點贊(0)

點贊(0)

多國重疊管轄下，數據跨境流動面臨合規(guī)兩難

金誠同達

2021-10-06 13:34 6736 0 0

在互聯(lián)網時代，數據跨境流動已成為一種國際新常態(tài)，個人數據保護和數據安全問題在各國的重要性都日益凸顯。但全球跨境數據流動的統(tǒng)一規(guī)則尚未形成，數據跨境制度沖突問題日漸浮出水面，具體可體現為“長臂管轄”與行為人所在國的“屬地管轄”或“屬人管轄”發(fā)生沖突，一家公司同時受兩國或多國法律規(guī)制。

作者：鄭文潔符淇媛

來源：金誠同達（ID：gh_116bfa8fc864）

由此，對于總部位于別國、或具有跨境分支的跨國企業(yè)而言，數據出境可能會帶來兩難困境。以下將主要從歐盟《一般數據保護條例》 (General Data Protection Regulation, 下稱“GDPR”)及美國《澄清境外合法使用數據法案》（下稱“CLOUD Act”）與我國數據出境的相關規(guī)則的沖突出發(fā)，結合《汽車數據安全管理若干規(guī)定（試行）》（下稱“《汽車數安規(guī)定》”）回望滴滴面臨的數據出境問題，對境內數據出境的兩難問題進行分析解讀。

一、兩難困境的源頭：管轄權重疊

1. 我國數據出境相關主要法律的適用范圍

從現有規(guī)定看，《網絡安全法》（下稱“《網安法》”）[1]、《數據安全法》（下稱“《數安法》”）[2]、《個人信息保護法》（下稱“《個保法》”）[3]皆以“地域+行為”的方式確立了境內管轄原則。整體而言，該等法律對于境內管轄的思路基本一致，即只要在我國境內開展了其規(guī)定的相應行為，無論是中國境內的組織、個人還是中國境外的組織、個人，均受到該等法律法規(guī)的規(guī)制。

2. GDPR及CLOUD Act的適用范圍可以延及我國境內

1) GDPR的適用范圍

GDPR意在保護屬于歐盟公民和居民的數據。因此，GDPR適用于處理涉及歐盟公民和居民數據的組織，無論它們是否是總部位于歐盟的組織。

結合GDPR第3條的規(guī)定，以及歐洲數據保護委員會于2019年11月發(fā)布的2.1版《GDPR適用地域范圍指南3/2018（第三條）》的示例，位于中國境內的公司的數據處理活動亦可能受GDPR管轄。[4]

GDPR第3條

1.本條例適用于與數據控制者或數據處理者在歐盟領域內所設機構活動相關的個人數據處理，無論該處理行為是否發(fā)生在歐盟領域內。

2.本條例適用于在歐盟領域內沒有設立機構的數據控制者或數據處理者對歐盟內的數據主體的個人數據進行的與以下事項相關的處理活動。

（a）向歐盟內的數據主體提供商品或服務，無論是否需要該數據主體支付對價；或

（b）監(jiān)控數據主體的行為，只要其行為發(fā)生在歐盟領域內。

本條例適用于在歐盟領域內沒有設立機構，但依據國際公法應當適用歐盟成員國法律的數據控制者的個人數據處理。

2) CLOUD Act的適用范圍

從《薩班斯·奧克斯利法案》（下稱“SOX法案”）到《海外反腐敗法》（下稱“FCPA”），再到Cloud Act，美國在世界范圍內的“長臂管轄”不容忽視。

就CLOUD Act而言，該法案授予了美國執(zhí)法部門以要求電子通信服務或遠程計算服務提供商提供處于其控制之下的電子數據的權利，不論其數據儲存于美國境內還是境外，其適用范圍可以延及我國境內。[5]

CLOUD Act§ 2713通信、記錄的保存和披露要求

電子通信服務或遠程計算服務提供商應遵守本章的義務，保存、備份或披露其所擁有、保管或控制的有線或電子通信內容以及與客戶或訂戶有關的任何記錄或其他信息，無論此類通信、記錄或其他信息位于美國境內或境外。

3) 重疊管轄帶來的困境

基于上述分析，跨國企業(yè)在我國境內根據我國法律設立且注冊于境內的企業(yè)，亦可能落入上述GDPR及CLOUD Act的管轄范疇。很可能由此面臨重疊管轄的問題，既需滿足中國數據相關法律的要求，又要滿足GDPR及CLOUD Act的相關規(guī)定。

