数据博弈：跨国公司如何应对跨境数据披露困境？





首页 产品与服务 解决方案 客户案例 技术支持 合作发展 关于美创 用户退出 合作商登录 用户登录 申请试用

行业解决方案政府解决方案金融解决方案医疗解决方案教育解决方案能源解决方案物流交通解决方案

售后服务文档中心年度培训

渠道政策申请成为合作伙伴渠道专区

公司动态行业资讯安全研究

热门阅读

国务院：审议通过《网络数据安全管理条例（草案）》

2024-09-02

聚焦医疗数据安全｜美创亮相“2024健康中国医疗健康产业大会”

2024-08-29

美创荣获“中国数据安全领域最具商业合作价值企业”

2024-08-28

国家数据局：数据产业和企业数据资源开发利用政策即将出台

2024-08-28

从这三方面入手，杜绝“删库跑”！

2024-08-22

相关文章

《财政数据分类分级规范》地方标准通过立项评审

2024-09-14

保护敏感数据：数据安全指南

2024-09-14

福建自贸试验区首批数据跨境流动清单发布，涉及4个行业15大应用场景

2024-09-13

以区块链技术维护国家数据安全

2024-09-10

数据安全治理关键技术——数据水印

2024-09-09

数据博弈：跨国公司如何应对跨境数据披露困境？

发布时间：2024-09-12 阅读次数： 42 次

未经中国主管机关批准，中国境内的组织不得向外国司法或执法机构提供存储在中国境内的数据。

这一要求体现在近几年发布的多部“安全阀”法律条文中，例如《数据安全法》¹和《个人信息保护法》²等；同时，不少行业要求中也存在类似限制性要求。如果跨国集团公司被某一中国之外的司法辖区监管机关要求提供该集团在华存储的业务信息，且如果中国和该司法辖区之间尚未达成相关的数据提供渠道，则该集团可能面临在中国境内外两个司法辖区之间的合规挑战。

自《数据安全法》和《个人信息保护法》实施近三年来，其他司法辖区监管机构在司法与执法实践中对上述数据提供限制提出的挑战日渐频繁，比如诸多美国的司法案件和行政执法案例³。近来，欧盟委员会与一家中国企业在欧盟的子公司（该企业）之间的一起案件再次凸显了这一法律困境。

我们在以下内容中介绍了对这一案件的详细情况，以及跨国公司在应对相互冲突的数据提供要求时需要考虑的一些实际步骤。

案件事实

欧盟委员会于今年4月对该企业在荷兰和波兰的办事处进行了突击检查。

在突击检查过程中，欧盟委员会要求查看几名员工的电子邮件账户内容。其所要求的数据存储于该企业中国母公司的服务器上，并涉及中国籍员工的通信记录。

该企业向欧盟普通法院申请救济，试图以遵守该要求将会迫使该企业违反中国法律作为理由，拒绝欧盟委员会的要求。

法院现已驳回⁴了该企业提出的临时禁令申请，并明确了欧盟委员会在调查涉嫌违反欧盟法律的行为时有权要求被调查对象提供数据，无论数据存储于何地。

论点和判决

为了挑战并寻求暂停执行欧盟委员会的要求，该企业提出了若干涉及不同司法管辖区法律差异的论点，但均未被法院采纳。

欧盟法律的域外适用：该企业辩称，欧盟委员会强迫其提供存储在中国境内服务器上的文件违反了欧盟法律和国际公法。欧盟委员会不能将其调查权扩大到欧盟管辖范围以外的地区或个人。然而，欧盟委员会援引欧盟竞争法规定的权限，称其域外调查权适用于业务在欧盟市场上具有直接和重大影响的公司，而不论这些公司是否处于欧盟境内。法院认可了欧盟委员会这一权力，并指出规定这一权力的目的是防止虽然未发生在欧盟境内但对欧盟市场产生影响的行为。
中国法律在欧盟诉讼中的适用性：
该企业还辩称，欧盟委员会关于提供数据的要求将迫使该企业违反中国法律，面临罚款和刑事责任的风险，因而是不合法的。该企业特别指出，遵守欧盟委员会的要求将迫使其违反中国法律，根据《数据安全法》第31条和第36条、《个人信息保护法》第41条以及《保守国家秘密法》第28条，该企业有可能会承担刑事责任。另一方面，该企业指出不提供欧盟委员会所要求的信息将使其面临欧盟制裁的风险。
法院认为该企业的论点过于笼统，缺乏足够的细节。法院强调，法院在评估欧盟委员会决定及其执行措施的合法性时，不会将中国法律考虑在内，而仅根据欧盟法律进行评估。此外，法院还指出，只有在未经中国主管部门事先授权的情况下披露数据，才会违反该企业援引的中国法律规定。然而，该企业并没有证明其是否尝试获取这一授权，也未提出其他替代合规方法。

