成全在线观看免费完整的,成全影视大全免费追剧大全,成全视频高清免费播放电视剧好剧,成全在线观看免费完整,成全在线观看高清全集,成全动漫视频在线观看完整版动画

境外接收方所在地的法律與政策環(huán)境評估是數(shù)據(jù)出境安全評估的重點內容之一，也是《個人信息出境標準合同》所規(guī)定的合同義務。數(shù)據(jù)處理者應通過書面合同等方式要求境外接收方應當就如下事項進行查明與提供，境外接收方也應當盡最大努力提供了必要的相關信息，主動履行合同義務或者相關承諾，協(xié)助與配合境內數(shù)據(jù)處理方的數(shù)據(jù)安全評估申報工作。

境外接收方對法律與政策環(huán)境的查明，既有申報前的“先合同義務”，又有申報成功后在合同履行階段的附隨義務，還有一定的“后合同義務”。附隨義務存在的法律依據(jù)分別是：民法典第五百條、第五百零一條所表述的內容與先合同義務相對應；合同履行階段的附隨義務對應民法典第五百零九條第二款。

境外接收方在申報前的“先合同義務”包括：

（1）境外接收方此前類似的數(shù)據(jù)（個人信息）跨境傳輸和處理相關經(jīng)驗、境外接收方是否曾發(fā)生數(shù)據(jù)安全相關事件及是否進行了及時有效地處置、境外接收方是否曾收到其所在國家或者地區(qū)公共機關要求其提供個人信息的請求及境外接收方應對的情況；

（2）該國家或地區(qū)現(xiàn)行的數(shù)據(jù)（個人信息）保護法律法規(guī)、普遍適用的標準情況，及與我國數(shù)據(jù)（個人信息）保護相關法律法規(guī)、標準情況的差異；

（3）該國家或地區(qū)加入的區(qū)域或全球性的數(shù)據(jù)（個人信息）保護方面的組織，以及所做出的具有約束力的國際承諾；

（4）該國家或地區(qū)落實數(shù)據(jù)（個人信息）保護的機制，如是否具備數(shù)據(jù)（個人信息）保護的監(jiān)督執(zhí)法機構和相關司法機構等。

境外接收方在合同履行階段的附隨義務包括：

（1）所在國家或者地區(qū)的個人信息保護政策和法規(guī)發(fā)生變化（包括境外接收方所在國家或者地區(qū)更改法律，或者采取強制性措施）導致境外接收方無法履行本合同的，境外接收方應當在知道該變化后立即通知個人信息處理者。

（2）境外接收方接到所在國家或者地區(qū)的政府部門、司法機構關于提供本合同項下的個人信息要求的，應當立即通知個人信息處理者。

跨境數(shù)據(jù)傳輸方應根據(jù)法律要求事前開展數(shù)據(jù)出境自評估，對查明境外接收方所在國家或地區(qū)的法律與政策環(huán)境盡到合理的注意義務。跨境數(shù)據(jù)傳輸方對所提交材料的真實性負責，未盡注意義務則會被要求終止數(shù)據(jù)出境活動或者被要求整改后重新申報評估。造成跨境數(shù)據(jù)被非法獲取、非法利用的，也可能會導致罰款、暫停相關業(yè)務或者停業(yè)整頓的行政處罰風險。

對于境外接收方而言，對法律與政策環(huán)境的查明與提供僅是一種合同義務。根據(jù)我國民法典第五百條規(guī)定，如果境外接收方在訂立合同過程中故意隱瞞與訂立合同有關的重要事實或者提供虛假情況，造成對方損失的，應當承擔賠償責任。在《個人信息出境標準合同》中也規(guī)定了不當履行該項義務的其他后果，即：境外接收方所在國家或者地區(qū)的個人信息保護政策和法規(guī)發(fā)生變化（包括境外接收方所在國家或者地區(qū)更改法律，或者采取強制性措施）導致境外接收方無法履行本合同的，個人信息處理者可以暫停向境外接收方提供個人信息，直到違約行為被改正或者合同被解除。

在跨境數(shù)據(jù)傳輸方與境外接收方共同決定個人信息的處理目的和處理方式，構成共同處理個人信息的法律關系時，還可能因違反承諾與保證、未盡注意義務依法承擔連帶責任?！秱€人信息保護法》第二十條第二款規(guī)定：“個人信息處理者共同處理個人信息，侵害個人信息權益造成損害的，應當依法承擔連帶責任?！眰€人信息主體有權請求任何一方或者雙方承擔責任。一方承擔的責任超過其應當承擔的責任份額時，有權向另一方追償。

