当前位置: 首页>网络安全>预警通报

数据跨境传输,欧盟美国的法律有歧视中国吗?

发布时间: 2022年08月10日 文章来源: 人民邮电报

互联网诞生之初,数据跨境流动是自由的,但自2016年起,各国纷纷颁布法律限制数据跨境传输以保护网络安全、数据安全和个人信息安全。法律是政治性的,所以就有优待和苛刻,今天我们就来比较一下欧盟、美国和中国的数据跨境传输规定,看看欧美有没有彼此优待,有没有对中国不合理地提高标准,以及我国企业如果被歧视性对待,我们有没有反制措施?

各国的数据跨境传输规则

欧盟《通用数据保护条例》(GDPR)对欧盟境内个人数据向欧盟境外传输有着严格的管控,但也提供多种途径实现个人数据的跨境传输,主要分为三种机制:第一种是基于充分性认定机制(又称白名单);第二种是采取适当保障措施的机制,包括签订标准合同(SCC)、通过约束性企业规则(BCR)、认证机制、行为准则(CoC)等;第三种为获得数据主体同意、履行合同所必要等。

相比欧盟严格的管控政策,美国主张个人数据跨境自由流动,采取了行业自律模式辅助政府监管的方式保护数据跨境传输。在行业自律方面,企业制定隐私政策的标准,最具代表性的为ISO/IEC29100系列标准,包括《隐私保护框架》《隐私体系框架》《隐私能力保护评估模型》《隐私影响评估》《个人可识别信息保护指南》等。同时,美国并未放开国内重要数据的管控,如《外国投资风险评估现代化法案》《出口管制条例》等法案,通过外商投资安全审查、出口管制等手段对关键领域数据采取相关的跨境限制措施。

自2016年起,我国《网络安全法》《数据安全法》《个人信息保护法》三大数据法规及重要配套法规陆续出台,进一步完善个人信息出境的保护规则,明确要求个人信息处理者在向境外提供个人信息时应采取相应的保护措施。《个人信息保护法》则进一步明确我国个人信息出境有三种路径,即通过网信部门的安全评估、专业机构的个人信息保护认证以及签订网信部门的标准合同。

欧盟向中国和美国跨境传输个人数据的路径

之前,欧盟和美国传输个人数据有个隐私盾制度的捷径,但目前已经被欧盟法院废除,目前欧盟向美国与中国跨境传输的路径实际上差不多,企业均需采取除了白名单机制以外的其他替代性途径实现数据的跨境传输。

在白名单和标准合同方面,欧盟GDPR规定的充分性认定机制(又称白名单),是指经过欧盟认定的对个人数据保护充分的国家、地区或国际组织,可以直接向其传输数据,不必采取进一步的保护措施。而通过“充分性认定”确定有限的数据跨境自由流动的白名单国家不包括中国,因此欧盟向中国跨境传输个人数据,则必须寻找相应的替代性途径,包括采取适当保障措施的机制,如签订欧盟颁布的标准合同。

2016年美国与欧盟曾签订美欧数据跨境转移机制《隐私盾协议》(Privacy Shield),允许获得“隐私盾”认证的公司自由地在欧盟与美国之间传输个人数据。因此,欧盟通过“充分性认定”确定有限的数据跨境自由流动的白名单国家包括美国,故企业从欧盟向美国跨境传输数据则不必采取进一步的保护措施。但是2020年7月欧洲联盟法院曾判决认定《隐私盾协议》无法为欧盟转移到美国的个人数据提供充分保护,而裁定《隐私盾协议》无效。

但是,据欧盟官网消息,2022年3月25日,欧盟与美国宣布双方原则上已就新的跨大西洋数据隐私框架(TransAtlantic Data Privacy Framework)达成共识,该框架将促进跨大西洋数据流动。尽管如此,欧盟与美国间新的数据跨境协议在没有正式生效前,欧盟向美国跨境传输个人数据,也无法通过白名单机制,必须采取其他替代性途径进行个人数据跨境传输。

美国向中国与欧盟跨境传输个人数据的路径

美国对数据跨境传输的路径没有特定规制,但在对欧盟和中国的策略和态度上存在很大差异。如前所述,欧盟与美国已就新的跨大西洋数据隐私框架达成共识,努力促进双方间数据的自由流动。相比而言,美国对我国科技企业陆续采取非正当的管制措施,如自2020年以来,美国以用户数据隐私和国家安全审查为由对TikTok(抖音海外版)和微信国际版进行打压,也显示出美国向我国进行数据跨境传输的政策日趋严格。

2019年美国《国家安全和个人数据保护法案2019》(NSPDPA,尚未生效)对于美国用户数据出境,尤其是传输至中国进行明确的限制,旨在规制所有基于数据提供在线服务的公司(包括“受管辖公司”),不得将任何用户数据或解密该数据所需的信息(如加密密钥)直接或间接地传输到中国、俄罗斯等任何“有疑虑国家”,而其定义的“受管辖公司”实际非常广泛,大部分互联网企业都可归入其管辖范围。如果NSPDPA法案最终通过,则会极大限制美国与中国间的数据传输。

我国的法律对国内外企业公平相待,并无歧视某些国家的规定,但如果谁要歧视中国企业,我国立法对此也有规制。《个人信息保护法》第四十二条和第四十三条规定:对列入负面清单的境外组织、个人,或者我国对其采取对等限制措施的国家和地区,我国采取限制或禁止传输个人信息数据的措施。若美国NSPDPA 最终通过并生效,实行限制或者禁止向中国传输相关个人数据,我国则可能根据对等原则,也限制或禁止向美国传输相应的数据,这将对中美两国的数据跨境传输产生重大影响,对企业跨境传输个人数据提出更高更严格的合规挑战。(作者 游云庭 汪婷 系上海大邦律师事务所高级合伙人、知识产权律师,上海大邦律师事务所顾问)


(编辑:魏薇)