陆俊秀:个人信息和重要数据识别及分类分级是企业数据合规工作的主要难点
2022年12月,中央出台的“数据二十条”(《中共中央、国务院关于构建数据基础制度更好发挥数据要素作用的意见》)就构建数据基础制度,更好发挥数据要素作用给出了指导意见。从发展趋势看,防范数据出境安全风险,成为未来监管的重中之重。
针对企业跨境数据合规问题,在本次研讨会前,走出去智库(CGGT)对多位企业管理者开展了问卷调查,调查结果显示:
1、56.9%的企业面临业务高度全球化,在极端地缘冲突背景下,或面临数据领域的出口管制和制裁风险;
3、48.3%的企业认为数据泄露问题将给企业带来重大经济损失或产生重大声誉风险;
4、企业反馈数据跨境合规管理工作的主要难点包括:数据出境场景识别(65.5%);适配数据出境合规策略(63.8%);数据出境合规策略落地(65.5%)。
5、就数据安全和隐私合规体系建设,企业反馈的主要难点包括:个人信息和重要数据识别及分类分级(82.8%);强化覆盖制度和流程的管理体系(62.1%);设计符合企业实际情况的本地化方案等(67.2%)。
李瑞:实务要点十问十答及与欧盟标准合同的衔接
个人信息出境标准合同办法实务要点十问十答
2月24日,国家网信办正式发布《个人信息出境标准合同办法》(下称“《标准合同办法》”)及《个人信息出境标准合同》(下称“《标准合同》”)。至此,中国数据跨境传输监管机制“三件套”——(1)数据出境安全评估、(2)个人信息出境标准合同及(3)个人信息保护认证的具体实施办法均正式出台,中国数据跨境传输监管体系及实务将迎来全新的篇章。
全球合规管理:中欧数据出境标准合同机制比较与衔接
很多跨国企业在数据跨境传输过程中,已经采用了欧盟GDPR标准合同条款,《个人信息出境标准合同》发布后,如何进行衔接需要对中欧标准合同的异同点加以比较(具体见下表),然后根据具体情况进行分析。
中欧数据出境标准合同机制比较
标准合同机制
欧盟
中国
角色划分机制
“一般条款+模块化”结构
MODULE1:Transfercontrollertocontroller
MODULE2:Transfercontrollertoprocessor
MODULE3:Transferprocessortoprocessor
MODULE4:Transferprocessortocontroller
·中国标准合同机制就个人信息跨境场景下数据出境方与境外接收方在数据处理活动中的角色仅进行了部分。特别是对于出境端,仅适用于数据出境方为“个人信息处理者”的情况。
·在境外数据接收方义务方面,中国标准合同区分了境外接收方的不同角色(个人信息处理者或受托处理者),合规义务有所不同。
合同条款与备案机制
·允许双方对SCC进行个性化的修订,但仅在其提前获得数据保护机构批准的情况下才会生效。
·暂无备案要求
·标准合同不可更改,但双方可以在不与标准合同相冲突的前提下,额外约定其他条款;
·国家网信部门可以根据实际情况对标准合同进行调整。
·应在标准合同生效后的10个工作日内向网信部门备案。
数据接收方所在法域政策评估
·缔约方应保证其没有理由相信数据接收方所在法域的法律法规、政策等会影响合同的履行。
·双方应当保证在本合同订立时已尽到合理注意义务,未发现境外接收方所在国家或者地区的个人信息保护政策和法规影响境外接收方履行本合同约定的义务。
·境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的,应重新开展PIA,重新签署协议或补充签署,并备案。
数据接收方所在法域执法应对
·境外接收方在面临当地监管部门的执法时,应及时通知数据出境方、数据主体和欧盟监管机构,并尽力获得豁免。
·应审查当地监管机构审查的合法性、执法是否符合职权范围,有必要时应对此进行上诉。
境外接收方所在国家或者地区的个人信息保护政策和法规发生变化(包括境外接收方所在国家或者地区更改法律,或者采取强制性措施)导致境外接收方无法履行本合同的,境外接收方应当在知道该变化后立即通知个人信息处理者。
境外管辖权的限制
·在C-C、C-P、P-P模式下,合同应受特定欧盟成员法律管辖;在P-C模式下,缔约方协商一致可选择欧盟成员国以外的法律进行管辖,但该等选择不应减损数据主体的权利。
·在C-C、C-P、P-P模式下,争议解决应选择欧盟成员国法院受理;在P-C模式下,缔约方协商一致可选择欧盟成员国以外司法辖区的法院。
·双方因合同产生的争议以及任何一方因先行赔偿个人信息主体损害赔偿责任而向另一方的追偿,双方应当协商解决;协商解决不成的,任何一方可以采取下列方式加以解决:(1)提交中国国际贸易仲裁委员等仲裁机构进行仲裁,或者(2)向有管辖权的中国人民法院提起诉讼。
贾申:数据出境合规“七步走”
《个人信息出境标准合同办法》将于2023年6月1日正式实施,企业可以根据跨境数据合规工作的不同阶段,采取以下7个步骤:
前置内部梳理工作(第1-3步):
(1)梳理现有业务场景下的所有数据出境场景
(2)选择适用的数据跨境传输机制
(3)依据所触发的机制,制定数据跨境传输合规整改计划表
履行通用的事先数据跨境传输合规义务(第4步):
(4)履行通用的数据跨境传输事前合规义务
·履行告知-同意义务
