以欧盟通用数据保护条例（GDPR）与中国网络安全法为例浅谈跨国企业个人数据跨境重点问题与合规建议

在全球一体化、数字化飞速发展的当下，欧盟与中国几乎在同一时间通过立法对个人信息的保护问题提出了更加具体的要求[1]。这些立法无论是对在华经营的欧洲企业还是对业务拓展至欧盟的中国企业，均产生了重大影响。本文通过比较欧盟《通用数据保护条例》（以下简称“GDPR”）与《中华人民共和国网络安全法》（以下简称“网安法”）及其他相关法律规范中对于个人信息跨境制度的规定，就这一主题为涉及两方面跨境业务的企业进行法律制度的初步梳理，以求有助于其建立统一合规体系、减少重复投入、降低运营成本。

一、个人信息的定义

GDPR与网安法在个人信息的定义上表现出了一致性：GDPR第4条(a)款强调，个人信息（personal data）是指可直接地或间接地识别或用于识别自然人的信息；而网安法规定，个人信息是“能够单独或者与其他信息结合识别自然人个人身份的各种信息”。由此可见，立法上二者对于个人信息的特点抱有同样的观点，即信息所具有的自然人属性以及可用于指向特定人的可识别属性。同时具备这两种属性的信息将被认为是个人信息。

二、管辖范围的异同

根据网安法第二条的规定，网安法适用于中国“境内建设、运营、维护和使用网络，以及网络安全的监督管理”。对于GDPR，其管辖的地域范围更加广泛，对于在欧盟内有实体的组织自不待言，即便某组织在欧盟成员国内并无实体（establishment），也不在成员国内处理个人信息，只要该组织在欧盟境内提供商品或者服务，或者监控在欧盟内欧盟居民的行为，则该组织也会受GDPR的管辖[2]。事实上，对于非欧盟组织，GDPR还提出了额外的要求，即非欧盟组织应当在欧盟成员国内任命一名代表（representative），负责代表该组织承担GDPR所规定义务[3]。两部法律对于管辖范围上的区别，在个人信息跨境流通方面，正体现出立法目的的不同。

三、立法目的差异

个人信息保护仅仅是网安法所保护法益的一个部分，网络安全、国家安全与社会公共利益等内容也是网安法关注的重点。相较而言，GDPR更重视保护自然人的个人信息权利，包括个人信息使用的知情权利、自由流通的权利、撤回使用授权的权利以及被遗忘的权利等。由此不难理解，对于个人信息跨境，网安法更加关注出境的信息本身是否会对国家安全、社会秩序造成负面影响，故其更关注出境前的安全评估，也更支持个人信息的境内运营与境内存储[4]；而GDPR在立法目的的层面上更支持个人信息的自由流通，其不仅关注个人信息在境内受保护的情况，同时也着眼于个人信息出境后如何被处理及保护。

四、部分合规重点问题的提示

（1）  关于明示同意的要求

无论是GDPR还是网安法，对于个人信息的跨境都要求信息指向对象的同意。然而，关于此种同意是否必须以明示的形式取得，网安法并未予以明确。与之相对，GDPR中明确规定该同意应当是清晰而明示的，其甚至对可以采取的同意形式进行了列举式的说明，包括书面声明、口头声明、在浏览网页前进行选项勾选、选择特定的技术参数设置等[5]，而沉默、预先勾选好的选项框等都不应被视为同意。我们认为，GDPR的上述规定对于企业在实务操作中取得信息指向对象的同意具有参考意义。

（2）  关于个人信息出境的规定

对于个人信息出境，中国法的规制主要在于事前安全评估，有两个重点需要特别注意：

1)  关键信息基础设施的鉴别

网安法规定，涉及到关键信息基础设施运营中收集或产生的个人信息，如确需向境外提供的，应报请行业主管或监管部门组织安全评估。对于企业而言，鉴别自身运营的设施是否属于关键信息基础设施格外重要。根据网安法，关键信息基础设施的具体范围由国务院制定，而从国家互联网信息办公室发布的《关键信息基础设施安全保护条例（征求意见稿）》来看[6]，虽然其中第18条对于关键信息基础设施具体范围进行了概述，但该等规定比较笼统，对企业的指导意义有限。此外，该征求意见稿第19条中规定了关键信息基础设施识别指南制度，并规定由行业主管或监管部门负责识别。由于相关法规仍在征求意见阶段，有待进一步细化，目前我们建议有关企业时刻关注识别指南的制定情况，做好与行业主管及/或监管部门的沟通工作，在规则制定和关键信息基础设施识别工作的开展过程中积极发挥主观能动性。此外，在有关识别指南颁布之前，《国家网络安全检查操作指南》中对于关键信息基础设施“三个步骤”[7]的识别方法，对企业理解立法机构及执法机关的思路具有一定的参考价值。

