首页 > 分享 > GDPR视角下中国企业出海的数据合规问题

GDPR视角下中国企业出海的数据合规问题

花匠小妙招
2024-11-09 03:30

近年来，全球各国开始重视对数据和个人信息保护，越来越多的国家进行数据立法，数字经济领域的执法力度也越来越强。我国数字化发展能力也逐渐增强，已成为世界数据资源大国之一。数据合规是今天出海企业需要重点关注的问题。

对于出海，通常的理解是，国内的企业将自身的业务伸向海外。“数据出海”是指数据主体将造成或者可能造成国内数据主体受到实质影响的“数据”提供给境外的行为。提供数据的数据主体既包括以国内企业为主的数据处理者和控制者，也包括为获取服务将个人数据提供给境外数据处理者或控制者的国内公民。

需要特别注意的是，即使中国企业将所有数据存储在国外服务器上，但在国内保留技术人员并时不时查看数据，也被视为数据出境的场景。

本文将回顾欧盟的立法、监管与执法动态，展望未来出海合规要点。

欧盟地区数据保护法规与适用范围

欧盟地区拥有大量跨国公司，由于经济往来频繁，跨国公司携带国内数据出海的现象早有发生，针对跨境数据流动问题的立法相对完善、执法案例也较为充分。

欧盟在2016年通过了史上最严格的数据法律《通用数据保护条例》（GDPR），并于2018年正式实施，由此掀起了数据合规热潮。GDPR不仅内容详实，处罚力度也非常严格，罚款金额最高可达近100万亿人民币。比如2023年5月22日，爱尔兰数据保护委员会（Data Protection Commission，DPC）宣布对Meta Platforms Ireland（Meta爱尔兰）采取执法行动，对其处以创纪录的12亿欧元罚款，这也是GDPR实施近五年以来的最高罚款。

2024年1月11日，《关于公平访问和使用数据的统一规则的条例》（Regulation on Harmonised Rules on Fair Access to and Use of Data）（Data Act，以下简称“《数据法案》”）生效，相关义务于2025年9月12日起适用，届时，出海欧盟的物联网、云服务等相关产业实体将面临一系列的合规义务。

企业出海时，首先要调整的一个认知误区就是“我在xx国家没有设立公司主体，我就不用遵守当地的数据合规保护法”，但以GDPR为例，根据GDPR第3条的约定，其适用范围：

• 设立在欧盟内主体

• 设立在欧盟之外，只要其向身处于欧盟境内的数据主体提供商品、或可能处理数据主体发生在欧盟内的行为所产生的数据，即受到GDPR的管辖。

因此，当企业本身并未在欧洲设立公司，但如果企业的服务已经覆盖到了欧盟范围、拥有欧盟地区的用户，甚至进一步会收集、处理欧盟地区用户所产生的各类数据内容，那就会收到相应的监管。

国内法规对企业出海业务也有明确的规定

我国目前规制国内企业数据出海的立法框架以《网络安全法》《数据安全法》和《个人信息保护法》三部法律为顶层制度设计。

2016年发布的《中华人民共和国网络安全法》（以下简称“《网络安全法》”）在第三十七条对关键信息基础设施运营者的数据出海活动设立了“数据本地化存储”规制，具体而言，如企业属于运营能源、交通、金融等重要行业领域网络设施或信息系统的主体，其收集的数据原则上应当在境内存储，例外情况下才可以经安全评估后出海，2017年评估办法，又对数据出海的评估对象、方式和标准等相关问题作出初步解释。

2021年11月1日正式实施的《中华人民共和国个人信息保护法》（以下简称“《个人信息保护法》”）专章规定了跨境流动个人信息需要遵守的规则，在资质条件、告知程序等方面对个人信息处理者作出规制，而且又一次强调关键信息基础设施运营者的数据出海活动要进行安全评估。

《数据出境安全评估办法（征求意见稿）》和《网络数据安全管理条例这两部规范对数据出境安全评估和网络数据安全管理作出了非常详尽的规定。

2023年9月28日，国家互联网信息办公室发布的《规范和促进数据跨境流动规定（征求意见稿）》大幅调整了数据出境评估备案工作的适用标准，实质性豁免了具有强出境必要性以及仅涉及少量个人信息出境的数据出境场景的评估备案义务，大大降低了企业的合规成本。

中国企业出海合规建议

1、梳理清楚内外部合规要求的梳理。包括：目标国法律适用性分析等。通过对于目标国法律法规内容的研究，梳理出与企业出海业务关联度较高的法律、重点法条、案例，以及目标国在重点领域的法律规定、行业规则等政策，并结合相关案例分析该等监管政策对企业出海业务的影响。

2、企业在获得数据主体的同意并与接收数据的企业签订标准的数据保护合同后进行合法的数据传输，但要避免一揽子同意的情形。如前文所说，META正是因违规将欧盟用户数据传输到美国，才被处以12亿欧元的高额处罚。

3、加强数据加密和隐私保护。核查自身是否以清晰、简单、明了的语言告知数据主体，包括但不限于保留个人数据期限的标准、个人信息跨境传输的目标国家和为确保跨境传输合规所采取的合规措施等。2024年1月31日，荷兰数据保护机构（AP）宣布了其于2023年12月11日发布的决定，对UberTechnologiesInc.和UberB.V.（以下统称Uber）处以1000万欧元的罚款，原因是Uber没有采取足够的措施确保数据主体理解所提供的信息，只提供了一般性条款，而没有提供明确的信息，未能让数据主体有机会确定他们可以获得哪些保障。

4、其他符合GDPR要求的相关措施。不同行业因业务模式不同收集的信息不同，所需要采用的合规措施有所不同。所以需根据行业及公司的具体情况判定采取何种具体的合规措施。