中国数据相关监管要求对欧洲企业的影响报告

11目录 1 2 3 4 10 11 201近年来，中国有关部门和标准制定机构陆续出台了一系列旨在保护个人信息和重要数据的法律、法规正如中国欧盟商会近年来发布的《网络安全子工作组建议书》和其它相关工作组建议书所述，尽管需通过实施细则和/或行业领域相关规定进行细化，方可施行。例如，《数据安全法》提出应制定“重要数据”目录，但截至本报告撰写时，有关部门尚未发布此类目录。与此同时，部分现行要求较为严格，亦加重了企业的运营负担。例如，网信部门安全评估的门槛相对较低，处理大量客户或员工数据的大型跨国企业极易触发；安全评估一经触发，数据处理者将无法选择通近期，有关部门出台了若干完善数据相关监管要求的举措。2023年8月，国务院发布《国务院关于进一步优化外商投资环境加大吸引外商投资力度的意见》（简称《意见》），提出探索便利化的数据跨境流动继《意见》后，国家互联网信息办公室（简称“网信办”）于2023年9月28日发布了《规范和促进数据跨境流动规定（征求意见稿）》（简称“《规定（意见稿）》”），针对部分出境情形豁免了现行监管要求，同时明确，未被告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报出境安全评3减轻了企业在数据出境方面的部分主要困难。《规定（意见稿）》因此被视为一个积极信号，表明中在这一背景下，欧盟商会呼吁对《规定（意见稿）》部分内容进行进一步明确，并尽快发布施行。此外，由于许多企业还须遵守数据保护和数据出境的行业相关规定，应确保此类规定与横向监管要求的一致2《国务院关于进一步优化外商投资环境加大吸引外商投资力度的意见》，国务院，2023年8月13日，查阅日期2023年10月26日，</zhengce/content/202308/content_689804</2023-09/282Europeanchamber为深入了解中国数据相关监管要求对欧洲企业的影响，明确数据出境新规发布后有关监管要求的优化程度，并在此基础上提出进一步优化建议，欧盟商会于2023年10月16日至27日对会员开展了一项简要调为确保仅有受数据出境相关监管要求直接影响的企业回答相关问题，在回答问题3“贵公司是否进行最后一个问题（问题19）为可选开放式问题：“您对中国在自贸区内开展的数据相关试点（包括但不限于数据出境正面清单、负面清单所涉具体数据类型、推出时间表等方面）或中国整体数据相关监管要求3最常出境的数据类型为最常出境的数据类型为员工个人信息（78%其次为供应商和），企业的企业的数据安全管理能力有所提高（31%同时也有一些不利影响，包括合规成本增加（59%4调查结果显示，自中国出境的数据绝大部分涉或其他境外办公场所。此类情形下，由于企业可以要求数据发送方和接收方适用统一的安全保护制度，数图表1：贵公司进行数据跨境传输的接收方是？图表1：贵公司进行数据跨境传输的接收方是？1）N:54100%90%80%70%60%50%40%30%20%10%2%0%总部和其他境外办公场所供应商其他外部合作方其他96%24%24%欧洲企业出境数据类型大多涉及员工个人信息（78%其次为供应商和客户个人信息（67%）。调查结果同时显示，65%的受访企业数据出境活动与人力资源管理或合同履行相关。网信办在《规定（意见截至本报告撰写时，《规定（意见稿）》尚未正式发布。欧盟商会会员企业迫切希望最终版本能够进一步扩大豁免情形，将跨国企业出于内部管理目的而开展的类似个人信息出境活动纳入其中。例如，可理，必须向境外提供下述人员的个人信息的1）员工2）实习生3）第三方派遣工4）求职者5）已终止或解除合同的上述人员6）上述人员的家庭成员。”在某些情况下，企业为特定员工调查结果表明，出于内部管理的合理原因，将员工敏感个人信息传输至中国境外的情形也较为普遍。6欧洲企业向中国境外传输的第三大常见数据类型既不属于“个人信息”，也不属于“重要数据”（见图表2）。