本文作者:游云庭,上海大邦律师事务所高级合伙人,知识产权律师;汪婷,上海大邦律师事务所顾问,熵值
互联网诞生之初,数据跨境流动是自由的,但自2016年起,各国纷纷颁布法律限制数据跨境传输以保护网络安全、数据安全、个人信息安全。法律是政治性的,所以就有优待和苛刻,今天我们就来比较一下欧盟、美国、中国的跨境数据传输的规定,看看欧美有没有彼此优待?有没有对中国不合理地提高标准?以及我国企业如果被歧视性对待,我们有没有反制措施?
一、各国的数据跨境传输规则
1、欧盟。欧盟《数据保护通用条例》(以下简称GDPR)对欧盟境内个人数据向欧盟境外传输有着严格的管控,但也提供多种途径实现个人数据的跨境传输,主要分为三种机制:第一种是基于充分性认定机制(又称白名单);第二种是采取适当保障措施的机制,包括签订标准合同(Standard Contractual Clause 或者SCC)、通过约束性企业规则(Binding Corporate Rules或者BCR)、认证机制、行为准则(CoC)等;第三种为获得数据主体同意、履行合同所必要等。
2、美国。相比欧盟严格的管控政策,美国主张个人数据跨境自由流动,采取了行业自律模式辅助于政府监管的方式保护数据跨境。行业自律方面,企业制定隐私政策的标准,最具代表性的为ISO/IEC29100系列标准,包括《隐私保护框架》、《隐私体系框架》、《隐私能力保护评估模型》、《隐私影响评估》、《个人可识别信息保护指南》等。
美国的法律体系有联邦法律和州法律两个层面。政府监管方面,在联邦立法层面,美国数据保护立法多按照行业和领域进行分类,如《金融现代化法案》(GLBA)、《健康保险隐私及责任法案》(HIPAA)、《外国投资风险评估现代化法案》(FIRRMA)、《出口管制条例》(EAR)等;在州立法层面,美国各州也在陆续出台相应的数据隐私法案,如《加州消费者隐私法案》(CCPA)、《加州隐私权利法》(CPRA)、《弗吉尼亚州消费者数据保护法》(VCDPA)、《科罗拉多州隐私法》(CPA)等。
同时,美国并未放开国内重要数据的管控,如《外国投资风险评估现代化法案》、《出口管制条例》等法案通过外商投资安全审查、出口管制等手段对关键领域数据采取相关的跨境限制措施。
3、中国。自2016年起,我国《网络安全法》、《数据安全法》和《个人信息保护法》三大数据法规及重要配套法规陆续出台,进一步完善个人信息出境的保护规则,明确要求个人信息处理者在向境外提供个人信息时应采取相应的保护措施。《个人信息保护法》则进一步明确我国个人信息出境有三种路径,即通过网信部门的安全评估、专业机构的个人信息保护认证以及签订网信部门的标准合同。
二、欧盟向中国和美国跨境传输个人数据的路径
之前,欧盟和美国传输个人数据有个隐私盾制度的捷径,但目前已经被欧盟法院废除,目前欧盟向美国与中国跨境传输的路径实际上差不多,企业均需要采取除了白名单机制以外的其他替代性途径实现数据的跨境传输。
1. 白名单和标准合同
欧盟GDPR规定的充分性认定机制(又称白名单),是指经过欧盟认定的对个人数据保护充分的国家、地区或国际组织,可以直接向其传输数据,不必采取进一步的保护措施。而通过“充分性认定”确定有限的数据跨境自由流动的白名单国家不包括中国,因此欧盟向中国跨境传输个人数据,则必须寻找相应的替代性途径,包括采取适当保障措施的机制如签订欧盟颁布的标准合同条款。
2. 被废弃的欧美数据传输隐私盾捷径
2016年美国与欧盟曾签订了美欧数据跨境转移机制《隐私盾协议》(Privacy Shield),允许获得“隐私盾”认证的公司自由地在欧盟与美国之间传输个人数据。因此,欧盟通过“充分性认定”确定有限的数据跨境自由流动的白名单国家包括美国,故企业从欧盟向美国跨境传输数据则不必采取进一步的保护措施。但是2020年7月欧盟法院曾判决认定《隐私盾协议》无法为欧盟转移到美国的个人数据提供充分保护,而裁定《隐私盾协议》无效。
3. 欧美数据传输新捷径尚未开通
