作者:李静宜 华略智库改革创新研究院研究员
来源:上海华略智库(ID:HUALUETT)
数字化浪潮澎湃之际,数字贸易也正在成为出海企业加速布局的重点。而数据跨境流动极为复杂与敏感,各国对数据安全愈发重视,监管也愈发严格。出海企业应如何避免踏入跨境数据流动的雷区?一起来看!
全文6345字,阅读约17分钟
随着数字贸易的快速发展,数据跨境流动越来越频繁,在带来诸多便利的同时,也带来数据安全和隐私保护问题,甚至引发国家安全风险。各国高度重视数据这一新型战略性资产,纷纷出台法律法规,对跨境数据流动进行监管。近年来,中国企业在跨国经营中因存在数据违规行为被相关国家处罚的事件屡见不鲜。面对全球数据保护立法不断强化的趋势,严格遵守数据跨境流动监管要求、提升数据合规管理水平,是企业避免踏入雷区的有效手段,亟需引起高度重视。
TikTok是字节跳动通过海外收购推动抖音等App出海的成果,于2017年5月正式上线,并迅速占据了北美、印度和东南亚等市场。然而,TikTok在海外扩张中遇到了关于数据隐私问题的调查和诉讼。2020年8月,时任美国总统特朗普开出行政禁令表示将禁止TikTok在美国运营。9月,美国商务部以“维护美国国家安全”为由,宣布中国应用程序软件TikTok将在9月27日从美国应用商店下架,但最终这项命令被美国地方法院决定暂停实施。经过复杂的博弈,2021年9月14日,美国软件公司甲骨文成为TikTok的“可信技术提供商”,为TikTok提供云上服务和数据合规方案。今年3月1日,美国众议院外交事务委员会又以“威胁美国国家安全”为由通过了在全美禁用TikTok的法案,但是这项法案目前暂未实施。(二)亚马逊、WhatsApp因违反欧盟通用数据保护条例被重罚2021年7月31日,美国电商巨头亚马逊因违反欧盟《通用数据保护条例》(GDPR),被卢森堡国家数据保护委员会裁定为对其用户数据保护不力,并处以7.46亿欧元的重罚。2021年9月,Facebook(脸书)旗下WhatsApp因违反GDPR中多项规定,被爱尔兰数据保护监管机构处罚2.25亿欧元。欧盟对个人数据的保护以规定内容最广、处罚力度最大著称,GDPR要求数据处理者对用户数据的处理必须明确、公开、透明。拿WhatsApp被罚事件来说,其未履行GDPR关于透明义务的规定有以下四条:(1)未以合法、公平和透明的方式处理用户个人数据;(2)未以清晰明了的语言说明如何收集数据,针对儿童的数据收集行为的说明,还应便于儿童理解;(3)未告知用户数据的存储位置、相关联系人详细信息、数据收集目的和接收人;(4)未告知用户何时从第三方获取和处理用户个人数据及其来源。根据GDPR规定,对用户数据保护不力的企业,轻者可被罚1000万欧元或全年全球营业收入的2%,重者可被罚2000万欧元或全年全球营业收入的4%,罚款额取两值中最大者。2021年6月30日,滴滴公司在美国纽约证券交易所挂牌,然而上市不到48小时,滴滴遭到中国监管机构的严厉调查。7月4日,国家网信办称,“滴滴出行存在严重违法违规收集使用个人信息问题”,并通知应用商店下架“滴滴出行”。7月16日,国家网信办会同国家安全部等7部委进驻滴滴,开始对滴滴进行网络安全审查。2021年12月3日滴滴宣布将启动在纽交所退市工作。2022年7月21日,国家网信办宣布,依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规,滴滴存在16项有关违法收集个人信息的行为,对滴滴公司处人民币80.26亿元罚款。而后,滴滴出行认真完成整改。2023年1月16日,滴滴出行经报网络安全审查办公室同意,恢复“滴滴出行”新用户注册。为何数据安全如此敏感?各国对数据跨境流动监管都有哪些规定?