网信办发布的《规定（意见稿）》重申了运营活动中产生的数据出境，不包含个人信息或者重4请查看附录第13页上的图表，“贵公司在收集和处理个人信息时，主要遵循了中国《个人信息保护法》中的哪些合法事由?”5第4.2条目前规定如下：“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理，必须向境外提供内部员工个人信息的。”6在中国语境下，“敏感个人信息”的定义远比欧盟《通用数据保护条例》宽泛，包括个人财产信息、个人身份信息、通讯录等。要数据的，不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证，欧洲企值得注意的是，只有6%的受访企业表示其向境外提供“重要数据”。这一数字可能无法准确反映受“重要数据”出境相关监管要求影响的企业比例，因为大多数行业领域的“重要数据”目录仍有待明确。图表2：贵公司数据出境活动涉及以下哪些数据类型？图表2：贵公司数据出境活动涉及以下哪些数据类型？1）N:54员工个人信息员工敏感个人信息供应商和客户的个人信息供应商和客户的敏感个人信息其他个人信息其他敏感个人信息重要数据（按照《网络安全法》和《数据安全法》及其实施细则定义）业务运营中产生的其他类型数据0%10%20%30%40%50%60%70%80%90%100%54%78%33%24%67%7%6%6%受访企业中，表示必须申报网信部门出境安全评估的企业总体数量较低。但同时，大多数员工数量在受访企业中，表示必须申报网信部门出境安全评估的企业总体数量较低。但同时，大多数员工数量在1001至5000人的大型跨国企业均须申报出境安全评估，即便在某些情况下，集团公司内仅有部分法律实体受到影响。目前没有任何受访企业采用认证路径开展数据出境活动，但随着《规定（意见稿）》对认证图表3：贵公司目前采用的是三种数据出境路径中的哪一种？N:54网信部门组织的数据出境安全评估个人信息出境标准合同个人信息保护认证集团公司内某些法律实体需申报出境安全评估，其他法律实体可订立标准合同0%10%20%30%40%50%60%70%80%90%100%7欧盟商会的《2023年商业信心调查》结果显示，大多数欧洲企业(73%)已经/en/publications-archive/1124/Business_Confiden70%13%17%0%560%10%20%30%40%50%60%70%80%90%100%<5051-2500%10%20%30%40%50%60%70%80%90%100%<5051-250251-1,0001,001-5,000>5,000认证我们集团公司内某些法律实体必须接受安全评估，其他法律实体则签署标准合同。44%44%34%18%16%中国国家网信部门室组织的数据出境安全评估。标准合同43%43%24%11%14%8%N:18我们向境外提供重要数据。我们是关键信息基础设施运营者/因为我们处理100万人以上个人信息。自上年1月1日起，我们已向境外传输10万人以上个人信息。自上年1月1日起，我们已向境外传输1万人以上敏感个人信息。由于国家网信部门规定的其他情形0%10%20%30%40%50%60%70%80%90%100%44%17%17%11%11%图表4：贵公司目前正在使用的三种跨境数据传输机制中的哪一种？（按公司规模筛选的回复）图表5：贵公司是如何触发数据出境安全评估要求的？大部分企业因持有或向境外传输个人信息达到一定量级而需申报出境安全评估，《规定（意见稿）》减轻了此类企业的合规义务。考虑到中国人口众多，且大多数企业均使用数字技术处理个人信息，欧盟商会会员企业仍希望能考虑将《规定（意见稿）》设立的免于申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的门槛由当前的1万人放宽至10万人，与网信办《数据出境安全评估办法》（简称“《办法》”）针对个人信息设立的10万人门槛保持一致。8这一修改将能有效筛选出更具监管价值的目标，同时为较小企业减轻数据出境合规义务。