近年来,对数据保护和隐私违规的监管力度显著增强,企业常因非法处理、传输或存储数据,以及超出合同范围处理个人信息而受罚,这些违规行为往往导致高额罚款。目前,爱尔兰、荷兰、韩国等地在数据保护法规的执行上尤为严格,显示出对数据安全的高度重视。
全球数据跨境违规频发揭示了三大问题,一是目前虽有 GDPR、韩国个人信息保护法、《中华人民共和国个人信息保护法》等相关法律法规,但各国和地区执行标准及执法力度的不统一、管辖权冲突等原因,导致违反数据保护法律成为常态。
二是合规意识不足与安全措施不完善问题突出,企业未意识到数据跨境流动需要遵循各国法律,导致可存储数据范围认知不清而遭受处罚。弱防护机制引起数据泄露的状况频发,影响数据跨境流动的安全性。
三是企业在追求商业利益时易忽视数据保护,而合规要求的满足又可能增加运营成本,因此数据保护与运营成本之间的平衡成为难题。忽略了以上问题,会给企业带来严厉的违规处罚。
一、全球数据跨境违规案例启示
1、未按照当地监管规定收集数据
未经用户同意的信息泄露、未明确数据处理合同的签订、数据的过度及无限期存储、敏感数据的收集等行为,均遭受了严厉的法律制裁。因此,建议国内企业在加强跨境数据流动的顶层设计与整体规划时,深入借鉴这些国际案例,清晰划定数据跨境传输的合法界限,并设定严格的法律责任,以确保数据主体的权益获得全面保护。
2、未持续跟进国际数据监管动态
涉及的罚款数额高达数百万乃至数十亿欧元,这彰显了各国监管机构对违规行为的零容忍态度。建议企业的合规部门加大对跨境数据传输活动的监管力度,构建有效的监测与预警体系,及时发现并警示违规行为,防微杜渐。
3、未规范合规流程和明确责任
建议企业汲取教训,建立健全跨境数据传输的合规管理体系,明确数据传输的合规标准、操作流程及责任归属,确保数据传输活动始终符合法律法规的要求。同时,加强与境内外监管机构的沟通协作,及时掌握监管动态,确保企业的合规运营。
4、未对敏感个人信息特殊保护
对于数据泄露及未经同意的敏感数据收集问题,建议企业积极采用区块链、云计算等前沿技术,实施严密的数据加密、访问控制及安全审计措施,特别是对敏感数据要实施重点保护,以确保跨境传输数据的安全无虞。同时,与境外合作伙伴签订详尽的数据保护协议,明确双方在敏感数据及其他数据保护方面的权责。
5、未征得数据跨境用户明确同意
而未经用户同意的数据收集与使用行为,建议企业充分告知用户数据跨境传输的相关情况,并征得用户的明确同意。同时,简化用户退出流程,完善用户同意机制,切实保障用户的信息权益。
二、各行业清单规制要点及异同
从数据跨境流动的制度来看,天津、上海、北京、广东、浙江、江苏、福建自贸区与海南自由贸易港等地均出台了有关跨境数据流动的制度指引,但仅有天津、上海、北京、福建地区的相关制度文件中通过配套清单的方式对智能网联汽车、公募基金、生物医药等重要行业或自贸区内主要行业的数据跨境流动规则进行列举,细化了数据跨境流动的行业要求。各地所采用的清单形式有所不同,各行业在数据跨境流动规制要点及各城市的异同点简要归纳如下。
1、汽车行业
数据跨境流动规制要点:
① 关键基础设施领域的相关数据、有关国家安全、公共利益的数据以及涉及国家秘密的数据、核心数据等按照其单独规定执行,不适用自贸区内促进数据跨境流动的相关制度;
② 汽车行业中有关个人信息的数据按照个人信息出境的相关规定执行,或要求相关企业将其进行匿名化处理,并达到无法识别特定自然人标准后方可适用自贸区内的一般数据出境规则。
相同点:三地均对智能汽车数据的跨境流动进行严格管理,强调对敏感数据和个人信息的保护,并要求数据跨境流动需经过合规评估(如安全评估、备案、合同备案等)。