随着科学技术不断进步,数据成为重要生产要素和社会财富,深度参与全球生产要素分配与跨境流动,其中数据安全是跨境数据流动最基础的保障。数据安全是国家主权和国家安全的重要部分,涉及国家经济安全、社会治理安全、文化安全、国防安全等各个方面。此外,个人数据安全和隐私保护是极为重要的安全领域,涉及个人权利的保护和相关安全风险,因个人数据泄露造成的安全事件屡见不鲜,世界各国对数据安全十分关注,其中数据跨境流动安全因其高度敏感和复杂,更是成为最为核心的焦点问题。
截至目前,已经有许多国家制定了有关数据跨境流动的法律法规,目的是构建与自身实力相匹配、符合自身利益诉求的数据流动规则,以维护国家安全和数据主权。其中,欧盟和美国在全球数据跨境流动规则上处于引领地位,中国、日本、新加坡等国也提出了基于自身利益主张的数据跨境流动规则。欧盟致力于推动构建欧盟单一数据市场,强调各成员国间的数据共享,出台了《通用数据保护条例》(GDPR)《欧盟数据战略》(2020)《关于非个人数据自由流通的规定》等有关个人隐私保护和数据流通与利用的数据治理规则。实际上,GDPR对个人数据从欧盟向境外传输管控非常严格,强调欧盟有权介入数据的跨境流动,在数据出境时国家有权予以审核,并对第三国的数据保护作出评估。一是充分性认定机制(即“白名单”机制),指通过充分性认定的国家具备充足的数据保护能力,欧盟可直接向其传输数据;二是保障措施机制,如签订标准合同、约束性企业规则、认证机制、行为准则等;三是获得数据主体同意和签订同意书等。中国不在其白名单内,因此从欧盟向中国传输数据需通过后两种途径。此外,欧盟还规定了违反GDPR的处罚机制,数据主体可向监管机构投诉,对于违反GDPR的行为,企业最高将受到2000万欧元或4%的年全球经营收入的高额罚款。(二)美国:构建符合自身利益的跨境数据流动规则体系相比于欧盟对数据出境的严格管控,美国主张数据跨境自由流动,促进全球数字市场开放,这在很大程度上反映了美国在数字经济领域的强大优势,是其致力于打造以自身为中心的数字贸易自由化规则的体现。美国关于个人数据保护的立法多见于特定行业领域,如《电子通信隐私法》《录像隐私保护法》等,并且多以行业自律方式对个人数据跨境流动进行保护。但是,对于涉及国防和国家安全的重要数据,美国管控仍然严格,采取外商投资安全审查、出口管制等措施来限制重要数据跨境流动。如《美国出口管制改革法案》规定,科学技术数据出境须先通过美国商务部工业与安全局的评估审核,并获得出口许可授权。此外,美国政府还颁布了《澄清境外合法使用数据法》(云法案),通过简化政府跨境调取数据的流程,以加强对全球数据的控制权。国家网信办于2022年7月出台了《数据出境安全评估办法》,在数据三法(《网络安全法》《数据安全法》《个人信息保护法》)框架下进一步细化了重要数据和个人信息出境的规定。此外,其他相关配套制度也在陆续制定和健全。根据我国规定,达到规定标准的数据出境途径须为以下三种方式之一:经安全评估出境、经安全认证出境、经签订标准合同出境。根据《数据出境安全评估办法》,列入四种情形之一的重要数据和个人信息出境需通过安全评估。包括:(1)数据处理者向境外提供重要数据;(2)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;(3)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;(4)其他规定情形。具体流程如下:企业需先开展“出境风险自评估”,将自评报告等材料提交至省级网信部门查验,然后报送至国家网信部门进行安全评估。