企业邮箱

中文 EN

长沙
长沙

原创 | GDPR与PIPL下的中国企业数据跨境传输与存储法律风险概述

2019年,中国某云存储服务商因为未对存储在服务器上的大量用户数据进行加密保护,导致数百万用户的个人信息被非法访问。黑客在暗网公开出售了这些个人信息,导致大量用户身份被盗用,诱发了银行卡欺诈等一系列问题。对此,监管部门立即要求该服务商在规定的时间内完成事件的完整报告、整改工作并缴纳高额罚款。该事件爆发后,该服务商面临大量用户投诉,商业信誉严重受损,其市场地位遭受了巨大冲击。

随着诸多中国企业在全球各地广泛开展业务,数据跨境传输成为企业生产经营过程中不可或缺的一环,这一过程中,如何防范个人隐私泄露、如何保障数据在跨境传输过程中的安全,成为企业必须面临的挑战。欧洲的《通用数据保护条例》(GDPR)和中国的《个人信息保护法》(PIPL)属于全球数据保护立法实践中的重要标杆,二者在数据跨境传输、存储及处理等方面设置了严格的标准。对于中国企业而言,在处理数据跨境传输,尤其是涉及欧盟区域数据处理时,应密切关注上述立法之规定,确保数据合规,避免潜在的法律风险。


GDPR与PIPL介绍

GDPR是指欧洲议会2018年5月25日通过的《通用数据保护条例》(General Data Protection Regulations),已在欧盟成员国内正式生效实施。GDPR被称为欧盟史上最为严厉的数据保护法律,其适用的范围宽、保护的数据类别多、约束的主体广泛。只要中国公司、网站与欧盟用户有所交集,拥有欧盟分公司,或与欧盟企业商业往来过程中发生了任何的个人数据跨境传输,GDPR即为必须遵循的法规。在GDPR框架下,企业确保数据的跨境传输符合立法要求的一个关键点在于遵守数据存储的原则,即GDPR所强调的数据最小化原则,企业应仅存储必要的数据,并采取合适的技术手段确保数据的安全性。同时,跨境存储个人数据时,企业需要确保数据得到有效保护,避免数据泄露、丢失等安全风险。

(一)GDPR中涉及数据跨境传输的核心内容

1. GDPR的保护范围

在GDPR中,只要是与个人识别相关的任何数据,几乎都被定义为个人数据并受到保护,包括但不限于姓名、身份证号、家庭住址、电子邮箱地址、电话号码以及任何可以单独或与其他信息结合识别个人的数据。此外,GDPR还区分了普通个人数据、敏感个人数据和特殊类别个人数据,其针对不同的数据类别提出了不同的保护要求。

2.GDPR对数据跨境传输的基本要求

根据GDPR的第44条,个人数据的跨境传输必须符合一定条件并配置相应保障措施,以确保数据在流动过程中依然能够保护个人的隐私权和数据安全。

充分性决定(Adequacy Decision)

如果欧盟委员会认为一个非欧盟国家提供的数据保护水平与欧盟法律水平相当,即作出该国的数据保护水平“充分”的决定,这意味着可以自由地将个人数据传输到该国。充分性决定是GDPR第45条中的一个关键概念。如果欧盟委员会对某个国家做出了“充分性决定”,那么数据可以在欧盟与该国之间自由流动,无需额外的法律保障措施。目前,欧盟已经与加拿大、日本等国家达成了充分性决定,但尚未与中国达成以上数据决定。

适当的保障措施(Appropriate Safeguards)

如果欧盟没有对特定国家、地区做出充分性决定,则一旦涉及个人数据的跨境传输,必须采取适当的保障措施以确保数据安全。GDPR第46条规定了几种适当的保障措施:(1)标准合同条款(Standard Contractual Clauses, SCCs),此为欧盟委员会批准的合同模板,数据控制者和处理者可以通过签署SCCs来确保跨境数据传输的安全。(2)绑定公司规则(Binding Corporate Rules, BCRs),这是跨国公司内部通过统一的隐私保护规则来处理跨境数据传输的机制。(3)认证机制(Authentication mechanism),即通过认证机制确保数据处理方的隐私保护符合欧盟要求。

《中华人民共和国个人信息保护法》(Personal Information Protection Law of the People's Republic of China,简称PIPL)自2021年11月1日起施行,是我国为了保护个人信息权益、规范个人信息处理活动、保障个人信息依法有序自由流动、促进个人信息合理利用而制定的法律。PIPL与我国《网络安全法》《数据安全法》并称中国数据合规领域的“三驾马车”。

