栏目分类
贺雯等:泰西中数据跨境法则对跨境投资并购的影响及搪塞建议
发布日期:2024-05-27 16:10 点击次数:140
媒介
跟着全球数据的爆发式增长和跨境流动日益不绝,数据跨境传输波及的个东说念主秘籍权、数据安全和国度安全等过失问题日益突显,激勉了平淡温雅。列国纷纷出台数据保护和秘籍保护法律法则,对数据跨境传输行动进行表率。2024年,中国和好意思国均在数据跨境传输方面颁布了新的法则或行政敕令。
在数据跨境传输法则框架下,企业遇到精深罚金的事件层见迭出。举例,2023年5月12日,爱尔兰数据保护机构数据保护委员会要求Facebook爱尔兰公司住手向Facebook好意思国总部传输个东说念主数据,并向其开出12亿欧元的罚单。在数据跨境传输法律端正日益严格的布景下,企业奈何合规开展跨境业务成为一个过失课题。
本文将重心探讨欧洲、好意思国以及中国在数据出境方面的法律保护机制,谨防阐释列国主要法律法则的中枢本色与要求,并在此基础上提倡合规建议。通过本文,咱们但愿省略匡助中国企业更全面地清楚不同国度和地区在数据跨境传输方面的监管环境,从而愈加高效和合规地开展境外投资并购行动。
一、欧洲数据出境法律保护体系
2018年5月25日,欧盟委员会(Council of Europe)颁布的《通用数据保护条例》(General Data Protection Regulation,“GDPR”)认信得过施。GDPR旨在保护欧盟个东说念主数据的权力,何况在第五章中对数据的跨境传输作出了具体的端正。
GDPR收效之后,欧盟主要通过三种道路表率数据跨境行动:
第一种,充分性决定(Adequacy Decision),即白名单模式,这是欧盟最过失的国际数据传输机制[1];
第二种,汲取妥当保障步调(Appropriate Safeguards),包括但不限于签订程序合同(Standard Contractual Clauses,SCC)、制定敛迹性企业规则(Binding Corporate Rules,BCR)以相当他经核准的步调[2];
第三种,适用“减损”规则(Derogations for Specific Situations),即依据数据主体喜悦、合同必要性、人人利益的兑现等[3]。
(一)充分性决定
数据适度者或处理者通过运用充分性认定数据跨境合规机制,不错正当地将欧盟的个东说念主数据传输至第三方国度或地区。
为确保数据保护规则得以有用战胜,第三国需要设立独处、特意的监管机构,并赋予其充分的功令权力,以协助和建议数据主体垄断其权力,何况该特意监管机构可与欧盟成员国的其他监管机构设立联接机制以科罚不合。
1. 欧盟白名单
限定2024年5月15日,欧盟官网公布的通过数据保护充分性认定的国度或地区觉得15个:安说念尔、阿根廷、加拿大(仅限交易机构)、法罗群岛、根西岛、以色列、马恩岛、日本、泽西岛、新西兰、韩国、瑞士、英国(在GDPR下和功令指示进行的传输)、乌拉圭、好意思国(仅限参与欧盟-好意思国数据秘籍框架的交易机构)[4]。
2. 欧洲其他国度白名单
◆英国
英国在“脱欧”后,仍然依据欧盟GDPR制定了《英国通用数据保护条例》 (United Kingdom General Data Protection Regulation,UK GDPR),UK GDPR第45条成立了“数据保护充分性认定”轨制。限定2024年5月15日,英国信息专员办公室(UK Information Commissioner’s Office)官网公布的通过数据保护充分性认定的国度或地区觉得45个[5]:
(1)欧洲经济区(EEA)成员国度(30个):奥地利、比利时、保加利亚、塞浦路斯、克罗地亚、捷克、丹麦、爱沙尼亚、芬兰、法国、德国、希腊、匈牙利、爱尔兰、意大利、拉脱维亚、立陶宛、卢森堡、马耳他、荷兰、波兰、葡萄牙、罗马尼亚、斯洛伐克、斯洛文尼亚、西班牙、瑞典、冰岛、列支敦士登公国、挪威。
(2)部分通过欧盟委员会充分性认定的国度或地区(13个):安说念尔、阿根廷、加拿大(仅涵盖受加拿大个东说念主信息保护和电子文档法案【PIPEDA】统治的数据)、法罗群岛、根西岛、以色列、马恩岛、日本(仅涵盖左证日本《个东说念主信息保护法》调度给私营部门组织的个东说念主数据)、泽西岛、新西兰、瑞士、乌拉圭、好意思国(仅涵盖左证欧盟-好意思国数据秘籍框架的英国彭胀公约传输的数据)。
(3)其他国度或地区(2个):直布罗陀、韩国。
2021年8月,英国政府文书正在与一些优先宗旨地合作,这些宗旨地畴昔可能成为适足性法则的对象,包括澳大利亚、巴西、哥伦比亚、迪拜国际金融中心、印度、印度尼西亚、肯尼亚和新加坡。
◆瑞士
2020年9月25日,瑞士联邦议融会过2020年《联邦数据保护法》(he Federal Act on Data Protection 2020,FADP),并于2023年9月1日运转收效。FADP中成立了数据跨境白名单机制,并公布了数据跨境白名单(即省略讲授其提供“充分”数据保护水平),消亡觉得43个国度或地区[6]:安说念尔国、阿根廷、比利时、保加利亚、丹麦、德国、爱沙尼亚、法罗群岛、芬兰、法国、直布罗陀、希腊、格恩西岛、爱尔兰、冰岛、马恩岛、以色列、意大利、泽西岛、加拿大、列支敦士登、立陶宛、卢森堡、马其他、摩纳哥、荷兰、新西兰、挪威、奥地利、波兰、葡萄牙、罗马尼亚、瑞典、斯洛伐克、斯洛文尼亚、西班牙、捷克共和国、匈牙利、乌拉圭、英国、克罗地亚、塞浦路斯、拉脱维亚。
(二)妥当保障步调
在GDPR下,妥当保障步调是指当个东说念主数据从欧盟传输到未赢得充分性认定的第三国时,为了确保数据传输的正当性,数据适度者或处理者必须汲取的一系列保障步调。这些步调的宗旨是确保数据传输后,个东说念主数据得到与在欧盟境内同等水平的保护。以下是GDPR端正的一些妥当保障步调:
1. 程序合同条件(SCC):欧盟委员会制定了一套程序合同条件,数据适度者或处理者不错将其纳入与数据招揽方的合同中,以确保数据传输合适GDPR的要求。SCC端正了数据传输两边的权力和义务,以及对数据主体的保护步调[7]。
2. 敛迹性企业规则(BCR):这是一种跨境公司里面使用的数据跨境传输机制,要求公司制定一套里面规则,以确保其全球各分支机构在处理个东说念主数据时战胜不异的数据保护程序[8]。
3. 行动准则:某些行业或协会可能制定一套数据保护行动准则,要是数据招揽方承诺战胜这些准则,何况这些准则得到了欧盟委员会的预先批准,也不错行为妥当保障步调[9]。
4. 认证机制:GDPR允许通过认证机制,为数据跨境传输提供保障。赢得认证的组织需战胜特定的数据保护程序[10]。
这些妥当保障步调的实施,旨在为个东说念主数据提供一层非常的保护,确保其在跨境传输过程中的安全和秘籍。
(三)“减损”规则
GDPR端正了特定情形下的豁免,允许在莫得妥当保障步调的情况下进行数据跨境传输。这些豁免旨在均衡数据主体利益、人人利益和处理者正当利益之间的关系。左证GDPR第49条,特定情形下的豁免包括但不限于以下几种情况:
1. 数据主体的明确喜悦:要是数据主体在充分知情的基础上明确喜悦其个东说念主数据被跨境传输,这不错行为传输的正当基础。
2. 履行合同所必需:要是跨境传输对于履行数据主体行为一方当事东说念主的合同所必需,或者在缔结合同前应数据主体的要求汲取步调所必需,不错进行数据传输。
