“边界”在何处——数据跨境传输之辩

2021-10-11

【前言】

对于数据跨境行为，人们已经有了显著的了解，但是对于何为跨境，“境”在何处却少有研究。一般而言，“境”是指国家的边境，但从互联网和数据角度而言，这样的界定似乎已经略显薄弱，数据传输转瞬即逝，穿越边境只在一念之间。信息时代的语境下，主权意义上的地理边境虽然还存在，但由于互联网边境的模糊化，何为数据跨境反而更加难以确定了。本文旨在对企业组织在信息时代背景下的数据跨境行为进行界定，协助企业组织判断自身的数据跨境行为，实现数据跨境合规。

一、对“境”的不同界定

地理意义上的边境十分容易理解，依照《中华人民共和国出入境管理法》的规定“出境是指由中国内地前往其他国家或者地区，由中国内地前往香港特别行政区、澳门特别行政区，由中国大陆前往台湾地区。”

但是网络意义上的边境却难以确定，严格来说互联网并没有“境”，数据的上传和下载在鼠标点击之间即可完成，但要将主权意义上的“境”映射到互联网上则只能从数据接收方的国籍、所在地、设备所在地、实质性重于形式等角度进行具体判断，例如数据物理存储介质（电脑、手机、硬盘、服务器等设备）的地理位置、雇员的国籍、境外法律实体的国籍、境内相关数据是否能被境外用户访问以及访问的权限如何等。

二、涉及数据跨境的典型场景分解

（一）跨国公司等多边法律实体的数据交互

通常如果企业在境外存在股权上或经营管理上的法律实体，其会基于管理上的需求进行各类数据报送。尤其是在经济全球化的现代社会，跨国公司集团之间共享全球信息早就已经成为一种惯常的工作方式。一般而言，跨国公司会定期要求全球分支机构通过统一的办公系统和邮箱系统或特定办公软件上传各类公司数据，例如员工数据、财务数据、市场数据、产品数据、技术研发数据等。

此外，产品和服务存在境外销售的情况下，涉及到收集、使用、流转、删除、销毁等数据处理活动，境外销售的产品或软件如未在销售地进行数据本地存储的，在联网情况下，将数据回传至境内的数据中心也必然引起数据跨境，例如可穿戴智能设备（智能手表、家用医疗设备等）、智能网联汽车、各类手机APP。2018年12月，摩拜单车因被质疑违反欧洲数据法而接受德国数据监管机构的调查。共享单车和汽车平台通常会通过手机应用收集用户的大量数据，包括用户未使用软件时的定位信息。而一旦摩拜将该类数据发送回总部所在地中国，将违反GDPR中对于非欧洲供应商将其数据转移到欧洲外的地区的额外限定性规定。

（二）涉数据流转的跨境交易与研究活动

境内主体开展的境外商业交易与研究活动，如果涉及数据流转，通常会基于项目进行数据共享和融合。例如在跨境并购或跨境研究合作中，所涉及的资产收购或数据处理委托，往往意味着相关设备中所存储的数据随同转移。例如，2017年，复旦大学华山医院与深圳华大基因科技服务有限公司未经许可与英国牛津大学开展中国人类遗传资源国际合作研究，未经许可将部分人类遗传资源信息从网上传递出境。

在日常工作中，笔者也了解到较多企业有将数据委托境外数据分析机构处理的商业需求，例如向印度、欧洲等地区委托进行数据分析。

（三）各国“数据法”的域外管辖权和司法要求

由于对数据的监管权涉及一国对网络空间主权的掌握和国际政治角力，数据监管已经上升到一国的主权尊严。大多数国家和地区都在相关法律中设定了针对外国法律实体的域外管辖权，例如：

除上述表格提及的国家和地区外，印度、俄罗斯等地也都规定了针对本国公民或境外实体的域外管辖权。

由于公司经营全球化的原因，在海外开展业务需要接受当地数据及个人信息监管机构和司法机关执法活动的监督。例如，2019年，美国华盛顿地区法院判决三家中资银行向案件美国原告直接提供受到中国法律严格保护的中国境内机构的客户信息，属于典型的对中资银行行使域外管辖权的情况。

三、辨析数据跨境的一般角度

尽管中国大陆的《数据安全法》和《个人信息保护法》已经出台并逐步落地，但是与数据出境相关的部门规章和指南仍迟迟未能出台。因此，对是否构成数据跨境的情况需要依赖具体的出境方式并结合监管部门的执法口径综合判断。

笔者在参考《个人信息和重要数据出境安全评估办法（征求意见稿）》《个人信息出境安全评估办法（征求意见稿）》《信息安全技术 数据出境安全评估指南（征求意见稿）》的基础上认为，企业在辨析自身的数据出境行为时需要考虑三大因素：出境方式；数据数量；数据属性（重要数据）。

对于出境方式，在假设满足数据数量或数据属性的情况下，笔者对办理的数据出境实例和社会案例进行了总结，可以从以下情形予以界定：

四、数据跨境传输的应对

目前《个人信息保护法》对个人信息数据出境的条件为，网信部门的安全评估、专业机构的个人信息保护认证、制式标准合同的签署，三者满足其一即可。由于后两者尚未有进一步的实施动态，本文不再进一步讨论，笔者仅在参考相关法规征求稿的基础上，对数据跨境传输的安全评估和自评估进行叙述和分析：

（一）行为判定（数据出境自评估）

如上述，在相关实施细则未出台之前，对数据出境的判定需要企业和组织综合以下：出境方式；数据数量；数据属性（重要数据）三大要素并结合相关法规征求稿进行综合判断，企事业单位的行为性质，是否可能构成数据出境，必要时也可咨询相关的专业机构，如判断构成数据出境的行为，需要进一步论证行为的合规性合理性。

（二）制定数据出境计划

组织人员对数据出境目的、范围、类型、规模；涉及的信息系统；中转国家和地区（如存在）；数据接收方及其所在的国家或地区的基本情况；安全控制措施等进行详略得当的计划制定，并形成递交监管部门的书面报告初稿。

（三）数据出境计划的合法正当和风险可控程度

（1）合法正当。就数据出境的内容和形式、行为本身、法定前置条件是否满足、业务正当性、合理性等开展分析和审视。

（2）风险可控。就出境数据的属性和数据出境发生安全事件的可能性，即个人信息和重要数据的属性，包括数量、范围、类型、敏感程度和技术处理情况；发送方数据出境的技术和管理能力；数据接收方的安全保护能力、采取的措施；数据接收方所在国家或区域的政治法律环境等开展分析。

不满足合法正当和风险可控的条件的话，需要进行反复修正和改善，直至满足。

（四）形成数据出境自评估报告和执行出境计划

评估完成后，形成留存备查的书面评估报告，并按照既定的出境计划执行，履行相关的报送报告义务。

本文作者：

指导合伙人：