大陸《數據安全法》對台商的影響與因應策略
蔡步青(北京大學法學博士、中國大陸及台灣執業律師)
就在大家關注大陸全國人大常委會於2021年6月10日通過《反外國制裁法》的同時,影響台商及外商更為深遠的《數據安全法》已於同日通過、預定自2021年9月1日起正式施行。相較於2017年正式實施的《網絡安全法》,《數據安全法》關於數據的定義更為寬鬆。
舉凡任何以電子或者其他方式對信息的記錄,均屬於本法規範的對象;且依據該法第2條第2款的規定,在大陸境外開展數據處理活動,損害大陸國家安全、公共利益或者公民、組織合法權益的,依法追究法律責任,亦即本法具有域外管轄或長臂管轄的效力,不可不慎。
《數據安全法》共七章55條,包括數據安全與發展、數據安全制度、數據安全保護義務、政務數據安全與開放以及相關法律責任等內容,涉及數據全生命週期處理活動相關的數據安全基本方針、原則和制度要求,包括數據分類分級保護制度(第21條)、數據安全風險評估機制(第22條)、數據安全應急處置機制(第23條)、數據安全審查制度(第24條)、數據的出口管制制度(第25條)及對境外歧視措施的對等措施(第26條)等。
此外,《數據安全法》的目的不僅保障數據安全,亦著重於數據的開發及利用,以促進數據資產化,如建立健全數據交易管理制度(第19條)等,也符合《習近平關於網絡強國論述摘編》中關於數據資源成為新生產要素的論述。
《數據安全法》對於台商或外商影響較大的部分,首先在於數據本地化及出境管制。關鍵信息基礎設施的運營者,如能源、交通、金融、公共通訊等領域,在大陸境內運營中收集和產生的重要數據的出境安全管理,適用《網絡安全法》的規定;其他數據處理者在大陸境內運營中收集和產生的重要數據的出境安全管理辦法,由國家網信部門會同國務院有關部門制定(第31條)。因此,如何落實數據本地化及出境管制,將是台商或外商在處理涉及大陸數據時難以迴避的問題。
其次,《數據安全法》規定,公安機關、國家安全機關因依法維護國家安全或者偵查犯罪的需要調取數據,有關組織、個人應當予以配合(第35條)。因此,台商或外商今後將難以拒絕監管機構、公安機關或國家安全機關關於調取數據的要求。
整體而言,台商今後在大陸境內、外從事收集、存儲、使用、加工、傳輸、提供、公開數據等涉及大陸地區數據之處理行為,如於社交媒體、批發零售、生產應用、或商業行為等應用場景所收集之個人數據、地理數據、生產資料等,運用於廣告行銷、市場調研、科學研究等用途,應特別注意本法之適用。此外,運用自動化、智能化軟體或攝錄像所收集的數據,如個人圖像、外貌、生物特徵、行程軌跡等,亦均屬於數據而有本法之適用。另外,關於數據存儲的本地化及數據出境,包括數據共享、雲端化、數據即時監控等可能產生的跨境數據傳輸問題,均應依照《數據安全法》及《網絡安全法》相關規定辦理。依據報載,目前包括蘋果和特斯拉等外國企業,已在大陸境內設立數據中心,專門存儲大陸用戶所產生的數據,台商亦有必要及早因應。
綜上,台商於大陸境內、外處理大陸產生的數據時,應特別關注《數據安全法》相關規定,及早分流大陸數據與其他數據,並及早規畫大陸數據存儲本地化。至於數據出境安全管理辦法及各項數據安全制度如何落實,仍有待相關配套法規出台,同樣需要給予密切的關注。《原始全文》
敬邀參加110年07月份台商張老師「中、南部」現場預約駐診諮詢服務,
敬請事先報名才能保留座位,歡迎踴躍參加
*台商張老師季刊自103年起轉為「月刊」發行囉!有需要的朋友可填寫索閱登記表喔!詳情與登記表下載 |