而現實“殘酷”之處在于，GDPR在面對其他國家對該條例的承認程度、應對措施和可能發(fā)生的沖突情況都缺少明確的解決途徑。[6] CLOUD Act雖提出了復議及禮讓原則等作為解決沖突的路徑，但符合禮讓原則而免于提供數據有兩個嚴苛的要求：

一來須同時滿足數據權利人不是美國公民或不居住于美國，且數據披露行為會導致服務提供商面臨違反適格外國政府法律的實質性風險。

二來須美國法院作出撤銷和變更處罰內容的裁決，而法官需要充分衡量該個案的全部情況，包括美國和要求數據調取的政府實體的利益、外國政府利益、服務提供商如為滿足要求可能受到的處罰的可能性、性質以及嚴重程度、用戶或客戶與美國關系的性質與程度、服務提供商與美國的關系與程度等多方面因素。

總的來說，復議及禮讓原則的主動權還是掌握在美國政府手中，極有可能不會適用于中國境內企業(yè)。[7]

二、 GDPR視角下的具體矛盾場景

在重疊管轄的情形之下，企業(yè)在遵循我國數據相關法律的同時要滿足GDPR的監(jiān)管需求，有時會成為“不可能的任務”。

舉例來說，如果某總部位于歐洲的零售公司，將其個人客戶信息管理（CRM）系統(tǒng)部署于德國，其中國子公司（下稱“A公司”）可以登錄該系統(tǒng)錄入、修改、下載數據，如果A公司發(fā)生了涉及CRM系統(tǒng)的個人數據泄露事件，將可能陷入兩難境地。

1. GDPR的主動報告要求

GDPR第3.1條規(guī)定，GDPR適用于與數據控制者或數據處理者在歐盟領域內所設機構活動相關的個人數據處理，無論該處理行為是否發(fā)生在歐盟領域內。鑒于A公司對于CRM系統(tǒng)的數據處理，很可能被認定為明顯有助于使其總部盈利，屬于與在歐盟領域內所設機構（歐盟總部）的活動相關，所以境內子公司A公司的處理行為，也是受到GDPR管轄的。

故此，A公司需符合GDPR的合規(guī)要求。根據GDPR第33條的相關規(guī)定，在發(fā)生數據泄露的情況下，A公司應當首先向GDPR有權監(jiān)管機構進行報告。[8]

在公司作出相應報告后，GDPR的監(jiān)管機構會進行證據收集、評估。[9]根據GDPR第58條的相關規(guī)定，監(jiān)管機構不僅有權從公司處獲得訪問個人數據的權限，還可以獲得所有其所需要的信息，例如公司相關的經營信息等。[10]

2.《數安法》《個保法》規(guī)定未經批準不得向境外提供數據

即將生效的《個保法》第四十一條，與業(yè)已生效的《數安法》第三十六條的規(guī)定幾乎如出一轍，區(qū)別僅在于《數安法》所針對的是籠統(tǒng)的境內數據，而《個保法》針對的是儲存于境內的個人信息。

《數安法》第三十六條

中華人民共和國主管機關根據有關法律和中華人民共和國締結或者參加的國際條約、協(xié)定，或者按照平等互惠原則，處理外國司法或者執(zhí)法機構關于提供數據的請求。非經中華人民共和國主管機關批準，境內的組織、個人不得向外國司法或者執(zhí)法機構提供存儲于中華人民共和國境內的數據。

《個保法》第四十一條

中華人民共和國主管機關根據有關法律和中華人民共和國締結或者參加的國際條約、協(xié)定，或者按照平等互惠原則，處理外國司法或者執(zhí)法機構關于提供存儲于境內個人信息的請求。非經中華人民共和國主管機關批準，個人信息處理者不得向外國司法或者執(zhí)法機構提供存儲于中華人民共和國境內的個人信息。

根據兩法規(guī)定，非經批準，境內的組織、個人不得向外國司法或者執(zhí)法機構提供存儲于中華人民共和國境內的數據。

如果以嚴格的視角來解讀，境內主體如要向外國司法或者執(zhí)法機構提供存儲于中華人民共和國境內的數據，必須同時滿足如下條件：

存在包括中國有關法律，或者中國締結或者參加的國際條約、協(xié)定，或者按照平等互惠原則等受理依據；
外國司法或者執(zhí)法機構主動提起提供數據的請求；
中國主管機關批準。

