前言
美国最近动作连连,围堵之下,TikTok首席执行官周受资于当地时间3月23日出席在美国国会举行的听证会。此前,美国国会众议院外交事务委员会通过《威慑美国技术对手法案》(Deterring Americas Technological Adversaries Act,简称DATA法案),剑指TikTok,该法案将授权美国总统拜登在全美全面禁用TikTok。本文旨在通过TikTok事件获取跨境企业数据出境相关启示。
✨温馨提示:
文末附《数据出境法规标准汇编》,全面且系统,如有需要,可自行获取!
1
焦虑的跨境企业
这并不是美国对TikTok的初次威胁,而是一而再的步步紧逼。
2020年7月22日,白宫曾以国家安全为由强制TikTok出售股权给微软,后因我国更新“禁止出口技术目录”,明确限制出口“基于数据分析的个性化信息推送服务技术”,被字节拒绝,制裁不成反被诉。
时隔两年,风波再起。
TikTok遭遇英美、新西兰、加拿大、欧盟、日本等多个国家和组织的“围追堵截”。其中,美国施加的罪名就是“TikTok可能向中国政府泄露美国用户的个人隐私数据”。
然而,美国多数互联网巨头也因“把欧洲数据传回美国”被欧洲罚过。抛开政治因素,这意味着,掌握大量数据的跨境企业都可能面临着数据合规难题。
2
TikTok的数据合规措施
数据出境活动主要包括向境外传输与境外访问两种,前者是指数据处理者将在境内运营中收集和产生的数据传输、存储至境外的情形,后者是指境外的机构、组织或者个人可以访问或者调用数据处理者收集和产生并存储在境内的数据。TikTok被质疑的数据出境活动主要是后者——美方将矛头指向“中国政府访问数据的权力”。
TikTok合规问题主要集中在两个方面。一方面,TikTok拥有庞大的用户数据库,美国人口3亿多,TikTok用户占据近50%,其中不可避免涉及大量的社交关系、个人信息乃至个人隐私,如何保护这些敏感数据不被未授权的人员、机构获取,成为了数据出境合规的核心问题。另一方面,TikTok的总部位于中国,这意味着其数据可能受到不同国家的法律法规约束,企业需要在此基础上制定合规策略,确保数据的出境符合相关法规。
对此,TikTok采取了一系列合规措施:
1.立足当地法律,保护美国用户数据和系统的独立性,分割TikTok和抖音,进行数据库拆分以满足法律要求;
2.实现数据本地储存,推出“德克萨斯计划”(Project Texas),将美国所有用户数据存储于美国甲骨文的云基础设施,以保护数据安全;
3.实施第三方监测、审查和验证措施,美国政府和外国投资委员会CFIUS可以审阅其所有信息。
美国显然并不满足于此。
3
企业跨境数据合规重点关注地区
不止是美国,数据跨境合规,实质是一个全球性命题,而规范数据跨境管理的目的就在于维护国家数据主权。对此,企业跨境数据合规关注的重点地区和国家为欧盟和美国。
欧盟主要凭借《通用数据保护条例》(GDPR)规范数据跨境行为,并设专章规定了个人数据向第三国或者国际组织传输的规则,主要是三种途径:
第一种,充分性认定,即白名单模式,通常要求作为传输目的地的第三国或国际组织拥有负责数据保护的独立监管机构或加入与数据保护相关的多边关系、区域体系;
第二种,采取适当保障措施,包括但不限于签订标准合同(SCC)、制定约束性企业规则(BCR)以及其他经核准的措施,对此,一般企业采用标准合同条款即可、跨国公司可考虑采用约束性企业规则;
第三种,适用“减损”规则,即获得数据主体同意、履行在先合同义务所必要、为了实现公共利益等,实际上属于豁免,这种方式主要适合企业传输数据行为所涉数据主体规模较小、次数较少且是必要的情况,此类行为同时需要遵从知情同意、正当必要等GDPR基本原则。
美国主张个人数据跨境自由流动,《隐私框架》、自由贸易协定(FTA)谈判、《跨境隐私规则体系》都体现了“促进数据跨境自由流动”的宗旨,但对关键领域数据采取外商投资安全审查、出口管制等手段限制数据跨境。
其中,美国《国家安全和个人数据保护法案2019》(NSPDPA,尚未生效)对于美国用户数据出境做出了明确限制,要求禁止与法案定义的关注国进行“数据传输”或“数据储存”活动。而在法案中,关注国是指中国,俄罗斯和其他由美国国务院所认定的在保护数据隐私和安全方面值得关注的国家。
2023年3月初,美国国会提出了一项法案,该法案将授权商务部长在外国技术和公司对国家安全构成威胁时禁止它们在美国运营,其措施涵盖了包括中国在内的多个国家的公司。该系列法案一旦通过,中美间的数据流动将被最大限度的阻隔。
4
跨境企业合规路径的选择
透过TikTok事件,在这场利益博弈背后,我们更要关注到其中对我国跨境数据治理提出的挑战。与上述国家、地区相比,我国在数据跨境治理采取相对保守的策略,更多的是强调本地化储存,以往关于数据跨境的规定散见于各法律法规,这增加了出海企业在数据合规方面的不确定性,亦使其难以在国际纠纷中有效保护合法权益。
随着《个人信息跨境处理活动安全认证规范》、《数据出境安全评估办法》和《个人信息出境标准合同办法》等陆续出台,目前,我国数据出境主要有三条路径:开展个人信息保护认证;开展数据出境安全评估;签署个人信息出境标准合同。企业应当根据企业定位(是否关键信息基础设施运营者“CIIO”)、出境数据类型及所涉数据规模等因素综合判断选取合适的数据出境合规路径。
1.
