官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
妮娜小妮娜- 关注
本文由
妮娜小妮娜 创作,已纳入「FreeBuf原创奖励计划」,未授权禁止转载
“数据跨境一定要用户同意么?是不是有了用户同意就行?“
”我们新开海外消费者市场,是不是一定要在海外部署服务器?能不能先用国内的服务器,等业务起量再换?”
“听说美国开始限制数据传输到中国了,我们是不是只能新设美国主体处理数据了?”
......
如果你也有上述疑问,相信这篇文章能给你些思路。本期覆盖欧盟、美国、香港、澳门、台湾。下一期计划写日本、韩国和俄罗斯,感兴趣小伙伴可以蹲一蹲。
一、数据跨境灵魂三问
其实数据跨境无外乎回答以下几个问题:
1、当地是否有数据本地化部署要求
如果有本地化要求,比如俄罗斯,啥都不用说了,本地服务器买/租起来,这步做到了再聊能不能进一步跨境使用;相反,如果没有本地化要求,那就是法律没有强制要求你数据存储在本地,企业可以根据自己的业务体量,网络响应速度,IT和运维人员部署规划等等综合考虑服务器布局,按需选择。
这里多说一句,有小伙伴可能了解到很多电商、互联网头部企业在海外都选择一中心多服务器分区部署的做法,比如美国一个服务器,亚太区一个服务器,欧洲一个服务器,然后选择一个地方作为数据集散中心,比如新加坡,但想提示一下,这种部署可以是多种维度的考量,不一定是法律的强制要求,盲目参考不仅钱包吃不消,还有可能因为政策变动“出力不讨好”,美国跨境新规那块会来讲讲这个问题。
2、当地是否有数据跨境限制
了解清楚当地的数据跨境要求,才能匹配的做合规动作。比如用户同意经常被当成数据处理活动的“万金油”,但其实某些场景,即使有用户同意,这些数据也不能跨境传输,比如日本的“my muber” (类似国内身份证,是一种政府发放的12位编码);又比如,用户同意可能只是数据跨境传输的方式之一,你也可以选择其他的方式;再或者,企业属于无需用户同意的例外场景。还是那句话,合规有成本,比如获得用户同意,多一个勾选页面可能就会流失部分用户,每个企业的合规思路应该是经过论证的,这样子才不会因为大家都做,你就硬着头皮做,大家都退,你就开始慌。
3、当地常用的数据跨境合规方式是什么
合规没有那么多让你独创发挥的空间,大部分场景,基于法律要求,处罚案例,友商做法,监管口径你就能得出个差不多的结论了。对于海外合规,强烈建议了解当地企业的合规做法。参考国内企业会存在什么问题呢,我觉得国内企业可能是做优等生做惯了,有时候会给自己“加码”,大部分时候你做的比法律要求更严格是没问题的,但有时候可能会弄巧成拙,比如俄罗斯数据跨境有两条路,符合充分性认定的国家,通知监管后就可以开展数据跨境,不在认定清单上的国家,就要获得监管许可才可以跨境。清单里有“中国”,但没明确说是否包含“港澳台”,有些企业就觉得,没事啊,我就当不包含,我走“不符合充分性国家”的那条路,我拿到监管“许可”再跨境,我都更高要求自己了肯定没问题,这种是会被驳回的,适用路径就选错了,结果怎么会对呢。
话不多说,针对美国、欧盟、香港、澳门、台湾相关的法律要求和实操建议直接给结论,小伙伴们可以按需看:
| 法律要求 | 美国 | 欧盟 | 香港 | 澳门 | 台湾 |
| 服务器是否必须部署在本地? | 否。法律无数据本地化部署要求。 | 否。法律无数据本地化部署要求。 | 否。法律无数据本地化部署要求。 | 否。法律无数据本地化部署要求。 | 否。法律无数据本地化部署要求。 |
| 是否有数据跨境限制? | 没有。美国联邦及州法暂未对数据流转进行限制。美国今年两项限制敏感个人信息流转至中国的法案,分析见下文。 | 有。欧盟《通用数据保护条例》规定,只有符合相关合规要求,才可进行数据跨境流转。 *根据欧洲监管EDPB指引,海外主体在域外直接收集和存储欧盟居民个人数据,由于不存在数据控制者或者数据处理者向境外第三方传输数据的行为,这种情形不属于数据跨境传输。 | 没有。 1、香港《私隐条例》对于非香港注册且在香港无实体的企业不适用; 2、即使香港《私隐条例》适用,条例第33条跨境传输条款未生效,即法律对跨境传输无强制要求。 | 有。澳门《个人数据处理法》规定,数据只能传输至有充分的数据安全保护程度的地区,个人资料保护办公室未公布哪些地区符合“充分保护程度”标准,需要个案提交审核。除此之外,数据跨境需要获得用户同意,且需要通知个人资料保护办公室报备,并完成登记。 | 有。台湾《个人信息保护法》一般允许跨境转移个人数据。除非涉及四类场景,监管机关可能会对数据流转增加限制,电商领域暂不涉及。 |
