刊物论著

最大限度的保护您的合法权益

多国重叠管辖下,数据跨境流动面临合规两难

2021-09-16/专业文章/ 郑文洁  符淇媛

在互联网时代,数据跨境流动已成为一种国际新常态,个人数据保护和数据安全问题在各国的重要性都日益凸显。但全球跨境数据流动的统一规则尚未形成,数据跨境制度冲突问题日渐浮出水面,具体可体现为“长臂管辖”与行为人所在国的“属地管辖”或“属人管辖”发生冲突,一家公司同时受两国或多国法律规制。

由此,对于总部位于别国、或具有跨境分支的跨国企业而言,数据出境可能会带来两难困境。以下将主要从欧盟《一般数据保护条例》 (General Data Protection Regulation,下称“GDPR”)及美国《澄清境外合法使用数据法案》(下称“CLOUD Act”)与我国数据出境的相关规则的冲突出发,结合《汽车数据安全管理若干规定(试行)》(下称“《汽车数安规定》”)回望滴滴面临的数据出境问题,对境内数据出境的两难问题进行分析解读。

一、两难困境的源头:管辖权重叠

1. 我国数据出境相关主要法律的适用范围

从现有规定看,《网络安全法》(下称“《网安法》”)1、《数据安全法》(下称“《数安法》”)2、《个人信息保护法》(下称“《个保法》”)3皆以“地域+行为”的方式确立了境内管辖原则。整体而言,该等法律对于境内管辖的思路基本一致,即只要在我国境内开展了其规定的相应行为,无论是中国境内的组织、个人还是中国境外的组织、个人,均受到该等法律法规的规制。

2. GDPR及CLOUD Act的适用范围可以延及我国境内

1) GDPR的适用范围

GDPR意在保护属于欧盟公民和居民的数据。因此,GDPR适用于处理涉及欧盟公民和居民数据的组织,无论它们是否是总部位于欧盟的组织。

结合GDPR第3条的规定,以及欧洲数据保护委员会于2019年11月发布的2.1版《GDPR适用地域范围指南3/2018(第三条)》的示例,位于中国境内的公司的数据处理活动亦可能受GDPR管辖。4

GDPR第3条

1.本条例适用于与数据控制者或数据处理者在欧盟领域内所设机构活动相关的个人数据处理,无论该处理行为是否发生在欧盟领域内。

2.本条例适用于在欧盟领域内没有设立机构的数据控制者或数据处理者对欧盟内的数据主体的个人数据进行的与以下事项相关的处理活动。

(a)向欧盟内的数据主体提供商品或服务,无论是否需要该数据主体支付对价;或

(b)监控数据主体的行为,只要其行为发生在欧盟领域内。

本条例适用于在欧盟领域内没有设立机构,但依据国际公法应当适用欧盟成员国法律的数据控制者的个人数据处理。

2) CLOUD Act的适用范围

从《萨班斯·奥克斯利法案》(下称“SOX法案”)到《海外反腐败法》(下称“FCPA”),再到Cloud Act,美国在世界范围内的“长臂管辖”不容忽视。

就 CLOUD Act而言,该法案授予了美国执法部门以要求电子通信服务或远程计算服务提供商提供处于其控制之下的电子数据的权利,不论其数据储存于美国境内还是境外,其适用范围可以延及我国境内。5

CLOUD Act§ 2713通信、记录的保存和披露要求

电子通信服务或远程计算服务提供商应遵守本章的义务,保存、备份或披露其所拥有、保管或控制的有线或电子通信内容以及与客户或订户有关的任何记录或其他信息,无论此类通信、记录或其他信息位于美国境内或境外。

3) 重叠管辖带来的困境

基于上述分析,跨国企业在我国境内根据我国法律设立且注册于境内的企业,亦可能落入上述 GDPR及CLOUD Act的管辖范畴。很可能由此面临重叠管辖的问题,既需满足中国数据相关法律的要求,又要满足 GDPR及CLOUD Act的相关规定。

而现实“残酷”之处在于,GDPR在面对其他国家对该条例的承认程度、应对措施和可能发生的冲突情况都缺少明确的解决途径。6CLOUD Act虽提出了复议及礼让原则等作为解决冲突的路径,但符合礼让原则而免于提供数据有两个严苛的要求:

