标签归档:数据跨境

后Schrems II时代,SCC模式下数据跨境的“蜀道”

噫吁嚱,危乎高哉!蜀道之难,难于上青天!

——李白(唐),《蜀道难》

各国法律中对数据的本地化与跨境的规定是最能影响企业跨国经营策略的内容之一。无论是外企根据中国《网络安全法》《个人信息保护法(草案)》中的本地化与跨境制度进行合规,或是中国企业使用欧盟《通用数据保护条例》(“GDPR”)中“数据跨境工具箱”,都会对企业的IT架构与经营模式造成深远的影响。

一、后Schrems II时代的标准合同条款

在GDPR的诸多跨境合规方案中,中国企业普遍采用签署标准合同条款(“SCC”)的方式确保从欧洲向中国跨境传输合法合规。但是,SCC的效力在2020年7月欧盟法院“Schrems II”案判决后受到了挑战,一时间让包括中国在内的大多数国家从欧洲向本国传输数据面临巨大的不确定性。

“Schrems II”案更为直接的后果是导致美国与欧盟之间的“隐私盾”协议失效,严重影响美国企业从欧洲获取数据。以至于美国司法部、商务部以及国家情报总监办公室在2020年9月共同发布白皮书,试图说明美国现行法律中有关情报机构获取数据的隐私保障措施。

SCC因为标准条款的简单易用、成本低廉,所以为中国企业所青睐。甚至有企业为实现公司内部的数据跨境传输,会让中国总部与欧洲子(分)公司签署多份SCC,虽然增加了合同管理的难度,但除此之外很难找到更好的解决方案。

二、SCC的具体场景

SCC因为标准条款的简单易用、成本低廉,所以为中国企业所青睐。甚至有企业为实现公司内部的数据跨境传输,中国总部与欧洲子(分)公司之间签署多份SCC。

中国企业使用SCC,一个场景是用于企业内部数据跨境传输,将欧洲子公司、分公司、合资公司收集的数据传输中国。虽然GDPR为企业内部的数据跨境传输设置了“有约束力的公司规则”(Binding Corporate Rules)机制,但这一机制成本较高,且需要通过欧洲当地数据保护机关认证,目前尚没有中国企业采用此种方式进行跨境数据传输。因此企业内部通常会使用SCC来确保数据跨境传输的合法性。

中国企业使用SCC的另一场景,是在与欧洲企业合作的过程中,因为可能涉及欧洲境内居民个人信息,所以欧洲企业要求与中国企业签署SCC。

相较于第一个场景仅涉及企业内部数据传输,第二个场景下中国企业使用SCC所面临的合规压力更为迫切,我们已经遇到有欧洲企业要求与之签署SCC的中国企业说明中国有关部门获取企业的情况,作为“Schrems II”案后确保SCC效力的合规措施。

三、答复逻辑与素材

GDPR在数据跨境领域的一个基本逻辑是数据接受国的数据保护水平应当与欧盟大致相同,因此如果国家(地区、行业)能够取得充分性认定,则可以与欧盟之间自由地传输数据,如日本、智利、以色列等国。但包括美国、英国、中国、俄罗斯等绝大多数国家难以通过充分性认定,所以才会选择SCC作为替代方案,但新机制又要求企业对数据接收国立法、司法水平进行评估,实在是有些勉为其难。

“Schrems II”案的关键在于政府部门从企业获取欧洲居民数据的能力,这种能力不仅停留在法律条文的纸面,也体现于法律条文的实践,以及是否有相应的程序能够阻却政府违法获取数据。根据欧盟数据保护委员会(“EDPB”)新发布的标准,中国几乎不可能通过充分性认定,也难以被认定可以达到与欧盟基本同等程度的保护程度。

但是根据我们的经验,中国企业在面临欧洲合作方(数据提供方)问询时,仍然可以准备一些可供答复的素材,不至于向欧洲监管部门或合作伙伴交付“白卷”。以下是我们总结的可以在进行答复时的法条及依据:

1.国家情报法

在政府部门获取数据领域,最为欧美所关切的是《国家情报法》第七条:

任何组织和公民都应当依法支持、协助和配合国家情报工作,保守所知悉的国家情报工作秘密。

国家对支持、协助和配合国家情报工作的个人和组织给予保护。

为此,在2019年2月18日外交部记者会上,发言人耿爽就《国家情报法》第七条给出了“标准答案”:

第一,美方有关说法是对中国有关法律的错误和片面解读。中国《国家情报法》不仅规定了组织和公民依法支持、协助和配合国家情报工作的义务,同时也规定了国家情报工作应当依法进行、尊重和保障人权、维护个人和组织合法权益的义务。同时,中国其它法律对于保障公民和组织的合法权益,包括数据安全和隐私权利等,也作了许多规定。这些规定都适用于国家情报工作。美方对此应全面、客观理解,而不应断章取义,片面、错误解读。

第二,以立法形式维护国家安全,要求组织和个人配合国家情报工作是国际通行做法,美国、英国、加拿大、澳大利亚、新西兰等“五眼联盟”国家以及法国、德国等西方国家均有类似规定。