（一）   歐盟法律實踐

根據(jù)歐盟數(shù)據(jù)保護委員會（EDPB）在2021年6月發(fā)布的《關于數(shù)據(jù)跨境轉移的補充措施最終建議》，跨境數(shù)據(jù)傳輸方必須評估第三國的現(xiàn)行法律或慣例中是否有任何內容可能影響具體傳輸中所依賴的傳輸工具的適當安全保障措施的有效性。該評估必須首先以公開的立法為基礎，但評估范圍僅限于與保護傳輸?shù)奶囟〝?shù)據(jù)相關的立法和實踐，而非進行的全面和廣泛的充分性評估。此外，評估應特別注意向公共機構披露個人數(shù)據(jù)或授予此類公共機構訪問個人數(shù)據(jù)的權力的法律（例如出于刑事執(zhí)法、監(jiān)管或國家安全目的）。同時也規(guī)定，數(shù)據(jù)接收方提供相關的來源和信息應該是相關的、客觀的、可靠的、可核查的、公開的或以其他方式可獲得的。該文件提供的參考的幾個信息來源包括：

§   歐洲基本保障建議中提到的歐盟法院（CJEU）和歐洲人權法院的判例法；

§   如果傳輸依賴于合法性基礎，則需要列出目的地國的充分性決定；

§   政府間組織的決議和報告，如歐洲委員會、其他區(qū)域機構；以及聯(lián)合國機關和機構（如

聯(lián)合國人權理事會、人權委員會）；

§   來自主管監(jiān)管網(wǎng)絡的報告和分析，如全球隱私大會（GPA）；國家判例法或主管第三國數(shù)據(jù)隱私和數(shù)據(jù)保護的獨立司法或行政當局做出的決定；

§   獨立監(jiān)督或議會機構的報告；

§   根據(jù)以往公共當局要求披露或接收方所在部門的實體沒有提出此類要求的實際經(jīng)驗編

寫的報告；

§   與接收方在同一領域的數(shù)據(jù)處理實體的金絲雀擔保（Warrant Canary）[1]；

§   輸出國或向接受傳輸?shù)牡谌龂鴤鬏敂?shù)據(jù)的其他第三國的商會、商業(yè)、專業(yè)和貿(mào)易協(xié)會、政府外交、貿(mào)易和投資機構編寫或委托編寫的報告；

§   學術機構和民間社會組織（如非政府組織）的報告；

§   私營商業(yè)情報提供商關于公司財務、監(jiān)管和聲譽風險的報告；

§   接收方自身提供的金絲雀擔保；

§   透明度報告，條件是明確提及沒有收到任何訪問請求。

§   接收方的內部聲明或記錄，明確表明在足夠長的時間內沒有收到訪問請求；并且優(yōu)先考慮涉及接收方責任的聲明和記錄和由具有一定自主權的內部職位（如內部審計師、DPO 等）發(fā)布的聲明和記錄。

（二）   中國法律實踐

根據(jù)國家網(wǎng)信部門發(fā)布的《數(shù)據(jù)出境安全評估辦法》、《數(shù)據(jù)出境安全評估申報指南（第一版）》、《個人信息出境標準合同辦法》以及《網(wǎng)絡安全標準實踐指南 — 個人信息跨境處理活動安全認證規(guī)范 V2.0（征求意見稿）》等相關規(guī)定，數(shù)據(jù)出境安全評估報告至少包括：

（1）境外接收方所在國家或者地區(qū)的數(shù)據(jù)安全保護政策法規(guī)和網(wǎng)絡安全環(huán)境對出境數(shù)據(jù)安全的影響；

（2）境外接收方的數(shù)據(jù)保護水平是否達到中華人民共和國法律、行政法規(guī)的規(guī)定和強制性國家標準的要求。

據(jù)此，對境外接收方的法律與政策環(huán)境的查明成為進行數(shù)據(jù)出境申報與安全評估的重要環(huán)節(jié)。然而，我國的數(shù)據(jù)相關立法并未規(guī)定對境外法律與政策環(huán)境的查明范圍、查明方法與路徑等內容，甚至企業(yè)的數(shù)據(jù)出境安全自評估并不要求對境外接收方的法律與政策環(huán)境進行查明。實踐中，對于境外接收方不配合查明和提供的，也只能依賴于其單方的承諾或者在合同條款上的陳述與保證。

