否应当赋予公司债权人对未届期出资股东的出资请求权这一焦点问题做出了回应,在“注册资本认缴制“转变为“有期限的认缴制”的大前提下,进一步放宽了股东出资义务加速到期的条件。 原《公司法》体系下的股东出资期限利益:原《公司法》规定公司注册资本认缴制的目的,是为了减少创业者的资金需求、减轻创业者的资金压力,从而达到鼓励创业、繁荣市场经济的目的。在这一体系下,股东享有出资期限利益,在公司章程规定的出资期限届满前,股东可以以其出资期限利益对抗公司及债权人。但是这一制度在赋予股东出资利益期限的同时也带来了诸多问题。如在股东出资期限尚未届满,公司不具备清偿能力且又未申请破产的情况下,一些股东往往据此规避法院的强制执行。债权人无法依据现有规定主张未出资股东承担责任,其合法权利得不到有效保护。 在新《公司法》修订前,我国通过《企业破产法》、《公司法司法解释(二)》及《全国法院民商事审判工作会议纪要》(以下简称《九民纪要》)等共同构建了股东出资加速到期制度。但将此制度的适用条件限定在公司解散或破产情况下。《九民纪要》虽回应了非破产清算期间股东出资义务加速到期的问题,增加了“执行不能但不破产”以及“公司恶意延长股东出资期限”两种股东出资加速到期制度的适用情形。但由于《九民纪要》本身并不具有法律的地位,仅具有引导司法实践的功能,不能作为裁判依据进行援引,仍需法官引用《公司法解释(二)》或其他规范进行扩张适用。且不同地域的法院、法官理解及应用尺度不同,导致了股东出资义务加速到期制度仍存在缺少高位阶规范规制等问题。 新《公司法》对股东出资义务加速到期制度的构建:将于2024年7月1日开始实施的新《公...
  • 点击次数: 1000016
    2024 - 02 - 01
    主讲人:赵丹青我国商标法规定:“自然人、法人或者其他组织在生产经营活动中,对其商品或者服务需要取得商标专用权的,应当向商标局申请商标注册”。那么您知道这些不同的主体在注册商标时都应该注意什么吗?今天就由赵丹青律师在首期视频中进行介绍。不同主体注册商标都有哪些注意事项?.mp4《铭盾微课堂》于2024年正式上线。该课堂由我所律师主讲,普及知识产权、婚姻家庭、劳动争议、合同纠纷、公司法务等多方面法律知识,探讨相关热点问题和疑难问题。通过案例分析、法律法规解读、分享实务经验等形式,为广大观众提供生动有趣、具有实践意义的法律内容。我们期待与广大观众共同学习,共同进步,携手共建法治社会,防范法律风险,化解矛盾,减少冲突,为建设和谐宜居文明社会贡献力量。2024年,《铭盾微课堂》与您不见不散!
  • 点击次数: 1000002
    2024 - 01 - 26
    作者:刘艳玲全球贸易电商网站的一个特点是卖家将商品放在网站上售卖,这样可以向全球顾客广告和推销其商品。典型的全球贸易网站包括AMAZON 和ALIBABA电商平台。然而,知识产权具有地域保护的特性,适用当地国的法律对权利人进行法律保护。典型的知识产权包括商标权、专利权和著作权。商标权通常需要商家的商标在当地国获得商标注册批准才能在商标注册国的领土范围内受到法律保护。用于规定、规范国际商标注册的国际条约是《商标国际注册马德里协定》。专利权要求申请人向当地国提交专利申请并获得批准才能专利授予国的领土范围内受到法律保护。用于规定、规范国际专利申请的国际条约包括《保护工业产权巴黎公约》和专利合作条约(PCT条约)。著作权国际保护的国际条约是《保护文学和艺术作品伯尔尼公约》,作者的作品在该公约下的一个成员国受到著作权保护,其作品在其他成员国自动享有著作权保护,无需与商标和专利一样需要在当地国获得批准才能得到保护,但是各成员国依据本国法律对外国作品予以保护。中国作为最大的制造业国家,企业制造的产品出口到全球各个国家,这种商业贸易模式不可避免地会引发知识产权纠纷,所以经常能看见中国企业侵犯他人知识产权的新闻和案例。例如,持有中国注册商标的商品出口到多个国家,可能侵犯当地国的在先注册商标权。又如,中国企业的品牌商标在国外被抢注,导致商品出口到当地国会引发商标侵权,最近的知名案例是瑞幸咖啡商标在泰国被抢注。随着一带一路的建设和发展,部分制造业转移到其他国家,可以预见未来其他国家的制造型企业侵犯中国企业的知识产权纠纷也会变多。这种现象就类似“做多错多、少做少错,不做不错”。下面介绍几个知识产权案例反映商业贸易过程中各方利益的冲突。一欧洲消费者BL从中国网站时尚手表在线购买了一块假劳力士手表,当手表邮寄到丹麦时,被海关没收了。由于欧洲消费者BL不同意销毁手表,劳力士公司将其诉至海事和商事法院,法...
  • 点击次数: 1000009
    2024 - 01 - 19
    作者:张琳大学生在校期间经常会利用业余时间勤工俭学,既能贴补学费和日常生活开支,又能提前接触了解社会,增加实践知识和社会经验,为未来就业作好更充分的准备,很多院校也把社会实践作为课业的一部分。公司也往往会挑选一些大学生来公司实习,一方面可以从中选拔优秀的人才在毕业后为公司所用,另一方面与招聘社会人员相比可以节省较大人力成本。大学生在公司实习,双方之间是否可能形成劳动关系?对这个问题的不同回答将影响到大学生的合法权益保障以及公司的用工风险。本文拟通过两个案例对此问题进行分析和探讨。 一、相关案例案例1:王某与某公司劳动争议一案(参见北京市顺义区人民法院(2021)京0113民初1095号民事判决书)王某系某学院学生,于2020年7月获得成人高等教育毕业证书。2019年5月5日,某公司与某学院签订《实习协议书》,约定某学院将本学院部分全日制学生的技能实践课程安排至某公司,完成与销售相关联的职业技能学业;实习时间自2019年5月5日至2020年7月1日;在实习期间,某学院负责意外伤害保险、医疗保险责任,某公司每月支付每名实习生实习津帖,免费提供食宿、交通等;实习生实习期满,经双方双向选择后,经考核符合某公司录用条件的实习生,某公司将优先录用。根据该协议,某学院选派包括王某在内的24名在籍学生到某公司进行校外实习,某学院为包括王某在内的18人购买了学平险。后王某因与某公司发生劳动争议向劳动人事争议仲裁委员会提出仲裁申请,要求确认其与某公司自2019年7月1日至2020年8月10日存在劳动关系。该委裁决驳回了王某的仲裁请求。王某不服,向法院起诉,法院认为:王某作为在校学生,在某学院的安排下进入某公司实习,并非入职;王某被安排至某公司实习的工作内容,某学院明确认可属于学校安排的职业技能实践课程,并且计入学分;王某实习期满取得毕业证书,亦不必然与某公司建立劳动关系,需双向选择后...
× 扫一扫,关注微信公众号
北京市铭盾律师事务所 www.mdlaw.cn
Copyright© 2008 - 2020北京市铭盾律师事务所京ICP备09063742号-1犀牛云提供企业云服务
X
1

QQ设置

3

SKYPE 设置

4

阿里旺旺设置

5

电话号码管理

6

二维码管理

展开