由于“敏感个人信息”将不再计入评估阈值成为普遍共识，会员企业较为乐观地认为新规定可能会让企业免于安全评估。然而，网信办尚未对此做出进一步回应。欧盟商会建议，最终版本应明确数据出境安全评估申报门槛是否仍需单独考虑敏感个人信息——企业7虽然中国的数据本地化和数据出境相关监管要求导致大多数受访企业合规成本增加，但截至目前，其对企业的业务和战略造成的影响有限。只有少数受访企业正在考虑或已经因此将投资撤出中国。目前，部分企业仍在权衡、观望，并推迟了投资或产品相关决策。因此，有关部门仍有机会采取行动，解决企业对相关监管要求的担忧。值得注意的是，中国的数据相关监管要求也对一些企业产生了积极影响——31%的图表6：现行数据本地化和数据出境规定对贵公司的业务和运营决策有图表6：现行数据本地化和数据出境规定对贵公司的业务和运营决策有何影响？1）尚无重大影响其提升了我们的数据安全管理能力。我们正在考虑将投资转向其他市场。我们已将投资转向其他市场。我们推迟了投资决策。我们推迟了产品相关决策（如向中国引入创新产品和服务或推出新产品功能其增加了我们的合规成本我们已经或正在考虑将数据、信息技术系统和/或运营本地化。其他0%10%20%30%40%50%60%70%80%90%100%44%41%59%31%4%7%6%6%2%若《规定（意见稿）》的各项豁免条款最终得以出台，受访企业对其影响持谨慎乐观态度，但其中近一半企业仍难准确把握新规出台后自身应适用的合规义务（见图表7），主要原因在于数据出境相关的部分关键概念仍待明确。例如，受访企业希望能够进一步明确“重要数据”(81%)、“个人信息”(59%)、“关），（《规定（意见稿）》放宽了数据出境前置性审批要求。在此基础上，会员企业希望有关部门在实际判断企业数据出境必要性时，也能体现这一积极精神，将外国企业的合理业务需求纳入必要性考量。此外，最终版本应明确出境安全评估申报门槛是否仍需单独考虑敏感个人信息。当前条款表述存在一定模糊之处，但大多数第三方解读认为新规出台后，无需再将敏感个人信息单独作为申报门槛计算，受访企业对新8图表7：如果《规定（征求意见稿）》按当前形式发布，贵公司在数据出境路径选择方面图表7：如果《规定（征求意见稿）》按当前形式发布，贵公司在数据出境路径选择方面我们仍需申报数据出境安全评估。我们目前需申报出境安全评估，但新规出台后可选择订立个人信息出境标准合同、通过个人信息保护认证。我们将不再适用三条数据出境路径。该问题很大程度上取决于对关键概念的理解，如对数据出境必要性的判断，以及有关数据量级门槛的的计算方法。我们目前仍在进行分析。48%22%19%4%7%虽然《规定（意见稿）》调整、放宽了数据出境三条路径相关监管要求，但欧盟商会理解，其不会改变现有和拟出台的行业相关规定要求。41%的受访企业表示，任何拟出台新规均需与横向数据出境相关规定保持一致。在制修订相关行业规定时，也应将这一企业诉求纳入考量，确保行业相关规定亦能体现促进图表8：除国家网信办《规范和促进数据跨境流动规定（征求意见稿）》和国务院《关于图表8：除国家网信办《规范和促进数据跨境流动规定（征求意见稿）》和国务院《关于进一步优化外商投资环境加大吸引外商投资力度的意见》外，为了促进跨境数据流动，以“个人信息”的范围“重要数据”的范围“关键信息基础设施”的范围数据出境安全评估标准（对于合法性、必要性和正当性的判断）各项合法事由对数据处理和数据出境活动的适用性“单独同意”要求对数据处理和数据出境活动的适用性满足《个人信息保护法》要求的个人信息匿名化相关技术标准数据出境新规与现行规定的衔接和一致性0%10%20%30%40%50%60%41%44%81%35%37%39%59%39%《规定（意见稿）》授予自由贸易试验区自行制定数据出境负面清单的权力，允许清单外数据向境外自由流动。与此同时，国务院《意见》鼓励北京、天津、上海、粤港澳大湾区等地探索形成可自由流动的企业表示将视未来数据出境相关监管要求在区内的松绑程度决定是否落户自由贸易试验区。这表明，针对9请查看附录第19页上的图表，“贵公司是否已入驻中国的自由贸易试验区？”