迈进5G时代，数据是企业最重要的资本之一，但随之而来的隐私和合规问题不容小觑。国家数据局成立、国内数据出境材料申报工作进行中等，对企业提出了更加严格的要求。为帮助企业更好地应对这些挑战，安拓在2023年3月3日上海、3月23日北京分别举办了“数据合规年度大会2023”。

大会上，鸿鹄律师事务合伙人龚钰律师详细分享了跨国公司数据出境的典型场景、现行法律法规对数据跨境传输的规定、企业数据跨境传输中可能存在的问题、企业数据跨境传输的合规建议等。与企业数据合规官Ray共同回答了参会同事的问题，分享自己的经验与建议，满满“干货”让企业同事满载而归~

本期回顾大会精彩，聚焦“与境外关联公司进行数据传输时，常见的问题场景及落地建议”，以问答形式，共享知识盛宴。

一般而言，有以下几种常见情况：

第一种情况是公司属于受托处理者。如果数据处理者在是境内的其他公司，那么可以由数据处理者直接申请数据出境安全评估或签订数据出境标准合同，因为作为受托方的公司实际上受数据处理者的控制。如果属于集团内部数据出境场景，建议集团内部安排确认申请主体。如果是集团外的其他公司委托公司开展数据出境活动，通常还是由数据处理者直接进行申报或签订数据出境标准合同。

第二种情况是公司在境内的实体不属于法人实体。例如，某境外企业在境内设有代表处，代表处在境内注册了小程序及公众号，收集个人信息并向境外出境。在这种情况下，境内的代表处不属于法人实体，不具有申报数据出境安全评估的资格（此处不涉及标准合同签署问题）。我们建议可以由境外母公司或者派出机构进行申报，由代表处进行提交。这也说明，申报数据出境安全评估的主体除了应当为数据处理者外，也有可能需要作为法人实体方能获得申报资格。

最后一种情况是公司在境内没有任何机构，直接从境内个人处收集数据。这种情况受到《个人信息保护法》域外效力的管辖，我们理解，如果直接收集达到了1万、10万、100万的门槛标准，同样可能需要进行申报，且需在境内委托当地代表来代表公司进行申报。

谈企业实操

在数据出境安全评估办法颁布以后，我们及时与集团及相关业务部门进行了沟通，并对Workday进行相应的整改。我们的企业规模较大、员工较多，而且根据我国个人信息的相关标准，子女、生育等信息属于敏感个人信息，因此我们需要在2月28日前去申报数据出境安全评估。在这种情况下，我们和集团进行沟通，因为数据出境要求合法性、正当性及必要性，收集员工的个人信息可以说是必要的，但是收集员工亲属个人信息的必要性则可能有待商榷。

例如，在员工向人力资源部门申请生育假时，申请的假期应当系中国法下的生育假，那么相关数据是否在境内存储即可？另外，在为员工购买保险时，根据所购买的是境外的保险公司保险还是境内公司的保险，对数据的存储也应当作出相应的调整。此前在Workday中的非必要个人信息，要需要逐步地迁移至境内，Workday服务器内只存储员工本人的个人信息。涉及员工个人信息出境的，还应当在进行申报之前与员工签署隐私协议，否则可能涉嫌违法违规。

对于已有的系统，我们只能逐步去改进，同时也要考虑到一些新的出境情形。例如，在考察供应商的时候，国内可能会使用企查查、天眼查，但是有些外资的合作方可能会通过汤森路透了解供应商的情况，如果汤森路透是由集团统一购买的，可能还会要求将国内的合作伙伴信息传输至境外。在这种情况下，需要按照数据出境的要求，判断传输的数据是否涉及敏感个人信息，开展评估流程。中国区企业需要将新出台的标准合同管理办法同步给集团，因为如果没有满足数据出境的要求，对集团的影响是最大的。

我们之前也遇到过类似的情况，有的集团认为已经满足了GDPR，就可以不用再根据《个人信息保护法》进行调整，这个答案是否定的。一般来讲，这种情况下，公司现有的BCR是无法立即满足中国法的要求的，我们建议可以在BCR下面加上中国附录，制定基于中国法的政策，以满足中国法要求。同时，企业应当注意在签署中国标准合同时，对中国标准合同的文本不能做出任何修改。此外，中国附录的内容需要确保数据从中国向境外的传输符合中国法的相关要求，其中包括符合标准合同的要求，即附录应当尽可能与标准合同的原文保持一致。在此基础上，隐私政策和通知方面也要做出相应的调整。

我们建议应当及时与集团进行沟通。因为中国公司将直接面临中国法律的监管，在这种情况下，如果没有符合中国法律法规的要求，境内公司行为可能涉嫌违法违规。即使集团的全球政策是非常完善、完备且先进的，我们仍然需要在中国法的基础上合规开展数据处理活动。在这种情况下，我们建议对不同司法辖区的法规要求进行对比，判断集团的标准是高于还是低于中国法的要求。如果集团要求高于中国法要求，境内公司可继续执行；如果集团公司要求低于中国法要求或者与中国法要求有所不同，那么应当在中国法适用的情况下优先适应中国法的要求，并开展相应的制度修订或整改。

简单来说，数据安全负责人最好是中国大陆人，讲中文并且居住在中国。如果安全负责人不能在中国，最好在跟中国相同的时区，因为他要处理中国的数据业务，如果不在一个时区，设置DPO的有效性可能受到质疑。如果DPO不讲中文或者不能理解中国的法律，集团所设置的DPO是否能够有效地处理中国法下的法律问题同样可能受到质疑。此外，DPO可能需要直接面对监管部门并与其进行交流，如果DPO不在中国境内或不讲中文则无法处理，对于集团安全也会产生一定的影响。如果没有安全管理机构，我们建议先设立相关机构，如果暂时没有相关机构，至少应当设置位于中国的安全负责人，集团的数据保护团队可以为中国的数据安全/个人信息保护负责人提供支持。如果需要进行安全评估申报，由中国区的负责人处理也会更为方便。