第三,中国政府一贯要求中国企业在外国开展业务时要严格遵守当地法律法规,这一立场不会改变。中国一贯坚持相互尊重主权、平等互利等国际法基本原则,中国宪法和相关法律对此均有体现。基于这一原则,中国一向明确反对别国绕过正常合作渠道,单方面适用其国内法,强迫企业和个人向其提供位于中国境内的数据、信息、情报等做法;同样,中国没有也不会要求企业或个人以违反当地法律的方式、通过安装“后门”等形式为中国政府采集或提供位于外国境内的数据、信息和情报。

第四,美方及其个别盟友在此问题上搞双重标准,混淆视听,实质是为打压中国企业的正当发展权利和利益编织借口,是以政治手段干预经济行为,是虚伪的、不道德、不公平的霸凌行径。

https://www.fmprc.gov.cn/web/wjdt_674879/fyrbt_674889/t1638751.shtml

2.《网络安全法》

《网络安全法》中也存在企业协助政府有关部门的条款:

第二十八条 网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。

但另一方面,《网络安全法》也规定了政府部门获取数据的限制:

第三十条 网信部门和有关部门在履行网络安全保护职责中获取的信息,只能用于维护网络安全的需要,不得用于其他用途。

第四十五条 依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。

3.《密码法》

在EDPB发布的指南中,将加密视为一种有效的补充措施。比如数据虽然存储在欧洲境外的第三国,但数据经过可靠地加密,密钥由欧洲境内掌握,那么就可以被视为一种有效的补充措施。但是,这样的加密措施可能会在中国遇到《密码法》的挑战。

根据《密码法》,除非是大众消费类产品所采用的商用密码,否则需要根据商用密码进出口许可程序提交商用秘密的技术说明。如果密码进口需要向中国密码管理部门提交审批,这样的操作可能很难得到欧盟的认可,但我们仍可根据《密码法》第三十一条第二款主张密码的安全性:

密码管理部门和有关部门及其工作人员不得要求商用密码从业单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息,并对其在履行职责中知悉的商业秘密和个人隐私严格保密,不得泄露或者非法向他人提供。

4.其他文件与渠道

在2020年9月,中国外交部发布《全球数据安全倡议》也从侧面说明中国政府并不要求本国企业将数据存储在中国境内,也不会要求企业调取位于他国的数据:

……

——各国应要求企业严格遵守所在国法律,不得要求本国企业将境外产生、获取的数据存储在境内。

——各国应尊重他国主权、司法管辖权和对数据的安全管理权,未经他国法律允许不得直接向企业或个人调取位于他国的数据。

——各国如因打击犯罪等执法需要跨境调取数据,应通过司法协助渠道或其他相关多双边协议解决。国家间缔结跨境调取数据双边协议,不得侵犯第三国司法主权和数据安全。

……

另外一个可供参考的信息是苹果公司发布的透明度报告。根据统计,在2019年7月至12月期间,中国政府、法院等机构共781次向苹果公司要求提供数据,同期英国568次、美国5271次、日本1245次向苹果公司索要数据,中国索取数据的次数并未有明显异常。

四、可以开始的前瞻性思考

尽管目前为止中国企业还不是欧洲数据监管机构的关注重点。欧洲数据监管机构因为执法力量有限,所以更关注本国企业与美国互联网巨头在欧洲的经营。但是随着美国拜登政府就职在即,欧美政治、经济关系趋于缓和,让中国企业可能成为欧洲数据保护机构下一轮监管重点。

2020年12月,荷兰消费者与市场管理局(ACM)发布公告表示,对智能手机支付市场发起反垄断调查,并且已经调研了几家主要大型科技公司,除了苹果、亚马逊、Facebook和谷歌等西方企业外,蚂蚁集团和腾讯也成为被调查对象。这或许会成为欧盟执法机关关注中国企业在欧经营的起点。

随着EDPB开始推动SCC的改革,开始征求意见,并且SCC在中欧数据传输中呈现出“一夫当关”的状态。那么中国企业需要密切留意这位“当关之夫”,即欧盟在SCC适用方面的动态,并且着重关注执法趋势,充分评估可能对自己业务的影响。我们推荐在欧洲经营的企业可以从以下角度着手:

  1. 面对欧盟数据跨境监管的压力,尤其是对数据接收方所在国法律环境的苛责,单一企业很难全面论证数据接收国的法律与执法环境,且同一行业、同一产业链的企业可能都会面临同样的问题,因此企业应当向行业协会、商会、上级主管部门进行呼吁,联合应对来自欧洲的评估要求。
  2. 联邦学习等“可用不可见”隐私计算技术、加密技术的探索与使用,可以将个人数据转化为非个人数据,从而实现有效降低数据跨境的风险。
  3. 此外,面临欧洲数据跨境规则的升级,数据跨境的成本也被抬高,甚至企业可能因为无法通过评估而无法向中国回传数据,故企业可能需要考虑重新调整自己的IT架构,减少数据从欧洲向中国回传的数量,增加欧洲子公司、分公司或合作伙伴处理数据的决定权。