数据跨境流动是数字经济时代企业全球化经营面临的核心法律议题之一。2023年以来,《数据安全法》《个人信息保护法》配套规定相继落地,数据跨境流动合规进入强监管阶段。本文系统梳理当前数据跨境流动的法律框架、监管要求与企业应对策略,为企业合规管理提供参考。

一、数据跨境流动的法律框架

(一)数据分类分级制度

《数据安全法》确立了数据分类分级保护的基本制度。根据该法,数据分为一般数据、重要数据和核心数据三个层次;涉及国家安全、国民经济命脉、重要民生、重大公共利益等方面的数据被列为重要数据。不同类型数据的跨境流动适用不同的规则。

(二)个人信息跨境传输规则

《个人信息保护法》第三十八条规定,个人信息处理者因业务等需要确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:通过国家网信部门组织的安全评估;经专业机构进行个人信息保护认证;与境外接收方订立国家网信部门制定的个人信息保护标准合同;法律、行政法规或者国家网信部门规定的其他条件。

(三)重要数据出境安全管理

根据《数据安全法》第三十一条,关键信息基础设施运营者在境内收集和产生的重要数据的出境安全管理,适用《网络安全法》的规定;其他数据处理者在境内收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。目前,《数据出境安全评估办法》《个人信息出境标准合同办法》等配套规定已相继出台。

二、数据出境安全评估制度

(一)安全评估的适用范围

根据《数据出境安全评估办法》,数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:数据处理者向境外提供重要数据的;关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息的;自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息的。

(二)安全评估的申报程序

数据处理者应当在与境外接收方签订合同前,申报数据出境安全评估。申报材料包括:申报书、数据出境安全评估申报材料要求、数据处理者与境外接收方拟订立的合同等。省级网信部门收到申报材料后,应当在5个工作日内完成完备性查验;国家网信部门自收到申报材料之日起15个工作日内确定是否需要开展安全评估;评估结果有效期2年。

(三)安全评估的重点审查内容

国家网信部门在开展安全评估时,重点审查以下事项:数据出境的目的、范围、方式的合法性、正当性、必要性;境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;出境数据的规模、范围、种类、敏感程度,以及可能对国家安全、公共利益带来的风险;数据出境后泄露、损毁、篡改、滥用等风险及个人信息权益维护渠道是否通畅;合同能否有效保障数据安全及个人信息权益。

三、标准合同与认证机制

(一)个人信息保护认证

根据国家网信办发布的《个人信息保护认证实施规则》,个人信息处理者可以通过委托专业机构进行个人信息保护认证的方式,实现个人信息跨境传输。认证的核心要求包括:个人信息处理者和境外接收方之间具有明确、合理的个人信息处理目的和方式;境外接收方承诺保障个人信息权益;个人信息主体权益得到有效保障。

(二)标准合同条款

对于不适用安全评估和认证的情形,个人信息处理者可以与境外接收方签订个人信息保护标准合同。标准合同应当包含数据保护条款、双方权利义务、违约责任、争议解决机制等内容。中国版标准合同模板与欧盟GDPR下的标准合同条款(SCCs)存在一定差异,企业在使用时应当注意区分。

(三)个人信息保护影响评估

无论采用哪种跨境传输机制,《个人信息保护法》第五十五条均要求,个人信息处理者应当事前进行个人信息保护影响评估。影响评估应当包括:对个人信息处理活动的合法性和正当性分析;个人信息权益维护渠道是否通畅;出境可能对个人信息权益带来的风险;对个人信息主体合法权益的影响及风险最小化措施建议。

四、数据跨境流动合规的企业实践

(一)数据盘点与分类分级

企业开展数据跨境合规工作的首要步骤是数据盘点。建议企业成立专门工作组,对自身的数据资产进行全面梳理,摸清数据的来源、类型、规模、存储位置、处理活动等基本情况,并在此基础上进行分类分级,确定哪些数据属于重要数据、哪些属于个人信息、哪些属于一般数据。

(二)合同合规管理

对于涉及跨境数据传输的业务场景,企业应当对现有合同进行全面合规审查。重点关注:与境外关联方签订的数据共享协议是否满足法定要求;与境外客户、供应商签订的数据处理协议是否涉及跨境传输;云计算、数据分析等技术服务的境外服务条款是否包含数据跨境传输条款。

(三)技术安全保障措施

企业在开展数据跨境传输时,应当采取必要的技术措施保障数据安全。包括但不限于:数据加密(传输加密和存储加密);访问控制(严格限制数据访问权限);数据脱敏(对敏感数据进行脱敏处理后传输);审计日志(完整记录数据访问和传输情况)。

五、典型行业合规要点

(一)金融行业

金融行业数据跨境流动面临特殊的监管要求。金融机构向外传输金融交易数据、客户身份信息、资产信息等数据时,应当严格遵守金融监管部门的数据管理规定。跨境保险业务、跨境支付、境外上市等场景下的数据出境,需要特别关注相关专项规定。

(二)医疗健康行业

医疗健康数据的敏感性高,跨境流动受到严格限制。涉及跨境临床试验数据、基因数据、患者健康档案等数据的传输,应当严格遵守《数据安全法》《个人信息保护法》及医疗卫生相关行业规定。

(三)互联网和科技企业

互联网和科技企业往往天然具有跨境数据传输的业务需求。跨国企业的全球研发协作、全球统一运维支持、跨境数据分析等场景下,均可能涉及数据跨境流动。企业应当建立覆盖全球的数据合规管理体系,确保各法域的数据保护要求均得到满足。

结语

数据跨境流动合规是企业全球化经营必须面对的重要课题。在强监管趋势下,企业应当立足自身业务实际,建立系统化的数据合规管理体系,做到数据分类清晰、合规路径明确、技术保障到位、文档记录完整,以合规能力支撑业务发展,在全球化竞争中赢得主动。