我國法院在審理涉外民商事案件時也會遇到域外法律的查明問題，如當事人協(xié)議選擇某一域外法或根據(jù)沖突法規(guī)范確定適用域外法時，就需要通過一定的方式和途徑來查明域外法的內容。域外法能否查明、域外法是否得到正確適用，直接影響當事人的實體權利義務的確定，影響案件的最終裁判結果。最高人民法院關于設立國際商事法庭若干問題的規(guī)定》第八條列舉了八類外國法查明方式，包括：（1）由當事人提供；（2）由中外法律專家提供；（3）由法律查明服務機構提供；（4）由國際商事專家委員提供；（5）由與我國訂立司法協(xié)助協(xié)定的締約對方的中央機關提供；（6）由我國駐該國使領館提供；（7）由該國駐我國使館提供；（8）其他合理途徑。對于境外接收方法律與政策環(huán)境的查明與問責，以上方式也可以參考。

企業(yè)在進行數(shù)據(jù)出境安全評估申報中，在通過不同途徑充分了解和掌握數(shù)據(jù)接收方所在國家或地區(qū)的法律與政策環(huán)境的基礎上，可以考慮從如下六個方面撰寫：

（1）法律與政策環(huán)境概述。簡要介紹境外接收方所在國家或地區(qū)在個人信息保護、網(wǎng)絡安全或數(shù)據(jù)安全的法律法規(guī)和普遍適用的標準情況，以及與我國現(xiàn)行網(wǎng)絡安全與數(shù)據(jù)保護法律體系的差異。例如，對于敏感個人信息的處理，以及個人數(shù)據(jù)處理的出境環(huán)節(jié)要求個人信息主體的單獨同意，比《歐盟數(shù)據(jù)保護條例》（GDPR）更加嚴格。筆者常用的一個網(wǎng)站，https://www.dlapiperdataprotection.com/，也可以圖示化的顯示出世界不同國家和地區(qū)數(shù)據(jù)立法的狀況與保護力度的強弱情況，并可以用作不同區(qū)域的法律差異性對比。又如在數(shù)據(jù)跨境傳輸制度上，埃及、俄羅斯僅能傳輸?shù)匠浞中哉J定的國家或需要監(jiān)管機構的批準才能出境。

（2）國際協(xié)定與承諾。當?shù)嘏c其他國家或地區(qū)締結的與數(shù)據(jù)跨境流通、共享相關的雙邊或多邊協(xié)定的情況，包括在執(zhí)法、監(jiān)管等方面數(shù)據(jù)流通、共享的雙邊或多邊協(xié)定。例如，被歐盟委員會決定第三國具有確保充分的個人數(shù)據(jù)保護水平并納入該決定的國家，到目前為止包括：安道爾、阿根廷、加拿大（商業(yè)組織）、法羅群島、根西島、以色列、馬恩島、日本、澤西島、新西蘭、瑞士、英國和烏拉圭。對于以上白名單上的國家，歐盟境內的個人數(shù)據(jù)則可無需其他批準條件，可以向第三國進行自由傳輸個人數(shù)據(jù)。對于當?shù)丶尤雲(yún)^(qū)域或全球性的網(wǎng)絡安全與數(shù)據(jù)保護組織或做出相關具有約束力的國際承諾情況，也可以在申報文件鐘進行描述。例如，是否是亞太經(jīng)濟合作組織（APEC）的跨境隱私規(guī)則體系（CBPR）的成員國，是否有經(jīng)濟合作與發(fā)展組織（OECD）隱私基本方針和原則項下經(jīng)營者的義務或本人的權利相關制度等。

（3）法律實施。如當?shù)鼐W(wǎng)絡安全與數(shù)據(jù)保護執(zhí)法與司法機構的完備情況，機構職能與職責，機構的獨立性與監(jiān)督執(zhí)法能力以及追責機制，重點評估當局的實際執(zhí)法情況。例如：印度尼西亞沒有專門的數(shù)據(jù)監(jiān)管機構，印度尼西亞通信部MCI作為數(shù)據(jù)領域的監(jiān)管機構，其權力限于個人數(shù)據(jù)、隱私和網(wǎng)絡安全，對于其他特定領域則由其他具體部門進行監(jiān)管與保護；印度尼西亞現(xiàn)有的有關個人數(shù)據(jù)保護法律體系尚不夠完善，且存在實踐中難以執(zhí)行的問題。又如，南非《個人信息保護法》（POPIA）由于缺乏報告義務，已經(jīng)發(fā)生了多起違規(guī)事件。2020年7月1日POPIA新增了對數(shù)據(jù)泄露的報告義務。POPIA 也對離岸數(shù)據(jù)場景提出了更高的要求。組織在向南非境外發(fā)送數(shù)據(jù)時，需確保滿足數(shù)據(jù)跨境的相關要求。在該POPIA生效前，微軟和亞馬遜都已經(jīng)在南非當?shù)亟⒘藬?shù)據(jù)中心。

