适用场景
计划或已在境外上市、面临海外投资审查、遭遇贸易调查(如反倾销、制裁)、参与境外诉讼或仲裁,以及需要向外国政府机构提交申请(如出口许可、通关)的中国企业。
核心要点
1. 《数据安全法》第三十六条的核心要求
该条款是中国针对外国司法或执法机构调取境内数据的‘阻断条款’。未经中国主管机关批准,任何境内的组织或个人不得向外国司法或执法机构提供存储于中国境内的数据。这为数据主权提供了法律保障。
2. 三类主要触发场景
企业向境外提供数据主要涉及三大类活动:一是行政审批类,如境外上市、国家安全审查、出口许可申请;二是行政调查类,如制裁调查、反倾销反补贴调查、海关溯源调查;三是司法诉讼类,如在境外诉讼中应证据开示要求提供数据。
3. 双重合规义务:一般与特殊
企业需同时履行数据出境的一般义务和特殊义务。一般义务指遵守《数据安全法》《个人信息保护法》关于数据跨境传输的安全评估、认证或标准合同要求。特殊义务即针对司法执法调取场景,必须事先获得中国主管机关批准。
4. 数据分类分级是合规基础
企业必须对拟出境数据进行全面梳理和分类分级,识别其中是否包含国家秘密、重要数据、个人信息(尤其是敏感个人信息)、核心商业机密等。不同类别的数据受管制程度和审批路径可能不同。
5. 主动配合与强制调取的区别应对
企业需区分场景是‘主动配合’(如自主申请专利)还是‘强制调取’(如应PCAOB审计要求)。后者因可能面临境外处罚而压力更大,但无论哪种,在程序上都必须优先满足中国法律的前置审批要求。
实务建议
- 建立场景识别机制:对照指南梳理的业务场景(如上市、调查、诉讼),在收到境外数据调取要求时,第一时间判断是否触发《数据安全法》第三十六条。
- 立即启动数据盘点:对拟提供的数据进行清单化管理,并依据相关标准进行数据分类分级,明确数据属性(是否含重要数据、敏感个人信息等)。
- 履行双重评估程序:首先进行数据出境风险自评估。若数据中含重要数据或达到法定数量的个人信息,需依法向国家网信部门申报安全评估。
- 同步申请主管机关批准:确定触发第三十六条后,立即根据数据性质和所属行业,向相关行业主管机关(如证监会、商务部等)提交出境申请。
- 保留完整沟通与审批记录:妥善保管与境外机构的往来函件、中国主管机关的批复文件等,作为合规履责的证据。
风险提示
- 切勿未经批准直接提供:即使面临境外罚款或业务限制等压力,也绝不能绕过中国主管机关审批直接向境外司法执法机构提供数据,否则将面临中国法律下的严重责任。
- 警惕数据范围被扩大:在应对境外调查或诉讼时,谨慎审查对方的数据调取范围,防止其利用宽泛请求获取与案件无关的敏感数据。
- 区分‘数据’与‘证据’:在诉讼仲裁中,不能因属于‘证据’而忽视其作为‘数据’的跨境监管属性,仲裁机构的数据调取是否适用该条仍需关注官方解释。
- 避免供应链间接违规:在应对如美国海关强迫劳动调查时,即使由境外进口商提交数据,实际源头多为中国出口商,企业需确保自身提供的数据已履行合规审批。
- 关注数据出境后风险:获得批准并提供数据后,应持续关注境外机构对数据的使用情况,发现滥用或泄露需及时向中国主管部门报告。