走出去智库观察
9月27日,走出去智库(CGGT)举办“中欧数据跨境传输与企业合规专题研讨会”,来自华为、中兴、TCL、宁德时代、腾讯、百度、京东、比亚迪、长安汽车、华大基因、西门子、UPS等企业嘉宾参加线上研讨会。
本次研讨会由走出去智库(CGGT)总经理陆俊秀博士主持,邀请国内领先律所——中伦律师事务所、国际知名律所——Bird & Bird(鸿鹄律师事务所)的三位政策、法律与合规专家,就中国企业数据出境监管与合规、GDPR的数据跨境传输合规监管机制、企业数据合规管理应对策略等热点话题进行探讨。
今天,走出去智库(CGGT)刊发此次研讨会三位专家演讲的主要内容,供关注中欧数据传输合规管理的读者参考。
正 文
CGGT,CHINA GOING GLOBAL THINKTANK
跨境数据合规——针对中国商业的法律解决方案
李瑞(Rachel LI)
中伦律师事务所合伙人
近年来,中国数据出境相关法律法规体系日渐完善,《数据安全法》、《网络安全法》和《个人信息保护法》之间相互衔接、相互补充,从数据安全、网络安全和个人信息保护三个不同维度提出数据跨境传输应满足的监管要求。
数据出境方式包括主动出境与被动出境。主动出境是指数据处理者将其在中国境内收集和产生的数据传输、存储至境外;被动出境数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出。企业首先应准确识别自身的数据出境场景,在此基础上评估出境合规义务。
根据《数据出境安全评估办法》,企业向境外提供重要数据或者达到一定数量的个人信息时,需要向国家网信部门申报数据出境安全评估。企业需要在2023年3月1日前完成对已开展的数据出境活动的整改。
就重要数据的识别而言,在重要数据目录正式出台之前,企业应对标重要数据的定义、行业性法规和国家标准中的规定,初步识别自身是否可能被认定为掌握重要数据,判断该等可能被认定为重要数据的数据是否存在出境情形。因此,无论重要数据的处理者是否为关键信息基础设施(CIIO),通过国家网信部门安全评估已成为一项强制性要求。
对于个人信息如何识别,重要的原则是分析特定自然人与信息之间的关系,即信息本身的特殊性可识别出特定自然人(单独或于其他信息结合),或者特定自然人关联信息从个人到信息,如已知特定自然人,该自然人的一些固有属性特征,以及由该特定自然人在其活动中产生的信息,均可识别为个人信息。在实践中判定个人信息及/或敏感个人信息时,企业还可基于国家标准,比照自身掌握的可能落入个人信息以及敏感个人信息的字段进行判断。由于商务实践进展较快,如果出现了某一类未记载于国家标准、但符合个人信息及/或敏感个人信息定义和识别原则的字段,企业仍应将其作为个人信息及/或敏感个人信息来处理。
企业在数据跨境传输中的合规策略包括:
(
1)识别计划传输的数据类型;
(2)制定数据出境计划,进行风险自评估;
(3)确定合法性基础;
(4)告知并获取个人信息主体同意(如涉及个人信息跨境传输);
(5)与数据接收方签订数据跨境传输协议,明确责任义务。
GDPR项下的数据跨境传输机制和企业应对建议
龚钰(James Gong)
鸿鹄律师事务所(Bird & Bird)合伙人
欧洲《通用数据保护条例》(
GDPR)的颁布使得欧盟对于数据保护的监管达到了前所未有的高度,其域外效力适用于非欧盟的数据控制者与处理者以及对违规行为可能处以高额行政罚款,使得在欧盟经营或与欧盟实体开展业务的中国企业必须重视GDPR的合规挑战。
·GDPR项下的数据跨境传输路径介绍
当个人数据被转移至欧洲经济区(包括所有欧盟国家和非欧盟国家冰岛、列支敦士登和挪威)之外时,需要采取特别保障措施,以确保