3. 如果向境外提供數據行為未獲批準，A公司將陷入兩難困境

若A公司向境外提供數據的行為未能通過中國主管機關批準，A公司將陷入兩難境地。如果不向境外GDPR監(jiān)管機構提供數據則將違反GDPR相關規(guī)定，如果向境外GDPR監(jiān)管機構提供數據，則將違反《數安法》、《個保法》的相關規(guī)定，公司及直接負責人皆有承擔責任的風險。

三、CLOUD Act視角下的具體矛盾

1. CLOUD Act對于電子通信服務或遠程計算服務提供商披露存儲于境外的數據的要求

美國執(zhí)法部門可以依據CLOUD Act的相關規(guī)定，要求電子通信服務或遠程計算服務提供商提供處于其控制之下的電子數據的權利。

舉例來說，總部位于美國的蘋果公司，雖將其境內的iCloud服務交由云上艾珀（貴州）技術有限公司（下稱“云上貴州”）運營，但蘋果實體（包括APPLE DISTRIBUTION INTERNATIONAL LIMITED蘋果納斯達克上市主體及APPLE INC.）“可在云上貴州提供本服務時不時對云上貴州提供協(xié)助”。[11]美國執(zhí)法機關依舊可以根據CLOUD Act的相關規(guī)定，要求蘋果公司提供儲存于我國境內服務器上的數據，可能涉及包括但不限于姓名、手機號碼、個人支付信息、個人健康數據等信息。

CLOUD Act§ 2713通信、記錄的保存和披露要求

2.《數安法》、《個保法》規(guī)定未經批準不得向境外提供數據

與GDPR的情景相類似，如果蘋果公司向美國執(zhí)法機關提供了其要求的數據，但未獲得我國境內主管機關的同意，將違反《數安法》、《個保法》的相關規(guī)定，公司及直接負責人皆有承擔責任的風險。

四、《汽車數安規(guī)定》出臺后再次審視滴滴可能面臨的數據出境困境

1. 滴滴境內的實際運營主體北京小桔科技有限公司亦可能會受到美國法的管轄，進而有配合調查等義務

滴滴通過VIE 結構在美國實現上市，亦即上市的開曼主體DiDi Global Inc.與境內實際運營主體北京小桔科技有限公司完全分離，通過層層協(xié)議控制境內運營主體。[12]其上市主體DiDi Global Inc.作為“發(fā)行人”自然落入了美國法的管轄范疇。而北京小桔科技有限公司作為其協(xié)議控制的關聯(lián)公司，會根據U.S. GAAP的對應規(guī)則并入DiDi Global Inc.合并財務報表中，亦可能落入美國法的管轄范疇，具有配合調查等義務。

以SOX法案項下，美國公眾公司會計監(jiān)督委員（下稱“PCAOB”）對美國上市公司進行監(jiān)督、檢查為例。根據SOX法案以及2020年12月18日生效的《外國公司問責法案》（下稱“HFCAA”），在美上市的外國證券發(fā)行人必須遵守PCAOB的審計標準，需要向PCAOB提供詳盡的底稿。而鑒于暫未有執(zhí)法實例，我們難以確定底稿是否可能穿透到實際運營公司北京小桔科技有限公司，以及底稿涉及的具體文件、材料范圍為何。不排除美國可以通過SOX法案的相關規(guī)定，要求調取滴滴的諸多數據。

目前我國對于中概股底稿出境問題態(tài)度十分鮮明，自2001年美國通過薩班斯·奧克斯利法案以來，中國便一直積極與美國政府進行溝通、談判，且曾于2013年與就會計審計跨境執(zhí)法合作達成共識，PCAOB不得對中概股做常規(guī)型檢查，而由中方進行，且底稿不得出境。2019年中國新修訂的《證券法》中亦再次體現了中國的強硬態(tài)度，再次強調了審計底稿不得出境的原則。

2. 滴滴的諸多數據未經批準不得出境

滴滴在其隱私政策中提及其收集的信息包括駕駛員的其姓名、身份證或其他身份證明、面部識別特征、車輛品牌、型號、顏色、車牌號、駕駛證、行駛證、車輛監(jiān)督卡信息、銀行卡信息等。[13]

