×

打开微信,扫一扫二维码
订阅我们的微信公众号

×

扫码分享

EN
首页>汉盛研究>汉盛法评>汉盛法评|滴滴出行App被下架—数据跨境传输合规不容小觑!

汉盛法评|滴滴出行App被下架—数据跨境传输合规不容小觑!

2021-07-06   李玉玲,易雪可

2021年7月4日,国家互联网信息办公室发布通报称“滴滴出行”APP存在严重违法违规收集使用个人信息问题,依据《中华人民共和国网络安全法》相关规定下架“滴滴出行”APP,并要求滴滴出行严格按照法律要求进行整改。此则消息一发,一时之间惊爆全网,但其实早在2021年7月2日,网络安全审查办公室就已经发布公告要对滴滴出行实施网络安全审查,目的是为了防范国家数据安全风险,维护国家安全,保障公共利益,再结合2021年北京时间6月30日滴滴低调在纽交所挂牌上市,不难让人联想到滴滴出行此次的违规点很可能与赴美上市中的数据跨境传输密切相关。 

近年来数据跨境传输合规已经成为网信部门重点关注的领域,随着《中华人民共和国国家安全法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》相继出台,对各企业跨境传输数据应当尽到的合规要求也越来越明晰,如果企业在此过程中无法尽合规审查的义务,可能会触发一系列相关法律法规的规定,进而被追究刑事、民事和行政责任。

一般情况下,违法将数据传输至境外可能会触发以下法律责任:

一、非法向境外转移数据的刑事责任

首先,在刑事责任方面,《中华人民共和国保守国家秘密法》(“保守国家秘密法”)第9条禁止将任何可能损害国家安全、外交、经济、社会发展、技术和其他国家利益的信息向境外泄露。《保守国家秘密法》中对“国家秘密”的定义极为宽泛,任何经法定程序确定关系国家安全和利益的事项,均被纳入“国家秘密”的范畴,若任何个人或单位违反前述规定造成重大泄密案件并构成犯罪的,均应当对此承担刑事法律责任。

其次,《中华人民共和国刑法》(“刑法”)对泄露国家秘密、商业秘密或个人信息致使国家安全、个人隐私或知识产权造成损害的犯罪行为,均进行了明确的规定,其中包括《刑法》第253条规定的“侵犯公民个人信息罪”、“拒不履行信息网络安全管理义务罪”、第398条规定的“故意泄露国家秘密罪”、“过失泄露国家秘密罪”,以及第432条规定的“故意泄露军事秘密罪”、“过失泄露军事秘密罪”。

二、非法向境外转移数据的民事及行政责任

首先,根据《中华人民共和国网络安全法》(“网络安全法”)第37条的规定:“关键信息基础设施的运营者应当在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”。否则,依据《网络安全法》第66条的规定,有关主管部门有权对违反本法相关的行为采取责令改正、警告、罚款、吊销经营许可证等行政处罚,因违法向境外转移数据遭受损失的相关主体也有权要求关键信息基础设施的运营者承担民事法律责任。

其次,针对不同行业的数据保护,各行业的主管部门也提出了一系列向境外转移数据的特殊的限制措施,若违反这些行业规定各地相关主管部门也有权对此采取相应的惩罚措施,主要包括以下几类行业的数据:

1、网约车行业:根据《网络预约出租汽车经营服务管理暂行办法》第5条的规定:申请从事网约车经营的,应当具备线上线下服务能力,同时网络服务平台数据库要接入出租汽车行政主管部门监管平台,服务器要设置在中国内地,有符合规定的网络安全管理制度和安全保护技术措施;

2、金融行业:根据《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》第1条规定:在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外,银行业金融机构不得向境外提供境内个人金融信息;

3、互联网地图服务行业:根据《地图管理条例》第34条的规定:互联网地图服务单位应当将存放地图数据的服务器设在中华人民共和国境内,并制定互联网地图数据安全管理制度和保障措施。

4、负责管理人口健康信息的行业:《人口健康信息管理办法(试行)》第10条规定:责任单位应当结合服务和管理工作需要,及时更新与维护人口健康信息,确保信息处于最新、连续、有效状态。不得将人口健康信息在境外的服务器中存储,不得托管、租赁在境外的服务器。

5、网络出版服务行业:《网络出版服务管理规定》第8条规定:图书、音像、电子、报纸、期刊出版单位从事网络出版服务,应当具备以下条件:(一)有确定的从事网络出版业务的网站域名、智能终端应用程序等出版平台;(二)有确定的网络出版服务范围;(三)有从事网络出版服务所需的必要的技术设备,相关服务器和存储设备必须存放在中华人民共和国境内。

6、征信行业:根据《征信业管理条例》第24条的规定:征信机构在中国境内采集的信息的整理、保存和加工,应当在中国境内进行。征信机构向境外组织或者个人提供信息,应当遵守法律、行政法规和国务院征信业监督管理部门的有关规定。

7、私募投资行业:根据《私募投资基金服务业务管理办法(试行)》第48条的规定:服务机构应当确保其主要业务信息系统持续稳定运行,其中涉及核心业务处理的信息系统应当部署在中华人民共和国境内,并配合监管部门、司法机关现场检查及调查取证。服务机构在业务开展过程中所获取的客户信息、业务资料等数据的存储与备份应当在中华人民共和国境内完成,相关数据的保密管理应当符合国家相关规定。服务机构及其从业人员应当恪尽职守,保护客户隐私,严守客户机密。

最后,值得注意的是,为保护个人信息国家发布了一些列的推荐性/指导性标准用以规范各企业的个人信息保护行为,例如《信息安全技术-个人信息安全规范》(“个人信息安全规范”)、《信息安全技术 公共及商用服务信息系统个人信息保护指南》、《个人信息和重要数据出境安全评估办法(征求意见稿)》等等,其中对个人数据保护及出境的具体措施、流程等均进行了明确的规定,且受保护的个人数据非常广泛,可以包括财务信息、生物特征信息、社会活动信息等一切可识别个人特征的信息。这些标准虽然在法律效果上不具强制性约束力,但实际上在执法过程中被相关行业的主管部门予以参考并执行,若违反相关规定则可能面临被行政处罚,因此国内的大型公司一般会根据这些标准的相关规定在公司内部开展数据保护方面的合规检查。

三、关于向境外转移数据的建议

目前我国越来越重视对本地化数据的保护,也正在不断完善数据跨境转移方面的法律法规及行业标准。对于企业而言,在将收集和运用数据向境外转移时,必须审慎评估所转移的数据是否符合法律法规及行业标准的要求,积极向有关部门如实汇报拟转移数据的目的、数据内容、数据安全保障措施等,以取得相关部门的批准,同时应持续审查、核实数据接收者的资质、数据保护能力、应急措施等各项情况,避免数据跨境传输后的数据泄露、滥用等安全事件。鉴于企业在向境外转移数据过程中的复杂性,我们也建议各企业在转移前咨询专业的律师意见,由律师依据相关规定对拟出境的数据进行筛选、编辑、与国内监管部门及国外的机构进行接洽,更能有效保障中国企业的合法权益。

附:法律法规汇总

image.png

相关研究