(二)PIPL中涉及数据跨境传输的核心内容

1. 明确规定跨境传输的合法基础

PIPL第38条规定了个人信息跨境传输的基本框架,并且设立了明确的要求:

(1)数据主体同意:除法律或行政法规另有特殊规定或紧急情况外,个人信息处理者(类似于GDPR中的数据控制者)在进行跨境传输时,有义务向个人清晰、准确、完整地告知境外接收方的名称、联系方式、处理目的、处理方式、个人信息种类,以及个人向境外接收方行使权利的方式和程序。此外,根据我国《个人信息保护法》第三十九条,个人信息处理者在向境外提供个人信息之前,需取得信息主体的单独同意。

(2)合规保障措施:对于跨境数据传输,企业必须采取合适的保障措施,确保数据传输后的安全性,防止泄漏、滥用等风险。

2. 跨境传输前必须进行安全评估

企业在进行跨境数据传输前,必须进行安全评估,检查和分析以下内容:接收国数据保护水平、跨境传输的风险、风险应对措施、评估是否有足够的技术和管理措施来应对潜在的风险,保证数据的安全。企业必须定期评估跨境数据传输的风险,并且向监管机构报告评估结果,确保持续符合合规要求。

3. 通过标准合同或其他合法机制保障合规性

PIPL第39条允许企业通过签订合同等方式确保数据跨境传输的合规性,包括以下几种合规机制:

(1)签署标准合同,即按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务

(2)个人信息保护认证,即企业可以通过向国家网信部门申请并获得个人信息保护的合规认证,以证明其已采取适当的数据保护措施。

中国企业数据跨境传输与存储法律核心风险点

(一)不履行合规义务的法律后果

1.高额罚款

根据GDPR的规定,若企业未依法采取完善的保障措施进行跨境数据传输,可能面临高达全球年营业额4%或2000万欧元的罚款(取其中较高值)。PIPL对未遵守跨境传输规定的企业,同样可以处以最高5000万元人民币的罚款(五千万元以下或者上一年度营业额百分之五以下罚款)。

2.数据泄露、被滥用等带来的民事纠纷

如果企业在数据存储和传输过程中未能保障数据的安全性,可能会导致数据泄露,影响企业声誉,并且可能因侵害个人权益而面临巨额赔偿责任。

3.因行政处罚导致业务中断

如果企业未能履行安全评估、合同保障等义务,可能被监管部门责令停止跨境数据传输、限期整改等,导致业务中断。

(二)严格的监管要求带来的合规风险

GDPR与PIPL都对跨境数据传输设定了明确且严格的标准,企业必须依法全面实施合规措施以确保数据传输的合法性。尤其是当数据传输至未被欧盟委员会判定具有“充分数据保护”的国家或地区时,企业必须采取有效的合规措施。

1.GDPR框架下的执行标准和风险

根据GDPR规定,任何数据传输到欧盟以外的国家或地区,必须确保数据传输的目的地提供与欧盟相当的保护水平。欧盟委员会依据各国数据保护法律、实践和执行情况,决定是否认定该国具备“充分保护”标准。如果数据传输目的地不符合“充分保护”标准(如中国),数据传输企业即应当采取其他有效的法律保障措施,如,数据传输双方可以签订欧盟委员会批准的标准合同条款,明确双方的法律义务和数据保护要求;企业可以通过实施内部约束性企业规则,确保在全球范围内实施一致的数据保护措施(如要求子公司、供应商等主体建立完整性、保护力度不低于数据传输主体的数据保护措施、承担不低于数据传输主体的保密义务)等。若企业不按照上述规定采取相应合规措施进行数据传输,将可能面临高额罚款、数据传输暂停等法律风险。

2.PIPL框架下的执行标准和风险

 PIPL要求中国企业在进行个人信息的跨境传输时,必须确保数据传输符合中国法律规定,并且保证数据的安全性和个人隐私不受侵犯。具体而言,根据数据量、数据类别等方面的不同,企业需要采取的合规措施包括但不限于:

1)安全评估

企业必须对跨境传输的目的地国家的法律环境进行评估,确保目的地国家的数据保护措施符合法律要求。具体而言,建议企业根据国家互联网信息办公室发布的《数据出境安全评估申报指南》进行完整、充分的评估操作,并注意留存全套的评估文件以备核查。

(2)标准合同及个人信息保护认证

企业必须与接收方签署符合PIPL要求的个人信息出境标准合同,确保对方在数据处理时采取合理的技术和管理措施,保障数据的安全,或者在数据量、数据类别等方面存在法定的需要通过认证的情形时通过个人信息保护认证。