2021年8月16日發(fā)布的《汽車數安規(guī)定》作為首個在行業(yè)應用場景中具體細化的數據安全管理規(guī)定，明確了人臉信息、車牌信息等的車外視頻、圖像數據、涉及個人信息主體超過10萬人的個人信息等數據屬于重要數據。[14]

根據《網安法》第三十七條[15]、《汽車數安規(guī)定》第十一條[16]的相關規(guī)定，重要數據應當依法在境內存儲；結合《個保法》第四十一條的規(guī)定，境外的司法或者執(zhí)法機構要求提供存儲于我國境內的個人信息的，非經我國主管機關批準，不得提供，除非我國締結或者參加的國際條約、協(xié)定另有規(guī)定。鑒于我國暫未與美國有此等條約、協(xié)定，未經批準，滴滴應當不得向美國司法部和美國證券交易委員會提供相應個人信息。

五、違反境內數據出境規(guī)則的法律責任

在管轄權重疊導致諸多企業(yè)面臨數據出境兩難困境的背景之下，我們需要提示的是，如果違反境內數據出境相關規(guī)則，可能會面臨如下責任：

由上表可見，《網安法》對于關鍵信息基礎設施的運營者違法向境外提供網絡數據的責任承擔情況作出了規(guī)定；《數安法》第三十六條則規(guī)定“境內的組織、個人”未經許可不得向外國司法或者執(zhí)法機構提供存儲于中華人民共和國境內的數據，如有違反，根據所造成的的后果嚴重程度，承擔對應的責任。

而《個保法》則規(guī)定的較為籠統(tǒng)，沒有具體規(guī)定未經許可向外國司法或者執(zhí)法機構提供個人信息的對應責任。但規(guī)定了公司承擔的責任最高可至五千萬元或者上一年度營業(yè)額百分之五的罰款、吊銷相關業(yè)務許可證、吊銷營業(yè)執(zhí)照，且主管人員和其他直接責任人員需切身承擔責任罰款、且可能在一定期限內不得擔任相關企業(yè)的董監(jiān)高及個保負責人。

六、針對數據跨境常見問題的簡要解答

Q1：總部位于歐盟的公司，向中國境內的子公司傳輸數據。子公司在接收歐盟數據應當有何種合規(guī)安排，GDPR的規(guī)則又是怎么規(guī)定的？

在制度設計層面，歐盟總體而言是鼓勵數據的跨境流動的。因而，GDPR為了規(guī)范歐盟公民和居民的數據從歐盟向歐盟外國家和地區(qū)流動設立了相應的規(guī)則。具體可見如下規(guī)則總結圖：

在現階段，除了向經充分性認定后的白名單國家傳輸數據比較切實可行，還有就是約束性企業(yè)規(guī)則（下稱“BCR”）的運用，亦即在歐盟設立總部或分支機構的跨國公司內部機構之間數據傳輸和保護的約束性企業(yè)規(guī)則。但如上圖所示，BCR應用前提為經監(jiān)管機關的嚴格審批程序后獲批，目前僅有一百多家跨國公司取得了該等批準。

而GDPR其他向外傳輸數據規(guī)則難以落地，將來即使可以進一步落實，在執(zhí)行方面也將面臨管轄權重疊帶來的沖突問題。其癥結，如開篇所言，在于全球數據的跨境流動統(tǒng)一規(guī)則尚未形成。對于任何一個數據主體，輸出數據的活動，首先需要適用輸出國的法律。但只要輸入國在對該活動的管轄中具有“長臂管轄權”，則該數據主體就要面臨管轄權重疊而帶來的沖突，進而可能引發(fā)企業(yè)合規(guī)沖突。

Q2：在現行中國法的規(guī)制下，是否數據一概不得出境？

1. 關于數據出境問題，我國的法律法規(guī)主要從以下三個維度進行管控，并非一概不得出境：

關鍵信息基礎設施的運營者所收集個人信息及重要數據應當存儲在境內，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；
其他主體所收集的重要數據的出境安全管理辦法，由國家網信部門會同國務院有關部門制定，亦會受到管制；
達量的主體收集的個人信息，應當將在境內收集和產生的個人信息存儲在境內且應當通過國家網信部門組織的安全評估，[17]未達量的主體收集的個人信息，雖不以存儲在境內為原則，但確需向境外提供的，應當同時符合《個保法》有關“告知與單獨同意”、“ 評估記錄與監(jiān)督”及滿足該法第三十八條的四項要求之一。[18]