3. 保护数据主体或他东说念主的过失利益:要是跨境传输是为了保护数据主体的人命健康或东说念主身安全等过失利益的必要条件,不错进行数据传输。
4. 人人利益:要是跨境传输是为了在人人利益所必需,这也组成一个豁免情形。
5. 成立、垄断或抗辩法律宗旨:跨境传输可能对于设立、垄断或抗辩法律宗旨是必要的。
6. 法律义务:跨境传输可能是为了战胜法律义务所必需。
(四)参考案例
1. 法国数据保护委员会对Google罚金5000万欧元
2019年1月21日,法国数据保护委员会(CNIL)对Google罚金5000万欧元,原因是其违背了欧盟通用数据保护条例(GDPR)的相干端正。这是GDPR收效以来欧盟监管机构开出的首个罚单,亦然其时金额最大的罚金之一。
CNIL考核发现,Google将欧盟用户数据传输到其位于好意思国的数据中心,用于投放个性化告白。Google未见知用户或征得用户喜悦。
基于以上违游记动,CNIL对Google处以罚金之外,还要求Google汲取以下整改步调:立即住手未经用户喜悦将用户数据用于个性化告白投放。从头设想其秘籍计策,使其愈加表现易懂,汲取更有用的步调保护用户数据安全。
2. 爱尔兰数据保护委员会对Meta罚金12亿欧元
2023年5月22日,爱尔兰数据保护局(IE DPA)对Meta爱尔兰的Facebook服务进行考核后,对Meta自2020年7月16日起左证程序合同条件(SCC)向好意思国调度个东说念主数据的事实给以证明后对其开出了12亿欧元(逾91亿东说念主民币)的罚金。这笔罚金是GDPR扩充5年以来开出的最高罚金。此前,欧洲数据保护委员会(EDPB)于2023年4月13日也对Meta作出了一项有法律服从的裁决。这冲破了Facebook我方的罚金纪录——在2019年,Facebook与好意思国联邦贸易委员会(FTC)达成一项息争公约,认罚50亿好意思元,其时堪称“全球数据秘籍保衬限制迄今为止最高罚单”[11]。
2023年7月10日,欧盟委员融会过了对于欧盟-好意思国数据秘籍框架的充分性决定。左证该决定,好意思国已被认真列入欧盟数据跨境白名单。换言之,欧盟内个东说念主数据不错开脱流动老友意思国而无需汲取非常的保障步调。
二、好意思国数据出境法律保护体系
当今,好意思国尚不存在联邦层面长入的数据保护法,可是,有好多法律和法则中包含数据跨境传输的相干端正,举例,好意思国联邦贸易委员会法案(FTC Act)赋予好意思国联邦贸易委员会(FTC)权力,对滋扰浮滥者秘籍的行动进行考核和功令[12]。加州浮滥者秘籍法(CCPA) [13]和伊利诺伊州生物识别信息秘籍法(BIPA)[14]等州级法律也对个东说念主数据的网罗、使用和流露施加了限定。好意思国商务部工业和安全局(BIS)守护的出口守护条例(EAR)限定了某些加密本事的出口。国际伏击经济权力法 (IEEPA)赋予好意思国总统权力,在国度伏击情况下限定或欺压数据传输。同期,好意思国正在鼓励《好意思国数据秘籍保护法案》(ADPPA)的立法程度,旨在出台一部联邦层面的数据秘籍立法。
2024年2月28日,证券配资好意思国总统拜登签署了《对于防护温雅国度走访好意思国东说念主的多量明锐个东说念主数据和好意思国政府相干数据的行政敕令》(Executive Order on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern)(“总统行政敕令”),其宗旨在于保护好意思国明锐个东说念主数据(Americans’ sensitive personal data)不被受温雅国度(countries of concern)利用[15]。同日,好意思国司法部发布总统行政敕令的情况说明以及《受温雅国度获取好意思国东说念主多量明锐个东说念主数据和好意思国政府相干数据规则》(Provisions Regarding Access to Americans' Bulk Sensitive Personal Data and Government-Related Data by Countries of Concern)的拟议规则预陈说(Advance notice of proposed rulemaking,ANPRM)[16],对总统行政敕令的情况进行解释和细化,并向社会公开征求意见。