以安全认证方式出境的数据,双方除了需要签订法律文件外,还须通过专业机构的安全认证,安全认证通常结合技术验证、现场审核和事后监督来进行。以签订标准合同的方式出境的数据,双方仅需根据国家网信部门制定的标准合同订立合同,以对双方权利和义务进行约定。根据《个人信息出境标准合同办法》,符合以下四种情形之一的个人信息出境需订立标准合同:(1)非关键信息基础设施运营者;(2)处理个人信息不满100万人的个人信息处理者;(3)自上年1月1日起累计向境外提供个人信息不满10万人的个人信息处理者;(4)自上年1月1日起累计向境外提供敏感个人信息不满1万人的个人信息处理者。1、数据主动出境:数据处理者将收集和产生的数据传输、存储至境外,引发数据出境风险。数据主动出境的情况常见于境内主体借助数据传输介质(如电子邮件、文件传输协议、VPN等)向境外主体提供数据的情况。如境内研发机构与境外研发机构开展跨境研发合作,将境内实验数据传输到境外,双方基于数据交互开展研发合作;境内子公司向境外母公司通过电子邮件传送业务报表汇报业务经营情况。又如,境内公司开展数据分析业务,将在境内收集和产生的数据经过分析得到的结果打包并以文件传输协议(FTP)的方式提供给境外客户。在工业、金融保险、科技研发、航空运输、跨境电商等诸多领域都存在数据出境情况。从滴滴事件来看,滴滴等网约车企业掌握着大量的地理信息、车流量、个人位置信息以及敏感个人信息。根据《汽车数据安全管理若干规定(试行)》第三条,重要敏感区域的地理信息、人员流量、车辆流量等数据属于敏感信息,一旦被非法获取或利用可能损害国家安全。在滴滴赴美上市过程中,这些信息可能被海外监管机构要求披露,可能遭到篡改、破坏、泄露,或是被境外主体控制和恶意利用,进而损害个人合法权益甚至危害国家和社会安全。又如,在中国企业海外上市过程中,根据监管属地原则,客户所持有的美股或港股需托管在境外第三方合作清算商(美股、港股托管账户分别受美国证监会和美国金融监管局、香港证监会监管)。因此,海量的客户个人信息、资产数据和重要交易数据可能会被传输至境外,以便境外合作金融机构开展账户审核和资产评估,存在个人隐私数据和商业信息被披露的风险。对于出海企业来说,熟悉和遵守不同国家的数据传输与数据主权界定规则至关重要,因为一旦触犯合规底线,就会引发法律风险,甚至可能因此遭受难以预估的损失,这对“走出去”企业的数据出境合规提出了更高的要求。2、数据被动出境:境外的机构、组织或者个人可以查询、调取、下载、导出存储在境内的数据,从而引发数据出境风险。数据被动出境的情况企业更难察觉,此类情况引发的风险更须警惕。一种情况下,境内各类网络平台和App可供境外机构访问,一些数据可能因此泄露和被利用,尤其是储存在银行数据库和工业互联网平台中的数据遭泄露会造成更为严重的后果。其中,金融数据若被境外机构掌握和恶意利用,可能使本国丧失对重要数据的专属控制权和管辖权,威胁国家数据主权安全,因此我国对金融数据跨境流动采取严格监管措施。工业互联网数据则涉及到钢铁、石油、天然气、装备制造、水务等关系国家命脉的大量工业数据,具体包括生产经营数据、金融数据及个人信息数据,涵盖研发设计、生产制造环节等重要数据,一旦泄露,将严重危害国家安全和国家利益。此外,一些具备一定规模的企业,常常存在委托境外服务商运营和协助管理境内服务器的情况,境外服务商可能会掌握服务器中的大量数据,从而构成数据出境,容易引发数据被盗取和泄露的风险。中资企业在开展海外业务过程中,可能存在将海外数据传回境内的情况。以游戏出海企业为例,若服务器部署在境内,海外玩家注册用户信息会流入境内,在登录游戏平台时其使用时长、个人偏好等信息均会被记录下来,游戏企业可能会对其行为进行监测和分析,通过建立用户画像来预测玩家偏好以精准推送广告。