一来须同时满足数据权利人不是美国公民或不居住于美国,且数据披露行为会导致服务提供商面临违反适格外国政府法律的实质性风险。

二来须美国法院作出撤销和变更处罚内容的裁决,而法官需要充分衡量该个案的全部情况,包括美国和要求数据调取的政府实体的利益、外国政府利益、服务提供商如为满足要求可能受到的处罚的可能性、性质以及严重程度、用户或客户与美国关系的性质与程度、服务提供商与美国的关系与程度等多方面因素。

总的来说,复议及礼让原则的主动权还是掌握在美国政府手中,极有可能不会适用于中国境内企业。7

二、GDPR视角下的具体矛盾场景

在重叠管辖的情形之下,企业在遵循我国数据相关法律的同时要满足 GDPR 的监管需求,有时会成为“不可能的任务”。

举例来说,如果某总部位于欧洲的零售公司,将其个人客户信息管理(CRM)系统部署于德国,其中国子公司(下称“A公司”)可以登录该系统录入、修改、下载数据,如果A公司发生了涉及CRM系统的个人数据泄露事件,将可能陷入两难境地。

1. GDPR的主动报告要求

GDPR第3.1条规定,GDPR适用于与数据控制者或数据处理者在欧盟领域内所设机构活动相关的个人数据处理,无论该处理行为是否发生在欧盟领域内。鉴于A公司对于CRM系统的数据处理,很可能被认定为明显有助于使其总部盈利,属于与在欧盟领域内所设机构(欧盟总部)的活动相关,所以境内子公司A公司的处理行为,也是受到GDPR管辖的。

故此,A公司需符合GDPR的合规要求。根据GDPR第33条的相关规定,在发生数据泄露的情况下,A公司应当首先向GDPR有权监管机构进行报告。8

在公司作出相应报告后,GDPR的监管机构会进行证据收集、评估。9根据GDPR第58条的相关规定,监管机构不仅有权从公司处获得访问个人数据的权限,还可以获得所有其所需要的信息,例如公司相关的经营信息等。10

2.《数安法》《个保法》规定未经批准不得向境外提供数据

即将生效的《个保法》第四十一条,与业已生效的《数安法》第三十六条的规定几乎如出一辙,区别仅在于《数安法》所针对的是笼统的境内数据,而《个保法》针对的是储存于境内的个人信息。

《数安法》第三十六条

中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。

《个保法》第四十一条

中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供存储于境内个人信息的请求。非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。

根据两法规定,非经批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。

如果以严格的视角来解读,境内主体如要向外国司法或者执法机构提供存储于中华人民共和国境内的数据,必须同时满足如下条件:

  • 存在包括中国有关法律,或者中国缔结或者参加的国际条约、协定,或者按照平等互惠原则等受理依据;

  • 外国司法或者执法机构主动提起提供数据的请求;

  • 中国主管机关批准。

3. 如果向境外提供数据行为未获批准,A公司将陷入两难困境

若A公司向境外提供数据的行为未能通过中国主管机关批准,A公司将陷入两难境地。如果不向境外GDPR监管机构提供数据则将违反GDPR相关规定,如果向境外GDPR监管机构提供数据,则将违反《数安法》、《个保法》的相关规定,公司及直接负责人皆有承担责任的风险。

三、CLOUD Act视角下的具体矛盾

1. CLOUD Act对于电子通信服务或远程计算服务提供商披露存储于境外的数据的要求

美国执法部门可以依据 CLOUD Act的相关规定,要求电子通信服务或远程计算服务提供商提供处于其控制之下的电子数据的权利。

举例来说,总部位于美国的苹果公司,虽将其境内的iCloud服务交由云上艾珀(贵州)技术有限公司(下称“云上贵州”)运营,但苹果实体(包括 APPLE DISTRIBUTION INTERNATIONAL LIMITED苹果纳斯达克上市主体及APPLE INC.)“可在云上贵州提供本服务时不时对云上贵州提供协助”。11美国执法机关依旧可以根据 CLOUD Act的相关规定,要求苹果公司提供储存于我国境内服务器上的数据,可能涉及包括但不限于姓名、手机号码、个人支付信息、个人健康数据等信息。

