Language

浅议《数据安全法》下的数据跨境传输

2021610日,历经三次审议和修改的《中华人民共和国数据安全法》(以下简称《数据安全法》)在第十三届全国人民代表大会常务委员会第二十九次会议通过并发布,将于202191日起正式施行。

此次《数据安全法》的正式出台,除了在数据分类分级保护、政务数据的利用、数据安全审查制度等方面作出了规定,在数据出境和跨境传输方面也作出了亮点性的规定。本文就《数据安全法》中与数据跨境传输相关的规定进行梳理和解读,以期为关注这方面的读者提供些许帮助。

一、确立数据安全的宗旨,明确域外效力

《数据安全法》第二条第二款规定:在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。

这一规定体现了维护国家安全和数据主权的立法宗旨,赋予《数据安全法》必要的域外适用效力。

这一规定以后果论为标准,域外的数据活动给我国国家、社会、公民利益带来损害的,相关组织或个人应被追究法律责任,确立了我国的对数据管辖权的长臂管辖,进一步明确了维护国家数据安全的决心。

站在企业合规的角度,以中国公民为数据处理对象,或者数据处理活动对中国可能产生实际影响的境外主体,都需要履行《数据安全法》的安全义务,为跨国企业面向中国提供服务、开展数据活动提供了依据。

 

二、明确数据跨境的必要,促进数据跨境的安全和自由流动

《数据安全法》第十一条规定:国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动。

这条规定体现了我国对数据跨境传输的基本准则。国家积极利用数据可以跨国流通这一特性,大力发展数据相关产业,但需以安全作为前置要求,体现了我国对数据跨境传输在安全上的重视程度。

综合全球来看,数据已经成为一种全新的国际竞争领域。2020年,我国向国际社会公开呼吁全面客观看待数据安全问题,维护全球信息技术产品和服务的供应链开放、安全、稳定,并发出《全球数据安全倡议》。[1] 如今随着《数据安全法》的出台,进一步提升了我国对于数据主权的竞争优势。

 

三、明确了关键基础设施运营者的数据出口管制

《数据安全法》第二十五条规定:国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。

目前我国在物品、技术等领域均有严格的出口管制制度,以《对外贸易法》、《技术进出口管理条例》等规定规制。在技术领域,2020年我国更新了《中国禁止出口限制出口技术目录》,以清单管理的方式,将大数据分析等有关技术列入目录。

但在数据领域,我国的出口管制还不完善,除了《网络安全法》第三十七条规定了关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估……,其他领域的数据出口管制并未有明确规定。

在个人信息保护领域,《个人信息和重要数据出境安全评估办法(征求意见稿)》、《个人信息出境安全评估办法(征求意见稿)》、《信息安全技术数据出境安全评估指南(征求意见稿)》均未生效,未来国家出口管制管理部门是否会将相关技术以及数据直接纳入出口管制范畴仍有待观察确认,《数据安全法》目前为将来的配套措施出台留下了空间。

 

四、明确重要数据出境安全管理制度

《数据安全法》第三十一条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。

这一条款明确了关键信息基础设施的运营者在境内运营中收集和产生的重要数据的出境安全管理,应当适用《网络安全法》第三十七条提出的一般情形+例外规定,即关键信息基础设施的运营者因业务需要,确需向境外提供重要数据的,一般情况下应由国家网信部门会同国务院有关部门制定的办法进行安全评估,法律、行政法规另有规定的则从其规定。可见作为关键信息基础设施领域,数据的境内存储是基本原则,出境是例外,并且数据的出境安全评估是必须实行的一项工作。

对于其他数据处理者在境内运营中收集和产生的重要数据,目前可参考的相关规定是2017年的《个人信息和重要数据出境安全评估办法(征求意见稿)》,其中第九条规定了六类重要数据出境时网络运营者应提交行业主管部门或监管部门进行安全评估的场景[2]

虽然《数据安全法》没有明确规定对非关键信息基础设施运营者进行数据跨境传输的具体要求,但其首次在法律层面明确了相关要求将由国家网信部门会同国务院有关部门通过部门规章予以规定,为后续制定、出台相关具体部门规章和条例提供了法律依据和立法展望。但在此之前,有跨境数据传输需要的企业可参照参照《个人信息和重要数据出境安全评估办法》(征求意见稿)》以及《信息安全技术数据出境安全评估指南(草案)》进行数据跨境传输的合规审查。

 

