随着近年来《网络安全法》《数据安全法》《个人信息保护法》等法律法规相继生效,我国迎来数据强监管时代。在日前举办的数据合规热点专项实务培训上,盈科(上海)律师事务所高级合伙人谢连杰表示,数据天然具有流动性,互联网产业的发展、信息与知识的传播更新无不依赖于数据的自由流动,而全球化的深入发展则进一步凸显了数据流动的跨国性。如何保障企业在履行数据合规义务的同时,实现业务出海、数据出境以及数据回流等刚性需求,规避其中的数据流通风险,是业内共同关注的话题。
2022年12月,《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》(数据二十条)的发布,也明确了坚持促进数据合规高效、安全有序流通,赋能实体经济的重要性。在谢连杰看来,企业需要建立起有效的数据合规体系,在保证数据的流动性同时兼顾安全性。
首先,进行数据产品合规评估,从三个方向确定数据来源的合法性。一是公开收集渠道是否合法。审查公开获取数据的方式,是否遵循Robots协议行业规则,是否采用侵入、非法控制计算机信息系统、非法获取计算机信息系统数据的程序。二是间接获取是否合法。需要审查购买协议、合作协议或许可使用协议等。三是注意对个人信息的采集。审查涉个人信息的数据采集字段、采集方式是否已经获得个人同意;依据其他合法性基础收集的涉个人信息的数据,数据产品是否仍然在该合法性基础范围内。
其次,对数据流通风险进行评估。依据数据使用条件、约束机制等对数据产品的应用场景进行评估,注意数据产品可能涉及的其他利益相关方并就利益相关方情况作出风险提示;了解相关国家强制性规定,例如依法需要行政许可才能流通的数据产品,是否取得相关行政许可;跨境流通的数据产品,是否通过相应评估。
再次,《个人信息保护法》中明确规定,在特定情形下个人信息处理者应当事前进行个人信息保护影响评估,且评估报告和处理记录应当至少保存三年。企业应根据相关条款,做好个人信息的收集和审查工作。
最后,数据的传输往往涉及多国法域的合规,包括数据进口地、数据出口地以及数据中转地。2022年亚马逊云科技发布的《中国企业上云出海趋势调研结果》显示,过去一年里,60%的出海企业海外业务已经涉及三个以上大洲/地区。虽然各国数据立法的进度各有不同,但是数据相关的规定总体趋势日渐严格。出海企业需要对主要销售目的地国家的数据保护规定进行尽调和研究,根据风险的高低选择数据传输区域,从而全面降低数据风险。
来源:中国贸易报