但是,据欧盟官网消息,2022年3月25日,欧盟与美国宣布双方原则上已就新的跨大西洋数据隐私框架(Trans-Atlantic Data Privacy Framework)达成一致,该框架将促进跨大西洋数据流动。尽管如此,欧盟与美国间新的数据跨境协议没有正式生效前,欧盟向美国跨境传输个人数据,也无法通过白名单机制,必须采取其他替代性的途径进行个人数据跨境传输。
三、美国向中国与欧盟跨境传输个人数据的路径
如前所述,美国一方面主张个人数据跨境自由流动,另一方面也并未放开国内重要数据的管控。
美国对数据跨境传输的路径没有特定规制,但在对欧盟和中国的策略和态度上还是存在很大差异的。如前所述,欧盟与美国已就新的跨大西洋数据隐私框架达成共识,努力促进双方间数据的自由流动。相比而言,美国对我国科技企业陆续开展非正当的管制措施,如自2020年以来,美国以用户数据隐私和国家安全审查为由对TikTok(抖音海外版)和微信国际版进行打压,也显示出美国向我国进行数据跨境传输的政策日趋严格。
特别地,2019年美国《国家安全和个人数据保护法案2019》(NSPDPA,尚未生效),对于美国用户数据出境,尤其是传输至中国进行明确的限制,旨在规制所有基于数据提供在线服务公司(包括“受管辖公司”),不得将任何用户数据或解密该数据所需的信息(如加密密钥)直接或间接地传输到中国、俄罗斯等任何“有疑虑国家”,而其定义的“受管辖公司”实际非常广泛,大部分互联网企业都可归入其管制范围。如果NSPDPA法案最终通过,则会极大限制美国与中国间的数据传输。
四、中国向欧盟和美国跨境传输个人数据的路径
我国的法律对国外企业比较公平,并无歧视某些国家的规定,但如果谁要歧视中国企业的,我国立法对此也有规制。《个人信息保护法》第四十二条和第四十三条则规定:对列入负面清单的境外组织、个人,或者我国对其采取对等限制措施的国家和地区,我国采取限制或禁止传输个人信息的数据。若美国NSPDPA最终通过并生效,美国限制或者禁止向中国传输相关个人数据,而我国则可能根据对等原则,也会采取限制或禁止措施向美国传输相应的数据,这将会对中美两国的数据跨境传输产生重大影响,对企业跨境传输个人数据提出更高更严格的合规挑战。
下面介绍一下我国的具体制度,国内向境外传输个人数据只有三条路径:通过网信部门的安全评估、专业机构的个人信息保护认证以及签订网信部门的标准合同。
1. 数据类型决定路径
跨境传输个人数据路径的触发条件基于三点考虑:一看数据类型,是重要数据还是非重要数据;二看行业类型,是不是关键基础设施运营者,或者掌握超过100万以上个人信息的;三看数据量,企业累计跨境传输的个人数据或者敏感个人数据的数量。
从上述路径的触发条件来看,出境路径均没有因为出境的国家或地区不同,而有所不同。因此,无论是向欧盟,还是向美国,我国跨境传输个人数据的路径是相同的。
具体而言,以安全评估的路径为例,只要符合下述任一情形的,个人信息处理者应当通过所在地省级网信部门向国家网信部门申报出境的安全评估:(一)向境外提供重要数据的;(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者;(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的。若企业不符合上述任一情形的,则不需要进行安全评估,即属于标准合同的适用范围,需要通过标准合同的路径进行数据出境。
2. 不同安全评估的侧重点有何区别?
若适用安全评估的路径,则可能需要分为两步走:第一步是企业开展的风险自评估,第二步是网信部门开展的安全评估。风险自评估和安全评估在许多内容上具有高度的一致性,比方说评估数据出境的合法性、正当性和必要性,以及数据出境的规模、范围、种类、敏感程度等。当然,两者还是存在差异性的,网信部门的安全评估比自评估更多考量国家安全、公共利益,因此,网信部门的安全评估更关注“数据安全和个人信息权益是否能够在境外得到充分有效保障”,而企业的风险自评估则更关注“个人信息权益维护的渠道是否通畅”。