2)  个人信息出境安全评估的重点评估内容

数据出境安全评估的重点内容主要在《个人信息和重要数据出境安全评估办法（征求意见稿）》（以下简称“安全评估办法”）第8条中集中体现。除了第7款的兜底条款，该条主要分为三个层次论及了评估应当涉及到的内容：

数据出境的必要性（第1款）；

数据本身的特性，包括数量、范围、类型、敏感程度，以及出境及出境数据汇聚可能对国家安全、社会公共利益、个人合法利益带来的风险（第2、3、6款）；

数据接收方保护数据的能力、该国家或地区的网络安全状况以及数据出境后可能遭遇到的风险（第4、5款）。

对于个人信息出境，欧盟法特别关注数据出境后的风险问题。GDPR通过两方面的手段来评估个人信息接收方保护数据的能力以及减少数据出境后的风险：第一，个人信息出境的目标国应当能够为出境数据提供足够的法律保护，欧盟将评估目标国现状，并建立白名单制度，对符合要求的国家或地区予以公布；第二，数据控制者或处理者对于个人信息出境后的情况应当有充分的控制力，此种控制力建立在有法律效力的公司准则[8]与同接收者之间有法律强制力的协议[9]或标准数据保护条款上，监管部门将对上述公司准则或标准条款进行审查。我们认为，GDPR规定的上述风险评估措施以及其他相关规定[10]对于企业考量安全评估办法中第三个层级的评估内容时具有相当的借鉴价值。

综上，结合两部法律在个人信息出境方面的关注重点和具体规定，企业在进行数据出境安全评估时，应将目标国的数据保护立法状况、监管力度以及与目标国订立的国际条约等因素纳入考量范围。在企业内部跨境流转数据时，应制定完善的公司准则；向外部提供数据时，应订立具有法律强制力的标准合同或者标准数据保护条款。应该相信，这些措施将会为数据出境安全评估获得主管部门的认同和/或许可加分[11]。

五、总结与建议

随着数据量的爆炸和数据传输技术的革新，信息保护已不再是独立、静止的国内法问题，其极有可能成为继商业贿赂后下一个全球性合规审查热点。从OECD准则[12]到数据保护指令[13]，欧盟对于个人信息保护的立法尝试经历了相当长的一段时间，然而导致“安全港协议”体系崩塌的Schrems案件[14]，再次为欧盟敲响了警钟。意识到问题的严重性，世界各国的立法机构和执法机关势必会对自身以及他国的立法状况提出更高的要求，并对违法行为科以更重的法律责任[15]。对于涉足多个地域的跨国企业，制定统一的全球化数据保护制度以符合各国的法律要求，是减少重复投入、降低合规风险的优先选择。对于同时涉及个人信息从欧盟及中国出境的跨国企业，我们结合本文内容，初步提出以下建议：

（1）  由于GDPR与网安法对于个人信息的定义基本一致，企业可以结合自身具体业务，制定统一标准，对业务中涉及到的信息进行定义与甄别，对于需要采取脱敏措施的个人信息[16]，也可以按照各国法律要求中较高的标准，以统一手段进行处理；

（2）  对于取得个人信息指向对象同意的措施和证明，企业可以先行参考GDPR所认可的操作方法，同时密切关注中国法律法规的立法动向；

（3）  在信息保护合规制度的建立方面，企业同样宜采用较高的标准，建立跨区域的、统一的公司数据保护准则，制定标准化的数据保护条款，并以此为蓝本在具体适用于某一司法辖区时进行属地化调整，从而满足国际标准与本地化的多重合规要求。

本文仅为我们对相关法律、法规及政策的一般解读，不能作为正式的法律意见和建议，如果您有特定的问题，请与观韬中茂律师事务所联系咨询事宜。

周知明

合伙人

观韬中茂上海办公室

电话：（86-21）3135 9919 

传真：（86-21）3135 9929

电子邮箱：zhouzm@guantao.com