应明确告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使法定权利的方式和程序等事项,并取得个人的单独同意。
·境外接收方尽调
个人信息处理者应对境外数据接收方开展技术和合规管理方面的尽调,确保其有足够的安全保护能力。
·开展个人信息保护影响评估(PIA)
·签署数据跨境传输协议
依据目前的数据跨境传输机制来看,无论适用哪一机制,均要求境内数据出境方与境外数据接收方签订数据跨境传输协议。
合同洽谈、备案及长期追踪(第5-7步):
(5)如适用签订标准合同机制,应尽快开展谈判与洽谈工作
(6)向网信部门备案
(7)持续追踪与监督,并积极响应个人信息主体权利
主持人介绍
陆俊秀
走出去智库总经理,高级合伙人
清华大学工学博士
专业领域:地缘政治风险与合规研究、国别政策法律监管逻辑、企业地缘危机解决实务、企业跨境并购和投融资战略、金融科技研究。
主导走出去智库(CGGT)“美国/国别政策和法律洞察”系列研究咨询,覆盖:ICTS、半导体显示、半导体材料、软件服务、消费电子、智能终端、光伏新能源等重点产业,涉及出口管制、经济制裁、网络安全、数据安全、隐私保护、投资审查等重点法律领域。曾为TCL集团、TCL实业、TCL华星、TCL中环;字节跳动/抖音集团、腾讯、华为、OPPO、中国通号、中国商务部、北京市商务局、上海市商委、浙江省商务厅等提供咨询。
包括战略咨询、专项咨询、预警研究咨询:
◆《台海局势推演和全球化企业海外合规|战略咨询报告》◆《美欧政策和法律洞察|预警双周报》◆《企业政治风险、合规风险、舆情风险演进|月报》◆《重点国别数据监管政策洞察研判|咨询报告》◆《欧洲并购战略规划和实务对策|咨询报告》◆《“一带一路”新能源投资风险和实务指南|咨询报告》
嘉宾介绍
李瑞RachelLI
走出去智库(CGGT)特约法律专家
中伦律师事务所合伙人
业务专长为数据安全合规、反垄断和竞争法及其他合规业务。她的执业领域包括数据安全合规、反垄断合规、争议解决及公司日常合规法律服务等。其客户包括大型跨国公司、大型国有企业、大型民营企业、上市公司、私募投资基金等各种不同类型的客户,涉及互联网、无线通信、人工智能、汽车、芯片及半导体、机车及铁路产品、化工、零售、能源矿产等行业。李瑞律师拥有北京大学法学学士和经济学学士学位,并拥有美国纽约大学法学硕士学位,持有中国律师执业证和美国纽约州律师执业资格。
自从2007年加入中伦北京办公室以来,李律师协助多家国内外知名公司处理中国合规事务,还协助多家知名企业建立合规体系、处理合规疑难问题、应对合规监管调查程序等。李律师提供的法律服务支持覆盖数据合规及反垄断法律服务的各方各面。在数据合规方面,李律师提供全方位的咨询及专项服务,涉及监管调查应对、个人信息保护、网络安全、数据出境及信息安全事故处理等各方各面。在反垄断法律服务方面,李律师提供的法律服务不仅包括大型合资/并购项目的经营者集中申报,也包括跨国公司应对中国反垄断执法机构的调查及反垄断诉讼,以及反垄断合规方面的法律咨询。
李律师于2022年入选LEGALBAND中国顶级律师排行榜评选的网络安全与数据合规领域的“特别推荐榜15强”律师。
贾申JasonJIA
中伦律师事务所顾问
贾律师曾于京东方科技集团担任合规中心中心长,曾任国家商务部反垄断局副调研员、驻欧盟和东盟使领馆领事、北京某中级人民法院涉外经济庭法官。贾律师毕业于清华大学,并获得法律硕士学位。
贾律师负责企业合规体系建设,包括合规方案、合规管理制度、合规行为准则等;长期负责合规风险管理和海外投资项目,包括反垄断、商业秘密、贸易调查应对、出口管制&经济制裁、中国PIPL和欧盟GDPR等数据合规(取得欧盟GDPR第三方认证)、美国CFIUS审查、海外直接投资等。贾律师参与北京国资委第一批合规试点项目,参与制订《北京市管企业合规管理工作实施方案》,兼任中国贸促会全国企业合规委员会专家、浙江省外贸企业合规专家。
贾律师2021年荣获《商法》年度跨境合规、科技与电信优秀法务个人大奖,2020年荣获《法治日报》年度“最具法治影响力个人”奖,2019年荣获《法制日报》评选“一带一路”十佳法律合规团队,2018年荣获《首席法务官》杂志评选全国十佳合规总监。
贾律师曾为多家互联网企业提供数据和合规体系服务,包括唯品会、昆仑万维集团、碧捷科技、搜狗公司等;为多家企业提供应对政府调查和网络安全审查服务。
贾律师是中国贸促会全国企业合规委员会专家,并就反垄断、个人信息保护、出口管制制裁、企业合规实践等多次受邀在北京市律协、国内外著名律师事务所、世界500强央企、民企、外企和咨询公司等授课。
机构简介
走出去智库
走出去智库(ChinaGoingGlobalThinktank,CGGT)定位于中国企业“一带一路”投资和境外并购实务,由国际国内一流的专业机构——战略、法律、会计、投行、评估、风险管理、人力资源、公共关系8大类机构/或团队共同发起与合作,在全球范围内约200个国家/地区拥有专业资源,为企业境外投资/并购提供战略咨询、东道国政策和法律研究、境外企业数据研究、法律、财税、估值、公共关系、风险管理、人力资源解决方案。
●●延展阅读
让中国企业更好预警跨境风险、掌握前瞻趋势,由走出去智库、道琼斯风险合规、卓纬律师事务所共同合作,并联合30多国家35家领先律所团队共同推出第一期《跨境数据合规和法律研究》报告。(如需报告可点击下文申请)