互聯網企業中歐跨境數據合規的困境和應對

摘要：2021年中國《個人信息保護法》《數據安全法》系列規定的頒布和實施將數據出境作為監管重點，根據出境數據種類，以及數據持有者重要程度，互聯網企業業務內容應當遵循不同程度的出境合規要求。另一方面，歐盟在跨境數據傳輸中采用“白名單”模式，且中國不在白名單范圍內，則中國互聯網企業數據進入歐盟必須遵照歐盟其他數據傳輸模式，并需要歐盟數據保護機關批復。這就導致互聯網企業在擴大海外服務的過程中，必須同時遵守中國數據保護法的數據出境合規要求，同時也必須充分識別歐盟的數據保護和合規法律法規要求，同時滿足兩個法域差異化要求，從而建立有效的跨國數據傳輸合規保障機制。

關鍵詞：互聯網 ?企業跨境

一、中國互聯網企業跨境數據合規的困境

在互聯網技術創新發展和大數據產業的迅速崛的時代背景下，“用戶數據處理（user’s data processing）”，例如數據畫像（profiling）、用戶行為分析（user’s behavioural analysis）等成為互聯網企業創新服務模式，提高服務質量，增加企業收益，全球化擴張的重要手段，但于此同時互聯網企業的“數據處理”行為也對個人隱私及個人信息安全造成極大威脅。

根據《2020全球數據合規法律觀察報告1.0版本》，全球132個國家和地區已經完成了個人數據領域的立法[1]，這意味著數據立法在國際層面存在著多重數據規則框架。互聯網企業的業務特點決定了其業務必然包含了數據跨境傳輸，這就要求互聯網企業在多重國際數據規則框架內構建數據跨境合規體系[2]，同時遵守滿足數據跨境兩端國家的數據合規要求。

二、互聯網企業在中歐數據跨境傳輸的具體法律問題

（一）數據從中國出境的合規要求

隨著2021年《數據安全法》和《個人信息保護法》等相關法律的實施，也落地了數據出境的合規體系，互聯網企業對數據處境承擔高水平的合規義務，其中互聯網企業應當根據自身業務準確定位自己的合規義務。

首先，《網絡安全法》中明確規定了關鍵信息基礎設施的企業出境的合規義務。如果互聯網公司業務數據被認定為關鍵信息基礎設施，同時涉及關鍵信息基礎設施的個人信息和重要數據采集，則數據從中國出境需要經過專業機構和相關政府部門的評估后才能出境。

其次，《個人信息保護法》第四十條中對于需要數據信息出境承擔安全評估義務的責任主體的廣泛性規定，基本囊括了所有互聯網企業。

再次，《數據安全法》第三十一條明確規定了重要數據出境時的企業合規義務。然而對于重要數據《個人信息保護法》中沒有詳細而具體的認定標準，《數據安全法》中指出按照地區、部門、行業來列舉重要數據的名錄。通常來說，重要數據的判斷標準是與國家安全、社會利益有較為密切管理型的數據，然而不明確的概念定義也讓互聯網企業合規風險和成分提高。

另外，行業監管要求，由于部分行業其產生的數據具有特殊性，對該行業數據管理有限制性要求。針對互聯網行業，2020年8月，商務部調整發布了《中國禁止出口限制出口技術目錄》，其中與互聯網企業技術有關的有：語音合成技術，語音信號特征分析和提取技術，文本特征分析和預測技術，人工智能交互界面技術，語音評測技術，基于數據分析的個性化信息推送服務技術。

（二）數據從歐盟入境的合規要求

根據最近判例中，按照歐盟的標準傳輸條款簽訂合同并不意味著數據可以自由跨境傳輸，要注重考量在特定案例中，保護水平是否達到GDPR的數據保護要求，如果不符合歐盟數據跨境傳輸的數據保護標準，則還需要在合同中承諾額外保護。總體來看，歐盟對于跨國數據傳輸的管控呈現出了趨嚴的特征[3]。

歐盟GDPR的對于數據處理保護的高標準保護，也使得中國互聯網企業的數據在歐盟入境后處理要完全遵循歐盟高標準的合規要求，尤其在”透明度“和”處理數據的法律基礎“以及”用戶同意“幾個關鍵概念上的合規適用，在歐盟與Google的多個判例中已經體現了歐盟對于這幾個關鍵概念的高標準解釋和行政處罰的高額。

三、中國互聯網企業跨境數據合規的應對

（一）完善企業內部數據處理框架，建立數據安全管理體系

在企業內部建立數據分級分類標準，結合本企業業務特色，以及對數據共享與委托方的充分識別，建立數據安全管理制度。尤其是對于缺乏資金技術的中小型互聯網企業，可以通過與第三方專業安全機構合作，如TrustArc，進行定期的審查評估，模擬預演。

另外，在跨境數據傳輸的全過程實現數據安全管理，包括但不限于：數據出境去標識化的技術處理，對數據傳輸過程的風險評估，對于存儲數據定時的評估以便及時刪除和銷毀等，全面履行數據合規義務。

（二）開發技術處理手段，降低跨境傳輸風險

企業在進行數據跨境傳輸時，可以通過技術手段進行個人信息脫敏，同時避免境外或者境外的處理與訪問。歐盟《通用數據保護條例》實施后，在已經公開宣布的493起違規案件中，有近三分之一的罰款原因是未充分對數據匿名化處理和管理措施確保信息安全而造成的數據泄露[4]。利用技術處理手段對數據匿名化處理，不僅可以減低互聯網企業數據跨境的傳輸風險，也減少了數據合規的成本。

（三）與第三方合作責任主體明確責任義務，建立“責任防火墻”

互聯網企業應與技術服務商簽訂業務合同，有效劃分責任，建立“責任防火墻”，其中要特別注意識別關聯方實體的角色，并結合數據處理的對象，簽署有法律約束力的文件，明確多方在數據保護方面的的權利和義務。

（四）全球數據合規觀察，建立專業的法務團隊

互聯網企業業務涉及多個法律地區，尤其是關鍵合規要求，例如“同意”“透明度”“通知義務”等，尤其注意相同概念在不同法域中的解釋，建立專業的法務團隊，時刻更新最新全球數據合規的發展。于此同時，互聯網企業也要明確當地的系統部署和業務情況，

參考文獻：

[1]《2020全球數據合規法律觀察報告1.0版本》墾丁網絡法，白鯨出海，王捷、魏彤，第23頁

[2]梅傲 侯之帥《互聯網企業跨境數據合規的困境及中國應對》，中國行政管理》2021年第6期，第112頁

[3]《國際視野下，企業如何應對數據跨境傳輸的合規風險》CIO發展中心，2021年1月6日

[4]《中國出海互聯網公司的數據保護合規對策》普華永道，2021年4月

作者簡介：王岱申（1992.02.06），女，漢族，籍貫：四川省中江縣，碩士研究生，華東政法大學，知識產權方向。