总统行政敕令以及ANPRM的中枢本色不错简要空洞为:好意思国欺压或限定好意思国主体与受温雅国度及被涵盖的东说念主开展波及受规制数据类型的被涵盖的数据来回。
(一)受温雅的国度与被涵盖的东说念主
总统行政敕令所监管的数据来回方包括受温雅的国度和被涵盖的东说念主。
受温雅的国度(country of concern):好意思国司法部洽商将中国(含港澳)、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉列为受温雅的国度。
被涵盖的东说念主(covered person):好意思国司法部将被涵盖的东说念主界说为包括受到受温雅的国度(country of concern)统治(jurisdiction)、教导(direction)、总共(ownership)或适度(control)的某些类别的实体和个东说念主。向实体或个东说念主提供明锐个东说念主数据是否将导致受温雅的国度获取这些数据,要是是,属于被涵盖的东说念主,反之则不属于。好意思国司法部将发布并按时更新被涵盖的东说念主的清单,这份清单口舌详备的,未被列入该清单不代表不属于被涵盖的东说念主。
(二)受规制数据类型及阈值
左证总统行政敕令及ANPRM,受规制数据包括:(1)好意思国政府相干数据(Government-related Data)。政府相干数据包括但不限于政府数据库、政府网站和政府通讯;(2)好意思国公民的明锐个东说念主数据。
明锐个东说念主数据(sensitive personal data)主要包括六类:特定种类的个东说念主识别符、精准的地舆定位数据、生物特征识别符、东说念主类基因组数据、个东说念主健康数据和个东说念主财务信息。
值得把稳的是,只好当数据进步端正的阈值时,好意思国司法部才会对上述六类明锐数据的来回进行监管。但波及政府相干数据来回,即使未进步阈值,也将受到监管。
(三)被涵盖的数据来回
被涵盖的数据来回(Covered data transactions)分为被欺压的来回和受限定的来回。
1. 被欺压的数据来回类型包括:(1)数据经纪来回,以及(2)基因组数据来回,波及多量东说念主类基因组数据或从中导出此类数据的生物样本的传输。
2. 受限定的数据来回类型包括:(1)波及提供商品和服务的供应商公约(包括云服务公约);(2)雇佣公约;(3)投资公约。
对于受限定的数据来回情况说明提倡了安全要求条件,包括汲取齐集安全步调,举例基本的组织齐集安全态势要求、物理和逻辑走访适度、数据屏蔽和最小化以及使用秘籍保护本事。
(四)数据来回豁免
左证总统行政敕令及ANPRM,该策动将包含以下几类精深适用的数据来回豁免,这些来回将被舍弃在监管之外,主要包括:
1. 与金融服务、支付处理和监管合规相干的来回:如银行、成本商场或金融保障行动;波及调度个东说念主财务数据或被涵盖的个东说念主标记符的支付提供或处理,用于购买和销售商品和服务;以及法律和监管合规相干的来回;
2. 与跨国好意思国公司里面的从属业务(如工资或东说念主力资源)运营相干的来回;
3. 好意思国政府相当承包商、雇员和受赠东说念主的行动(如联邦资助的健康和计议行动,资助机构将自行监管);或
