1 数据跨境流动
数据跨境流动,主要包括:1、被引进人才携带数据从引才来源国引进到我国境内;2、前述数据因业务需要而从我国境内引出至境外。为此,用单位必须高度重视域外法查明与我国数据跨境流动的相关规定,注意备案、特别许可、安全性评估、跨境使用等方面存在的合规风险。
PART 01 风险提示
Q1:引才来源国数据引进时有哪些风险节点?
1、引才来源国数据管理相关法律的域外法查明。用人单位需对引才来源国的数据管理相关法律进行查明,以免被引进人才携带的数据因违反来源国法律或涉及其国家安全而引发法律风险。
2、引才来源国数据引进时的数据脱敏。用人单位应告知人才该国的数据监管政策,并协助人才进行数据脱敏,否则容易引发法律风险。
Q2:用人单位如何自查排除数据跨境流动风险?
用人单位若需要对被引进人才携带的数据进行跨境流动,必须进行重要数据风险自查与排除,具体包括:
1、重要数据的识别
重要数据,是指特定领域、特定群体、特定区域或者达到一定精度和规模,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。用单位通过《网络数据安全管理条例》里的定义准确识别重要数据。
2、重要数据的备案
用人单位在识别重要数据后一定时间内需要向有关部门进行备案;科研机构团队共享、交易、委托处理重要数据的,应征得设区的市级及以上主管部门同意。
3、重要数据的特别许可
用人单位在获取重要数据的特别许可时,需要注意是否在合同中对数据目的、范围、处理方式、安全保护措施等事项进行规定,用人单位在合同签订后的阶段还需留意第三方的实际履行情况。
4、重要数据的安全性要求
用人单位对存储或使用的重要数据应当进行安全性评估,具体表现为传输系统的等级要求、风险评估要求、应急处置机制要求及数据安全负责人、安全管理机构要求。
5、科研机构团队在数据的跨境使用中涉及重要数据
应注意强制性的安全评估要求,以及每年编制数据出境安全报告。
PART 02 风险防控建议
Q1:如何确保引进人才携带数据的合规性?
1、域外法查明
用人主体需对被引进人才所携带数据进行域外法查明,做好数据跨境流动风险防控。
2、数据脱敏告知与协助
用人主体应告知人才该国的数据监管政策,并协助人才进行数据脱敏。
3、定义及说明重要数据
科研机构团队根据自身科研性质以及研究领域对重要数据下定义及作出说明。在数据使用合同中针对重要数据单独作出规定,必备条款缺一不可。在传输系统、风险评估、应急处置及安全负责人、安全管理机构等方面作出要求,以保证重要数据的安全性。
用人主体在识别其重要数据后一定时间内需要向有关部门进行备案;科研机构团队共享、交易、委托处理重要数据的,应征得设区的市级及以上主管部门同意。在数据的跨境使用中涉及重要数据的,应注意数据跨境的合规、强制性的安全评估要求。
Q2:具体措施包括哪些?
1、法律查明报告
用人主体需对引才来源国数据管理法律进行查明,并形成法律查明报告,重点关注如下方面:(1)来源国是否存在专门法规对该数据跨境使用进行规制;(2)该数据是否涉及引才来源国国家安全。
2、数据脱敏协助
用人主体需告知被引进人才该国的数据监管法律与政策,并协助其进行数据脱敏。其核心任务在于,根据引才来源国的数据管理法律,协助人才采取符合该国法律标准的数据脱敏技术,并依据该国法律规定对数据脱敏结果进行申报,以此最大程度地降低数据侵权风险。
3、数据跨境流动风险自查
用人主体应开展数据跨境流动风险自查,组织数据安全教育培训,重点关注如下方面:
(1)参考相关法律法规对重要数据的定义和释义,结合自身机构类型,作出相应的重要数据定义和分类;
(2)在获取重要数据特别许可时,需明确双方主体、交易的数据范围与目的、传接系统与要求,约定双方的安全保护措施、后续监管手段及违约责任;
(3)对存储或使用的重要数据应当进行安全性评估,应综合考虑数据的属性和该数据自其来源国出境发生安全事件的可能性及影响程度。
·什么是“数据属性”?