CLOUD Act§ 2713通信、记录的保存和披露要求

电子通信服务或远程计算服务提供商应遵守本章的义务,保存、备份或披露其所拥有、保管或控制的有线或电子通信内容以及与客户或订户有关的任何记录或其他信息,无论此类通信、记录或其他信息位于美国境内或境外。

2.《数安法》、《个保法》规定未经批准不得向境外提供数据

与GDPR的情景相类似,如果苹果公司向美国执法机关提供了其要求的数据,但未获得我国境内主管机关的同意,将违反《数安法》、《个保法》的相关规定,公司及直接负责人皆有承担责任的风险。

四、《汽车数安规定》出台后再次审视滴滴可能面临的数据出境困境

1. 滴滴境内的实际运营主体北京小桔科技有限公司亦可能会受到美国法的管辖,进而有配合调查等义务

滴滴通过 VIE 结构在美国实现上市,亦即上市的开曼主体 DiDi Global Inc.与境内实际运营主体北京小桔科技有限公司完全分离,通过层层协议控制境内运营主体。12其上市主体 DiDi Global Inc.作为“发行人”自然落入了美国法的管辖范畴。而北京小桔科技有限公司作为其协议控制的关联公司,会根据 U.S. GAAP 的对应规则并入 DiDi Global Inc. 合并财务报表中,亦可能落入美国法的管辖范畴,具有配合调查等义务。

以SOX法案项下,美国公众公司会计监督委员(下称“PCAOB”)对美国上市公司进行监督、检查为例。根据SOX法案以及2020年12月18日生效的《外国公司问责法案》(下称“HFCAA”),在美上市的外国证券发行人必须遵守PCAOB的审计标准,需要向PCAOB提供详尽的底稿。而鉴于暂未有执法实例,我们难以确定底稿是否可能穿透到实际运营公司北京小桔科技有限公司,以及底稿涉及的具体文件、材料范围为何。不排除美国可以通过SOX法案的相关规定,要求调取滴滴的诸多数据。

目前我国对于中概股底稿出境问题态度十分鲜明,自2001年美国通过萨班斯·奥克斯利法案以来,中国便一直积极与美国政府进行沟通、谈判,且曾于2013年与就会计审计跨境执法合作达成共识,PCAOB不得对中概股做常规型检查,而由中方进行,且底稿不得出境。2019年中国新修订的《证券法》中亦再次体现了中国的强硬态度,再次强调了审计底稿不得出境的原则。

2. 滴滴的诸多数据未经批准不得出境

滴滴在其隐私政策中提及其收集的信息包括驾驶员的其姓名、身份证或其他身份证明、面部识别特征、车辆品牌、型号、颜色、车牌号、驾驶证、行驶证、车辆监督卡信息、银行卡信息等。13

2021年8月16日发布的《汽车数安规定》作为首个在行业应用场景中具体细化的数据安全管理规定,明确了人脸信息、车牌信息等的车外视频、图像数据、涉及个人信息主体超过10万人的个人信息等数据属于重要数据。14

根据《网安法》第三十七条15、《汽车数安规定》第十一条16的相关规定,重要数据应当依法在境内存储;结合《个保法》第四十一条的规定,境外的司法或者执法机构要求提供存储于我国境内的个人信息的,非经我国主管机关批准,不得提供,除非我国缔结或者参加的国际条约、协定另有规定。鉴于我国暂未与美国有此等条约、协定,未经批准,滴滴应当不得向美国司法部和美国证券交易委员会提供相应个人信息。

五、违反境内数据出境规则的法律责任

在管辖权重叠导致诸多企业面临数据出境两难困境的背景之下,我们需要提示的是,如果违反境内数据出境相关规则,可能会面临如下责任:

WechatIMG807.jpg

由上表可见,《网安法》对于关键信息基础设施的运营者违法向境外提供网络数据的责任承担情况作出了规定;《数安法》第三十六条则规定“境内的组织、个人”未经许可不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据,如有违反,根据所造成的的后果严重程度,承担对应的责任。

而《个保法》则规定的较为笼统,没有具体规定未经许可向外国司法或者执法机构提供个人信息的对应责任。但规定了公司承担的责任最高可至五千万元或者上一年度营业额百分之五的罚款、吊销相关业务许可证、吊销营业执照,且主管人员和其他直接责任人员需切身承担责任罚款、且可能在一定期限内不得担任相关企业的董监高及个保负责人。

六、针对数据跨境常见问题的简要解答

Q1:总部位于欧盟的公司,向中国境内的子公司传输数据。子公司在接收欧盟数据应当有何种合规安排,GDPR的规则又是怎么规定的?