4. 联邦法律或国际公约要求或授权的来回(如乘客名单信终止换、国际刑警组织请乞降人人卫生监控)。
ANPRM还洽商豁免某些投资,这些投资不会组成不行经受的国度安全风险的权力或影响力,即让受温雅国度或被涵盖东说念主员赢得明锐个东说念主数据的风险。
总而言之,总统行政敕令卓绝了单纯的数据跨境传输限定,象征着好意思国在数据安全和国度安全方面汲取了更为全面和主动的步调,对与受温雅的国度筹商的企业在国外的运营、境外投资并购等行动产生要紧影响,这些企业可能需要从头评估其数据保护步调,以确保战胜更为严格的数据安全要求。
三、中国数据出境法律保护体系
(一)相干法律法则
当今,我国出台的表率数据出境相干的法律法则主要如下:
(二)数据出境的合规旅途
左证《中华东说念主民共和国个东说念主信息保护法》第三十八条端正,拟向境别传输个东说念主信息的个东说念主信息处理者必须通过以下三种合规旅途:(1)通过国度网信部门组织的安全评估;(2)按照国度网信部门制定的程序合同与境外招揽方缔结合同,商定两边的权力和义务;(3)按照国度网信部门的端正经专科机构进行个东说念主信息保护认证;(4)法律、行政法则或者国度网信部门端正的其他条件。
1. 合规旅途的判断
对于前述三种数据出境合规旅途适用的前提条件咱们梳理如下,个东说念主信息处理者在实施数据出境业务时不错据此判断应汲取哪种合规旅途:
2. 数据出境豁免情形
为了削弱企业在数据跨境传输过程中的合规职守,提高数据流动的便利性和后果,国度互联网信息办公室于2024年3月22日认真发布了《促进和表率数据跨境流动端正》。左证《促进和表率数据跨境流动端正》的相干端正,免予陈诉数据出境安全评估、缔结个东说念主信息出境程序合同、通过个东说念主信息保护认证的情形如下:
(1)国际贸易、学术合作、跨国分娩制造和商场营销等行动中产生的数据出境,不包含个东说念主信息或者过失数据的[17];
(2)在境外网罗和产生的个东说念主信息传输至境内处理后向境外提供,处理过程中莫得引入境内个东说念主信息或者过失数据的(数据过境)[18];
(3)未被相干部门、地区见知或者公劝诱布为过失数据的[19];
(4)向境外提供个东说念主信息(不包括过失数据)安静以下条件的[20]:
为缔结、履行个东说念主行为一方当事东说念主的合同所必需,如跨境购物、跨境汇款、机票货仓预订、签证办理等,必须向境外提供个东说念主信息的; 按照照章制定的办事礼貌轨制和照章签订的集体合同实施东说念主力资源守护,必须向境外提供里面职工个东说念主信息的; 伏击情况下为保护当然东说念主的人命健康和财产安全等,必须向境外提供个东说念主信息的; 要津信息基础门径运营者除外的数据处理者自曩昔1月1日起累计向境外提供不悦10万东说念主个东说念主信息(不含明锐个东说念主信息)的。(5)自贸区自行制定的负面清单除外的数据出境(负面清单需报网信委批准后,报国度网信部门备案)。
3. 数据出境安全评估经过
左证《数据出境安全评估办法》的相干端正,数据处理者向境外提供在我国境内运营中网罗和产生的过失数据和个东说念主信息的安全评估经过如下:
4. 缔结个东说念主信息出境程序合同经过
左证《个东说念主信息出境程序合同办法》的相干端正,个东说念主信息处理者与境外招揽方缔结个东说念主信息出境程序合同与备案的经过如下:
5. 个东说念主信息保护认证经过
左证《个东说念主信息保护认证实施规则》的相干端正,对个东说念主信息处理者开展个东说念主信息网罗、存储、使用、加工、传输、提供、公开、删除以及跨境等处理行动进行认证的经过如下:
四、数据出境合规建议
