互聯(lián)網(wǎng)企業(yè)中歐跨境數(shù)據(jù)合規(guī)的困境和應(yīng)對(duì)

摘要：2021年中國(guó)《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》系列規(guī)定的頒布和實(shí)施將數(shù)據(jù)出境作為監(jiān)管重點(diǎn)，根據(jù)出境數(shù)據(jù)種類，以及數(shù)據(jù)持有者重要程度，互聯(lián)網(wǎng)企業(yè)業(yè)務(wù)內(nèi)容應(yīng)當(dāng)遵循不同程度的出境合規(guī)要求。另一方面，歐盟在跨境數(shù)據(jù)傳輸中采用“白名單”模式，且中國(guó)不在白名單范圍內(nèi)，則中國(guó)互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)進(jìn)入歐盟必須遵照歐盟其他數(shù)據(jù)傳輸模式，并需要?dú)W盟數(shù)據(jù)保護(hù)機(jī)關(guān)批復(fù)。這就導(dǎo)致互聯(lián)網(wǎng)企業(yè)在擴(kuò)大海外服務(wù)的過(guò)程中，必須同時(shí)遵守中國(guó)數(shù)據(jù)保護(hù)法的數(shù)據(jù)出境合規(guī)要求，同時(shí)也必須充分識(shí)別歐盟的數(shù)據(jù)保護(hù)和合規(guī)法律法規(guī)要求，同時(shí)滿足兩個(gè)法域差異化要求，從而建立有效的跨國(guó)數(shù)據(jù)傳輸合規(guī)保障機(jī)制。

關(guān)鍵詞：互聯(lián)網(wǎng) ?企業(yè)跨境

一、中國(guó)互聯(lián)網(wǎng)企業(yè)跨境數(shù)據(jù)合規(guī)的困境

在互聯(lián)網(wǎng)技術(shù)創(chuàng)新發(fā)展和大數(shù)據(jù)產(chǎn)業(yè)的迅速崛的時(shí)代背景下，“用戶數(shù)據(jù)處理（user’s data processing）”，例如數(shù)據(jù)畫像（profiling）、用戶行為分析（user’s behavioural analysis）等成為互聯(lián)網(wǎng)企業(yè)創(chuàng)新服務(wù)模式，提高服務(wù)質(zhì)量，增加企業(yè)收益，全球化擴(kuò)張的重要手段，但于此同時(shí)互聯(lián)網(wǎng)企業(yè)的“數(shù)據(jù)處理”行為也對(duì)個(gè)人隱私及個(gè)人信息安全造成極大威脅。

根據(jù)《2020全球數(shù)據(jù)合規(guī)法律觀察報(bào)告1.0版本》，全球132個(gè)國(guó)家和地區(qū)已經(jīng)完成了個(gè)人數(shù)據(jù)領(lǐng)域的立法[1]，這意味著數(shù)據(jù)立法在國(guó)際層面存在著多重?cái)?shù)據(jù)規(guī)則框架?；ヂ?lián)網(wǎng)企業(yè)的業(yè)務(wù)特點(diǎn)決定了其業(yè)務(wù)必然包含了數(shù)據(jù)跨境傳輸，這就要求互聯(lián)網(wǎng)企業(yè)在多重國(guó)際數(shù)據(jù)規(guī)則框架內(nèi)構(gòu)建數(shù)據(jù)跨境合規(guī)體系[2]，同時(shí)遵守滿足數(shù)據(jù)跨境兩端國(guó)家的數(shù)據(jù)合規(guī)要求。

二、互聯(lián)網(wǎng)企業(yè)在中歐數(shù)據(jù)跨境傳輸?shù)木唧w法律問(wèn)題

（一）數(shù)據(jù)從中國(guó)出境的合規(guī)要求

隨著2021年《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》等相關(guān)法律的實(shí)施，也落地了數(shù)據(jù)出境的合規(guī)體系，互聯(lián)網(wǎng)企業(yè)對(duì)數(shù)據(jù)處境承擔(dān)高水平的合規(guī)義務(wù)，其中互聯(lián)網(wǎng)企業(yè)應(yīng)當(dāng)根據(jù)自身業(yè)務(wù)準(zhǔn)確定位自己的合規(guī)義務(wù)。