在制度设计层面,欧盟总体而言是鼓励数据的跨境流动的。因而,GDPR为了规范欧盟公民和居民的数据从欧盟向欧盟外国家和地区流动设立了相应的规则。具体可见如下规则总结图:

WechatIMG129.png

在现阶段,除了向经充分性认定后的白名单国家传输数据比较切实可行,还有就是约束性企业规则(下称“BCR”)的运用,亦即在欧盟设立总部或分支机构的跨国公司内部机构之间数据传输和保护的约束性企业规则。但如上图所示,BCR应用前提为经监管机关的严格审批程序后获批,目前仅有一百多家跨国公司取得了该等批准。

而GDPR其他向外传输数据规则难以落地,将来即使可以进一步落实,在执行方面也将面临管辖权重叠带来的冲突问题。其症结,如开篇所言,在于全球数据的跨境流动统一规则尚未形成。对于任何一个数据主体,输出数据的活动,首先需要适用输出国的法律。但只要输入国在对该活动的管辖中具有“长臂管辖权”,则该数据主体就要面临管辖权重叠而带来的冲突,进而可能引发企业合规冲突。

Q2:在现行中国法的规制下,是否数据一概不得出境?

1. 关于数据出境问题,我国的法律法规主要从以下三个维度进行管控,并非一概不得出境:
  • 关键信息基础设施的运营者所收集个人信息及重要数据应当存储在境内,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;
  • 其他主体所收集的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定,亦会受到管制;

  • 达量的主体收集的个人信息,应当将在境内收集和产生的个人信息存储在境内且应当通过国家网信部门组织的安全评估,17未达量的主体收集的个人信息,虽不以存储在境内为原则,但确需向境外提供的,应当同时符合《个保法》有关“告知与单独同意”、“评估记录与监督”及满足该法第三十八条的四项要求之一。18

而未落入重要数据、个人信息维度的数据,仍可正常出境,并不受到特殊限制(政务数据与公共数据暂不讨论)19。对于重要数据及个人信息的辨析、认定和评估,从现在到将来,都将是数据出境过程中至关重要的一环。

2. 《个保法》第三十八条的四项要求与GDPR所规定的跨境传输框架有一定的相似性,可以为企业数据跨境合规(尤其是个人数据跨境)带来启发:

就跨境传输框架而言,《个保法》第三十八条第二项规定了经专业机构进行个人信息保护认证之后,个人信息即可出境。GDPR中亦有与之相似的“认证机制”的规定;第三项根据网信部门制定的标准合同与境外接收方订立合同则与GDPR中“标准数据保护条款”的立法设计相似,均通过不可更改的标准合同的方式将法律规则内化到合同中。

GDPR自2018年公布以来,仍未有其批准的行为准则(Code of Conduct),欧盟委员会还在持续不断发布新的决定、对于标准合同文本进行更新。鉴于中国的《个保法》刚出台不久,对应的评估、认证操作细则及标准合同文本的出台,仍需要一定时间,一系列规范及文本应该会逐步落地。

企业应谨记,以上相似性主要源于同一目的—使企业在数据传输活动中切实履行法定义务,以保证个人信息的跨境流动的安全性。由此,在具体规则尚未出台前,亦可以未雨绸缪,早做准备,以应对政策实际落地的挑战。

Q3:与第三方合作向境外提供数据,是否可以规避本主体承担责任的风险?