GDPR提供的个人数据保护水平在数据跨境传输过程中“不会减损”(not undermined)。这包括三个路径:
(1)
接收方所在国家/地区已取得欧盟充分性认定(Adequacy Decision);
(2)
为数据主题提供“适当的保障措施”(Appropriate Safeguards);
(3)
特定情况下的克减(Derogations)。
·欧盟个人数据跨境传输的近期发展
2013年6月,受斯诺登披露的“棱镜计划”影响,奥地利一公民向爱尔兰数据保护局提出申诉,要求禁止Facebook将欧洲获得的数据传输至美国。
2015年10月,欧盟法院判定欧委会对美欧《安全港协议》(Safe Harbor)的充分性认定是无效的。(Schrems Ⅰ案)
2016年7月,欧委会通过了《隐私盾协议》(Prviacy Shield)以取代安全港协议。
2020年7月,欧盟法院判定欧委会对美欧《隐私盾协议》的充分性认定是无效的。(Schrems Ⅱ案)
2022年,欧委会和美国发布联合声明,表示已就新的跨大西洋数据隐私框架达成原则性协议。
后
Schrems 案时代,欧盟数据保护委员会(EDPB)公布了《数据跨境传输补充措施的最终建议》(正式稿),在合同措施、技术措施、组织措施方面做出进一步要求,依照最小必要原则,确保信息的准确、安全。
鉴于
GDPR的影响力和相关司法管辖区个人数据保护法律的迅速发展,中国企业在欧洲以及亚太等地区无论是日常经营还是进行投资并购,都应当提高数据合规意识,尽早开展数据合规工作,从而避免因违规产生的风险。
“三法”齐驱背景下企业如何统合数据风控合规能力
贾申(Jason JIA)
中伦律师事务所顾问
自《数据安全法》实施、《个人信息保护法》出台,中国迈入数据合规纪元已有一年。《网络安全法》也于今年首次修订,随着国内数据安全与个人信息保护领域基础法律框架的确立,企业数据合规工作配套的各项法规细则、政策指导、国家及行业标准与技术文件也已经逐步落地、征求意见或列入立法计划,不断完善着数据合规的监管版图。
目前而言,上述法律就负责机构设置的底线要求仍未明确,各行业、领域重要数据的识别与目录制定工作尚未落地,国家网信部门也暂时未对必须确定负责人的个人信息量级予以规定。尽管如此,这并不意味着企业数据合规领导机构与负责人的设置工作就可以因此搁缓。
根据实践经验与观察,互联网平台以及电信、金融、交通、汽车、医疗健康、国防科技等面向大量个人用户或在业务运营中可能处理敏感程度较高数据的行业或领域的企业,即便未在处理量级上达到前述规定,也应当重点关注数据合规负责机构与负责人设置的相关立法动态。
建议上述企业尽快引入数据合规官及相关的合规专员,完善自身数据合规管理体系架构,在底线要求尚未明确时积极转型以适应复杂多元的合规要求,若监管环境进一步收紧或未来规则出台时能够更迅速地应对整改要求。
对于外部个人信息合规管理,企业应当建立个人信息处理合同管理制度,对隐私协议、服务合同中的个人信息授权处理条款进行定期审阅与更新,确保其符合个保法的一般性要求,能够有效实现获取同意、满足最小必要原则,并及时公示个人信息处理规则。
目前
CIIO的认定主要是由重要行业和领域的主管部门、监督管理部门制定规则并逐一通知,尽管目前尚未有行业公开相关认定规则,但据观察,不少行业内已经由保护工作部门下发业内通知的形式进行了部分CIIO的认定。被认定为CIIO的企业应当在遵循保护工作部门监管意见的基础上,在一般性的数据合规义务之外还应着重关注几点:(1)年审与报送制度:(2)网络产品与服务供应链管理:(3)关键岗位安全背景审查。
对于重要互联网平台而言,建立外部独立监督机构,制定公开、公平、公正的平台规则,跨平台用户个人信息互联机制监管,对于有赴境外上市计划、掌握超过
