适用场景
业务涉及跨境数据传输、可能受外国制裁影响或需配合境外调查的中国出海企业,尤其是在处理敏感数据或处于国际地缘政治紧张行业的企业。
核心要点
1. 国家安全是合规底线
企业在配合境外调查或应对制裁时,任何向外国机构提供境内数据或协助的行为,若未经中国主管机关批准,都可能触犯危害国家安全罪、侵犯商业秘密罪或侵犯公民个人信息罪。数据处理活动无论发生在境内还是境外,只要损害中国国家安全或公共利益,都将被追究法律责任。
2. 数据出境需经批准程序
非经中国主管机关批准,境内的组织和个人不得向外国司法或执法机构提供存储于中国境内的数据。违反此规定将面临高额罚款、停业整顿甚至吊销执照的行政处罚,情节严重的可能构成犯罪。
3. 配合境内调查是法定义务
当中国公安机关或国家安全机关因维护国家安全或侦查犯罪需要依法调取数据时,有关组织和个人必须予以配合。拒不配合将受到行政处罚,并可能被追究进一步的治安或刑事责任。
4. 反制措施的民事与刑事连带风险
若企业为配合外国限制措施而侵害了中国公民或组织的合法权益,受害者可向人民法院提起诉讼要求赔偿。若企业拒不执行生效判决,可能构成拒不执行判决、裁定罪。同时,不执行、不配合中国反制措施本身也可能被依法追究法律责任,包括刑事责任。
实务建议
- 建立数据出境审批流程:任何收到外国司法或执法机构数据提供请求时,必须首先评估是否需向中国主管机关申请批准,不得擅自提供。
- 制定内部应对预案:针对可能的外国调查或制裁,预先制定合规响应流程,明确需内部法务或合规团队审核,并识别涉及国家安全、商业秘密或个人敏感数据的场景。
- 加强员工培训:对涉外业务、法务、数据管理部门的员工进行专项培训,使其了解《反外国制裁法》和《数据安全法》的核心义务与刑事风险红线。
- 保留书面记录:对所有数据调取请求、内部审批决策过程、向主管部门的报备或申请文件进行完整存档,以备核查。
- 在合同中加入合规条款:与境外合作伙伴的协议中,明确约定遵守中国数据出境及反制裁相关法律,并设定相应的责任划分与免责机制。
风险提示
- 切勿未经批准向境外提供数据:这是最高风险行为之一,尤其是应对外国执法要求时,绝不能仅依据外国法律或客户要求而直接提供境内数据。
- 避免“选边站”的简单思维:在外国制裁与中国反制措施之间,企业需谨慎评估,单纯配合外国措施可能在中国法下构成侵权并引发诉讼及刑事责任。
- 不要忽视法院判决的强制力:如果因配合外国制裁在中国被诉并败诉,必须严肃对待生效判决,拒不执行将升级为刑事犯罪。
- 区分日常数据出境与执法提供:本文主要针对应对外国司法/执法请求的场景,日常业务数据出境还需同时满足《个人信息保护法》等规定,两者合规逻辑不同但都需严格遵守。