《个保法》第二十条调整的是数据共同决定者及数据共同处理者与个人信息的权利主体之间的规定。该条明确了:1)如果属于个人信息处理者共同决定个人信息的处理目的和处理方式的情形,无论内部约定如何,其对外都需承担配合权利主体要求行使《个保法》规定的权利;2)如果属于共同处理个人信息的情形,侵害个人信息权益造成损害的,共同处理个人信息的主题需承担连带责任。也就是说,与第三方合作,无法当然成为“挡责金牌”。

七、总结

数据出境困境的解决,离不开与境外各国监管机构的长时间沟通协调,正如美国证券交易委员会与中国证券监督管理委员会就中概股底稿出境问题的“冲突”,有待双方长时间的博弈以期达成合作共识。

诚然,想要在国际社会针对数据流通建立统一规则并非易事。在数据流通方面,各个国家的利益及政策并不相同。一个相对稳定的秩序的建立,必得是经过各方博弈后达到的某种衡平。

更深尚有通樵处,或是秦人未可知。


[1] 《网络安全法》第二条规定:在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法。

[2] 《数据安全法》第二条规定:在中华人民共和国境内开展数据处理活动及其安全监管,适用本法。
[3] 《个人信息保护法》第三条规定:在中华人民共和国境内处理自然人个人信息的活动,适用本法。

在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:(一)以向境内自然人提供产品或者服务为目的;(二)分析、评估境内自然人的行为;(三)法律、行政法规规定的其他情形。

[4] 根据该指南第8页所提及的示例2,一家由中国公司运营的电商网站,所有个人信息处理的活动限于中国境内,该公司在柏林设立了其欧洲办公室,目的在于领导实施对于欧盟市场的商业开发及市场营销活动。指南明确指出,在此情况下,可以认为驻柏林的欧洲办公室的活动与中国电子商务网站对个人数据的处理活动密不可分。因为针对欧盟市场的商业开发和市场营销活动明显有助于使电子商务网站提供的服务盈利。中国公司处理与欧盟销售相关的个人数据,确实与柏林欧洲办事处针对欧盟市场的商业前景和营销活动有着千丝万缕的联系。因此,中国公司对与欧盟销售相关的个人数据的处理,可以被视为通过其欧洲办事处活动进行的,在欧盟境内存在机构。因此,中国公司的这一加工活动将受GDPR第3(1)条规定的约束。

https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32018-territorial-scope-gdpr-article-3-version_en,P8,最后访问时间2021年9月5日。

[5]http://uscode.house.gov/view.xhtml?path=/prelim@title18&edition=prelim#PARTI_4_target,最后访问时间2021年9月5日,引述自《美国法典》第18条,在其第2510款中,规定“任何在州际或国际之间通过电线、无线电、电磁、光电子或光学系统中,全部或部分传输任何性质的符号、信号、文字、图像、声音、数据或情报的服务商都属于电子通信服务商的范围”;在其第2711款中,则规定“远程计算服务提供商为通过电子通信系统向公众提供计算机存储或处理服务的服务商”。

尽管 CLOUD Act的条文本身并未明确规定其法律主体是否包括境外服务提供商,但是参考上述对于“电子通信服务服务提供商”及“远程计算服务提供商”的定义,可以将境外服务商划入主体范围之内,为 CLOUD Act 的境外适用预留了灵活解释空间,具有延及我国境内主体的可能性。

[6] 刘天骄. 数据主权与长臂管辖的理论分野与实践冲突[J]. 环球法律评论,42(2):13.
[7] 《澄清境外合法使用数据法案》节选:

 (3) 礼让分析———为依据第 (2) (B) (ii) 款作出决定,法院须酌情考虑———

(A) 美国利益,包括寻求披露的政府实体的调查利益;

(B) 适格外国政府防止任何违禁披露的利益;

(C) 由于服务者未满足法律要求,对服务者及其雇员的处罚的可能性、程度和性质;

(D) 被获取通信内容的用户或客户的位置和国籍(若能知晓),以及用户或客户与美国发生关联的性质和程度,或若依据第3512节规定为外国行政机构利益而启动法律程序时,用户或客户与外国行政机构所在国发生关联的性质和程度;

(E) 提供者与美国的联系及存在的性质和程度;

(F) 调查所需披露的信息的重要性;

(G) 通过产生更小严重消极后果的手段,实现及时有效地获取所需披露的信息的可能性;以及

(H) 提出协助请求的外国执法机构的调查权益,若根据第3512节为外国行政机构的利益而启动法律程序。

[8] 《一般数据保护条例》第33条向监管机构报告对个人数据的泄露规定:

1.在个人数据泄露的情形中,如果可行,控制者在知悉后应当及时——至迟在72小时内——将个人数据泄露告知第55条所规定的有权监管机构,除非个人数据泄露对于自然人的权利与自由不太可能会带来风险。对于不能在72小时以内告知监管机构的情形,应当提供延迟告知的原因。

2.处理者在获知个人数据泄露后,应当及时告知控制者。

3.第1段所规定的告知应当至少包括:

(a)描述个人数据泄露的性质,在可能的情形下,描述包括相关数据主体的类型和大致数量,以及涉及到个人数据的类型与大致数量;

(b)告知数据保护官的姓名与详细联系方式,或者可以获取更多信息的其他联系方式;

(c)描述个人数据泄露的可能后果;

(d)描述控制者应对个人数据泄露已经采用或计划采用的措施,包括——如果合适的话——减少负面影响的措施。

……

[9]https://ico.org.uk/media/action-weve-taken/2618609/ticketmaster-uk-limited-mpn.pdf,最后访问时间2021年9月5日:2018年6月23日英国在线票务商Ticketmaster报告称,Ticketmaster的外部第三方供应商Inbenta Technologies托管的一款客户支持产品上存在恶意软件。ICO在收到该公司报告后,发起了相关调查,并在往来信件中多次要求公司为其进一步调查提供更多信息。
[10] 《一般数据保护条例》第58条权力规定:

1.每个监管机构都具有所有如下调查权力:

(a)要求控制者和处理者,以及——在适合的情形下——控制者或处理者的代表提供履行其任务所需要的所有信息;

(b)以数据保护核查的方式进行调查;

……

(e)从控制者或处理者那里获取访问个人数据的权力,以及为了行使其任务而所需的所有信息;

(f)按照欧盟与成员国法律的程序法,获取对控制者和处理者的所有房屋建筑及场地,包括数据处理设施和方法的访问权。

[11]https://www.apple.com/legal/internet-services/icloud/cn_si/gcbd-terms.html,最后访问时间2021年9月5日
[12]https://d18rn0p25nwr6d.cloudfront.net/CIK-0001764757/6aeb113a-2c08-4163-86c7-922fda5a30ea.pdf,最后访问时间2021年9月5日
[13] 《个人信息保护及隐私政策》2021年7月8日版本—滴滴出行APP
[14] 《汽车数据安全管理若干规定(试行)》第三条规定:本规定所称汽车数据,包括汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据。……

重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益或者个人、组织合法权益的数据,包括:

(一)军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据;

(二)车辆流量、物流等反映经济运行情况的数据;

(三)汽车充电网的运行数据;

(四)包含人脸信息、车牌信息等的车外视频、图像数据;

(五)涉及个人信息主体超过10万人的个人信息;

(六)国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。

[15] 《中华人民共和国网络安全法》第三十七条规定:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
[16] 《汽车数据安全管理若干规定(试行)》第十一条规定:重要数据应当依法在境内存储,因业务需要确需向境外提供的,应当通过国家网信部门会同国务院有关部门组织的安全评估。未列入重要数据的涉及个人信息数据的出境安全管理,适用法律、行政法规的有关规定。
我国缔结或者参加的国际条约、协定有不同规定的,适用该国际条约、协定,但我国声明保留的条款除外。
[17] 《个人信息保护法》第第四十条规定:关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。
[18] 《个人信息保护法》第三十八条 规定:个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:

(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;

(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;

(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;

(四)法律、行政法规或者国家网信部门规定的其他条件。

中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。

个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。

[19]《数据安全法》第三十八条国家机关为履行法定职责的需要收集使用数据,应当在其履行法定职责的范围内依照法律行政法规规定的条件和程序进行;对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供。

第四十三条法律法规授权的具有管理公共事务职能的组织为履行法定职责开展数据处理活动,适用本章规定。

公共数据定义暂可参考《深圳经济特区数据条例》第一章(五)公共数据是指公共管理和服务机构在依法履行公共管理职责或者提供公共服务过程中产生、处理的数据。

阅读原文

手机扫一扫
分享这则文章