案例基本信息

业务类型：数据跨境流动信息安全合规

案件涉及国家和地区：印度及第三国

案件代理时间：2018年

代理律师姓名：贾毅冰

律师事务所名称：上海市锦天城律师事务所

基本案情

2018年10月，印度一家主要提供数据分析服务的A公司与一家外商独资电子商务企业B公司达成合作协议，B公司委托A公司为其提供数据分析服务。

2018年10月中旬，A公司向上海市锦天城律师事务所贾毅冰律师团队咨询中国数据保护相关法律法规。与客户进一步沟通了解到：B公司是国内一家外商独资电商企业，拥有超过50万人以上、1000GB的消费者数据，包括消费者个人信息及购买记录等行为数据；本次B公司与A公司之间的合同是关于个人信息和重要数据的存储及处理。A公司最初的服务计划是通过平台链接、密码接入等方式远程访问数据，以避免构成数据出境行为。

1.数据出境

律师团队首先对客户拟处理的数据进行了调查研究，进一步就客户对数据存储、处理、访问的具体方式进行了解。综合客户实际情况初步建议：《网络安全法》在数据主权上坚持的是以本地化存储为原则，以数据出境安全评估为例外，兼顾数据保护与利用的平衡。但目前《网络安全法》配套法规尚不健全，数据出境评估主体、评估方式、监管部门等均未确定。结合目前处于征求意见、尚未生效法规及安全规范，锦天城律所律师团队认为存在客户业务被认定为数据出境的风险。但由于生效法律法规并未明确规定，导致如何开展数据出境安全评估、谁来监管、能否得到认可存在很大不确定性。基于此，为避免网络安全法律风险，律师建议A公司派员工到境内开展工作或将此事项在征得B公司同意情况下转委托给境内有资质的第三方中国企业。

2.数据共享

A公司接受律师建议，将其数据服务分包给了中国境内的C公司以避免数据出境的法律风险。但同时也产生了新的法律风险：B公司的消费者数据从B公司转移到A公司，再由A公司转移到了C公司，这样的数据流动行为属于《个人信息安全规范》中的个人信息的委托处理和共享，需要满足“同意”、“合法、必要、正当”及处理行为记录等要求。A公司并不了解数据来源的合法性及转委托是否经用户同意；同时，如何保证数据在共享与处理过程中的安全合规（如开展个人信息安全影响评估）也尚未解决。

因此，A公司再次委托律师对该项目进行了网络安全合规风险评估，并联系了认证评估机构等制定了数据服务合规方案，帮助A公司顺利开展数据服务项目。

典型意义

本案的典型意义在于反映了《网络安全法》及配套法律不清晰的情况下企业的合规现状；同时，律师建议为如何开展数据出境业务提供了借鉴；此外，本案在企业网络安全与数据保护合规义务的重要性方面具有说明提示作用。

企业对《网络安全法》第37条的合规要求处于两难境地。目前，数据作为生产要素的重要部分，经常需要进行国际流动。而我国《网络安全法》对关键信息基础设施（CII）的网络经营者在境内收集和产生的个人信息及重要数据提出了境内存储的要求；如因业务需要必须出境，我国也允许数据流动，前提是通过数据出境安全评估。但问题在于现有网络安全法体系下并无具体评估规定，这让有数据出境需求的企业进退两难：不评估直接出境可能违法；出境前评估，但如何评估、谁来评估、谁来监管并不清楚。

对于此，锦天城律师在理解国家立法宗旨和原则的基础上，建议客户在法律尚未明确时参照相关指南、办法的征求意见稿及欧盟等做法进行初步风险评估，根据评估结果拟定解决方案，最终建议客户委托境内企业处理或派员工到境内开展业务。

此案提醒广大企业必须重视网络安全法合规事宜，尤其需要确保数据来源、数据处理、数据共享等重要环节的合规性。根据《网络安全法》关于立法宗旨的规定可知，我国的网络安全法对于数据经济与网络安全的价值衡量是希望在保证网络安全的情况下促进经济发展。因此，企业开展业务前应考虑网络安全合规。合规是经济业务的前提，企业不可为了经济利益无视法律规则，触碰法律红线。