“数据属性”包含个人信息和重要信息。个人信息的属性,包括类型、数量、范围、敏感程度和技术处理情况等;重要数据的属性,包括类型、数量、范围和技术处理情况等;当数据出境同时包含个人信息和重要数据时,应同时满足上述两条评估要求。
·发生安全事件的可能性及影响程度考虑哪些方面?
发送方数据出境的技术和管理能力;用人主体的安全保护能力、采取的措施。科研机构团队在处理重要数据时应当按照规定对其数据处理活动定期开展风险评估。用人主体出境数据中包含识别出的重要数据的,应当通过国家网信部门组织的数据出境安全评估,采取合同等有效措施监督数据接收方按照双方约定的目的、范围、方式使用数据,履行数据安全保护义务,保证数据安全。
4、数据出境安全报告
向境外提供重要数据的科研机构团队应当在每年1月31日前编制数据出境安全报告,向设区的市级网信部门报告上一年度数据出境情况。
PART 03 法律依据
1、重要数据的定义
2、合同要求
3、安全性要求
(4)备案
(5)跨境传输
PART 04 典型案例
·案例一:甲科研机构与境外A科研机构合作纠纷案
案例要旨:当事人违反合同约定,超出合同范围使用重要数据,构成违约行为。
案情摘要:甲科研机构与境外A科研机构合作开展B项目,B项目中需要用到甲的重要数据。甲在进行本地化存储和申报安全评估后,通过三级以上的传输系统将重要数据传输给了A,并在合同中对重要数据的处理目的、范围、处理方式、安全保护措施等均进行了规定。甲在后续过程中,发现A机构将这些重要数据超出合同范围进行了使用,将A机构告上法院,告A机构违约。
·案例二:甲公司违反A国数据传输规定案
案例要旨:当事人未进行域外法查明,导致违反A国数据传输规定,构成违法行为。
案情摘要:甲公司在A国有分公司或业务,因其分公司在向其传输数据过程中,相关传输内容违反了A国的数据传输相关规定,导致其分公司受到强制执行。
2 数据使用风险
数据使用需注意区分境内/境外使用与独占/非独占许可使用两种情形。
1、在境内使用时,双方依照平等自愿原则,对数据使用相关条款如客体、主体双方的权利义务、违约责任等进行规定。科研项目团队在数据的境内使用时需要留意的风险点就是一般合同风险,但涉及数据跨境使用时,科研项目团队有需要格外注意的不同的风险点。科研机构团队需要留意是否有将数据进行境内储存等本地化要求,要注意符合个人信息、重要数据等数据的跨境流动的专门规定,并且要对数据的跨境流动进行安全评估以及申报。
2、在数据使用时,科研机构团队需要在合同中明确数据使用形式是独占许可还非独占许可。明确使用形式能确保数据接收方在对数据的后续利用时限定在授权范围内,科研机构团队也可以在授权的使用形式基础上对数据接收方的使用行为进行监管。
PART 01 风险提示
Q1:境内/境外使用具体有哪些风险点:
1、合规的参考
有关数据的跨境传输合规问题,目前我国并没有现行的法律专门针对性地对数据跨境传输问题进行规定,科研机构团队可以参考现有的有关条例及征求意见稿。
科研机构团队在进行数据跨境前需要留意是否需要向有关部门进行申报,同时注意申报材料齐全与否。
3、安全评估
科研机构团队向境外提供数据前,出境数据的属性不同带来的数据出境发生安全事件的可能性及影响程度也随之不同。科研机构团队应考虑到不同属性的数据,对其开展数据跨境安全评估。
4、合同要求
科研机构团队与境外接收方订立的合同中应充分约定数据安全保护责任义务,同时约定违规后的责任承担问题,同时科研机构团队在后续过程中要勤于监管,及时发现问题。
Q2:独占/非独占许可使用有哪些风险点?
科研机构团队在数据使用合同中需要明确数据使用形式是独占许可还是非独占许可,可能存在遗漏。
PART 02 风险防控建议
Q1:如何进行数据跨境传输的风险防控?