9区内数据出境相关监管要求制度创新，未来企业侧存在较大对话空间和意愿，对于当前需申报出境安全评估的企业而言尤甚。总体来看，当前大多数受访企业对自由贸易试验区内数据出境相关制度创新尚持观望态度，其中一家受访企业表示，区内相关制度创新尤其应考虑与企业总部和境外其他分支机构间的数据跨图表9：若自由贸易试验区出台针对数据出图表9：若自由贸易试验区出台针对数据出境便利化的制度创新举措，贵公司是否会76%是否取决于区内对相关规则的松绑程度尽管企业普遍认为，在自由贸易试验区内进一步试点放宽数据出境相关监管要求是积极的，但企业如何才能满足试点要求仍待明确。一位受访企业由此担心，在极端情况下，区内相关试点或加剧特定行业外国企业面临的挑战。以金融业为例，自由贸易试验区通常利好在本地注册的、具有大型系统和能力的银行，而在区内注册并全面开展业务的高昂成本通常不符合外国银行在华分支机构的业务模式。因此，该行业企业担心，未来若要求在区内设立单独的数据处理系统，将使竞争环境进一步向少数已在自由贸易试验区内开展业务的大型银行倾斜。未来，在确Europeanchamber欧盟商会对网信办《规定（意见稿）》表示欢迎，其发布无疑是优化数据相关监管要求的重要一步。在《规定（意见稿）》基础上，欧洲企业希望能够对数据相关监管要求进行后续优化，如进一步明确有关概念，更多地考虑企业的合理业务需求，确保将近期积极开放精神贯彻到行业规定的制修定中，并为企业提供合理的合规过渡期。欧盟商会将继续与有关部门保持紧密联系，为推动数据监管要求的不断完善贵公司在中国大陆有多少员工？贵公司在中国大陆有多少员工？N:99<5051–250251–1,0001,001–5,000>5,0000%10%20%30%40%50%60%70%80%90%100%30%21%22%14%12%请注明贵公司主要相关领域请注明贵公司主要相关领域N:99100%90%80%70%60%50%40%30%20%10%0%22%2%2%3%3%3%3%12%10%15%4%4%9%3%6%6%5%2%2%1%1%1%N:9914%55%31%N:9914%55%31%是否我不清楚N:54100%90%80%70%60%50%40%30%20%10%2%0%总部和其他境外办公场所供应商其他外部合作方其他96%24%24%贵公司是否开展数据出境活动？贵公司进行数据跨境传输的接收方是？1）贵公司数据出境活动涉及以下哪些数据类型？贵公司数据出境活动涉及以下哪些数据类型？1）N:54员工个人信息员工敏感个人信息供应商和客户的个人信息供应商和客户的敏感个人信息其他个人信息其他敏感个人信息重要数据（按照《网络安全法》和《数据安全法》及其实施细则定义）业务运营中产生的其他类型数据0%10%20%30%40%50%60%70%80%90%100%54%78%33%24%67%7%6%6%贵公司在收集和处理个人信息时，主要遵循了中国《个人信息保护法》中的哪些贵公司在收集和处理个人信息时，主要遵循了中国《个人信息保护法》中的哪些合法事由?1）N:54取得个人同意。为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需。为履行法定职责或者法定义务所必需。为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需。为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息。依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息。法律、行政法规规定的其他情形。0%10%20%30%40%50%60%70%80%90%100%80%65%31%35%22%17%9%贵公司目前采用的是三种数据出境路径中的哪一种？贵公司目前采用的是三种数据出境路径中的哪一种？