數(shù)據(jù)跨境須平衡流動性與安全性

隨著近年來《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》等法律法規(guī)相繼生效，我國迎來數(shù)據(jù)強監(jiān)管時代。在日前舉辦的數(shù)據(jù)合規(guī)熱點專項實務(wù)培訓(xùn)上，盈科（上海）律師事務(wù)所高級合伙人謝連杰表示，數(shù)據(jù)天然具有流動性，互聯(lián)網(wǎng)產(chǎn)業(yè)的發(fā)展、信息與知識的傳播更新無不依賴于數(shù)據(jù)的自由流動，而全球化的深入發(fā)展則進一步凸顯了數(shù)據(jù)流動的跨國性。如何保障企業(yè)在履行數(shù)據(jù)合規(guī)義務(wù)的同時，實現(xiàn)業(yè)務(wù)出海、數(shù)據(jù)出境以及數(shù)據(jù)回流等剛性需求，規(guī)避其中的數(shù)據(jù)流通風(fēng)險，是業(yè)內(nèi)共同關(guān)注的話題。

2022年12月，《中共中央國務(wù)院關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見》（數(shù)據(jù)二十條）的發(fā)布，也明確了堅持促進數(shù)據(jù)合規(guī)高效、安全有序流通，賦能實體經(jīng)濟的重要性。在謝連杰看來，企業(yè)需要建立起有效的數(shù)據(jù)合規(guī)體系，在保證數(shù)據(jù)的流動性同時兼顧安全性。

首先，進行數(shù)據(jù)產(chǎn)品合規(guī)評估，從三個方向確定數(shù)據(jù)來源的合法性。一是公開收集渠道是否合法。審查公開獲取數(shù)據(jù)的方式，是否遵循Robots協(xié)議行業(yè)規(guī)則，是否采用侵入、非法控制計算機信息系統(tǒng)、非法獲取計算機信息系統(tǒng)數(shù)據(jù)的程序。二是間接獲取是否合法。需要審查購買協(xié)議、合作協(xié)議或許可使用協(xié)議等。三是注意對個人信息的采集。審查涉?zhèn)€人信息的數(shù)據(jù)采集字段、采集方式是否已經(jīng)獲得個人同意；依據(jù)其他合法性基礎(chǔ)收集的涉?zhèn)€人信息的數(shù)據(jù)，數(shù)據(jù)產(chǎn)品是否仍然在該合法性基礎(chǔ)范圍內(nèi)。

其次，對數(shù)據(jù)流通風(fēng)險進行評估。依據(jù)數(shù)據(jù)使用條件、約束機制等對數(shù)據(jù)產(chǎn)品的應(yīng)用場景進行評估，注意數(shù)據(jù)產(chǎn)品可能涉及的其他利益相關(guān)方并就利益相關(guān)方情況作出風(fēng)險提示；了解相關(guān)國家強制性規(guī)定，例如依法需要行政許可才能流通的數(shù)據(jù)產(chǎn)品，是否取得相關(guān)行政許可；跨境流通的數(shù)據(jù)產(chǎn)品，是否通過相應(yīng)評估。

再次，《個人信息保護法》中明確規(guī)定，在特定情形下個人信息處理者應(yīng)當(dāng)事前進行個人信息保護影響評估，且評估報告和處理記錄應(yīng)當(dāng)至少保存三年。企業(yè)應(yīng)根據(jù)相關(guān)條款，做好個人信息的收集和審查工作。

最后，數(shù)據(jù)的傳輸往往涉及多國法域的合規(guī)，包括數(shù)據(jù)進口地、數(shù)據(jù)出口地以及數(shù)據(jù)中轉(zhuǎn)地。2022年亞馬遜云科技發(fā)布的《中國企業(yè)上云出海趨勢調(diào)研結(jié)果》顯示，過去一年里，60%的出海企業(yè)海外業(yè)務(wù)已經(jīng)涉及三個以上大洲/地區(qū)。雖然各國數(shù)據(jù)立法的進度各有不同，但是數(shù)據(jù)相關(guān)的規(guī)定總體趨勢日漸嚴(yán)格。出海企業(yè)需要對主要銷售目的地國家的數(shù)據(jù)保護規(guī)定進行盡調(diào)和研究，根據(jù)風(fēng)險的高低選擇數(shù)據(jù)傳輸區(qū)域，從而全面降低數(shù)據(jù)風(fēng)險。

分享到微信

分享到微信朋友圈×

打開微信，點擊底部的“發(fā)現(xiàn)”，
使用“掃一掃”即可將網(wǎng)頁分享至朋友圈。