首先，《網(wǎng)絡(luò)安全法》中明確規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施的企業(yè)出境的合規(guī)義務(wù)。如果互聯(lián)網(wǎng)公司業(yè)務(wù)數(shù)據(jù)被認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施，同時(shí)涉及關(guān)鍵信息基礎(chǔ)設(shè)施的個(gè)人信息和重要數(shù)據(jù)采集，則數(shù)據(jù)從中國(guó)出境需要經(jīng)過(guò)專業(yè)機(jī)構(gòu)和相關(guān)政府部門的評(píng)估后才能出境。

其次，《個(gè)人信息保護(hù)法》第四十條中對(duì)于需要數(shù)據(jù)信息出境承擔(dān)安全評(píng)估義務(wù)的責(zé)任主體的廣泛性規(guī)定，基本囊括了所有互聯(lián)網(wǎng)企業(yè)。

再次，《數(shù)據(jù)安全法》第三十一條明確規(guī)定了重要數(shù)據(jù)出境時(shí)的企業(yè)合規(guī)義務(wù)。然而對(duì)于重要數(shù)據(jù)《個(gè)人信息保護(hù)法》中沒有詳細(xì)而具體的認(rèn)定標(biāo)準(zhǔn)，《數(shù)據(jù)安全法》中指出按照地區(qū)、部門、行業(yè)來(lái)列舉重要數(shù)據(jù)的名錄。通常來(lái)說(shuō)，重要數(shù)據(jù)的判斷標(biāo)準(zhǔn)是與國(guó)家安全、社會(huì)利益有較為密切管理型的數(shù)據(jù)，然而不明確的概念定義也讓互聯(lián)網(wǎng)企業(yè)合規(guī)風(fēng)險(xiǎn)和成分提高。

另外，行業(yè)監(jiān)管要求，由于部分行業(yè)其產(chǎn)生的數(shù)據(jù)具有特殊性，對(duì)該行業(yè)數(shù)據(jù)管理有限制性要求。針對(duì)互聯(lián)網(wǎng)行業(yè)，2020年8月，商務(wù)部調(diào)整發(fā)布了《中國(guó)禁止出口限制出口技術(shù)目錄》，其中與互聯(lián)網(wǎng)企業(yè)技術(shù)有關(guān)的有：語(yǔ)音合成技術(shù)，語(yǔ)音信號(hào)特征分析和提取技術(shù)，文本特征分析和預(yù)測(cè)技術(shù)，人工智能交互界面技術(shù)，語(yǔ)音評(píng)測(cè)技術(shù)，基于數(shù)據(jù)分析的個(gè)性化信息推送服務(wù)技術(shù)。

（二）數(shù)據(jù)從歐盟入境的合規(guī)要求

根據(jù)最近判例中，按照歐盟的標(biāo)準(zhǔn)傳輸條款簽訂合同并不意味著數(shù)據(jù)可以自由跨境傳輸，要注重考量在特定案例中，保護(hù)水平是否達(dá)到GDPR的數(shù)據(jù)保護(hù)要求，如果不符合歐盟數(shù)據(jù)跨境傳輸?shù)臄?shù)據(jù)保護(hù)標(biāo)準(zhǔn)，則還需要在合同中承諾額外保護(hù)?？傮w來(lái)看，歐盟對(duì)于跨國(guó)數(shù)據(jù)傳輸?shù)墓芸爻尸F(xiàn)出了趨嚴(yán)的特征[3]。

歐盟GDPR的對(duì)于數(shù)據(jù)處理保護(hù)的高標(biāo)準(zhǔn)保護(hù)，也使得中國(guó)互聯(lián)網(wǎng)企業(yè)的數(shù)據(jù)在歐盟入境后處理要完全遵循歐盟高標(biāo)準(zhǔn)的合規(guī)要求，尤其在”透明度“和”處理數(shù)據(jù)的法律基礎(chǔ)“以及”用戶同意“幾個(gè)關(guān)鍵概念上的合規(guī)適用，在歐盟與Google的多個(gè)判例中已經(jīng)體現(xiàn)了歐盟對(duì)于這幾個(gè)關(guān)鍵概念的高標(biāo)準(zhǔn)解釋和行政處罰的高額。

三、中國(guó)互聯(lián)網(wǎng)企業(yè)跨境數(shù)據(jù)合規(guī)的應(yīng)對(duì)