谈企业实操

《网络安全法》要求企业确定网络安全负责人，规模稍大的企业，安全负责人需要向公安部门进行报备，备案内容包括：法人、IT负责人、技术负责人还有安全负责人，且以上人员中一定要有中国人。如果对以上内容实际进行过报备，就可以对数据安全负责人这些机构信息的报备进行参考。

此前，境外集团在国内业务线众多，但是为了节约成本可能仅聘用一位亚太地区的安全负责人。但是《网络安全法》实施以来，越来越多的企业针对不同的业务线招聘安全负责人与数据负责人。国内的业务，如果在总部有对应的专门管理机构，则应该在总部将安全数据对应的负责人员设置好；如果没有对应的总部，则应当审查每个业务单元的安全负责人与数据负责人。否则如果业务单元出现了数据安全问题和事件，法人可能因此承担一定的责任。

这里涉及到应该如何识别境内公司和境外关联公司之间数据关系的问题，即境内公司的角色是什么？境内公司是数据处理者还是受托方？集团的架构是怎样的？境内公司和集团总部之间否具有数据传输协议，是以总部作为数据处理者，还是其他的关联公司作为数据处理者的方式来进行数据的跨境传输？

总体而言，我们理解，较好的架构（不一定适用所有的企业）是由境外总部作为数据处理者或GDPR下的Controller，境外总部将接收到的数据再向其他的子公司或者关联公司进行传输。如果这种数据关系在集团内部是成立的，则可以简化签署的方式。这是由于虽然数据最后可能由其他公司访问，但是其他公司的访问是基于境内公司将数据传输至境外接收方，即母公司处，而母公司作为一个单独的数据处理者在收到相关数据后进行了再传输。在这种情况下，境内公司需要与母公司签订数据处理协议，再由母公司将其中的一部分的协议贯穿到其他子公司的传输的安排中去。如此一来，则变成了境内公司直接与母公司签署标准合同，母公司再对与其他集团内公司签署的数据传输协议进行修改。此类数据传输协议多数时候是由企业统一进行签署。如果该方案可行，则可减少境内公司与多个主体签署数据传输协议的可能性。如果以上数据关系在集团内部能够成立，则公司可以采取该方案。

如果集团内部的数据关系并非如此，也可以考虑通过调整数据链路和文件，让传输模式变得相对简单。例如，SAP与集团总部签署协议，则可以认为SAP是集团总部的一个受托处理者。在这种情况下，我们可以认为集团总部在数据传输的过程中，作为数据处理者委托外部IT服务商对数据进行处理。如果这种安排可以成立，则能够相对简化集团内的数据处理关系，因为集团总部作为境内公司直接的数据接收方，通常而言是愿意与境内子公司签署标准合同的。而外部IT服务商作为境外再传输的接收方时，与集团总部签署了合同，通常也愿意在合同中做出调整，且该方案能够在保证合规性的情况下有效避免要求外部IT服务商签署中国标准合同。因此我们认为对于很多企业而言也是一种调整方式。无论企业需要签署标准合同，还是申报数据出境安全评估，如果能够做出相应的架构调整，对于未来在集团内进行数据的传输会有更大的好处。这种架构的好处主要体现在减少了合同签署的难度，同时可以保证BCR或集团内的传输协议等集团内传输机制的一致性不受到影响。

我们不鼓励境内公司尝试，因为可能会存在一定合规风险。当前标准合同办法的规定刚出台，监管机关对该实践的接受程度仍有待进一步确认。如果境外关联公司位于不同的司法辖区，统一签署对其个人信息保护水平会产生一定的影响。这是由于，至少目前而言，无论是通过安全评估还是标准合同进行出境，都需要按照区域进行单独的评估。如果境外关联公司位于不同司法辖区，当地的个人信息保护水平可能有所不同，而每一个关联公司个体层面的数据保护水平也可能存在差距。在这种情况下，如果签署同一份标准合同，那么个人信息保护影响评估（PIPIA）是否只开展一次？同时，对不同主体的传输，数据链路可能也有所不同，在这种情况下也可能会产生不同的结果。在备案过程中，如果其中一个主体存在问题，一起备案的其他主体则也可能存在不通过的风险。因此，在这种情况下，我们建议单独进行备案。

当然，未来或许可能出现企业采用该方式备案并且通过。但是从当前控制风险的角度而言，我们不建议境内公司采取该方案。

谈企业实操

从境内公司的角度来讲，能够签统一的合同是最好的，但是在实践中不同公司的操作也不一样。例如，某些公司为规避财务风险，可能设立多个实体，如在国内控制国外公司的实体，或在国外控制国内公司的实体等。在这种控制关系非常复杂的情况下，可能会给合同签署带来困难。而且，如果公司规模较大，可能会在境外或境内设立财务共享中心以专门处理财务问题，同时可能还会设立独立的科技公司。在这种情况下，我们至少需要与集团总部，集团下的财务共享中心或者专门的科技公司签署合同。因为从目前来看，如果未到数据安全保障标准，可能存在被调查的风险。如果调查过程中发现其他问题，则公司可能面临更高的合规风险。当前如果数据出境安全评估未通过，企业只需要进行整改，但如果备案被认定为涉嫌违法违规，则会对企业产生一定负面的影响。因此，我们建议尽可能采取相对周全的措施。