五、严格规制面向境外司法或者执法机构的数据出境活动

《数据安全法》第三十六条规定,“……非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。

随着经济全球化及中国经济发展,尤其是中国互联网企业出海,越来越多的行政执法、司法活动中涉及针对中国境内数据的获取。对于企业来讲,遇到境外执法、司法活动,要求提供中国存储的数据时,应报请中华人民共和国主管机关批准,不能私自直接提供。

这一条款制定的背景,是当今数据竞争的⽇益激烈,各国都在试图扩⼤数据⽅⾯的管辖权。20183月,在微软爱尔兰数据案[3]之后,美国国会通过《澄清海外合法使用数据法》(ClarifyingLawful Overseas Use of Data ActCLOUD),简称云法案),其中第103(a)(1)条规定电子通信服务提供商和远程计算服务提供商应当依据本章规定,保存、备份或披露其拥有、监管或控制的用户通讯数据、记录及其他信息,无论该等通讯数据、记录及其他信息储存于美国境内或境外,从而为美国数据领域的长臂管辖规则提供了基础,使得执法部⻔可依据搜查令直接调取境外数据。同样在欧洲,201911月,欧洲数据保护委员会(EDPB)对GDPR第三条进⾏统⼀解释,并发布了GDPR地域适⽤的指南,明确了符合营业机构标准或⽬标指向标准其中之⼀的数据处理者和控制者,均需要遵守GDPR的规定,确立了欧洲在数据领域的长臂管辖

在这一背景下,我国《数据安全法》的规定充分体现了我国维护数据主权和国家安全的决心。关于数据出境对责任人的处罚,《数据安全法》明确了未经主管机关批准向境外的司法或者执法机构提供数据的法律责任,包括对企业和直接负责的主管人员的罚款、责令企业暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照等。[4]这一明确的法律责任形式,不仅意味着第三十六条的规定是企业应严格履行的一项数据合规义务,也是企业在对抗境外执法或司法机构可能的数据调取要求时的抗辩理由之一。

但该条仅规定了跨境司法或执法机构协助数据传输的原则性要求,未明确企业如何申请获得相关批准,因而需要主管部门后续出台实施细则进一步明确具体审批要求。我们也将持续关注相关法律制度的更新和完善情况,并在后续的专业文章中予以探讨。

 

总结

 

《数据安全法》历经起草、初审、公开征询意见,并提交二审、三审,将于20219月正式实施。《数据安全法》并非完美无瑕,有限于篇幅和体系的限制,《数据安全法》仍在一些方面留下了未来出台配套立法、政策措施的空间,并需要一定的时间进行实践的检验和校准。但正如《中华人民共和国网络安全法》作为网络安全的基础法律一样,《数据安全法》作为我国数据领域内的一部基础法律,为我国数字市场发展提供基础制度保障,结束了我国数据行业发展较为混乱的时代,规范了行业的监管,为我国企业出海保驾护航,也加强了企业未来数据跨境传输的合规要求,为我国企业“走出去”创造了更有利的法律和规则条件。

 

 



[1] 外交部:《全球数据安全倡议》,https://www.fmprc.gov.cn/web/wjbzhd/t1812949.shtml

[2] 《个人信息和重要数据出境安全评估办法(征求意见稿)》第九条:出境数据存在以下情况之一的,网络运营者应报请行业主管或监管部门组织安全评估:(一)含有或累计含有50万人以上的个人信息;(二)数据量超过1000GB;(三)包含核设施、化学生物、国防军工、人口健康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等;(四)包含关键信息基础设施的系统漏洞、安全防护等网络安全信息;(五)关键信息基础设施运营者向境外提供个人信息和重要数据;(六)其他可能影响国家安全和社会公共利益,行业主管或监管部门认为应该评估。行业主管或监管部门不明确的,由国家网信部门组织评估。

[3] 201312月,美国缉毒局(DEA)在调查一起案件时发现若干电子邮件可能是案件证据,向地区法院申请搜查令,要求微软公司向执法部门提交某邮箱用户的全部电子邮件及其他信息。但微软发现该等数据只存储在爱尔兰都柏林的数据中心。微软坚持数据存储地标准,认为数据存储在爱尔兰,搜查令只适用于美国境内,不能覆盖爱尔兰;而政府和地区法院坚持数据控制者标准,认为微软有能力在美国境内操作并向政府披露数据,搜查令适用于美国境外,微软应配合美国政府获得该数据。此案先后上诉至美国联邦第二巡回上诉法院和联邦最高法院,引发广泛关注。

[4] 《数据安全法》第四十八条:违反本法第三十六条规定,未经主管机关批准向外国司法或者执法机构提供数据的,由有关主管部门给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;造成严重后果的,处一百万元以上五百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。