100万用户个人信息的重要互联网平台,还必须向国家网信部门申报网络安全审查,尽管并非常态化的合规义务,也应当在上市前做好合规审计与审查申报的对接机制。
主持人介绍
陆俊秀
走出去智库总经理,高级合伙人
清华大学工学博士
专业领域:地缘政治风险与合规研究、国别政策法律监管逻辑、企业地缘危机解决实务、企业跨境并购和投融资战略、金融科技研究。
过往经验:曾供职于国家开发银行总行研究部门8年、兴业银行股权投资部门5年,是中国商务部国际商务官员培训特聘老师,面向发展中国家政府经济金融部门官员,讲授区域经济发展与中长期投融资课程。
主导走出去智库(CGGT)十余项“一带一路”对外投资研究项目,“美国洞察”系列报告执笔人。所带领的智库团队为中国领先的高科技企业、央企、政府部门提供咨询,包括:华为、字节跳动、TCL、OPPO、抖音集团、中国港湾、中车四方、中国通号、中国中铁、商务部、上海市商委、北京市商务局、浙江省商务厅、国家民航局国际合作中心等。
包括战略咨询、专项咨询、预警研究咨询:
◆《台海局势推演和全球化企业海外合规|战略咨询报告》
◆《美欧政策和法律洞察|预警双周报》
◆《企业政治风险、合规风险、舆情风险演进|月报》
◆《重点国别数据监管政策洞察研判|咨询报告》
◆《欧洲并购战略规划和实务对策|咨询报告》
◆《“一带一路”新能源投资风险和实务指南|咨询报告》
专家简介
李瑞 Rachel LI
中伦律师事务所合伙人
李瑞律师是中伦律师事务所北京办公室的合伙人,业务专长为数据安全合规、反垄断和竞争法及其他合规业务。她的执业领域包括数据安全合规、反垄断合规、争议解决及公司日常合规法律服务等。其客户包括大型跨国公司、大型国有企业、大型民营企业、上市公司、私募投资基金等各种不同类型的客户,涉及互联网、无线通信、人工智能、汽车、芯片及半导体、机车及铁路产品、化工、零售、能源矿产等行业。李瑞律师拥有北京大学法学学士和经济学学士学位,并拥有美国纽约大学法学硕士学位,持有中国律师执业证和美国纽约州律师执业资格。
自从2007年加入中伦北京办公室以来,李律师协助多家国内外知名公司处理中国合规事务,还协助多家知名企业建立合规体系、处理合规疑难问题、应对合规监管调查程序等。李律师提供的法律服务支持覆盖数据合规及反垄断法律服务的各方各面。在数据合规方面,李律师提供全方位的咨询及专项服务,涉及监管调查应对、个人信息保护、网络安全、数据出境及信息安全事故处理等各方各面。在反垄断法律服务方面,李律师提供的法律服务不仅包括大型合资/并购项目的经营者集中申报,也包括跨国公司应对中国反垄断执法机构的调查及反垄断诉讼,以及反垄断合规方面的法律咨询。
李律师在多个项目中担任主要承办律师。她参与过多个广受关注的合规领域监管调查或自查整改项目,其中包括多个互联网头部企业应对监管机构入驻和调查的项目,以及行业龙头企业进行风险自我筛查和整改、建立及完善网络和数据合规体系的项目。在这些项目中,李律师从法律及从商业角度深入了解客户需求和交易需要、为客户提供实务解决方案,获得客户的高度评价。
李律师于2022年入选LEGALBAND中国顶级律师排行榜评选的网络安全与数据合规领域的“特别推荐榜15强”律师。
龚钰 James Gong
鸿鹄律师事务所(Bird & Bird)合伙人
龚律师是鸿鹄律师事务所(Bird & Bird)北京办公室的合伙人,领导中国的数据保护和网络安全团队。他在数据保护、网络安全以及科技、媒体、电信相关的监管及交易方面经验非常丰富。他曾为来自多个行业的中国和跨国客户提供境内外法律服务,擅长解决行业相关的复杂法律问题。龚律师的观点经常被媒体引用,并且作为业内认可的作者发表TMT及数据相关文章。