（一）完善企業(yè)內(nèi)部數(shù)據(jù)處理框架，建立數(shù)據(jù)安全管理體系

在企業(yè)內(nèi)部建立數(shù)據(jù)分級(jí)分類標(biāo)準(zhǔn)，結(jié)合本企業(yè)業(yè)務(wù)特色，以及對(duì)數(shù)據(jù)共享與委托方的充分識(shí)別，建立數(shù)據(jù)安全管理制度。尤其是對(duì)于缺乏資金技術(shù)的中小型互聯(lián)網(wǎng)企業(yè)，可以通過(guò)與第三方專業(yè)安全機(jī)構(gòu)合作，如TrustArc，進(jìn)行定期的審查評(píng)估，模擬預(yù)演。

另外，在跨境數(shù)據(jù)傳輸?shù)娜^(guò)程實(shí)現(xiàn)數(shù)據(jù)安全管理，包括但不限于：數(shù)據(jù)出境去標(biāo)識(shí)化的技術(shù)處理，對(duì)數(shù)據(jù)傳輸過(guò)程的風(fēng)險(xiǎn)評(píng)估，對(duì)于存儲(chǔ)數(shù)據(jù)定時(shí)的評(píng)估以便及時(shí)刪除和銷毀等，全面履行數(shù)據(jù)合規(guī)義務(wù)。

（二）開發(fā)技術(shù)處理手段，降低跨境傳輸風(fēng)險(xiǎn)

企業(yè)在進(jìn)行數(shù)據(jù)跨境傳輸時(shí)，可以通過(guò)技術(shù)手段進(jìn)行個(gè)人信息脫敏，同時(shí)避免境外或者境外的處理與訪問(wèn)。歐盟《通用數(shù)據(jù)保護(hù)條例》實(shí)施后，在已經(jīng)公開宣布的493起違規(guī)案件中，有近三分之一的罰款原因是未充分對(duì)數(shù)據(jù)匿名化處理和管理措施確保信息安全而造成的數(shù)據(jù)泄露[4]。利用技術(shù)處理手段對(duì)數(shù)據(jù)匿名化處理，不僅可以減低互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)跨境的傳輸風(fēng)險(xiǎn)，也減少了數(shù)據(jù)合規(guī)的成本。

（三）與第三方合作責(zé)任主體明確責(zé)任義務(wù)，建立“責(zé)任防火墻”

互聯(lián)網(wǎng)企業(yè)應(yīng)與技術(shù)服務(wù)商簽訂業(yè)務(wù)合同，有效劃分責(zé)任，建立“責(zé)任防火墻”，其中要特別注意識(shí)別關(guān)聯(lián)方實(shí)體的角色，并結(jié)合數(shù)據(jù)處理的對(duì)象，簽署有法律約束力的文件，明確多方在數(shù)據(jù)保護(hù)方面的的權(quán)利和義務(wù)。

（四）全球數(shù)據(jù)合規(guī)觀察，建立專業(yè)的法務(wù)團(tuán)隊(duì)

互聯(lián)網(wǎng)企業(yè)業(yè)務(wù)涉及多個(gè)法律地區(qū)，尤其是關(guān)鍵合規(guī)要求，例如“同意”“透明度”“通知義務(wù)”等，尤其注意相同概念在不同法域中的解釋，建立專業(yè)的法務(wù)團(tuán)隊(duì)，時(shí)刻更新最新全球數(shù)據(jù)合規(guī)的發(fā)展。于此同時(shí)，互聯(lián)網(wǎng)企業(yè)也要明確當(dāng)?shù)氐南到y(tǒng)部署和業(yè)務(wù)情況，

參考文獻(xiàn)：

[1]《2020全球數(shù)據(jù)合規(guī)法律觀察報(bào)告1.0版本》墾丁網(wǎng)絡(luò)法，白鯨出海，王捷、魏彤，第23頁(yè)

[2]梅傲 侯之帥《互聯(lián)網(wǎng)企業(yè)跨境數(shù)據(jù)合規(guī)的困境及中國(guó)應(yīng)對(duì)》，中國(guó)行政管理》2021年第6期，第112頁(yè)

[3]《國(guó)際視野下，企業(yè)如何應(yīng)對(duì)數(shù)據(jù)跨境傳輸?shù)暮弦?guī)風(fēng)險(xiǎn)》CIO發(fā)展中心，2021年1月6日

[4]《中國(guó)出?；ヂ?lián)網(wǎng)公司的數(shù)據(jù)保護(hù)合規(guī)對(duì)策》普華永道，2021年4月

作者簡(jiǎn)介：王岱申（1992.02.06），女，漢族，籍貫：四川省中江縣，碩士研究生，華東政法大學(xué)，知識(shí)產(chǎn)權(quán)方向。