  • 相关资讯 More
  • 点击次数: 1000005
    2024 - 06 - 14
    作者:常春在专利法实践中,专利申请文件的撰写要求高度精确和详细,以确保其技术方案能够被明确、完整地公开。其中,使用方程式限定的特征在专利申请文件中并不少见,尤其是在涉及复杂技术领域的发明时。方程式中包含多个变量时,清晰界定各变量的数值范围及其相互关系,是确保专利说明书公开充分的关键。本文将详细探讨这一问题,并结合实际案例分析其重要性。一、专利说明书公开充分的法律基础专利法要求专利说明书必须对发明做出充分公开,以使所属技术领域的技术人员能够据此实施发明。这一要求在各国专利法中均有体现。例如:· 中国《专利法》 第26条规定,专利申请的说明书应当对发明或者实用新型做出清楚、完整的说明,以所属技术领域的技术人员能够实现为准。· 美国专利法(35 U.S.C. § 112) 规定,说明书应包含对发明的书面描述、充分公开和清楚的说明,以使本领域技术人员能够制造和使用发明。· 欧洲专利公约(EPC) 第83条规定,专利申请必须对发明作出足够清楚和完整的公开,以使本领域技术人员能够实施发明。这些法律条款共同指向一个核心目标:确保专利申请文件能够提供足够的信息,使得本领域的技术人员在不需要进行创造性劳动或过度实验的情况下,能够实施发明。二、使用方程式限定的特征的挑战在某些技术领域,如化学、物理、工程等,发明的特征往往通过数学方程式来限定。这些方程式可能涉及多个变量,每个变量代表发明的一个关键参数。例如,在化学反应中,温度、压力、浓度等变量通过方程式关系共同决定反应的结果。在此类情况下,如何明确界定这些变量的数值范围及其相互关系,成为说明书公开充分的关键。1. 数值范围的界定数值范围的界定是确保发明可实施性的基础。对于多变量方程式,各变量的数值范围必须在说明书中明确说明。这不仅包括各变量的具体...
  • 点击次数: 11
    2024 - 06 - 07
    作者:王辉有关医疗补助费问题,鉴于涉及医疗补助费的相关法律规定立法层级较低且部分标准又不明确,《中华人民共和国劳动合同法》对此亦未有规定,自从劳动部关于印发《违反和解除劳动合同的经济补偿办法》的通知(劳部发[1994]481号)被废止后,司法实践中对于相关争议的处理缺乏统一裁审标准,下文笔者拟就本人所在北京地区相关问题进行粗浅探析。一、医疗补助费含义及其享受条件“医疗补助费”是指劳动者患病或非因工负伤,因医疗期满被用人单位解除或者终止劳动合同,经劳动(能力)鉴定委员会参照工伤与职业病致残程度鉴定标准进行劳动能力鉴定,当劳动者丧失劳动能力达到一定程度时,由用人单位额外向劳动者支付的费用。可见,劳动者要享受医疗补助费需满足如下条件:1、医疗期满或医疗终结;2、经由劳动(能力)鉴定委员会“参照工伤与职业病致残程度鉴定标准”进行劳动能力鉴定、鉴定结论符合相关等级;3、用人单位解除或终止劳动合同。二、有关规定(一)国家层面之规定1.原劳动部《关于贯彻执行〈中华人民共和国劳动法〉若干问题的意见的》通知(劳部发[1995]309号)第35条规定:“请长病假的职工在医疗期满后,能从事原工作的,可以继续履行劳动合同;医疗期满后仍不能从事原工作也不能从事由单位另行安排的工作的,由劳动鉴定委员会参照工伤与职业病致残程度鉴定标准进行劳动能力鉴定。被鉴定为一至四级的,应当退出劳动岗位,解除劳动关系,办理因病或非因工负伤退休退职手续,享受相应的退休退职待遇;被鉴定为五至十级的,用人单位可以解除劳动合同,并按规定支付经济补偿金和医疗补助费。”2.原劳动部《关于实行劳动合同制度若干问题的通知》(劳部发[1996]354号)第22条规定:“劳动者患病或者非因工负伤,合同期满终止劳动合同的,用人单位应当支付不低于六个月工资的医疗补助费;对患重病或绝症的,还应适当增加医疗补助费。”3.原劳动部办公厅《关于对劳部...
  • 点击次数: 1000010
    2024 - 04 - 26
