1 數據跨境流動
數據跨境流動,主要包括:1、被引進人才攜帶數據從引才來源國引進到我國境内;2、前述數據因業務需要而從我國境内引出至境外。為此,用單位必須高度重視域外法查明與我國數據跨境流動的相關規定,注意備案、特别許可、安全性評估、跨境使用等方面存在的合規風險。
PART 01 風險提示
Q1:引才來源國數據引進時有哪些風險節點?
1、引才來源國數據管理相關法律的域外法查明。用人單位需對引才來源國的數據管理相關法律進行查明,以免被引進人才攜帶的數據因違反來源國法律或涉及其國家安全而引發法律風險。
2、引才來源國數據引進時的數據脫敏。用人單位應告知人才該國的數據監管政策,并協助人才進行數據脫敏,否則容易引發法律風險。
Q2:用人單位如何自查排除數據跨境流動風險?
用人單位若需要對被引進人才攜帶的數據進行跨境流動,必須進行重要數據風險自查與排除,具體包括:
1、重要數據的識别
重要數據,是指特定領域、特定群體、特定區域或者達到一定精度和規模,一旦遭到篡改、破壞、洩露或者非法獲取、非法利用,可能直接危害國家安全、經濟運行、社會穩定、公共健康和安全的數據。用單位通過《網絡數據安全管理條例》裡的定義準确識别重要數據。
2、重要數據的備案
用人單位在識别重要數據後一定時間内需要向有關部門進行備案;科研機構團隊共享、交易、委托處理重要數據的,應征得設區的市級及以上主管部門同意。
3、重要數據的特别許可
用人單位在獲取重要數據的特别許可時,需要注意是否在合同中對數據目的、範圍、處理方式、安全保護措施等事項進行規定,用人單位在合同簽訂後的階段還需留意第三方的實際履行情況。
4、重要數據的安全性要求
用人單位對存儲或使用的重要數據應當進行安全性評估,具體表現為傳輸系統的等級要求、風險評估要求、應急處置機制要求及數據安全負責人、安全管理機構要求。
5、科研機構團隊在數據的跨境使用中涉及重要數據
應注意強制性的安全評估要求,以及每年編制數據出境安全報告。
PART 02 風險防控建議
Q1:如何确保引進人才攜帶數據的合規性?
1、域外法查明
用人主體需對被引進人才所攜帶數據進行域外法查明,做好數據跨境流動風險防控。
2、數據脫敏告知與協助
用人主體應告知人才該國的數據監管政策,并協助人才進行數據脫敏。
3、定義及說明重要數據
科研機構團隊根據自身科研性質以及研究領域對重要數據下定義及作出說明。在數據使用合同中針對重要數據單獨作出規定,必備條款缺一不可。在傳輸系統、風險評估、應急處置及安全負責人、安全管理機構等方面作出要求,以保證重要數據的安全性。
用人主體在識别其重要數據後一定時間内需要向有關部門進行備案;科研機構團隊共享、交易、委托處理重要數據的,應征得設區的市級及以上主管部門同意。在數據的跨境使用中涉及重要數據的,應注意數據跨境的合規、強制性的安全評估要求。
Q2:具體措施包括哪些?
1、法律查明報告
用人主體需對引才來源國數據管理法律進行查明,并形成法律查明報告,重點關注如下方面:(1)來源國是否存在專門法規對該數據跨境使用進行規制;(2)該數據是否涉及引才來源國國家安全。
2、數據脫敏協助
用人主體需告知被引進人才該國的數據監管法律與政策,并協助其進行數據脫敏。其核心任務在于,根據引才來源國的數據管理法律,協助人才采取符合該國法律标準的數據脫敏技術,并依據該國法律規定對數據脫敏結果進行申報,以此最大程度地降低數據侵權風險。
3、數據跨境流動風險自查
用人主體應開展數據跨境流動風險自查,組織數據安全教育培訓,重點關注如下方面:
(1)參考相關法律法規對重要數據的定義和釋義,結合自身機構類型,作出相應的重要數據定義和分類;
(2)在獲取重要數據特别許可時,需明确雙方主體、交易的數據範圍與目的、傳接系統與要求,約定雙方的安全保護措施、後續監管手段及違約責任;
(3)對存儲或使用的重要數據應當進行安全性評估,應綜合考慮數據的屬性和該數據自其來源國出境發生安全事件的可能性及影響程度。
·什麼是“數據屬性”?