1、参考条例及征求意见稿
我国现行的《中华人民共和国数据安全法》、《中华人民共和国网络安全法》对于数据跨境传输问题只是笼统的进行了境内存储等规定,具体的出境安全管理并未进行规定。面临并没有现行的法律专门针对性的对数据跨境传输问题进行规定时,科研机构团队可以参考现有的有关条例及征求意见稿。
2、数据出境申报
出境数据中包含重要数据、处理个人信息达到一百万人的个人信息处理者向境外提供个人信息及累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息的科研机构团队,需要在进行数据跨境前向有关部门进行申报。
3、数据出境风险自评估
科研机构团队向境外提供数据前,需要开展数据出境风险自评估,应综合考虑出境数据的属性和数据出境发生安全事件的可能性及影响程度。
4、合同约定
科研机构团队与境外接收方订立合同时对合同标的、限制条款、安全保护义务、应急处置机制等方面均要进行约定。
Q2:有哪些具体措施?
用人主体应识别科学数据使用形式,在下列类型中选定数据使用方案:1、独占使用或非独占使用;2、境内使用或跨境使用。具体措施如下:
1、合规审查
现行的《中华人民共和国数据安全法》、《中华人民共和国网络安全法》对于数据跨境传输问题只是笼统的进行了境内存储等规定,具体的出境安全管理并未进行规定。2019年6月发布的《个人信息出境安全评估办法(征求意见稿)》、2022年7月发布的《数据出境安全评估办法》以及2024年9月发布的《网络数据安全管理条例》可以为科研机构团队提供更为详细的说明。科研机构团队在符合《中华人民共和国数据安全法》、《中华人民共和国网络安全法》的基础上,参考具体征求意见稿以及现行有效的法律法规进行合规审查。
2、申报材料准备
科研机构团队如果存在:出境数据中包含重要数据、处理个人信息达到一百万人的个人信息处理者向境外提供个人信息、累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息等情况,需要在进行数据跨境前向有关部门进行申报。申报材料包括申报书、数据出境风险自评估报告、科研机构团队与境外接收方拟订立的合同或者其他具有法律效力的文件等、安全评估工作需要的其他材料。科研机构团队向境外提供数据前,需要开展数据出境风险自评估,应综合考虑出境数据的属性和数据出境发生安全事件的可能性及影响程度。
3、数据属性评估
个人信息的属性,包括类型、数量、范围、敏感程度和技术处理情况等;重要数据的属性,包括类型、数量、范围和技术处理情况等;当数据出境同时包含个人信息和重要数据时,应同时满足上述两条评估要求。数据出境发生安全事件的可能性及影响程度考虑以下方面:(1)发送方数据出境的技术和管理能力;(2)数据接收方的安全保护能力、采取的措施;数据接收方所在国家或区域的政治法律环境。
4、合同内容规定
科研机构团队与境外接收方订立的合同时对合同标的客体、限制条款、安全保护义务、应急处置机制等均要进行规定。
Q3:科研机构团队如何识别科学数据使用形式?
科研机构团队授权给他人的数据使用形式有独占许可、排他许可、普通许可三种形式,科研机构团队可以根据具体的合作情况、数据类型等进行选择。
1、独占许可
独占许可是指数据的接受方在协议的有效期内,在特定地区,对许可协议规定的数据拥有独占的使用权;同时数据的许可方不得在该地区使用该数据,更不能把该数据再授予该地区的任何第三方。
2、排他许可
在合同规定的期限和地域内,被许可方和许可方都对该数据拥有使用、利用的权利,但许可方不能再将数据许可给第三方。
3、普通许可
在合同规定的期限和地域内,被许可方和许可方都对该数据拥有使用、利用的权利,而且许可方还可以把技术许可给第三方。
PART 03 法律依据
1、关于境内/境外使用
(1)合规参考条款
(2)申报
(3)安全评估
(4)合同
2、关于独占/非独占许可使用:
PART 04 典型案例
·案例:甲科研机构与境外A机构数据泄露纠纷案
案例要旨:当事人违反合同约定和数据安全保护义务,导致个人信息数据泄露,构成违约和侵权。
案情摘要:甲科研机构与境外A机构合作进行项目研发,此项目中需要用到甲之前收集到的个人信息数据,且个人信息数据超出100万人。甲在进行了安全评估申报和按照国家网信部门制定的标准合同与A机构订立合同,约定双方的权利和义务之后将此数据传输给了A机构。A机构因为安全管理疏忽,此数据遭到了泄露。根据《中华人民共和国数据安全法》和《网络数据安全管理条例》,甲可以向A机构追究违约责任,并要求其承担相应的数据泄露法律责任。