龚律师毕业于曼彻斯特大学,并获得法学学士学位。他拥有中华人民共和国法律职业资格和美国纽约州律师执业资格。他还是国际隐私专业人员协会成员,持有CIPP/E、CIPP/US 和CIPM证书。
业界荣誉:
亚洲法律杂志(Asia Legal Business)2022中国十五佳TMT律师
执业经验:
为蔚来汽车、小鹏汽车、吉利汽车、北汽福田、比亚迪、石基信息、菜鸟网络、华为、千寻位置、迈瑞医疗、健世科技、小天才、Vivo、科大讯飞、中银国际、中国农业银行、美的、蚂蚁金服等就GDPR相关合规问题、隐私政策和数据处理提供法律服务。
贾申 Jason JIA
走出去智库(CGGT)特约法律专家
中伦律师事务所顾问
贾申律师是中伦律师事务所北京办公室的顾问。贾律师曾于京东方科技集团担任合规中心中心长,曾任国家商务部反垄断局副调研员、驻欧盟和东盟使领馆领事、北京某中级人民法院涉外经济庭法官。贾律师毕业于清华大学,并获得法律硕士学位。
贾律师负责企业合规体系建设,包括合规方案、合规管理制度、合规行为准则等;长期负责合规风险管理和海外投资项目,包括反垄断、商业秘密、贸易调查应对、出口管制&经济制裁、中国PIPL和欧盟GDPR等数据合规(取得欧盟GDPR第三方认证)、美国CFIUS审查、海外直接投资等。贾律师参与北京国资委第一批合规试点项目,参与制订《北京市管企业合规管理工作实施方案》,兼任中国贸促会全国企业合规委员会专家、浙江省外贸企业合规专家。
贾律师2021年荣获《商法》年度跨境合规、科技与电信优秀法务个人大奖,2020年荣获《法治日报》年度“最具法治影响力个人”奖,2019年荣获《法制日报》评选“一带一路”十佳法律合规团队,2018年荣获《首席法务官》杂志评选全国十佳合规总监。
贾律师曾为多家互联网企业提供数据和合规体系服务,包括唯品会、昆仑万维集团、碧捷科技、搜狗公司等;为多家企业提供应对政府调查和网络安全审查服务。
贾律师是中国贸促会全国企业合规委员会专家,并就反垄断、个人信息保护、出口管制制裁、企业合规实践等多次受邀在北京市律协、国内外著名律师事务所、世界500强央企、民企、外企和咨询公司等授课。
延展阅读
跨境数据合规|哪些数据受到出境监管?企业数据出境有哪些误区?
跨境数据合规|盘点常见数据出境风险场景【走出去智库】
美国投资监管|CFIUS年报:投资审查数量创新高,中国投资者占比最高
跨境合规观察|对俄制裁中各行业法律风险和企业防火墙方案探讨
跨境合规观察|企业如何应对俄乌局势下的法律风险
两会观察 | 合规管理强化年开启,中国反制裁法律体系建设及展望
跨境合规观察 | 阿里速卖通和微信电商被首次列入美国“恶名市场清单”
跨境合规观察 | 美国再将33家中国实体纳入“未经核实名单”,如何移除?
平台合规观察 | 互联网平台合规监管2021年度盘点
数据合规观察 |《网络数据安全管理条例(征求意见稿)》发布,数据合规要求进一步明确
数据合规观察 | 观千剑而后识器:中美欧个人信息保护制度比较
跨境合规观察 | 新形势下中企涉外白领犯罪与合规风险管理方案
数据合规观察 | 面临新一轮数据监管浪潮,如何做好个保法、数安法与网安法三法合规联动
跨境数据合规 | 合规创造价值:新经济领域(拟)上市企业的若干合规要点分析
跨境数据合规 |《数据安全法》亮点解读:明确重要数据出境安全管理制度
跨境合规实务 | 美国又将7家中国超算实体列入清单,中企如何防范具体业务相关风险
反垄断观察 | “一分规,九分合”:从史上最高罚单看企业反垄断合规的重要性
跨境合规观察 | 解读拜登政府的中国战略以及国家安全工具箱——ICTS规则
跨境合规观察 | 如何成功地对美国的经济制裁和出口管制行为提出抗辩
跨境数据合规 | 中美法律冲突:中国反制立法及数据出境相关要求
