2021年6月10日,《中华人民共和国数据安全法》(以下简称“《数安法》”)经审议通过,将于2021年9月1日起正式施行。《数安法》是中国数据安全领域的首部基础性法律,未来会与《网络安全法》和《个人信息保护法》共同构建起中国数据监管的法律基石,以保障国家数据安全,促进数据开发利用,应对数据处理风险。

《数安法》对“数据”的定义涵盖范围广泛,包括任何以电子或者其他方式对信息的记录。本文将重点介绍《数安法》对于数据出境的限制,及其对跨国公司在中国运营的影响。值得注意的是,由于香港在一国两制基本国策下拥有司法独立地位,因此《数安法》中的此等限制并不会适用于存储在香港的数据。但是,在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,将由《数安法》予以限制,并对违法者追究法律责任。因此,具有域外适用效力的《数安法》也可适用于在香港的数据处理活动。

未经许可向外国司法或者执法机构提供数据可能面临高至五百万元人民币的罚款

《数安法》第三十六条禁止任何境内的组织或个人在未经主管机关批准的情况下向外国司法或者执法机构提供存储于中华人民共和国境内的数据。2019年的《证券法》(规定未经中国证券监管机构允许不得向境外提供与证券商业活动相关的资料和信息)和2018年的《国际刑事司法协助法》(规定不得向境外提供用于刑事诉讼的证据材料)中也有相似的限制性规定,与之相比,《数安法》将进一步限制向境外提供由中国境内主体(包括跨国公司在中国的子公司)产生的各类数据以用于民事、行政诉讼。要遵守不同司法管辖区间相互冲突的规定对于在华跨国公司而言可能是一项挑战,特别是当一家跨国公司被外国(例如美国)民事法庭或执法机构要求提供来自中国的文件时,中国主体向境外提供数据的限制可能会影响跨国公司遵守外国法律要求、在外国法律程序中进行辩护的能力。

未经主管机关批准向外国司法或者执法机构提供数据的,可以处以十万元以上五百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上五十万元以下罚款;造成严重后果的,还可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。

另一方面,中国公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要,经过严格的批准手续,可以要求向国内个人和企业调取数据。拒不配合的,由主管部门责令改正,给予警告,并处五万元以上五十万元以下罚款,并对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

违法向境外提供重要数据可能处以高至一千万元人民币的罚款

重要数据很可能是与国家安全、经济发展和公共利益密切相关的数据,然而,官方的重要数据识别指引尚未发布。《数安法》规定有关部门将制定重要数据具体目录。2018年1月1日生效的《网络安全法》要求关键信息基础设施运营者将重要数据储存在境内并在重要数据向境外传输前进行安全评估,但未指明非关键信息基础设施运营者是否应在重要数据方面遵守类似义务。《数安法》第三十一条与《网络安全法》相衔接,明确关键信息基础设施运营者在境内运营中收集和产生的重要数据的出境安全管理仍适用《网络安全法》,同时还进一步规定非关键信息基础设施运营者在境内运营中收集和产生的重要数据的出境安全管理办法将由国家网信部门制定,填补了《网络安全法》的空缺。由此可见,中国企业需做好准备,未来有必要向境外传输重要数据时进行安全评估。

违法向境外提供重要数据的,可以处以十万元以上一千万元以下罚款,并对直接负责的主管人员和其他直接责任人员可以处一万元以上一百万元以下罚款;情节严重的,可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。

我们建议,跨国公司审查数据出境的必要性以及所涉及的重要数据(如数量、范围、类型、敏感度等),就数据本地化和常规跨境数据流动进行风险评估,并针对潜在的境外调查制定应对策略。