“數據屬性”包含個人信息和重要信息。個人信息的屬性,包括類型、數量、範圍、敏感程度和技術處理情況等;重要數據的屬性,包括類型、數量、範圍和技術處理情況等;當數據出境同時包含個人信息和重要數據時,應同時滿足上述兩條評估要求。
·發生安全事件的可能性及影響程度考慮哪些方面?
發送方數據出境的技術和管理能力;用人主體的安全保護能力、采取的措施。科研機構團隊在處理重要數據時應當按照規定對其數據處理活動定期開展風險評估。用人主體出境數據中包含識别出的重要數據的,應當通過國家網信部門組織的數據出境安全評估,采取合同等有效措施監督數據接收方按照雙方約定的目的、範圍、方式使用數據,履行數據安全保護義務,保證數據安全。
4、數據出境安全報告
向境外提供重要數據的科研機構團隊應當在每年1月31日前編制數據出境安全報告,向設區的市級網信部門報告上一年度數據出境情況。
PART 03 法律依據
1、重要數據的定義
2、合同要求
3、安全性要求
(4)備案
(5)跨境傳輸
PART 04 典型案例
·案例一:甲科研機構與境外A科研機構合作糾紛案
案例要旨:當事人違反合同約定,超出合同範圍使用重要數據,構成違約行為。
案情摘要:甲科研機構與境外A科研機構合作開展B項目,B項目中需要用到甲的重要數據。甲在進行本地化存儲和申報安全評估後,通過三級以上的傳輸系統将重要數據傳輸給了A,并在合同中對重要數據的處理目的、範圍、處理方式、安全保護措施等均進行了規定。甲在後續過程中,發現A機構将這些重要數據超出合同範圍進行了使用,将A機構告上法院,告A機構違約。
·案例二:甲公司違反A國數據傳輸規定案
案例要旨:當事人未進行域外法查明,導緻違反A國數據傳輸規定,構成違法行為。
案情摘要:甲公司在A國有分公司或業務,因其分公司在向其傳輸數據過程中,相關傳輸内容違反了A國的數據傳輸相關規定,導緻其分公司受到強制執行。
2 數據使用風險
數據使用需注意區分境内/境外使用與獨占/非獨占許可使用兩種情形。
1、在境内使用時,雙方依照平等自願原則,對數據使用相關條款如客體、主體雙方的權利義務、違約責任等進行規定。科研項目團隊在數據的境内使用時需要留意的風險點就是一般合同風險,但涉及數據跨境使用時,科研項目團隊有需要格外注意的不同的風險點。科研機構團隊需要留意是否有将數據進行境内儲存等本地化要求,要注意符合個人信息、重要數據等數據的跨境流動的專門規定,并且要對數據的跨境流動進行安全評估以及申報。
2、在數據使用時,科研機構團隊需要在合同中明确數據使用形式是獨占許可還非獨占許可。明确使用形式能确保數據接收方在對數據的後續利用時限定在授權範圍内,科研機構團隊也可以在授權的使用形式基礎上對數據接收方的使用行為進行監管。
PART 01 風險提示
Q1:境内/境外使用具體有哪些風險點:
1、合規的參考
有關數據的跨境傳輸合規問題,目前我國并沒有現行的法律專門針對性地對數據跨境傳輸問題進行規定,科研機構團隊可以參考現有的有關條例及征求意見稿。
科研機構團隊在進行數據跨境前需要留意是否需要向有關部門進行申報,同時注意申報材料齊全與否。
3、安全評估
科研機構團隊向境外提供數據前,出境數據的屬性不同帶來的數據出境發生安全事件的可能性及影響程度也随之不同。科研機構團隊應考慮到不同屬性的數據,對其開展數據跨境安全評估。
4、合同要求
科研機構團隊與境外接收方訂立的合同中應充分約定數據安全保護責任義務,同時約定違規後的責任承擔問題,同時科研機構團隊在後續過程中要勤于監管,及時發現問題。
Q2:獨占/非獨占許可使用有哪些風險點?
科研機構團隊在數據使用合同中需要明确數據使用形式是獨占許可還是非獨占許可,可能存在遺漏。
PART 02 風險防控建議
Q1:如何進行數據跨境傳輸的風險防控?
