来源:中伦视界,作者:李启茂 罗丹奇 张力玮 吴翌婷 

数字化转型中,ESG建设需重视数据合规,确保数据安全与隐私保护,企业应遵守国内外数据保护规定,提升ESG表现。

近20年是全球数据中心产业蓬勃发展期,根据中国通服数字基建产业研究院发布的《数据白皮书(2023年)》显示,全球数据中心产业规模在2022年达到1308亿美元,总体逐步进入成熟期。从《“十四五”数字经济发展规划》到《全国一体化政务服务平台移动端建设指南》,当前我国经济社会发展越来越呈现出数字化特征,正在进入以数字化生产力为主要标志的新阶段。《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》提出,“迎接数字时代,激活数据要素潜能,推动网络强国建设,加快建设数字经济、数字社会、数字政府、以数字化转型整体驱动生产方式、生活方式或治理方式变革。”随着大数据、云计算、物联网、移动互联网、人工智能等新一代信息技术的发展和与国民经济的融合,数字化时代已经到来,并加速推动我国数字经济迈上新台阶。数字技术和人类生活交互融合,促使数据业务量呈现指数级爆发式增长,数据海量聚集,其安全性和隐私保护等问题正面临严峻的挑战。

数据安全作为各行业中较为常见的实质性风险之一,制定数据战略并确保战略的更新及可持续发展至关重要。故,数字化转型与ESG合规(上)(下)两篇将探讨企业为何要关注数据安全、数据合规与ESG的关系,以及为企业如何构建完善的数据安全战略及合规体系提出建议。

一、 境内外数据合规立法

(一)国内对于数据合规的相关法律法规

(二) 数据安全相关国家标准部分列举

(三) 国外数据合规相关立法

1.欧洲

1.1欧盟

欧盟议会于2016年4月14日通过《通用数据保护条例》(General Data Protection Regulations, 以下简称“GDPR”),于2018年5月25日在各欧盟成员国内正式生效。任何收集、运输、保留或处理涉及欧盟所有成员国内的个人信息的机构组织均受该条例的约束。GDPR授予人们管理组织收集的个人数据的权限,可通过数据主体请求(Data Subject Request, 以下简称“DSR”)来行使这些权限,同时,聚焦个人数据的全流程处理,提出个人数据假名化、匿名化设计的和默认的数据保护手段等,加强个人数据的保护。在GDPR框架下,组织需要及时提供有关DSR和数据泄露的信息,并执行数据保护影响评估。

2016年8月,《网络信息系统安全指令》(Directive on security of network and information systems,以下简称“NIS指令”)生效,该法旨在加强基础服务运营商、数字服务提供商的网络和信息系统安全,要求履行网络安全风险管理、网络安全事故应对与通知等义务,并要求成员国在21个月内将其转化为国内法;2023年1月生效的《关于在欧盟全境实现高度统一网络安全措施的指令》取代了之前的NIS指令,扩展了属于其范围的关键实体的部门和类型,在系统安全指令的基础上简化了事件报告义务,对报告、内容和时限做出了更精确的规定。对国家当局的监管措施、执法要求更加严格,行政处罚清单也更加严格。

1.2法国

1978年1月6日,法国通过了关于数据处理、数据文件和个人自由的第78-17号法案,在后续的历次修正案中,分别引入了被遗忘权、罚金刑和数据可迁移性规则等。欧盟的GDPR出台后,为了衔接GDPR,该法案在2018年6月被修订,并对GDPR的某些规定进行了调整,包括尽管不要求强制性的事先通知,但仍然要求主管部门对某些处理活动进行事先授权或征求意见,例如出于研究或公共利益目的处理健康数据。此外,该法案允许个人数据主体指定其死亡后对其个人数据的处理策略。

1.3德国

德国在2017年6月30日通过了《联邦数据安全法》,以完成对GDPR的国内立法转化。德国数据安全执法采取了联邦-地方的两级架构,联邦数据保护与信息自由委员在联邦一级实施数据保护,而16个地区数据保护机构则在各自州的公共和私营部门执行数据保护法。所有监管机构会定期在德国数据保护会议上举行会谈,发布详细的指导方针,进一步完善了德国的隐私法律框架。其中重要指南包括有关Cookie[1]同意的指南、基于GDPR的罚金刑评估标准以及标准数据保护模型。同时,德国是欧洲首批实现卫生系统数字化的国家之一,《患者数据保护法》已于2020年生效。

1.4英国

虽然英国已经退出欧盟,但是作为一项重要的政治遗产,GDPR已在早前立法中写入英国法律,并转化为“英国GDPR”(UKGDPR)。UKGDPR规定,信息专员办公室(ICO)是英国的数据保护监管机构,并详细说明了其职能及执法权限,以及执行行为准则的义务。近年来,ICO在数据保护监管方面行动活跃,发布了多项指导文件并开展了一系列执法行动。

2.美国

美国正在推进《美国数据隐私保护法案》(ADPPA)的立法进程,旨在出台一部联邦层面的数据隐私立法,虽然目前美国在联邦层面还未出台统一的联邦隐私法规,但是美国已经通过多个法案和法律文件来确保其对数据安全的控制。

2018年美国通过《澄清域外合法使用数据法案》(CLOUD),确立了境外数据管辖控制者标准,使其可以合法访问境外数据,同时限制他国获取数据资源,通过“长臂管辖”的方式扩大其跨境数据执法权力。与此同时,美国还大力推动亚洲太平洋经济合作组织 (Asia-Pacific Economic Cooperation, 以下简称“APEC”)的跨境隐私保护准则,规定若不同国家的不同企业承诺遵守APEC隐私框架中的9项个人数据保护原则,数据就可以在上述公司进行自由的、跨境的流动,从而让数据向美国流动,以使美国获得全球数据资源。