影响

这一案例凸显了总部位于中国的跨国公司所面临的复杂且冲突的法律局面，即履行国内数据安全法律项下的义务可能导致其违反运营活动所处的欧盟（或其他市场）的外国法律。

为降低这些风险，在欧盟运营的中国公司应考虑以下策略：

了解法律环境：中国公司应将该案件视为警示，尽快了解欧盟和中国各自适用的跨境传输规则，并及早进行相关规划。
为案件做好充分准备：欧盟法院在该企业的论点中发现多个漏洞，其中包括：

未能解释该企业为何无法获取欧盟委员会要求的信息；
中国法律如何阻止该企业在欧盟设立的实体回应欧盟委员会的要求，或为何中国法律与这些欧盟实体相关；
中国法律下的刑事责任是否适用于提供本案要求提供的信息；
该企业是否尝试向中国监管机关申请了必要的授权，以便将数据传输给欧盟委员会；及
该企业是否有其他方法可以在不违反中国法律的情况下遵守欧盟委员会的要求。
有观点认为，如果该企业就上述各项提供合理充分的解释，法院可能会进一步考虑其立场。这一案例凸显了企业在寻求法律救济时做好充分准备的重要性。

聘请专家应对陌生且复杂的程序：鉴于欧盟行政调查和诉讼的法律程序复杂，每次向政府机关或法院传达信息时都应特别谨慎。例如，在本案中，欧盟法院认定其无需听取双方的口头辩论，这可能限制了该企业进一步详细阐述其论点的机会。聘请欧盟法律专家将很可能有助于降低这方面的风险。
主动与监管机构沟通：企业应尽早与所有相关司法管辖区的监管机构接触，寻求澄清、豁免和/或必要的授权，以避免潜在的不利法律后果。监管机构的授权程序通常缺乏明确的完成期限，且耗时较长，因此企业在预设取得授权的案件时间表时应将这一因素纳入考虑。
尽量避免提供存储于中国的数据：企业应该对被要求提供的数据进行仔细审查，在满足监管机关要求的同时，尽量限制提供的数据量，以降低合规风险。此外，鉴于相同数据可以同时存储于多地，企业可以考虑其是否已在中国境外存储了监管机关所要求的数据，进而可以在不违反中国数据安全法律义务的情况下向监管机关提供。
IT系统隔离：企业可以在不同司法管辖区的实体之间采用隔离的IT系统，这可能有助于合法地避免其他司法管辖区监管机构的数据访问请求，从而在确保遵守不同司法管辖区之间可能相互冲突的法律要求的同时，最大限度地保护企业的敏感信息。近年来，IT和数据隔离策略已是跨国公司频繁讨论的话题之一。

采取行动

在各司法管辖区签订双边或多边国际条约或出台相关国内法实施细则之前，不同司法辖区之间可能存在的法律冲突将持续为跨国公司的运营带来合规挑战。

为应对目前错综复杂的法律环境，中国公司需要周密的准备、策略性的沟通以及健全的IT基础设施和数据管理策略，以有效降低其全球业务带来的合规风险。

轉自：昭胜年利达

上一条：福建自贸试验区首批数据跨境流动清单发布，涉及4个行业15大应用场景
下一条：以区块链技术维护国家数据安全

返回

免费试用

服务热线

马上咨询

400-811-3777