（4）政府數(shù)據(jù)調取限制。當?shù)匦姓?、監(jiān)管或司法程序等可以要求調取個人信息的情況，如調取的權力、應遵循的法律程序與限制措施；境外接收方所在地的執(zhí)法機構和司法機構等部門調取數(shù)據(jù)的權力和法律程序，權力是否受到有效的約束、是否能做到公開透明、近期是否存在相關的負面案例；境外接收方是否曾收到其所在地公共機關要求其提供個人信息請求及境外接收方應對的情況等。例如，按照《巴西互聯(lián)網(wǎng)法》及2016年的修訂案，巴西監(jiān)管機構有權要求APP運營者提供用戶注冊信息，配合政府審查。但應明確所需用戶信息以及希望其提供的內容，不應要求APP運營者批量提供用戶注冊信息。《巴西通用數(shù)據(jù)保護法》在處理關于公共或國家安全的數(shù)據(jù)時屬于例外規(guī)定。

（5）權利救濟。個人信息主體在當?shù)貙で笏痉ň葷耐緩郊翱尚行浴＠?，作為亞洲最早的個人信息保護法律之一《日本個人信息保護法》（“APPI”）規(guī)定，如果發(fā)生泄露等可能損害個人權益的情況，經(jīng)營者有義務向日本個人信息保護委員會報告并通知個人信息主體。而2015年APPI，提交數(shù)據(jù)報告只是一項非強制性的規(guī)定，通知個人也僅僅是一項建議。

（6）其他情況。境外接收方所在國家或地區(qū)在網(wǎng)絡安全與數(shù)據(jù)跨境傳輸方面是否對中國采取歧視性的禁止、限制或其他類似措施等。此外，我國的《出口管制法》已經(jīng)將“與物項相關的技術資料等數(shù)據(jù)”納入了出口管制的范圍；《反國外制裁法》也授權國務院有關部門可制定反制清單。企業(yè)在開展跨境數(shù)據(jù)處理活動和數(shù)據(jù)出境安全評估申報的時候，也應考慮以上法律交叉適用的情形。同時，建議企業(yè)持續(xù)關注目標國在網(wǎng)絡安全與數(shù)據(jù)立法和執(zhí)法進展，并進行影響分析。

最后，跨境數(shù)據(jù)傳輸方就可以結合對以上六個方面查明情況，對境外接收方法律與政策環(huán)境出具評估意見或結論。在申報文件中，可以嘗試運用“風險分析法”，將境外接收方所處的法律與政策環(huán)境可能對中國的國家安全、公共利益、個人或者組織合法權益帶來的風險，劃分為高、中、低三個等級，并就所傳輸?shù)臄?shù)據(jù)受到的保護水平是否等同于中國的保護水平給出結論。如果數(shù)據(jù)跨境傳輸風險很高，目標國不能有效地確保與中國法律基本上同等的保護水平，則建議企業(yè)停止傳輸，或采取整改措施，包括技術性、組織性和合同措施，以期滿足申報條件和要求。

（上海對外經(jīng)貿(mào)大學實習生周珈宇同學對本文也有貢獻）

注釋：

[1]　金絲雀擔保，即要求數(shù)據(jù)接收方應根據(jù)要求至少每24小時報告其并未收到需要向公權力機構披露個人數(shù)據(jù)的命令。筆者查閱到一家德國企業(yè)Avira的金絲雀安全聲明 (Warrant Canary)，為：到目前為止，Avira 從未收到任何國家安全信函；收到任何禁言令；收到任何政府機構的任何搜查令。來源：https://www.iavira.com/reliability.html

１. 《數(shù)據(jù)跨境現(xiàn)狀調查與分析報告》，斑馬數(shù)據(jù)合規(guī)研究中心出品。

２.《企業(yè)對外投資國別（地區(qū)）營商環(huán)境指南－印度尼西亞（2022）》，中國國際貿(mào)易促進委員。

３. 《關于補充傳輸工具以確保符合歐盟個人數(shù)據(jù)保護水平的措施的建議 01/2020版本 2.0》，歐盟數(shù)據(jù)保護委員會（EDPB）。

４.《中美歐個人信息保護法比較》，騰訊研究院。