联系电话:86-021-68819098
您好,欢迎访问上海明庭律师事务所官方网站!
设为首页|加入收藏

上海明庭律师事务所

Shanghai Minton Lawyers

新闻与资讯

news & INFORMATION

首页 >> 明庭观点 >> 全球视野下的数据跨境流动合规
全球视野下的数据跨境流动合规
来源:明庭律所 | 作者:姜斯勇 律师 | 发布时间: 2019-09-19 | 2264 次浏览 | 分享到:
社会总是朝集约、高效的方向发展。云计算作为一种通过网络提供计算资源,可根据用户需求来扩大或缩小规模的效用服务,已经逐渐成了企业出海背后的助推器,让“一切”运行在云端,企业可以更好地轻装上阵,集中精力做产品、做服务。云计算也仅是企业数据跨境流动的一个集中领域,而在企业全球化布局中,有个因素正在制肘着企业的出海之路,那就是数据跨境传输(International Data Transfers)困局。

在开始本文之前,有必要厘清几个概念。

跨境
指的是从一个法域到另一个法域,而非必须指不同国家,如香港可作为一个单独的法域,本文通常以国家统称;

个人数据
通常指可识别或关联某个自然人的数据(个人信息),而非其他工业数据或自然数据;

传输
关于如何定义“传输(transfer)”的问题,访问算不算传输?通常来讲,传输的作用无非就是让接收方获得该份数据,而数据作为无形物,所见即所得,从这个角度上看,访问跟传输无本质区别。但值得注意的是,在不同法域下,对传输的定义会存在差异,如欧盟把访问视同传输,但俄罗斯可能就把访问排除在传输之外,所以,在实际操作中,准确把握不同法域的规则(泛指各类有约束力的法律文件),没准会有柳暗花明又一村的奇效。

数据跨境传输的流程周期是:数据产生--数据传输--数据接收。而数据跨境传输困境的来源恰恰分别来自这三个环节。

一是本地合规限制
本地合规也可以称为源头合规,指的是数据出口国(数据输出国)的法律对于数据收集的要求,针对的是数据收集阶段,如数据本地化存储、数据主体同意、政府申报、任命数据保护官(DPO)等,如果源头上被污染了,那传输就变成了帮凶,所以本地合规也是跨境传输不可忽视的一环。

二是传输目的限制
传输目的限制指的是,企业(数据控制者或处理者)要将数据从本地转移到另一个国家,一般需要合适的理由,并不能随心所欲,对于个人数据的出境目的,主要以经济目的为主。

三是接收国水平限制
如果接收国的数据保护水平低于数据出口国,那相当于变相规避了数据出口国的法规,此为数据出口国所不能接受。因此,一般会要求接收国的数据保护水平要达到充分水平,至少二者水平要相当,并需要经过数据输出国认可。

基于以上三个层面,各地区颁布了各自的数据跨境传输规则,并互有异同,给不少出海企业造成了不同程度的合规困扰。下面我们着重梳理了欧盟、美国、俄罗斯、印度、澳大利亚、日本、韩国、新加波与中国大陆的数据跨境传输(流动)的规则,以期给有需要的企业或个人提供参考。

欧盟