OECD 《保护个人数据隐私和跨境流动准则》提出了促进贸易流通同时,鼓励数据自由流动(除 特殊情况外),以达到各方利益的平衡,并由此制定了跨境数据流动的共同标准以改进全球隐私 法规的“交互性”。《跨太平洋合作伙伴全面进步协议》着重强调了数据必须伴随商品和服务的 自由贸易而自由流动。在如今数字信息时代,随着“数字化经济”概念的提出,全球贸易与经济 一体化的步伐不断加快,“一带一路”战略稳步前行,互联互通的网络打开了中国与世界更加紧 密相联的新格局。数据,毋庸置疑地成为了驱动未来经济增长和效率提升的核心资产,已与“石 油、矿产、天然气”等共同成为了新生产力的要素。
我们不难发现,跨国收购、出海投资、跨境电商与售后服务、跨境支付与物流、全球版 App 发 行等场景高密度出现,这些都依赖于来自世界各地的数据进行分析、计算与决策。大型跨国企业 更以统一化运营的方式管理其国际业务与来自全球的员工,更多服务会通过本地采购或统一外包 给境外第三方组织提供来实现,全球化数据中心的布署与第三国云计算服务合作伙伴的参与,为 跨境数据流动提供了支持与帮助。与此同时,人们对于隐私和数据保护的认知也在逐步提高。在 欧洲《通用数据保护条例》(“GDPR”)生效以后,各国隐私和数据保护的立法也迅速且蓬勃 地发展起来。
《数据全球化与隐私保护指引》(“本指引”)共分为四大部分,以国内企业出海为视角,分别介绍了目前企业在数据全球化现象中面临的挑战与机遇、中国企业在进行出海业务应当如何开展前期规划(包括对数据出境要求梳理、出境数据的盘点、准备合同与评估、完成特殊审批并选定目标国家等)、全球重点目标国家及地区的数据与隐私保护法律解读,以及区域间各数据跨境流动体系的概述,以为中国企业“走出去”提供数据与隐私方面的实践性合规指引。
从本指引可见,虽然大部分国家和地区的法律在很大程度上受到了 GDPR 的启发,与 GDPR 的 体例趋于一致,但也有些国家和地区采取了不同的立法态度以满足其国内的特殊需求。除了特殊 数据需进行本地化不谈,原则上各国和地区都允许跨境数据传输,只是一些国家和地区因其国情 不同,会设置不同的数据跨境传输条件:有的是以允许数据出境为原则,特殊类型数据不得出境; 有的是以禁止数据出境为原则,但允许在符合例外条件下出境。
为了能够让中国企业在“走出去‘发展和国外企业’走进来”中国国门后,提前了解各国隐私保 护法律与监管政策,避免在本土开展业务时或扩展全球业务时“水土不服”,我们撰写本指引以 提供资讯。同时,我们也期待不同国家与地区之间可以致力于建构一个全面的、有高度的、多边 参与的数据隐私合作框架,更有力地探讨不同法域在隐私保护法律法规上的可融合性和各国执行 层面上的一致性。只有这样,才能更加促进数字经济在和谐的框架内有序且充分的流通,确保在 国家安全的基础上达到多边共赢。我国《个人信息保护法(草案)》第十二条所述,“国家应积 极参与个人信息保护国际规则的制定,促进国际交流与合作,推动与其他国家、地区与国际间组 织的个人信息保护规则、标准的互认”。如果能为学界、立法界多贡献素材,也是本指引的写作 初衷之一。
相关下载