(3)备案监管

根据PIPL的要求,如果数据传输涉及大量个人信息,企业可能需要向监管机构(如国家网信办)进行备案,报告数据传输的具体情况。

企业经营者务必注意在实务操作过程中重视跨境数据传输中对目的地国家的合规评估、合同签署及备案要求,从而避免违反GDPR和PIPL要求产生的法律风险。

(三)跨境数据处理不当风险

无论是在跨境传输还是存储过程中,若企业未能采取有效的技术措施(如加密、访问控制、匿名化等),可能会导致数据泄露或被滥用。对于数据传输体量较大的企业而言,一旦发生数据被盗取、滥用情形时,可能侵犯个人信息主体数量极大,进而引发巨额民事赔偿风险。GDPR和PIPL都对数据泄露事件的处理设定了严格的规定,企业必须在规定时间内报告泄露事件,否则将面临严厉处罚。企业在处理跨境数据时,可能存在的问题包括:

1.外部访问屏蔽不足

如果企业没有对传输的数据进行严格的加密处理与外部访问屏蔽措施,黑客或未经授权的人员就可以通过中途截获或篡改数据,从而获取敏感的个人信息,造成泄露或滥用。

2.访问控制漏洞

如果企业未设立足够严格的权限管理系统,员工或外部第三方可能未经授权访问敏感数据,从而导致数据泄露。

3.匿名化缺失

在进行数据分析时,企业若未将数据匿名化处理,即使数据泄露,仍然能将数据与特定个人匹配,造成更严重的隐私侵害。

(四)未取得“数据主体同意”导致的合规风险

GDPR与PIPL都明确规定企业在收集和处理个人数据前,必须获得数据主体(即个人用户)的明确同意。但二者在同意的具体要求、敏感信息处理等方面设置了不同的标准。

1.GDPR的同意要求

根据GDPR第6条,企业在进行个人数据处理时,必须获得数据主体的明确同意,尤其是当数据用于跨境传输时。上述同意必须满足以下几个标准:

(1)明确,即用户必须清楚自己同意了哪些数据的收集和处理。

(2)知情,即企业必须向用户充分披露数据的处理目的、范围、使用方式、传输目的地等信息,确保用户在作出决定时具备足够的知情权。

(3)无误导,即用户的同意必须是自愿的,不能通过误导性手段或隐藏条款让用户“默认”同意。

(4)可撤回性,即用户有权随时撤回同意,而且撤回同意后,企业必须停止处理相关数据。

2.PIPL的同意要求

根据PIPL第三十九条,个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。须注意的是,“单独同意”是指个人针对其个人信息进行特定处理而专门作出具体、明确授权的行为。与之相对的概念是“一揽子同意”,即个人通过一次授权操作(例如在交互界面上主动勾选同意选项)来同意多种目的或方式的个人信息处理活动。单独同意须同时满足实质和形式的要求。在实质上,需满足我国《个人信息保护法》所规定的“知情”“自愿”“明确”三个要件,通过“不同意则无法使用”“与其他授权捆绑同意”等强迫或变相强迫取得的同意无效。在形式上,需以独立弹窗、页面,或者在隐私政策内突出文本等方式加以告知,并通过独立的弹窗、页面在告知用户后单独取得同意。

综上,企业在处理个人数据时,在取得数据主体的同意环节必须确保用户的同意是明确、知情且自愿的,这需要广大企业管理者关注告知内容的全面性、准确性、及时性,同时注意在更新隐私政策时,也需要重新告知数据主体数据处理和跨境传输的目的和风险。此外,对于敏感个人信息的收集和跨境传输,企业更需要注意以合规方式取得数据主体的单独同意。

中国企业数据跨境传输与存储的法律风险控制建议

严格按照PIPL和GDPR的规定履行数据合规义务是企业防范数据风险的必要措施。然而,企业在确保合规的同时,也需合理考虑合规成本,尽量缩小需要进行备案登记、安全评估、单独同意等复杂合规处理的数据范围,以提高经营管理效率,并在合法合规的框架下实现业务目标。对此,企业可以采取以下法律风险控制措施:

(一)严格限制数据收集范围并进行分类合规化处理

为了确保数据处理合规,企业应在收集个人信息时严格控制数据的范围,确保只收集为实现特定商业目的所必需的数据,且在数据收集时遵循合理性、必要性和最小化原则。也即,企业应避免收集过多、不必要或与业务无关的数据,以减少数据泄露、滥用和合规风险。