而未落入重要數據、個人信息維度的數據，仍可正常出境，并不受到特殊限制（政務數據與公共數據暫不討論）[19]。對于重要數據及個人信息的辨析、認定和評估，從現在到將來，都將是數據出境過程中至關重要的一環(huán)。

2. 《個保法》第三十八條的四項要求與GDPR所規(guī)定的跨境傳輸框架有一定的相似性，可以為企業(yè)數據跨境合規(guī)（尤其是個人數據跨境）帶來啟發(fā)：

就跨境傳輸框架而言，《個保法》第三十八條第二項規(guī)定了經專業(yè)機構進行個人信息保護認證之后，個人信息即可出境。GDPR中亦有與之相似的“認證機制”的規(guī)定；第三項根據網信部門制定的標準合同與境外接收方訂立合同則與GDPR中“標準數據保護條款”的立法設計相似，均通過不可更改的標準合同的方式將法律規(guī)則內化到合同中。

GDPR自2018年公布以來，仍未有其批準的行為準則（Code of Conduct），歐盟委員會還在持續(xù)不斷發(fā)布新的決定、對于標準合同文本進行更新。鑒于中國的《個保法》剛出臺不久，對應的評估、認證操作細則及標準合同文本的出臺，仍需要一定時間，一系列規(guī)范及文本應該會逐步落地。

企業(yè)應謹記，以上相似性主要源于同一目的—使企業(yè)在數據傳輸活動中切實履行法定義務，以保證個人信息的跨境流動的安全性。由此，在具體規(guī)則尚未出臺前，亦可以未雨綢繆，早做準備，以應對政策實際落地的挑戰(zhàn)。

Q3：與第三方合作向境外提供數據，是否可以規(guī)避本主體承擔責任的風險？

《個保法》第二十條調整的是數據共同決定者及數據共同處理者與個人信息的權利主體之間的規(guī)定。該條明確了：1）如果屬于個人信息處理者共同決定個人信息的處理目的和處理方式的情形，無論內部約定如何，其對外都需承擔配合權利主體要求行使《個保法》規(guī)定的權利；2）如果屬于共同處理個人信息的情形，侵害個人信息權益造成損害的，共同處理個人信息的主題需承擔連帶責任。也就是說，與第三方合作，無法當然成為“擋責金牌”。

七、總結

數據出境困境的解決，離不開與境外各國監(jiān)管機構的長時間溝通協(xié)調，正如美國證券交易委員會與中國證券監(jiān)督管理委員會就中概股底稿出境問題的“沖突”，有待雙方長時間的博弈以期達成合作共識。

誠然，想要在國際社會針對數據流通建立統(tǒng)一規(guī)則并非易事。在數據流通方面，各個國家的利益及政策并不相同。一個相對穩(wěn)定的秩序的建立，必得是經過各方博弈后達到的某種衡平。

更深尚有通樵處，或是秦人未可知。

[1] 《網絡安全法》第二條規(guī)定：在中華人民共和國境內建設、運營、維護和使用網絡，以及網絡安全的監(jiān)督管理，適用本法。

[2] 《數據安全法》第二條規(guī)定：在中華人民共和國境內開展數據處理活動及其安全監(jiān)管，適用本法。

[3] 《個人信息保護法》第三條規(guī)定：在中華人民共和國境內處理自然人個人信息的活動，適用本法。

在中華人民共和國境外處理中華人民共和國境內自然人個人信息的活動，有下列情形之一的，也適用本法：（一）以向境內自然人提供產品或者服務為目的；（二）分析、評估境內自然人的行為；（三）法律、行政法規(guī)規(guī)定的其他情形。

[4] 根據該指南第8頁所提及的示例2，一家由中國公司運營的電商網站，所有個人信息處理的活動限于中國境內，該公司在柏林設立了其歐洲辦公室，目的在于領導實施對于歐盟市場的商業(yè)開發(fā)及市場營銷活動。指南明確指出，在此情況下，可以認為駐柏林的歐洲辦公室的活動與中國電子商務網站對個人數據的處理活動密不可分。因為針對歐盟市場的商業(yè)開發(fā)和市場營銷活動明顯有助于使電子商務網站提供的服務盈利。中國公司處理與歐盟銷售相關的個人數據，確實與柏林歐洲辦事處針對歐盟市場的商業(yè)前景和營銷活動有著千絲萬縷的聯(lián)系。因此，中國公司對與歐盟銷售相關的個人數據的處理，可以被視為通過其歐洲辦事處活動進行的，在歐盟境內存在機構。因此，中國公司的這一加工活動將受GDPR第3(1)條規(guī)定的約束。

https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32018-territorial-scope-gdpr-article-3-version_en，P8，最后訪問時間2021年9月5日。