2019年12月,美国白宫行政管理和预算办公室(Office of Management and Budget,OMB)发布的《联邦数据战略与2020年行动计划》是美国把科技创新和数字化转型提到国家战略核心层面部署的重要体现,其内容包括1项使命宣言、10项原则、40项实践指导及年度行动计划四个组成部分,描述了美国联邦政府在未来十年加速数据使用的愿景,并逐年确定行动计划,突出了对数据认识的深化,把数据看作最有价值的国家资产的理念。

2020年10月,美国国防部发布了《国防部数据战略》(DoD Data Strategy),提出国防部应加快向“以数据为中心”的过渡,强调通过数据融合实现军种联合、重视数据的安全性、强调数据全生命周期各个阶段的标准化处理能力

2021年12月,根据《外国公司问责法案》(HFCAA)规定的上市公司摘牌标准和退市程序,美国证券交易委员会(SEC)要求外国公司提供审计底稿供美国检查,否则可能在三年内被纽约证交所和纳斯达克摘牌。

美国各州层面,《弗吉尼亚州消费者数据保护法》(Virginia Consumer Data Protection Act, 以下简称“VCDPA”))为弗吉尼亚州消费者提供隐私权保护,受VCDPA监管的企业对这些消费者负有多项义务,包括提供披露,以类似方式响应通用数据保护条例(GDPR)消费者数据主体请求(DSR),以及遵守某些数据处理义务。加州消费者隐私法案(California Consumer Privacy Act, 以下简称“CCPA”)赋予加州消费者各种隐私权利,包括知晓其个人信息是否被出售或者披露及其流向、拒绝个人信息的出售、访问其个人信息、享有非歧视的服务与价格,为了使这些权利得到保障,CCPA监管下的企业有责任履行多项义务,包括披露、一般数据保护条例(GDPR)等消费者数据主体权利(DSR)、某些数据传输的“选择退出”和未成年人的“选择加入”要求。

3.其他国家

3.1日本

日本《个人信息保护法》旨在就个人信息的正当处理,对其基本理念、政府制定的基本方针以及其他个人信息保护措施的基本事项作出规定,对国家及地方公共团体的职责等予以明确,同时,对个人信息处理业者应遵守的义务等作出规定,以期在确保个人信息有效利用的同时,对个人的权利和利益加以保护。

3.2澳大利亚

澳大利亚的信息安全注册评估(IRAP)目标是通过专注于存储、处理和传达信息的信息技术基础结构,最大限度地提高澳大利亚联邦、州以及当地政府数据的安全性,由澳大利亚网络安全中心(ACSC)管理。IRAP提供了一个框架,用于认可来自私有和公共部门的个人,以便向澳大利亚政府提供网络安全评估服务,搭建了根据澳大利亚政府政策和指南对系统安全进行独立评估的综合流程。

从上述境内外关于数据合规的立法可见,各国对数据合规均非常重视,在数据采集、存储、使用、处理、传输、安全保障等方面都有较全面的法律法规予以规定,这就要求企业必须重视数据安全,避免因企业或企业员工的不当行为而造成违法的情况发生。

二、数据跨境流通需遵守数据安全管理相关规定

全球数字经济的繁荣,离不开数据安全有序地跨境流通。数据经济的飞速发展,加大了数据跨境流通的需求,但数据跨境流通往往涉及到数据安全、个人隐私保护等问题,甚至可能关乎国家安全。因此,在境内企业向境外提供涉及重要数据或法律规定的个人信息数据时,需按照我国相关法律法规的规定执行,比如,当企业因在境外的业务需要向当地机构或企业提供涉及重要数据的ESG报告时,除了应符合当地法律法规规定之外,也需要根据我国相关法律法规做好通过国家网信部门组织的数据出境安全评估、个人信息保护认证等工作,并且须按照国家网信部门制定的关于标准合同的规定与境外数据接收方订立合同,约定双方权利和义务,保障数据安全。

总而言之,数据合规首先要求企业按照本国法律法规规范企业涉及数据的相关行为,同时,如果涉及海外业务,还需要遵守当地国的相关规定。以欧盟《数据法案》为例,2024年1月11日,《关于公平访问和使用数据的统一规则的条例》(Regulation on Harmonised Rules on Fair Access to and Use of Data)生效,相关义务于2025年9月12日起适用,届时,出海欧盟的物联网、云服务等相关产业实体将面临一系列的合规义务,这无疑对出海欧盟形成数据合规挑战,但也可能是相关企业藉此完善自我、抢占先机的契机。

[注] 

[1] 陈芬. 浅析网络Cookie[J]. 电脑知识与技术, 2005(35):93-95. 中对于Cookie的解释,Cookie是一个保存在客户机中的简单的文本文件, 这个文件与特定的 Web 文档关联在一起, 保存了该客户机访问这个Web 文档时的信息, 当客户机再次访问这个 Web 文档时这些信息可供该文档使用。

作者:

李启茂  律师

广州办公室  合伙人

业务领域:工程和项目开发,中国内地资本市场,私募股权和投资基金

行业领域:房地产,信息和智能技术

罗丹奇  律师

广州办公室  公司业务部

张力玮  律师

广州办公室  公司业务部

吴翌婷  律师

广州办公室  公司业务部

(来源:中伦视界)