×

打开微信,扫一扫二维码
订阅我们的微信公众号

×

扫码分享

EN
首页>汉盛研究>汉盛法评|国际商事仲裁中数据出境的路径解读(中国篇)

汉盛法评|国际商事仲裁中数据出境的路径解读(中国篇)

2023-06-28   李旻

近年来,随着全球各国对数据安全相关立法的不断涌现,使得国际商事仲裁在实践中也不得不面临一些新的问题和挑战。例如,数据出境的合法性适用就是其中的一项急需解决的问题。由于其直接关乎证据是否能按照相应国际商事仲裁规则进行合法取得、披露和使用,进而影响整个案件的裁判结果。因此,解决国际商事仲裁中数据出境的路径问题,也成为了许多学者和代理律师乐此不疲的主要研究方向。需要注意的是,虽然我国《个人信息保护法》与《数据安全法》均作出了在未经我国主管机关批准的前提条件下,均不得向外国司法或执法机构提供存储在我国境内的数据的规定。但由于国际商事仲裁并不属于外国司法机构之列,因此基于商事仲裁需要而向国际商事仲裁机构提供的数据并不需要经我国主管机关的事先批准,与此相关的问题本文也将不再赘述。相比之下,本文将围绕《个人信息保护法》、《数据出境安全评估办法》、《个人信息出境标准合同办法》等法律法规,重点介绍我国的数据出境要求,并结合国际商事仲裁的实际情况对“安全评估”、“个人信息保护认证”和“标准合同”等三种中国客户数据出境的路径进行解读,避免在国际商事仲裁中由于客观上无法提供证据而被作出“不利推定”并进而最终影响案件结果。

一、安全评估

安全评估是《个人信息保护法》第38条规定的数据出境的主要路径之一。根据《数据出境安全评估办法》第4条的规定:“数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:
(一)数据处理者向境外提供重要数据;
(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;
(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;
(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。”
需要注意的是,根据《数据出境安全评估办法》第5条的规定:“数据处理者在申报数据出境安全评估前,应当开展数据出境风险自评估。”可见,数据出境风险自评估是开展安全评估的前提条件,只有通过了风险自评估才能够进入下一阶段的工作。

二、个人信息保护认证

根据《个人信息保护法》第38条第2款的规定,经专业机构进行个人信息保护认证后可以构成个人信息跨境提供的条件之一。
此外,全国信息安全标准化技术委员会于2022年6月颁布的《网络安全标准实践指南―个人信息跨境处理活动安全认证规范》与国家网信办于2022年6月5日颁布的《数据安全管理认证实施细则》一同构建了我国个人信息保护的认证体系,明确了个人信息保护采用的“技术验证”+“现场审核”+“获证后监督”的认证模式。

三、标准合同

虽然《个人信息保护法》第38条第3款对数据跨境合规中最为常用的标准合同的适用进行了规定。但此后,国家网信办于2023年2月22日发布了关于《个人信息出境标准合同办法》(该《办法》已于2023年6月1日起施行),进一步明确了包括以下四种可以作为标准合同适用对象的情形:
(一)非关键信息基础设施运营者;
(二)处理个人信息不满100万人的;
(三)自上年1月1日起累计向境外提供个人信息不满10万人的;
(四)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。
与此同时,数据处理者还需要在跨境提供个人信息前开展个人信息保护影响评估工作,并在标准合同生效之日起10个工作日内,向所在地省级网信部门备案。
综上所述,从“数据自由流动”的角度来分析,在一起“跨境传输”的行为中,数据处理者不仅需要关注所在国关于数据跨境流动的监管要求,其还应当同时关注数据输入国当地的法律规定。因此在实践中,输出国在数据流动前一般都会审查该输出行为是否会对国家安全和公共利益造成影响,包括权衡输入国的国家在数据保护领域的立法和监管体系是否完善,以确保本国公民和企业的数据不会因为他国数据保护合规体系不完成而受到潜在影响。可见,跨境传输往往会面临两国或多国间法律的双重或多重适用问题,忽视了任何一个国家的法律规定,轻者可能会承担巨额罚款,重则或可基于严重后果而承担相应的刑事责任。由于各国国家间关于数据跨境的要求各不相同,因而在现阶段几乎不可能在国际上找到一条通用的惯例,特别是在国际商事仲裁过程中,更是需要结合个案来予以分析。
从目前我国的法律、法规的规定来看,标准合同似乎在国际商事仲裁中最为适用。首先,国际商事仲裁所涉相关个人数据从数量级角度来看一般都相对较少,从量能级角度来看也属于一般数据。其次,国际商事仲裁中的当事人多为企业和个人,且仲裁纠纷的提起多为偶发性事件,因此当事人不太可能通过事先取得个人信息保护认证的方式向仲裁庭和对方当事人提交相关证据。最后,标准合同的适用相较于数据出境的安全评估和个人信息保护认证制度而言显然更为高效和便捷。实践中,当事人可以和仲裁庭签署符合我国法律规定的标准合同,并出具相关承诺书,以确保数据来源的合法性。仲裁庭在取得相关数据之后,其行为也应符合我国《个人信息保护法》和《数据安全法》等法律的规定,根据我国数据合规治理的原则和标准采取相应的安全保障措施,避免出现数据泄露等情形。在标准合同签署之后,如果发生可能影响个人权益的重大变化事由,则应当在重新签署新的标准合同后再次向省级网信部门进行备案。倘若监管部门发现数据处理者在履行标准合同的过程中存在违法、违规行为的,亦有权决定终止该数据处理者的数据出境活动。


相关研究