[5]http://uscode.house.gov/view.xhtml?path=/prelim@title18&edition=prelim#PARTI_4_target，最后訪問時間2021年9月5日，引述自《美國法典》第18條，在其第2510款中，規(guī)定“任何在州際或國際之間通過電線、無線電、電磁、光電子或光學系統(tǒng)中，全部或部分傳輸任何性質的符號、信號、文字、圖像、聲音、數據或情報的服務商都屬于電子通信服務商的范圍”；在其第2711款中，則規(guī)定“遠程計算服務提供商為通過電子通信系統(tǒng)向公眾提供計算機存儲或處理服務的服務商”。

盡管CLOUD Act的條文本身并未明確規(guī)定其法律主體是否包括境外服務提供商，但是參考上述對于“電子通信服務服務提供商”及“遠程計算服務提供商”的定義，可以將境外服務商劃入主體范圍之內，為CLOUD Act的境外適用預留了靈活解釋空間，具有延及我國境內主體的可能性。

[6] 劉天驕. 數據主權與長臂管轄的理論分野與實踐沖突[J]. 環(huán)球法律評論, 42(2):13.

[7] 《澄清境外合法使用數據法案》節(jié)選：

(3) 禮讓分析———為依據第 (2) (B) (ii) 款作出決定, 法院須酌情考慮———

(A) 美國利益, 包括尋求披露的政府實體的調查利益;

(B) 適格外國政府防止任何違禁披露的利益;

(D) 被獲取通信內容的用戶或客戶的位置和國籍 (若能知曉) , 以及用戶或客戶與美國發(fā)生關聯(lián)的性質和程度, 或若依據第3512節(jié)規(guī)定為外國行政機構利益而啟動法律程序時, 用戶或客戶與外國行政機構所在國發(fā)生關聯(lián)的性質和程度;

(E) 提供者與美國的聯(lián)系及存在的性質和程度;

(F) 調查所需披露的信息的重要性;

(G) 通過產生更小嚴重消極后果的手段, 實現及時有效地獲取所需披露的信息的可能性;以及

(H) 提出協(xié)助請求的外國執(zhí)法機構的調查權益, 若根據第3512節(jié)為外國行政機構的利益而啟動法律程序。

[8] 《一般數據保護條例》第33條向監(jiān)管機構報告對個人數據的泄露規(guī)定：

1．在個人數據泄露的情形中，如果可行，控制者在知悉后應當及時——至遲在72小時內——將個人數據泄露告知第55條所規(guī)定的有權監(jiān)管機構，除非個人數據泄露對于自然人的權利與自由不太可能會帶來風險。對于不能在72小時以內告知監(jiān)管機構的情形，應當提供延遲告知的原因。

2．處理者在獲知個人數據泄露后，應當及時告知控制者。

3．第1段所規(guī)定的告知應當至少包括：

(a)描述個人數據泄露的性質，在可能的情形下，描述包括相關數據主體的類型和大致數量，以及涉及到個人數據的類型與大致數量；

(b)告知數據保護官的姓名與詳細聯(lián)系方式，或者可以獲取更多信息的其他聯(lián)系方式；

(c)描述個人數據泄露的可能后果；

(d)描述控制者應對個人數據泄露已經采用或計劃采用的措施，包括——如果合適的話——減少負面影響的措施。

……

[9]https://ico.org.uk/media/action-weve-taken/2618609/ticketmaster-uk-limited-mpn.pdf，最后訪問時間2021年9月5日：2018年6月23日英國在線票務商Ticketmaster報告稱，Ticketmaster的外部第三方供應商Inbenta Technologies托管的一款客戶支持產品上存在惡意軟件。ICO在收到該公司報告后，發(fā)起了相關調查，并在往來信件中多次要求公司為其進一步調查提供更多信息。