不同点:
① 清单形式不同:天津和北京采用负面清单形式,明确列出需评估的敏感数据;上海则采用一般数据清单,列出可自由流动的场景和数据类型;
② 敏感数据的范围不同:天津和北京对军事、党政机关等敏感区域的数据有严格的控制,而上海则主要关注生产和研发数据,且要求不涉及个人信息;
③ 合规出境方式不同:天津和北京强调严格的数据安全评估程序,上海则提供了相对灵活的备案方式。
2、生物医药行业
数据跨境流动规制要点:
① 医疗和生物安全相关数据:各地自贸区均明确规定,涉及国家安全、生命安全以及生物安全等敏感数据(如遗传资源数据、药品实验数据、公共卫生数据等)应按特殊规定执行,不能随意跨境流动。这类数据通常被视为重要数据,并且需要通过数据出境安全评估等严格的合规流程;
② 个人医疗信息管理:生物医药行业中涉及到大量患者、受试者的个人信息(如电子病历、健康档案、临床试验数据等),各地自贸区清单普遍强调,对于这类个人信息的跨境流动,必须遵循个人信息出境的相关法律法规。具体而言,需要满足数据出境安全评估,或签订个人信息出境标准合同,并且符合个人信息保护认证等合规要求;
③ 匿名化处理要求:特别是在一些研究或药品试验场景下,涉及的个人数据(如临床试验数据、药物警戒数据等)通常要求进行去标识化处理,即数据必须在传输前去除任何可能识别特定自然人的信息,以确保个人隐私的保护;
④ 人类遗传资源的跨境流动:对于涉及基因数据或人类遗传资源的数据,各地均要求遵循《人类遗传资源管理条例实施细则》等法规,履行相应的出境合规义务。此类数据流动通常需要特殊批准程序,且不适用一般的数据出境规则;
⑤ 生物医药数据的特殊监管:在上海,与生物医药相关的企业,如从事药品研发、医疗器械不良事件监测的企业,依据一般数据清单可以较为灵活地跨境流动数据,但前提是数据不涉及个人信息。相比之下,天津和北京的清单则更加严格,要求涉及个人信息或重要数据的流动时,必须遵循严格的出境审查程序。
相同点:三地都对生物医药行业的数据跨境流动进行了严格的规定,特别是对涉及个人信息、遗传资源、药品实验数据等敏感数据的管理要求,强调通过数据出境安全评估或其他合规措施进行跨境流动。
不同点:天津和北京强调负面清单的方式,具体列举了需要审查和评估的敏感数据,而上海则采用了一般数据清单,并允许符合条件的数据在备案后自由流动;天津和北京更注重对涉及敏感群体数据、药品实验数据等的详细管控,而上海则更多侧重于去标识化数据的流动,且对个人信息的要求更为宽松。
3、金融行业
数据跨境流动规制要点:
① 关键领域数据的特殊管理:各地自贸区对金融行业涉及的重要数据如银行安保数据、保险理赔数据、融资租赁数据等都提出了严格的管理要求。此类数据通常与国家安全、银行安全、重大设施安全等相关,且一旦泄露可能带来严重影响。因此,相关数据的跨境流动需依照特别规定进行管理,通常需要通过数据出境安全评估来完成合规审查;
② 个人信息的管理:金融行业涉及大量敏感的个人信息(如银行客户数据、保险理赔数据等),各地清单明确要求,当个人信息(尤其是大规模的数据泄露)可能威胁到客户安全时,必须遵循个人信息出境的法律要求。根据泄露数据的规模(如 100 万以上客户数据),相关企业需进行合规的数据出境安全评估,或通过个人信息标准合同备案等方式来完成合规流程;
③ 不同地区的细化规定:在天津,清单详细列出了金融行业的数据类型,并强调重要数据的跨境流动需要根据安全评估进行审查;在上海,金融行业数据跨境流动的监管更侧重于不涉及个人信息的数据,如市场研究和内部管理场景的数据,可以按一般数据清单进行流动;而在北京,目前未针对金融行业的具体数据跨境流动进行细化规定,可能需要根据其他相关的行业管理办法来确定;