其中发生的个人信息处理行为会受到游戏发行地区的强监管,可能引发相关法律风险,一旦存在违规行为企业将遭受严重处罚。又如,我国智能网联汽车企业在东南亚等海外市场开展自动驾驶测试业务时,需将从海外收集到的全球定位数据和轨迹数据传输回境内,从而进一步优化算法和用户体验。其中涉及到地理信息等敏感数据的回传,需格外重视符合海外相关法律法规。此外,境外数据流入还有另外一种情况,在境内主体浏览境外网站的过程中,若网页内包含敏感内容、地下交易和涉及意识形态的内容,还会引发政治、刑事等安全风险。随着中国企业的国际化经营步伐不断加速,在拓展海外市场过程中,需高度重视境内外数据合规管理,进一步提升数据安全管理能力,避免数据跨境流动风险。1、严格遵守我国跨境数据流动监管要求,确保数据出境依法合规。(1)认真履行数据出境安全评估流程。企业需自主判断出境数据是否需向国家网信办申报数据出境安全评估。对于重要数据和达到一定量级的个人数据,企业需自觉遵照《数据出境安全评估办法》开展数据出境风险自评估,并向网信办申报开展安全评估。其中,申报主体以往受行政处罚情况,数据安全管理能力、技术能力和保障能力,以及境外法律和网络安全环境对出境数据安全的影响,都是国家网信部门在进行数据出境安全评估中非常重视的因素。(2)经安全认证或签订标准合同出境。对于未达到安全评估要求的,但是满足订立标准合同要求的个人信息,一般需依据《个人信息出境标准合同办法》,与境外数据接收方签订国家网信办规定的标准合同,约定双方权利和义务。其他情况的个人信息,需通过专业机构开展个人信息保护认证,并与境外数据接收者签订法律文件。另外,对于不含有重要数据和个人信息的一般企业数据,如企业的业务信息、统计数据等,出境前无需申请安全评估,但企业需参考《网络安全法》和《数据安全法》等数据出境合规要求,并有必要开展数据出境安全自评估,对境外数据接收者的信息安全能力开展尽调,加强数据出境合规保障。2、高度重视海外数据跨境流动监管要求,确保海外数据回传境内合规面对数据保护立法不断强化的国际趋势,“走出去”企业有必要密切追踪海外立法的最新动态,充分评估相关法规和网络安全环境对数据安全的影响,切实加强数据跨境流动合规管理。以试图开拓欧盟市场的企业为例,需关注欧盟对于个人信息保护的合规要求,采取必要的管理和技术措施加强对欧盟用户数据的保护,避免因侵犯数据主体权利而遭受欧盟高额处罚。由于中国不适用于GDPR规定的白名单机制,在接收来自欧盟的个人数据时,作为数据接收者的出海企业应按照GDPR的规定,取得数据主体同意的书面证明或签订个人数据跨境传输合同。特殊行业的出海企业,如网约车企业和智能网联汽车企业,由于涉及地理信息和个人敏感信息的采集和传输,还有必要结合当地其他相关法律与监管制度,制定合规策略,防范法律风险。(1)开展数据安全管理能力认证。企业可结合出海地区合规要求,有针对性地开展有关数据安全的认证,如数据安全管理(DSM)认证、隐私信息管理体系认证、信息安全管理体系认证等,以加强企业对数据和个人信息的收集、传输、使用、披露等方面的安全管理能力与合规性。如对于业务涉及新加坡的企业,可申请数据保护信任标志(DPTM),以证明业务满足新加坡对个人数据的合规要求,加强对客户隐私保护的承诺。(2)提升数据安全管理和保护水平。企业需建立自身数据分类分级管理机制,围绕数据全生命周期采取有效的数据安全防护措施,加强对数据的存储、传输、分析和销毁等先进技术的应用,采用密码保护、身份认证、访问控制、加密网关、数据库审计等手段,防范非法访问和恶意操作引发的数据安全风险。