外贸知识

法律护航数据安全 指引企业数据合规

日前,备受社会各界关注的《中华人民共和国数据安全法》经历三次审议和修改,最终在第十三届全国人民代表大会常务委员会第二十九次会议通过并发布,并将于2021年9月1日起正式施行。“数据安全法扩大了对于向外国机构提供数据的限制,对跨国企业未来数据合规和保护也产生了新的要求。”智达跨境风险合规委员会委员戴子军在接受《外贸知识”>外贸知识》记者采访时表示,国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作,参与数据安全相关国际规则和标准的制定,促进了数据跨境安全、自由流动。

根据数据安全法第三十六条规定,中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。

“在数据安全法出台之前,我国应对外国司法或执法机构数据调取要求的审批制度仅在证券金融领域和国际刑事协助领域通过证券法和国际刑事司法协助法体现。”戴子军表示,而数据安全法将该要求扩大到向外国司法或者执法机构提供数据的境内所有组织、企业和个人,不再限于某一领域或行业的境内组织、企业和个人或某类案件相关的数据提供协助。

大成律师事务所合伙人孙庆南指出,数据安全法对违规向外国司法或执法机构提供数据的行为规定了具体的法律责任条款,境内企业能够以此作为法律依据对抗外国司法或执法机构不合理的数据提供要求。但如果境内企业因未能根据外国司法或执法机构的合理或强制要求提交数据的,其本身或其海外关联公司将可能会在境外面临败诉或行政处罚的风险。因此,企业在接到外国司法或执法机构的数据调取的官方请求后,应及时咨询专业人士以综合分析判断相关数据合规风险,确保企业的双向合规。

此外,数据安全法提高了数据跨境传输的违法成本,从网络安全法规定的企业最高罚款50万元人民币和个人最高10万元人民币,修改并提高为企业最高1000万元和个人最高100万元。处罚主体也从网络安全法规定的关键信息基础设施的运营者,扩展到除关键信息基础设施的运营者以外的其他数据处理者。

当前,世界各国开始陆续升级与数据安全相关的法律法规。日前,欧盟委员会出台了两套新的标准合同条款,其中一套是调整通用数据保护条例第二十八条第七款项下控制者与处理者之间的关系。另一套是用于规制个人数据向第三方国家的转移。

新版标准合同条款紧扣通用数据保护条例的相关规定及欧洲上诉法院隐私盾协议判决中提出的关于数据跨境转移新的合规要求,给需要向美国转移欧盟个人数据的企业带来了更多的法律适用层面的确定性。同时,专门规定了一套适用于数据控制者与处理者之间、不同数据处理者之间就数据转移所能使用的标准合同条款。欧盟委员会给目前使用以前标准合同条款的控制者和处理者一个18个月的过渡期。

“跨境企业要结合我国法律和欧盟新法进行数据管理工作的优化,尤其是企业内部的数据控制者和处理者,为数据转移制定专门的机制。”戴子军表示。

去年6月生效的网络安全审查办法规定了对于关键信息基础设施运营者数据安全审查的具体要求和规范。网络安全审查从国家安全的角度对关键信息基础设施运营者采购网络产品和服务影响或可能影响国家安全的情况进行审查。“企业可以参照网络安全审查办法,对比数据安全法开展合规工作。”戴子军说。