本文是兰迪律师事务所的陈梦园律师在2月11日上海沙龙上对数据跨境合规路径及落地方案的分享,从分析企业赴境外上市实际案例入手,引出中国的数据跨境监管要求:既要关注个人信息安全,更要维护国家安全。
一、中国的数据跨境监管
1. 基于所实施数据合规项目,归纳了常见的数据出境业务场景:
1) 跨国公司的大中华区使用部署于境外总部的系统,例如SAP、CRM、财务和人力资源系统,进行日常运营;
2) 中国企业出海,于境外设立分支机构,需要采集国内个人信息进行业务闭环,例如电商发货;
3) 基于商业或学术目的,中国企业同境外机构进行数据共享,例如基于疾病研究需要,共享中国癌症患者的基因数据;
4) 中国企业因客户要求或业务需要,采购了境外系统或其他IT服务,从而委托境外IT服务方进行数据处理。
2. 企业可以先通过数据出境场景自查明确后续工作,基于实务经验后续往往有以下四种情况:申报数据出境安全评估、需签署《个人信息出境标准合同》或进行“个人信息跨境处理活动安全认证”、落入特殊监管范畴(如涉及出口管制、人类遗传资源信息等)/不属于“数据出境”场景。
自查中,需要重点关注重要数据、个人信息和敏感个人信息的认定,也要关注不同行业监管下的重要数据定义和相应数据出境义务(例如本地化存储、备案等),例如汽车行业的汽车数据安全管理若干规定(试行),以及医疗健康行业的《中华人民共和国人类遗传资源管理条例》和《医疗卫生机构网络安全管理办法》等。
3. 数据出境实务流程概览:数据出境场景自查和梳理、合规差距分析、整改、数据处境风险自评估、材料申报。
二、欧盟和东南亚各国数据跨境监管
继欧盟GDPR之后,东南亚各国也针对数据跨境传输发布了各项监管要求,关注重点方向基本一致:保障个人信息主体在发生数据跨境传输时其受到的实质保护水平不低于本国的要求;以及对于个人信息主体的权益保护。
总体而言,中国企业在业务出海之前,不仅应当针对拟出海地区的相关数据合规法律要求进行事先的调查与研判,还需要综合考量地缘政治和市场规模。另外,如何基于准确的法律调研结果,将数据合规落实到实际操作层面,也需向当地相应的业务主管部门和技术架构部门进行详尽的沟通,形式合规与实质合规缺一不可。
文字整理:肖欣广
嘉宾介绍
陈梦园
先后毕业于南京师范大学计算机科学与技术学院及厦门大学知识产权学院,执业领域为网络与数据法、知识产权。拥有专利代理人资格,曾为多家知名电商企业、游戏巨头企业、世界五百强企业、智慧物流运输平台、互联网企业、数据公司提供过知识产权、网络与数据合规法律服务。
作者:陈梦园 出处:DAMA数据管理
数据跨境相关内容推荐:
Zed行业 | 跨境数据流通合规看过来 数据要素化系统与跨境数据中心建设并举
白皮书以跨境数据流通线下合规与线上技术解决方案相结合为特色,探索用技术手段实现跨境数据的高效流转,也是跨境数据流通技术解决方案的首次集中展示。