适用场景
涉及跨国业务、可能面临境外司法或执法机构调查、或需主动向境外机构提供数据的中国出海企业。
核心要点
1. 核心禁令与审批要求
中国《数据安全法》(DSL)明确规定,未经中国主管机关批准,任何中国境内的组织或个人不得向境外司法或执法机构提供境内存储的数据。这一规定对跨境合规调查和诉讼中的数据传输提出了严格的合规要求。
2. 数据与接收方范围广泛
DSL对“数据”的定义非常宽泛,涵盖各种形式的信息记录。境外“司法或执法机构”也包括各国法院、司法部、证监会等多种机构,且无论是否应境外机构请求,未经批准的主动提供数据同样受限。
3. 严厉的法律责任
违反DSL规定将面临“双罚制”,即对企业处以最高500万元人民币罚款,甚至可能暂停业务、吊销执照;对直接负责的主管人员和其他直接责任人处以最高50万元人民币罚款,处罚力度显著增强。
4. 个人责任风险突出
DSL未明确界定“直接负责的主管人员和其他直接责任人”范围,可能涉及IT经理、数据保护官、合规/法务负责人及其他做出数据提供决策的高级管理人员,个人面临的法律风险不容忽视。
实务建议
- 对于正在进行的跨境数据提供,应立即评估风险,准备申请报批,并考虑暂停高风险的数据传输。
- 在未来的跨境合规调查中,优先考虑将调查工作本地化,确保相关数据存储在中国境内。
- 基于必要性原则,最大限度地减少跨境数据传输,避免不必要的境外数据流转。
- 全面加强企业内部数据安全控制,建立健全数据管理制度和流程,确保数据处理活动合规。
- 重新评估并优化全球IT基础设施架构,以符合中国数据本地化和跨境传输的合规要求。
- 密切关注中国《数据安全法》及相关实施细则的立法和解释进展,及时调整合规策略。
风险提示
- “数据”定义宽泛,几乎所有境内存储的信息都可能受限,包括个人信息,需全面排查。
- “境外司法或执法机构”范围广,即使是主动向境外监管机构提交的财务报告等也可能需要审批。
- “双罚制”意味着企业和个人都面临巨大法律风险,且个人责任可能追溯到决策层。
- 未经批准的数据提供行为,无论是否应境外机构请求,均可能构成违规,切勿抱有侥幸心理。
- DSL的处罚力度远超此前相关法律,表明中国政府对数据出境监管的决心和执法力度将显著增强。