LEB法务平台-【精彩回顾】9/14北京数据出境

订阅 0 0 1477

【精彩回顾】9/14北京数据出境

2022-09-21 11:34

从2016年GDPR带起了全球数据流动严审的节奏，各国陆续推出自家的个人信息保护和数据跨境传输相关的法律法规，2017年中华人民共和国网络安全法实施，2021年中华人民共和国数据安全法实施，2022年中华人民共和国个人信息保护法实施，就此，三大上位法系数到位！

上位法自然只是战略层级的定位，对于公司法务，要在实操层面做好数据合规工作，还是要研究下位的行政法规，比如关键信息基础设施安全保护条例、网络数据安全管理条例（征求意见稿）；部门规章，比如汽车数据安全管理若干规定（试行）、网络安全审查办法、数据出境安全评估办法、个人信息出境标准合同（征求意见稿）；国标，比如GB/T 35273-2020 信息安全技术个人信息安全规范、GB/T 41479-2022 信息安全技术网络数据处理安全要求、GB/T 39335-2020 信息安全技术个人信息安全影响评估指南、GB/T 37964-2019 信息安全技术个人信息去标识化指南，等等。

尤其对于外资企业，近期出台的数据出境类法律规制更是重点中的重点，故此，9月14日，LEB携手世辉律师事务所开展《数据出境安全评估和法律文件准备》线下分享会。

提到外资在华企业，通常有独立的IT运维部门，并采购有强壮的IT系统，鉴于公司治理层面对控制权的掌握，一般来说，所在在华产生的数据，不经分类、不经过滤、不经审查，一并与国外总部共享。

这造成，即使业务量有限，在华员工不多的外资公司，也经常会将超过万级的数据传输到海外，其中员工数据、业务数据、客户数据、工业数据混杂在一起，甚至包括不少隐私数据，很容易就达到10万数据量和1万隐私数据量的传输门槛，尤其是汽车、金融、医疗医药行业，更容易触发数据出境安全评估的门槛。

当企业打定主意要申报数据出境安全评估时，才发现原来各业务部门，甚至IT部门，对企业的各大系统和IT架构并不是特别了解，到底要不要调整，是否必须本地化、时间周期和成本、牵头方和工作量、优先级排序。。。这些都很难摸清楚理顺。

业务部门也会反问法务部门，针对于申报这个项目进行评估，评估安全评估通过的可能性，申请提交的时间、通过或否决的主要因素、缓冲方案等等，可不少公司法务对此也是一知半解。

公司法务们常会思考是否可以退而求其次，不进行数据出境安全评估，而是仅在数据出境场景发生时，与相对方签署数据出境标准合同，可是这个标准合同怎么签署？境外相对方公司法务审查合同后能不能接受严苛的条款？都是不确定的，而且标准合同条款比较严苛，可能大部分境外法务对标准合同条款不理解/有疑虑，会拒绝签署，这就非常考验数据出境与其他内部制度的协调。

当然，还需要分析在华机构和母公司之间的人力资源管理关系、合规调查和政策区隔、以及可能产生的跨境诉讼。

640 (3).jpg