| 数据跨境是否必须获得用户同意? | 否 | 否。法律规定了四种跨境传输机制,仅获得“用户同意”不足以进行数据跨境流转。 | 否。如上所述,暂无跨境限制。 | 是。除非针对跨境场景已提交监管并审核通过,否则都需要获得用户同意,并完成向澳门个人资料保护办公室报备登记。 | 是,台湾要求在数据跨境传输前要获得用户同意。 |
| 当地企业常用的数据跨境流转合规方式? | 在《隐私政策》中明确告知数据存在跨境流转 | 两公司间(传输方和接收方)签署《数据跨境处理协议》 | 无。如上所述,暂无跨境限制。 | 1、获得用户同意;且 2、完成监管报备 | 1、获得用户同意;且 2、两公司间(传输方和接收方)签署《数据跨境处理协议》 |
对表格里的内容有几点提示:
1、先判断法律是否适用。不要一下子跳进具体的合规要求,先看看法律是否适用。比如美国、欧盟等地法律具有域外适用效力,基本上一个企业只要会处理当地居民信息,就要遵守相关要求;但香港法律就没有明确的域外适用效力,且根据法院在Google案例中的判决,一般认为对于在海外注册,且在香港没有实体的公司,香港《私隐条例》不会直接适用。
2、明确是否存在跨境传输。比如某企业使用美国分公司在韩国运营电商平台,并收集韩国居民个人信息,数据存储在美国,后又流转到中国母公司使用。在这个场景下,只有美国到中国的流转需要遵守韩国数据跨境要求,因为第一段里,美国主体直接收集韩国用户信息不属于数据跨境。
二、美国跨境新规应对
美国24年出台了两部数据新规,限制敏感数据流转到中国和中国人控制的主体,写文章这会,其中一部刚结束意见征询,还没看到最终发布稿,但预计发布稿和征求意见稿内容不会有太大差异。对两部法案,网络上有很多解读,讲解涉及哪些数据,什么是中国人控制的实体,我觉得挺详细的了,大家可以直接搜索来看看。但我还是想提示一下,注意法律的适用范围,你的企业不一定是受规制主体,别给自己“加戏”。
1、2024年4月24日,美国发布《保护美国人数据免受外国对手侵害法案》,禁止数据经纪人把美国个人的敏感数据传输给包含中国在内的外国对手或其控制的实体。这部法案规制的是数据经纪人,是那些为了有价值对价把别人收集的数据通过出售、授权访问等各种方式传输给另外一个实体的主体。国内的大部分出海企业,比如电商领域,一般都不涉及数据经纪人的角色,数据该传输正常传输就行。
当然另一方面,自己可能不涉及,但是某些场景合作方属于数据经纪人,合作方要求你配合履行该法案要求。这种情况下可以按这种步骤来:
- 整部法案规制的是敏感个人信息的大量传输,先确认是否存在敏感个人信息处理场景,如不存在,与合作方个案澄清,打消合作方顾虑;
- 如果合作方不接受澄清,(不排除有的跨国公司合规水位较高,一刀切的方式管控风险,不愿意给单个case破例)考虑更换签约主体,使用非中国和中国人控制的主体签约,如果对方不要求实质审查,至少做到在穿透一层披露的前提下,非中国或中国人控股。
2、2024年10月21日,美国司法部发布了一份拟议规则制定通知(NPRM),以实施行政命令《防止有关国家获取美国人的大量敏感个人数据及美国政府相关数据》,限制美国人/美国实体向包含中国在内的受关注国家传输大批量的美国公民敏感个人数据和政府相关数据。这部法案规制的对象是“美国人”或“美国主体”,对于使用非美国主体处理美国用户敏感个人信息的场景,并不会直接适用。这也就是为什么我上面说盲目参考可能因为政策变动“出力不讨好。早期部分企业前赴后继的开展美国本地化布局,用美国主体,美国服务器,美国团队处理美国人数据,整个过程是需要时间和成本的。新规出来之后,在新规的逼迫下,如果已经开始“隔离”进程,就要做的彻底,尽可能切断和国内服务器、国内团队、国内主体(包括中国人控制的境外主体)之间的美国用户数据流转。否则,基于新规的直接适用,就会存在较大的风险敞口。
已在FreeBuf发表 2 篇文章
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
- 2 文章数
- 1 关注者