N:54网信部门组织的数据出境安全评估个人信息出境标准合同个人信息保护认证集团公司内某些法律实体需申报出境安全评估，其他法律实体可订立标准合同0%10%20%30%40%50%60%70%80%90%100%70%13%17%0%贵公司是如何触发数据出境安全评估要求的？贵公司是如何触发数据出境安全评估要求的？N:18我们向境外提供重要数据。我们是关键信息基础设施运营者/因为我们处理100万人以上个人信息。自上年1月1日起，我们已向境外传输10万人以上个人信息。自上年1月1日起，我们已向境外传输1万人以上敏感个人信息。由于国家网信部门规定的其他情形0%10%20%30%40%50%60%70%80%90%100%44%17%17%11%11%如未能通过数据出境安全评估，贵公司预计后续数据本地化的成本为？如未能通过数据出境安全评估，贵公司预计后续数据本地化的成本为？数百万欧元数千万欧元数亿欧元其他0%10%20%30%40%50%60%70%80%90%100%44%33%11%11%除网信部门横向数据本地化和数据出境规定，贵公司是否同时适用行业相关规定，除网信部门横向数据本地化和数据出境规定，贵公司是否同时适用行业相关规定，且此类规定与横向规定存在重叠或差异？我们不适用任何行业规定。我们目前不适用行业规定，但预计未来将有相关规定出台我们同时适用行业相关规定，但此类规定与横向规定基本一致我们同时适用行业相关规定，且此类规定与横向规定存在重叠或差异0%10%20%30%40%50%60%70%80%90%100%52%24%20%4%截至目前，贵公司如何评价现行数据本地化和数据出境规定的合规成本（金钱和截至目前，贵公司如何评价现行数据本地化和数据出境规定的合规成本（金钱和15%28%17%41%高昂适中可忽略不计我不清楚现行数据本地化和数据出境规定对贵公司的业务和运营决策有何影响现行数据本地化和数据出境规定对贵公司的业务和运营决策有何影响？1）尚无重大影响其提升了我们的数据安全管理能力。我们正在考虑将投资转向其他市场。我们已将投资转向其他市场。我们推迟了投资决策。我们推迟了产品相关决策（如向中国引入创新产品和服务或推出新产品功能其增加了我们的合规成本我们已经或正在考虑将数据、信息技术系统和/或运营本地化。其他0%10%20%30%40%50%60%70%80%90%100%44%41%59%31%4%7%6%6%2%如果《规定（征求意见稿）》按当前形式发布，贵公司在数据出境路径选择方面如果《规定（征求意见稿）》按当前形式发布，贵公司在数据出境路径选择方面N:54我们仍需申报数据出境安全评估。我们目前需申报出境安全评估，但新规出台后可选择订立个人信息出境标准合同、通过个人信息保护认证。我们将不再适用三条数据出境路径。该问题很大程度上取决于对关键概念的理解，如对数据出境必要性的判断，以及有关数据量级门槛的的计算方法。我们目前仍在进行分析。0%10%20%30%40%50%60%70%80%90%100%48%22%19%4%7%进一步放宽数据本地化和数据出境规定、评估标准是否会导致进一步放宽数据本地化和数据出境规定、评估标准是否会导致贵公司采取以下行动？(进一步放宽有关规定，包括通过国家网信办9月28日的《规范和促进数据跨境流动规定（征求意见稿）》，以及落实国务院《关于进一步优化外商投资环境加大吸引外商投资力度的意见》中提出的便利措施）1）我们将扩大在华投资。我们将推进与产品相关的决策（如向中国引入创新产品和服务或推出新产品功能）。我们的整体决策进程将有所加快我不确定0%10%20%30%40%50%60%70%80%90%100%41%50%13%9%如果国家网信办《规范和促进数据跨境流动规定（征求意见稿）》和国务院《关于进如果国家网信办《规范和促进数据跨境流动规定（征求意见稿）》和国务院《关于进一步优化外商投资环境加大吸引外商投资力度的意见》中提出的便利和放宽措施得到全面落实，预计贵公司针对中国数据本地化和数据出境规定的合规成本（金钱和时间）大幅降低略有降低基本不变我不清楚0%10%20%30%40%50%60%70%80%90%10