此外,企业还应做好数据分类管理工作。企业应根据数据的敏感性对个人信息进行分类,针对不同类别、性质的数据,采取不同的合规措施。通常可以将个人信息分为一般个人信息和敏感个人信息两大类,每类数据的处理要求和合规措施存在差异。

(二)个人信息传输前进行匿名化或脱敏化处理

为了减少不必要的合规操作成本并降低数据泄露风险,企业应尽量在个人信息传输前进行匿名化或脱敏化处理。即使数据在跨境传输过程中遭遇泄露,也不会暴露用户的敏感信息,由此,可有效保护用户隐私、降低合规风险,亦可减少复杂的备案、评估和单独同意等高成本的合规操作。

1.信息匿名化

通过将数据处理到无法再与特定个人关联的程度,完全去除标识个人身份的信息,从而达到完全保护个人隐私的目的。如电商平台可以通过将用户的购买记录匿名化,去除与具体用户相关的姓名、电话、住址等敏感信息,只保留商品类别、购买频次、支付方式等。由此,平台在完成数据分析、市场分析的同时,也可有效保护用户个人隐私。

2.信息脱敏化

脱敏化是指对数据进行处理,使其不暴露真实的敏感信息,但仍保留数据的结构和可用性,通常通过数据替换、隐藏或模糊处理的方式完成。脱敏化后的数据仍然是可恢复的,但不会直接暴露用户的敏感信息。如企业在进行数据分析时,需要使用用户的出生日期或身份证号等隐私信息,则可以将用户的身份证号中部分数字替换为星号进行脱敏,在保留数据结构、可用性的同时,防范身份信息的泄露。

(三)完善企业内部数据合规体系,降低数据风险

对于广大中国企业,尤其是数据处理、传输量较大的企业而言,尽快完成企业内部数据合规体系搭建势在必行。这不仅有助于防范潜在的合规风险,还能提升企业的运营透明度和用户的信任度,从而降低因数据泄露、滥用或合规违规所带来的重大财务和声誉损失。在构建数据合规体系时,企业需要起草一系列关键的内部数据保护文件,包括但不限于隐私政策、个人数据对外传输同意书、与关联公司及第三方签订的数据合规承诺书及保密协议等,除了以上文件,企业还应将数据保护纳入常态化管理,如通过开展员工数据保护培训等活动,确保所有涉及数据处理的员工都能够深入理解合规要求,并在日常工作中切实执行数据保护措施。

尽管构建数据合规体系初期,需要企业投入一定的时间、财力和人力成本,特别是在隐私政策制定、跨境数据传输合规处理、安全评估以及员工培训常态化工作设置等方面,需要耗费相当的时间和精力。然而,从长远的战略视角来看,数据合规所带来的收益将远远超过这些初期投入,此外,在PIPL和GDPR的严格监管下,搭建数据合规体系不仅能有效避免高额的罚款和法律诉讼,还能为企业带来良好的商誉等间接的长期收益。




免责声明

本微信公众号原创文章仅为交流讨论目的,不得视为康达(长沙)律师事务所或其律师出具的任何形式之法律意见或建议。如需转载或引用该等文章的任何内容,请私信沟通授权事宜。如您需要相关法律意见或法律服务,欢迎与本所联系。


联系我们

北京总部More

地 址: 北京市朝阳区建外大街丁12号英皇集团中心8层,邮编:100022

电 话:(010) 5086 7666

传 真:(010) 5691 6450

邮 箱: kangda@kangdalawyers.com

西安More

地 址: 西安市雁塔区太白南路139号荣禾云图中心7层、15层,邮编:710061

电 话:(029)8836 0129

传 真:

邮 箱: kangda@kangdalawyers.com

深圳More

地 址: 深圳市福田区中心四路一号嘉里建设广场1期19楼,邮编:518046

电 话:(0755)8860 0388

传 真:

邮 箱: kangda@kangdalawyers.com

海口More

地 址: 海口市美兰区碧海大道86号华彩·海口湾广场A座1008、1009,邮编:570208

电 话:(0898)6625 4181

传 真:(0898)6625 5316

邮 箱: kangda@kangdalawyers.com

上海More

地 址: 上海市黄浦区中山南一路768号博荟广场C座905室,邮编:200023

电 话:(021)6390 1100

传 真:

邮 箱: kangda@kangdalawyers.com

广州More

地 址: 广州市天河区珠江东路32号利通广场29层2901室,邮编:510510

电 话:(020)3739 2666

传 真:

邮 箱: kangda@kangdalawyers.com

杭州More

地 址: 杭州市上城区西子国际中心2号楼1501-1503室,邮编:310002

电 话:(0571)8577 9929

传 真:

邮 箱: kangda@kangdalawyers.com

沈阳More

地 址: 沈阳市沈河区友好街10号新地中心40层,邮编:110013

电 话:(024)2250 3388

传 真:

邮 箱: kangda@kangdalawyers.com

南京More

地 址: 南京市建邺区应天大街888号金鹰世界A座26层,邮编:210008

电 话:(025)8411 1616

传 真:

邮 箱: kangda@kangdalawyers.com

天津More

地 址: 天津市河北区海河东路78号茂业大厦2601室,邮编:300141

电 话:(022)2445 9827

传 真:

邮 箱: kangda@kangdalawyers.com

菏泽More

地 址: 菏泽市开发区人民路菏建·数码大厦B座西单元19层,邮编:274005

电 话:(0530)5566 148

传 真:

邮 箱: kangda@kangdalawyers.com

成都More

地 址: 成都市锦江区东御街18号百扬大厦1栋11层1101室,邮编:610020

电 话:(028)8774 7485

传 真:

邮 箱: kangda@kangdalawyers.com

苏州More

地 址: 苏州市工业园区九章路69号理想创新大厦A幢12层,邮编:215316

电 话:(0512)6758 6952

传 真:(0512)6758 6972

邮 箱: kangda@kangdalawyers.com

呼和浩特More

地 址: 呼和浩特市如意开发区如意河大街西蒙奈伦广场3号楼B座8层,邮编:010050

电 话:(0471)5166 277

传 真:

邮 箱: kangda@kangdalawyers.com

香港More

地 址: 九龍渡船街38號建邦商業大廈1樓5號室

电 话:(00852)2333 9989

传 真:(00852)2333 9186

邮 箱: kangda@kangdalawyers.com

武汉More

地 址: 武汉市东湖新技术开发区高新大道766号商务项目(光谷总部中心)1期T1栋17层1710、1711、1712号写字间,邮编:528451

电 话:(027)5926 5991

传 真:

邮 箱: kangda@kangdalawyers.com

郑州More

地 址: 郑州市金水区郑东新区农业南路51号楷林中心10座12层,邮编:450046

电 话:(0371)8895 9887

传 真:

邮 箱: kangda@kangdalawyers.com

长沙More

地 址: 长沙市雨花区芙蓉中路三段567号第六都兴业IEC32层,邮编:410021

电 话:(0731)8218 3551

传 真:(0731)8218 3551

邮 箱: kangda@kangdalawyers.com

厦门More

地 址: 厦门市湖里区高林中路469号新景地大厦23层,邮编:361016

电 话:(0592)5211 009

传 真:

邮 箱: kangda@kangdalawyers.com

重庆More

地 址: 重庆市江北区桂花街支路10号成大锦嘉国际大厦10层,邮编:400020

电 话:(023)6775 9966

传 真:

邮 箱: kangda@kangdalawyers.com

合肥More

地 址: 合肥市蜀山区政务区华润大厦西塔B座30层,邮编:230071

电 话:(0551)62930997

传 真:

邮 箱: kangda@kangdalawyers.com

宁波More

地 址: 宁波市鄞州区三眼桥街51号宁铸中心5号楼27层(宁波塔-27F),邮编:315199

电 话:(0574)8737 8737

传 真:

邮 箱: kangda@kangdalawyers.com

济南More

地 址: 济南市高新区舜泰北路舜泰广场933号博晶大厦25层2513室,邮编:250101

电 话:(0531)8828 5613

传 真:

邮 箱: kangda@kangdalawyers.com

昆明More

地 址: 昆明市西山区融城优郡B幢10楼,邮编:650034

电 话:(0871)6517 9639

传 真:

邮 箱:

南昌More

地 址: 南昌市红谷滩区红谷中大道1391号华皓中心53层,邮编:330038

电 话:

传 真:

邮 箱:

隐私政策

康达律师事务所(以下简称“本所”)是一家设立于中国的综合性律师事务所。本所网站上的信息仅供您参考,不应视为本所为本网站访问者就特定事项提供的法律意见或建议,本网站访问者不应将其作为作为或不作为的依据。

本所对本网站及网站所包含的文字及图片等各类信息拥有知识产权,未经授权,请勿转载或使用。

本网站超链接的第三方网站不受本所控制,仅为您方便之需,本所不对该等网站的访问者承担任何明示、默示的担保或责任。

欢迎访问本网站,如有任何问题,请与本所联系。