1、參考條例及征求意見稿
我國現行的《中華人民共和國數據安全法》、《中華人民共和國網絡安全法》對于數據跨境傳輸問題隻是籠統的進行了境内存儲等規定,具體的出境安全管理并未進行規定。面臨并沒有現行的法律專門針對性的對數據跨境傳輸問題進行規定時,科研機構團隊可以參考現有的有關條例及征求意見稿。
2、數據出境申報
出境數據中包含重要數據、處理個人信息達到一百萬人的個人信息處理者向境外提供個人信息及累計向境外提供超過十萬人以上個人信息或者一萬人以上敏感個人信息的科研機構團隊,需要在進行數據跨境前向有關部門進行申報。
3、數據出境風險自評估
科研機構團隊向境外提供數據前,需要開展數據出境風險自評估,應綜合考慮出境數據的屬性和數據出境發生安全事件的可能性及影響程度。
4、合同約定
科研機構團隊與境外接收方訂立合同時對合同标的、限制條款、安全保護義務、應急處置機制等方面均要進行約定。
Q2:有哪些具體措施?
用人主體應識别科學數據使用形式,在下列類型中選定數據使用方案:1、獨占使用或非獨占使用;2、境内使用或跨境使用。具體措施如下:
1、合規審查
現行的《中華人民共和國數據安全法》、《中華人民共和國網絡安全法》對于數據跨境傳輸問題隻是籠統的進行了境内存儲等規定,具體的出境安全管理并未進行規定。2019年6月發布的《個人信息出境安全評估辦法(征求意見稿)》、2022年7月發布的《數據出境安全評估辦法》以及2024年9月發布的《網絡數據安全管理條例》可以為科研機構團隊提供更為詳細的說明。科研機構團隊在符合《中華人民共和國數據安全法》、《中華人民共和國網絡安全法》的基礎上,參考具體征求意見稿以及現行有效的法律法規進行合規審查。
2、申報材料準備
科研機構團隊如果存在:出境數據中包含重要數據、處理個人信息達到一百萬人的個人信息處理者向境外提供個人信息、累計向境外提供超過十萬人以上個人信息或者一萬人以上敏感個人信息等情況,需要在進行數據跨境前向有關部門進行申報。申報材料包括申報書、數據出境風險自評估報告、科研機構團隊與境外接收方拟訂立的合同或者其他具有法律效力的文件等、安全評估工作需要的其他材料。科研機構團隊向境外提供數據前,需要開展數據出境風險自評估,應綜合考慮出境數據的屬性和數據出境發生安全事件的可能性及影響程度。
3、數據屬性評估
個人信息的屬性,包括類型、數量、範圍、敏感程度和技術處理情況等;重要數據的屬性,包括類型、數量、範圍和技術處理情況等;當數據出境同時包含個人信息和重要數據時,應同時滿足上述兩條評估要求。數據出境發生安全事件的可能性及影響程度考慮以下方面:(1)發送方數據出境的技術和管理能力;(2)數據接收方的安全保護能力、采取的措施;數據接收方所在國家或區域的政治法律環境。
4、合同内容規定
科研機構團隊與境外接收方訂立的合同時對合同标的客體、限制條款、安全保護義務、應急處置機制等均要進行規定。
Q3:科研機構團隊如何識别科學數據使用形式?
科研機構團隊授權給他人的數據使用形式有獨占許可、排他許可、普通許可三種形式,科研機構團隊可以根據具體的合作情況、數據類型等進行選擇。
1、獨占許可
獨占許可是指數據的接受方在協議的有效期内,在特定地區,對許可協議規定的數據擁有獨占的使用權;同時數據的許可方不得在該地區使用該數據,更不能把該數據再授予該地區的任何第三方。
2、排他許可
在合同規定的期限和地域内,被許可方和許可方都對該數據擁有使用、利用的權利,但許可方不能再将數據許可給第三方。
3、普通許可
在合同規定的期限和地域内,被許可方和許可方都對該數據擁有使用、利用的權利,而且許可方還可以把技術許可給第三方。
PART 03 法律依據
1、關于境内/境外使用
(1)合規參考條款
(2)申報
(3)安全評估
(4)合同
2、關于獨占/非獨占許可使用:
PART 04 典型案例
·案例:甲科研機構與境外A機構數據洩露糾紛案
案例要旨:當事人違反合同約定和數據安全保護義務,導緻個人信息數據洩露,構成違約和侵權。
案情摘要:甲科研機構與境外A機構合作進行項目研發,此項目中需要用到甲之前收集到的個人信息數據,且個人信息數據超出100萬人。甲在進行了安全評估申報和按照國家網信部門制定的标準合同與A機構訂立合同,約定雙方的權利和義務之後将此數據傳輸給了A機構。A機構因為安全管理疏忽,此數據遭到了洩露。根據《中華人民共和國數據安全法》和《網絡數據安全管理條例》,甲可以向A機構追究違約責任,并要求其承擔相應的數據洩露法律責任。