波及数据跨境传输的境外投资并购容颜,举例需向位于境外的研发设想中心、测试实验中心传输数据,需向位于境外的关联公司传输职工或客户个东说念主信息进行分析处理,需向境外的供应商、客户传输数据完成委用等,对于潜在的数据合规风险,企业不错洽商汲取如下步调来搪塞。
1. 尽责考核阶段
(1)彭胀数据合规情况考核畛域:除明晰解野心商场数据合规法则要求外,还应考核野心公司、关联公司、供应商和客户的数据合规现实情况,包括:是否设立了数据出境守护轨制;是否制定了数据出境策略;是否汲取了必要的数据安全保障步调;是否存在数据泄露或违纪事件纪录。
(2)评估数据出境风险:综合洽商野心商场数据合规环境、野心公司数据合规现实情况、数据出境的宗旨、情势和畛域等身分,评估数据出境可能濒临的风险,举例:数据泄露风险;数据被非法获取或使用的风险;数据被用于非法宗旨的风险。
(3)制定尽责考核策动:左证数据出境风险评估终端,制定针对性的尽责考核策动,明确考核重心和本色。
2. 来回结构设想阶段
(1)采纳合适的数据出境情势:左证数据出境风险评估终端和野心商场数据合规要求,采纳合适的数据出境情势,举例:赢得数据主体明确喜悦的数据出境;在野心商场成立数据处理机构进行土产货存储;与境外招揽方签订数据转让公约;使用经过认证的安全数据传输本事。
(2)洽商成立特地宗旨公司:在条件具备的情况下,不错洽商成立特地宗旨公司(SPV)来安静数据出境要求。SPV应成立在数据合规环境高超、数据保护水平较高的国度或地区。
(3)设想数据安全保障步调:在来回结构设想阶段,应连合数据出境情势,设想必要的数据安全保障步调,举例:数据加密;数据走访权限适度;数据安全审计和评估。
3. 文献草拟谈判阶段
(1)在付款条件中加入数据合规要求:将完成数据跨境合规陈诉义务行为阶段性付款的前提条件之一,督促所在公司履行数据合规义务。
(2)在交割条件中加入数据合规要求:将完成数据跨境合规陈诉义务行为容颜交割前提条件之一,确保数据出境合规风险得到有用适度。
(3)在诠释与保证条件中加入数据合规承诺:明确所在公司应在数据合规方面澈底战胜适用法律的端正,并对相干诠释和保证承担使命。
(4)在抵偿条件中加入数据合规使命条件:明确因数据跨境合规给中国投资方形成升天的抵偿使命,并商定损左计计方法和抵偿情势。
4. 其他建议
(1)加强数据合规培训:提高企业职工对数据合规法则的剖析,并加强职工的数据安全培训,提高职工的数据安全意志和防护材干。
(2)设立数据泄露事件救急预案:制定谨防的数据泄露事件救急预案,明确救急劝诱机构、使命东说念主员、处置经过等,并按时进行演练,确保在发生数据泄露事件时省略马上有用地作念出响应。
(3)温雅数据合规法则变化:企业应长远计议并了解业务所波及的总共国度或地区的秘籍和数据保护法律,密切温雅数据合规法则的最新发展,并实时治疗企业的数据出境策略和步调,确保耐久合适最新法律法则要求。
(4)建议企业按时进行里面或外部的数据保护合规审计,确保数据处理行动合适法律法则要求。建议企业保抓数据处理行动的谨防纪录,包括数据走访、处理和调度的日记,这些纪录应足以讲授企业战胜了数据保护法则的要求。此外,建议企业与监管机构设立高超的疏通渠说念,确保在濒临合规性问题时,省略马上赢得专科的接头和教导。
至极声明:
大成讼师事务所严格战胜对客户的信息保护义务,本篇所涉客户容颜本色均取自公开信息或取得客户喜悦。全文本色、不雅点仅供参考,不代表大成讼师事务所任何态度,亦不应当被视为出具任何容颜的法律意见或建议。如需转载或援用该著述的任何本色,请私信疏通授权事宜,并于转载时在著述开端处注明来源。未经授权,不得转载或使用该等著述中的任何本色
好意思国数据欧盟个东说念主处理者发布于:北京市声明:该文不雅点仅代表作家本东说念主,搜狐号系信息发布平台,搜狐仅提供信息存储空间服务。