    作者:曲淼在电子商务蓬勃发展的时代背景下,电子商务为消费者提供了更广泛的选择,催生出了一系列新型的消费模式,也加速了企业的市场竞争。大量的第三方“测评”博主、“种草”机构应运而生,内容涵盖美妆、数码、美食、服饰等各大领域。第三方测评似乎更能贴近普通人的生活,更具有代入感,“买前看测评”已成为不少年轻群体的消费习惯。然而在行业参与主体的良莠不齐、标准的缺失及监管的缺位的前提下,“测评”、“种草”视频或文章的制作与发布者为追求更多的“流量”、更高的收益,往往将测评当作营销工具,看似公平的第三方测评实质上却与产品厂家进行了利益绑定,更有甚者在未实际购买、使用过的情况下发布虚假的测评结果和有失公平的言论。这不仅为测评发布者和制作者带来了一定的法律风险,更会损害消费者的合法权益。本文结合杭州老爸评测科技有限公司(“老爸评测”)诉广州市优测终享科技有限公司(“小红花测评”)一案,从法律的观点出发浅析真实测评与商业诋毁的界限。 案情简介:原告“老爸评测”、被告“小红花测评”均系民间评测机构,在微博、抖音、知乎、小红花、哔哩哔哩等网络媒体均拥有大量粉丝群体。“小红花测评”、陶某从2021年4月开始发布关于“315打假老爸评测”的系列文章以及短视频、直播,指出“老爸评测”“虚假评测、制造恐慌、误导粉丝、以次充好,并推荐、销售违规有害产品”等问题,涉及内容包括魔术擦、乳胶床垫、儿童湿巾、免洗洗手液、戴可思系列产品以及对“老爸抽检”流程的评测等。老爸评测”及其创始人魏文锋遂向杭州铁路运输法院提起商业诋毁的诉讼。“老爸评测”认为,上述视频、文章和直播在内容上严重违背了事实,系虚假的、误导性言论,极易导致消费者对其及其销售的产品产生质疑,对“老爸评测”的测评能力产生否定评价,故要求两被告立即停止一切针对原告的商业诋毁等不正当竞争行为,赔礼道歉、消除影响,连带赔偿200万元。“小红花测评”答...
  • 点击次数: 1000008
    2024 - 04 - 19
    作者:刘艳玲作为商标权人,你对自己的注册商标拥有垄断权,可以许可其他人使用你的注册商标。通过与被许可人之间签订许可协议,商标权人可以获得许可费作为一笔营收或收入,相应地被许可人获得你的商标使用权。商标使用许可合同中一般会约定许可期限、许可范围和许可费。许可合同需要在合同签订之日起3个月内由商标权人向国家知识产权局报送备案,否则该许可合同不能对抗善意第三人。这里的善意第三人是针对不同被许可人之间的关系,属于商标许可意义上的对抗而非商标侵权意义上的对抗。未经备案并不影响商标权人或独占许可人等有起诉资格的人进行商标维权[1]。商标许可使用的类型包括独占使用许可、排他使用许可和普通使用许可,被许可人仅能按照许可合同中约定的类型使用商标,并符合《商标法》第43条规定的管理规范。 商标能反映产品或服务的起源、质量以及留在消费者中的独特印象。随着商标的知名度越高,商标权人的市场地位也越强,商标的经济价值也越高,与此同时商标的保护力度也越强。商标权人在进行销售区域扩展时,可以考虑利用商标使用许可的方式与某一地区或某一国的经销商增进更多的商务合作可能性。例如,在品牌管理下,汽配市场中的店铺未经商标权人本田公司的许可擅自使用中国的核准注册商标“本田”、“HONDA”等标识做招牌是侵犯商标权的。我们知道,未经商标权人的许可,在相同商品上使用与注册商标相同的商标;在相同商品上使用与注册商标近似的商标或在类似商品上使用于注册商标相同或近似的商标,容易导致混淆的;属于侵犯注册商标权。根据《商标法》第63条的规定,权利人的损失或者侵权人获得的利益难易确定的,参照该商标许可使用费的倍数合理确定。那么司法实践中,是如何根据商标许可使用费来确定侵权赔偿额的呢? 由于商标使用许可在国内并没有形成一个惯常使用的方法,法院需要基于真实实际的许可使用合同作为证据来计算侵权赔偿额,因此以商标许可使用费作为赔偿基准的判决...
× 扫一扫,关注微信公众号
北京市铭盾律师事务所 www.mdlaw.cn
Copyright© 2008 - 2020北京市铭盾律师事务所京ICP备09063742号-1犀牛云提供企业云服务
X
1

QQ设置

3

SKYPE 设置

4

阿里旺旺设置

5

电话号码管理

6

二维码管理

展开