[10] 《一般數據保護條例》第58條權力規(guī)定：

1．每個監(jiān)管機構都具有所有如下調查權力：

(a)要求控制者和處理者，以及——在適合的情形下——控制者或處理者的代表提供履行其任務所需要的所有信息；

(b)以數據保護核查的方式進行調查；

……

(e)從控制者或處理者那里獲取訪問個人數據的權力，以及為了行使其任務而所需的所有信息；

(f)按照歐盟與成員國法律的程序法，獲取對控制者和處理者的所有房屋建筑及場地，包括數據處理設施和方法的訪問權。

[11]https://www.apple.com/legal/internet-services/icloud/cn_si/gcbd-terms.html，最后訪問時間2021年9月5日

[12]https://d18rn0p25nwr6d.cloudfront.net/CIK-0001764757/6aeb113a-2c08-4163-86c7-922fda5a30ea.pdf，最后訪問時間2021年9月5日

[13] 《個人信息保護及隱私政策》2021年7月8日版本—滴滴出行APP

[14] 《汽車數據安全管理若干規(guī)定（試行）》第三條規(guī)定：本規(guī)定所稱汽車數據，包括汽車設計、生產、銷售、使用、運維等過程中的涉及個人信息數據和重要數據?！?/p>

重要數據是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益或者個人、組織合法權益的數據，包括：

（一）軍事管理區(qū)、國防科工單位以及縣級以上黨政機關等重要敏感區(qū)域的地理信息、人員流量、車輛流量等數據；

（二）車輛流量、物流等反映經濟運行情況的數據；

（三）汽車充電網的運行數據；

（四）包含人臉信息、車牌信息等的車外視頻、圖像數據；

（五）涉及個人信息主體超過10萬人的個人信息；

（六）國家網信部門和國務院發(fā)展改革、工業(yè)和信息化、公安、交通運輸等有關部門確定的其他可能危害國家安全、公共利益或者個人、組織合法權益的數據。

[15] 《中華人民共和國網絡安全法》第三十七條規(guī)定：關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業(yè)務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。

[16] 《汽車數據安全管理若干規(guī)定（試行）》第十一條規(guī)定：重要數據應當依法在境內存儲，因業(yè)務需要確需向境外提供的，應當通過國家網信部門會同國務院有關部門組織的安全評估。未列入重要數據的涉及個人信息數據的出境安全管理，適用法律、行政法規(guī)的有關規(guī)定。

我國締結或者參加的國際條約、協(xié)定有不同規(guī)定的，適用該國際條約、協(xié)定，但我國聲明保留的條款除外。

[17] 《個人信息保護法》第第四十條規(guī)定：關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規(guī)定數量的個人信息處理者，應當將在中華人民共和國境內收集和產生的個人信息存儲在境內。確需向境外提供的，應當通過國家網信部門組織的安全評估；法律、行政法規(guī)和國家網信部門規(guī)定可以不進行安全評估的，從其規(guī)定。

[18] 《個人信息保護法》第三十八條規(guī)定：個人信息處理者因業(yè)務等需要，確需向中華人民共和國境外提供個人信息的，應當具備下列條件之一：

（一）依照本法第四十條的規(guī)定通過國家網信部門組織的安全評估；

（二）按照國家網信部門的規(guī)定經專業(yè)機構進行個人信息保護認證；

（三）按照國家網信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務；

（四）法律、行政法規(guī)或者國家網信部門規(guī)定的其他條件。

中華人民共和國締結或者參加的國際條約、協(xié)定對向中華人民共和國境外提供個人信息的條件等有規(guī)定的，可以按照其規(guī)定執(zhí)行。

個人信息處理者應當采取必要措施，保障境外接收方處理個人信息的活動達到本法規(guī)定的個人信息保護標準。

[19]《數據安全法》第三十八條國家機關為履行法定職責的需要收集使用數據，應當在其履行法定職責的范圍內依照法律行政法規(guī)規(guī)定的條件和程序進行;對在履行職責中知悉的個人隱私、個人信息、商業(yè)秘密、保密商務信息等數據應當依法予以保密，不得泄露或者非法向他人提供。

第四十三條法律法規(guī)授權的具有管理公共事務職能的組織為履行法定職責開展數據處理活動，適用本章規(guī)定。

公共數據定義暫可參考《深圳經濟特區(qū)數據條例》第一章（五）公共數據是指公共管理和服務機構在依法履行公共管理職責或者提供公共服務過程中產生、處理的數據。

注：文章為作者獨立觀點，不代表資產界立場。

題圖來自 Pexels，基于 CC0 協(xié)議