④ 数据清单与行业场景的适用性:不同地区的自贸区采取了不同的清单形式,天津使用了负面清单形式,强调重要数据的严格管控;上海则使用了较为宽松的一般数据清单,允许不涉及个人信息的数据在特定条件下自由流动。
相同点:天津、上海、北京都注重对金融行业数据跨境流动的管理,尤其是对重要数据和个人信息的流动提出了合规要求,尤其在涉及敏感数据时,要求进行数据出境安全评估等合规程序。
不同点:天津和上海对金融行业的数据流动有不同的规定:天津注重细化对银行、保险、融资租赁等敏感数据的管理,而上海则对市场研究和内部管理数据等较为一般的数据流动提出要求,侧重宽松管理;北京未对金融行业数据流动做专门规定,金融机构需要参考行业主管部门的相关要求来确保合规。
4、交通行业
数据跨境流动规制要点:
① 关键基础设施领域的特殊数据管理:对于涉及交通行业的关键基础设施数据,如铁路、民航、水路交通等领域的控制类数据、线路图、关键站点等,一旦涉及国家安全、生产安全等重大风险时,必须按照单独的规定进行管理。这些数据通常需要通过数据出境安全评估来确保其流动不对国家安全、公共利益等造成潜在威胁;
② 个人信息数据的管理:交通行业涉及大量的个人信息,尤其是与航空、铁路等领域相关的乘客、驾驶员信息等。对于这类数据,必须遵循个人信息出境管理的相关规定。若涉及大量个人信息(例如 500万人以上的个人信息),需要通过合规的数据出境安全评估,或通过个人信息标准合同备案、个人信息保护认证等方式进行出境;
③ 不同行业监管颗粒度的差异:北京自贸区的清单侧重于对民航领域的规定,明确了航空器相关的飞行记录器、驾驶舱语音记录器等重要数据的管理;而天津自贸区的清单则扩大了监管范围,涵盖了铁路、公路、城市交通等多个领域,进一步加强了对可能影响生产安全和社会稳定的数据类型的监管;
④ 细分数据类型的处理要求:在一些清单中,明确列出了特定场景下的数据类型(如航运数据、控制类数据、未公开线路图等),并强调这些数据一旦泄露或被篡改可能造成严重的交通事故或社会影响,因此,需要特别监管和严格控制其跨境流动。
相同点:北京和天津都采用了负面清单的方式,严格管理交通行业中的重要数据和个人信息的跨境流动,要求通过数据出境安全评估等合规措施。
不同点:北京的规定集中于民航领域,主要关注飞行数据记录器、驾驶舱语音记录器等与航空事故相关的细分数据;天津的监管范围更广,涵盖了多个交通领域,包括铁路、公路、水路等,还关注施工建设、交通关键设施等数据的流动,涉及的领域比北京更加多元化。
5、电商及服务行业
数据跨境流动规制要点:
① 关键数据领域的特别管理:对于涉及国家安全、公共利益以及关键信息基础设施的数据,各地清单都有专门的管理要求。这些数据需要遵循特定的出境管理规定,并通过数据出境安全评估等程序进行监管,确保不会对国家安全或公共利益造成潜在风险;
② 个人信息保护要求:跨境电商及服务行业涉及大量消费者的个人信息。因此,相关数据的跨境流动需要严格遵守个人信息出境的相关法律规定。在某些情况下,企业需要对数据进行匿名化处理,确保在数据传输过程中无法识别出特定自然人,或者通过个人信息标准合同备案、个人信息保护认证等方式确保数据流动符合合规要求;