开展个人信息保护认证
(1)适用主体:
申请认证的个人信息处理者,需取得合法的法人资格,正常经营且具有良好的信誉、商誉;跨国公司或者同一经济、事业实体下属子公司或关联公司之间,由境内一方申请认证;《个人信息保护法》第三条第二款规定的境外个人信息处理者,由其在境内设置的专门机构或指定代表申请认证。(即在境外处理我国境内自然人个人信息,且以向境内自然人提供产品或者服务为目的;或分析、评估境内自然人的行为;或法律、行政法规规定的其他情形。)(2)基本要求:
具有法律约束力的文件:开展个人信息跨境处理活动的双方应签订具有法律约束力和可执行的文件。组织管理:a)个人信息保护负责人。由开展个人信息跨境处理活动的双方指定,应具备个人信息保护专业知识和相关管理工作经历,由本组织的决策层成员担任。b)个人信息保护机构。双方均应设立,履行个人信息保护义务,防止未经授权的访问以及个人信息泄露、篡改、丢失等,并在个人信息跨境处理活动中承担相应职责。个人信息跨境处理规则:开展个人信息跨境处理活动的双方应约定并共同遵守同一个人信息跨境处理规则。个人信息保护影响评估:个人信息处理者应开展个人信息保护影响评估,并形成评估报告,评估报告至少保存3年。(3)认证流程:
个人信息保护认证的认证模式为:技术验证+现场审核+获证后监督。
认证委托:个人信息处理者按照认证机构要求提交委托资料,后者确定认证方案。技术验证:技术验证机构按照认证方案实施技术验证,出具技术验证报告。现场审核:认证机构实施现场审核,出具现场审核报告。认证结果评价和批准:认证机构结合委托资料、技术验证报告、现场审核报告,符合认证要求的,颁发认证证书;暂不符合认证要求的,限期整改,整改后仍不符合的,书面通知认证委托人终止认证。获证后监督:有效期内,认证机构按合理的频次进行持续监督,并对获证后监督结论和其他相关资料信息进行综合评价。2.
开展数据出境安全评估
(1)适用主体:
数据处理者向境外提供重要数据;关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;国家网信部门规定的其他需要申报数据出境安全评估的情形。(2)评估内容:
数据出境的目的、范围、方式等的合法性、正当性、必要性;境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求;出境数据的规模、范围、种类、敏感程度,出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险;数据安全和个人信息权益是否能够得到充分有效保障;数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务;遵守中国法律、行政法规、部门规章情况;国家网信部门认为需要评估的其他事项。(3)评估流程:
根据《安全评估办法》,数据出境安全评估应按照以下流程进行:
事前开展数据出境风险自评估;申报数据出境安全评估;国家网信部门开展评估;评估结果:评估通过、重新评估和终止出境。对评估结果有异议,可在15个工作日内向国家网信部门申请复评,复评结果为最终结果。
3.
签署个人信息出境标准合同
(1)适用主体:
个人信息处理者通过订立标准合同的方式向境外提供个人信息应当同时符合下列情形:
非关键信息基础设施运营者;处理个人信息不满100万人的;自上年1月1日起累计向境外提供个人信息不满10万人的;自上年1月1日起累计向境外提供敏感个人信息不满1万人的。(2)评估内容:
个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;出境个人信息的规模、范围、种类、敏感程度,个人信息出境可能对个人信息权益带来的风险;境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全;个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等;境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响;其他可能影响个人信息出境安全的事项。(3)订立流程
可以看到,在以上三种路径中,个人信息保护影响评估(PIA)都是其中的重要环节,《个人信息保护法》明确要求境内处理者在个人信息出境前应开展PIA。PIA的评估内容主要包含了以下几方面:处理目的与合法性基础,告知与同意,数据全生命周期,个人权利响应及安全保障措施。这些内容涉及法律、业务、技术等多个领域,其中或许包括如金融数据、人类遗传资源信息等特殊的数据类型。在实际操作过程中,评估内容往往较为复杂,而且可能涉及多个领域,导致沟通成本较高,难以有效识别风险。
对此,iLaw特别开发了PIA系统——LawTrust风险评估系统,基于企业处理个人信息场景的评估管理,通过内置融合了法律和业务特点的模版与风险信息,全面识别个人信息处理合规风险。系统设计贯穿PIA/DPIA评估全流程,包括:风险盘点、风险评估、风险等级判定、风险处置及追踪、一键生成评估报告、报告在线发布等,实现端到端的合规风险闭环管理,确保风险可知,可管、可控,高效履行合规义务,提升个人信息保护能力,规避监管处罚风险。
(如需体验PIA系统,可以扫描文末二维码咨询、交流)
总之,TikTok事件在一定程度上向我们证明了数据出境合规的重要性。在跨境数据流动中,企业需要掌握数据出境的流程与要求。对于敏感数据,企业需要了解和遵守出口管理条例、个人数据保护、相关技术出口控制的法律法规。此外,企业还需要注意不同国家和地区对数据隐私和安全的法律法规,确保数据出境符合相关要求。建议企业尽早开展数据合规工作,并根据相关法规开展评估、自评估与申报工作。
文末福利
近年来,数据出境相关立法不断完善。iLaw合规进行系统调研,将我国现有数据出境规范进行整合,形成《数据出境法规标准汇编》,汇总最新的法律法规与技术标准,方便读者查阅参考,以便读者开展数据出境合规工作。
如有需要,欢迎扫码进行领取~ (限前100名)
0 留言