③ 不同地区的监管差异:不同自贸区的清单对数据跨境流动的监管细节有所不同。福建自贸区的清单侧重于跨境电商的数据场景管理,规定了诸如商品管理、订单管理、供应链物流等场景下的数据类型,并强调在跨境流动时不得涉及可识别特定个人的数据。北京自贸区的清单则更侧重于零售和现代服务业的企业,规定了个人信息达到一定数量的情况下需履行合规出境义务。天津自贸区的清单则在此基础上强调了互联网平台数据的监管,尤其是在涉及具有社会动员或舆论影响力的数据时,需通过数据出境安全评估;
④ 灵活的合规出境方式:在跨境电商及服务行业数据流动中,符合特定要求的数据可以通过备案、风险评估或标准合同备案等方式完成出境。在某些地区,特定数据的流动可以通过平潭自贸片区的备案程序进行简化处理。
相同点:天津、北京、福建的清单都关注个人信息的保护,并且要求数据跨境流动需要符合相应的合规要求,如数据出境安全评估、标准合同备案或个人信息保护认证。另外,均对现代服务业或零售行业及跨境电商等行业中的数据流动进行监管,确保数据跨境时符合国家安全、公共安全的要求。
不同点:天津和北京较为侧重于零售、互联网服务行业和互联网平台的数据流动,特别是在个人信息的保护上有较强要求;福建专注于跨境电商领域,并强调数据中不得识别到个人,并在合规出境方式上提供了更加灵活的风险评估备案方式。
三、重点行业数据出境管理特点
首先,各自贸区对行业或领域数据的监管多因自贸区内的行业类型不同而有所侧重,对于自贸区内主要行业类型所涉及的数据跨境活动,各地均采取更为审慎的监管态度,在清单中较为详细的列举相关数据类型以及数据出境的相关要求。例如平潭自贸区侧重于对旅游数据、电商数据、船舶数据等的监管,上海自贸区则侧重于对金融、生物医药以及智能汽车等行业数据的监管。
其次,无论各自贸区采取何种清单设置方式,均在清单中明确对涉及国家安全、公共安全、关键基础设施、个人信息等的数据出境活动采取审慎态度,企业需依照相关法规履行数据出境义务。
最后,对数据跨境流动实施分类分级监管。跨境流动数据丰富多样,安全等级层次不一,相关监管绝不能“一刀切”,而是要建立政府主导、多方参与的数据分类分级监管机制。这样,才能有效维护我国的数据主权与数据安全,同时保障数字贸易的正常开展,实现统筹兼顾、多元共治的目标。
一方面,应当对数字贸易中所涉及到的数据进行分类与标记,以数据的敏感性和重要性为依据,区分不同类型数据的安全级别,赋予不同的监管强度。
- 对于涉及到我国国家安全的重点领域,例如银行、电力、通信、医疗等关键行业部门的数据,应该实施高等级的数据跨境流动限制,将数据存储在国内数据中心以实施严格的数据监管;
- 对于我国企业经营活动所产生的数据跨境,如不涉及到经济命脉以及国家安全,应该放宽监管限制,支持和促进数据的跨境自由流动;
- 如果企业经营活动产生的数据跨境涉及到个人信息、政府信息等较为敏感的数据,则需根据所涉数据的敏感等级进行相应的脱敏处理后再准许数据跨境流动。
另一方面,有必要建立健全重要数据识别和目录备案,确定各地区、各部门以及相关行业、领域的重要数据具体细则,分行业对重要数据进行管理,压紧压实企业数据安全保护主体责任,充分发挥行业协会、科研机构、安全企业等作用,合力筑牢作为新型生产要素的数据安全保障。
我们在《2024 数治全貌大公开:超热门政策与实务建议一网打尽》一篇里给出数据出境政策指引和实务建议,再去深入领会指南中的有关基本原则、适用范围、管理要求,学习管理办法里的审批程序、监管要求、法律责任,以及掌握方案和手册的具体操作步骤、注意事项、风险提示等内容,在进行数据全生命周期管理时能够严格遵守,避免触碰法律红线。
来源:本文摘编自《跨境数据流通合规与技术应用白皮书(2024)》,开放群岛开源社区跨境数据流动小组,CCBY-NC-SA4.0
