当前位置: 鸿蒙福建 >
“ 本文列示了数据跨境流动中委托处理的三个类型,七个场景。数据合规始终应当围绕着数据之上的权责与利益划分,而权责的边界的探析则必然来源于我们对一个或多个法律关系中的角色、场景、国别等的逐一判断。”
——郭贺依律师
数据法评-专业研讨
在数据跨境流动中,简单的从A国到B国的模型已经无法涵盖所有商业实践。当“委托处理”与“跨境”结合时,角色(委托方、受托方、境外接收方)和地理位置的组合催生了复杂的场景,使得原本点对点的出境链路在合规制度的使用上充满了模糊性。
本文定位为:厘清委托数据出境类型,这是理解自身法律责任和合规路径的第一步。
01
—
委托方在境外,受托方在境内
这种类型下,境内的受托方是为境外主体提供数据加工处理服务的乙方。其核心特征是数据处理行为发生在境内,但数据的来源或去向涉及境外。按照境外接收方主体不同,还可以分为以下两个子类。
场景1.1:来料加工再回传,数据处理后返回境外委托方
描述:境外委托方将已持有的数据(可能包含境外个人信息)发送给境内受托方进行处理,处理完毕后,结果数据返回给境外委托方。
案例:一家美国科技公司将为训练AI模型准备的、包含人脸或语音的数据集,委托给中国的一家数据标注公司进行人工标注。标注完成后的数据集返还给美国科技公司。整个过程中,被处理的原始数据和个人信息均未在境内收集,也非关于中国公民。
场景1.2:境外数据在境内完成处理后,提供给境外第三方
描述:境内受托方根据境外委托方的要求,将处理完毕的数据直接传输给境外委托方之外的第三方。
案例:离岸外包与全球供应链协同。一家欧洲汽车制造商委托中国的研发中心进行零部件设计。研发完成后,中国的研发中心需将包含测试数据的设计图纸,直接传输给位于墨西哥的零部件工厂(境外第三方)进行生产。数据并未返回欧洲委托方。
【实务难点探析】在委托方在境外的数据跨境项目中,受托方到底属不属于能够自主决定数据处理目的、范围等的数据处理者?始终是判断的难题。境外委托方不会为了其在中国的受托方主动向中国的网信办申报数据出境安全评估,那么实务中,境内受托方往往就成为了数据出境自行申报的主体,即数据/个人信息处理者。
02
—
委托方在境内,受托方在境外
这是最典型也最直接的数据出境场景,即境内机构将数据交给境外的机构进行处理。其核心特征是数据被主动传输至境外并由境外方处理。这个类型也可以分为三个子类。
场景2.1:数据存储在境外
描述:境内委托方将数据委托给境外受托方,数据实体存储在境外的服务器或系统中。
案例:使用境外公有云服务(IaaS/PaaS)。一家中国公司使用亚马逊或微软的云服务器来存储其用户数据和业务数据。数据实际物理存储在美国、新加坡等地的数据中心。
【实务难点探析】申报出境时填写的境外接收方是云服务商,还是最终存储数据的实体?境内企业与微软、亚马逊等境外云巨头签订合同时,境内企业处于绝对弱势方。当进行个人信息保护影响评估(PIA)或填写安全评估申报表时,委托方需要详细说明“境外接收方处理个人信息的规模、范围、目的、方式”等。然而,对于云服务或复杂软件服务,数据的动态处理过程(如日志记录、自动化分析、备份路径)委托方可能并不完全知晓,只能依赖受托方提供的、往往是模板化的说明,深度和准确性都难以保证。
场景2.2:数据委托方在境内,数据受托方在境外完成数据处理,处理后返回境内委托方
描述:境内委托方将数据发送至境外受托方进行处理,处理完毕后,结果数据返回境内。
案例:一家中国生物科技公司将基因序列数据发送至欧洲某顶尖实验室进行分析运算,待分析报告生成后,该报告被传回中国公司。数据完成了“出境-处理-入境”的循环。
场景2.3:处理后提供给境外第三方
描述:境内委托方授权境外受托方,在完成数据处理后,将结果直接提供给境外的其他实体。
案例:一家中国外贸企业使用境外受托方的CRM系统管理全球客户信息。根据业务需要,该系统会直接将部分客户订单信息提供给位于美国的物流合作伙伴(境外第三方),以实现物流对接。
03
—
委托方与受托方均在境内,但数据处理活动天然跨境
这种类型最具隐蔽性,因为委托关系看似完全发生在境内,但数据处理活动的性质或架构导致了数据的事实出境。
场景3.1:数据存储在境内,但境外可访问
描述:境内受托方负责运营和维护系统(如网站、APP),该系统部署在境内,但向全球用户提供服务,境外用户可合法访问其中的数据。
案例:一家中国电商公司将其官网委托给境内的阿里云进行运营和维护。但由于其从事跨境电商业务,境外的消费者可以直接访问该网站,浏览商品信息并注册账户,导致境外个人信息的流入。这构成了个人信息的“境外收集”或“境内处理但被境外访问”。
【实务难点探析】这种跨境电商运营网站的数据跨境场景往往被数据处理者、受委托处理者忽略,为境内外数据跨境合规监管埋下隐患。即便符合《促进和规范数据跨境流动规定》的豁免情形(其实很难完全符合,因为个人信息的判断范围很宽),也不能免除必要的PIA评估,以及存在海外其他国家的长臂管辖的风险。
场景3.2:数据在境外处理后再返还境内
描述:尽管受托方是境内机构,但其为了完成委托任务,自身将数据传出境外进行处理,之后再将结果返给境内委托方。这本质上是受托方自身的数据出境行为。
案例:一家中国公司委托一家国内的云服务商进行大数据分析。该国内云服务商为了负载均衡或调用特定算力,将其部分数据临时调度到其在香港的数据中心进行计算,算完后再将结果传回境内。此时,境内受托方成为了其自身的数据出境者。
场景3.3:境内委托方将受托方作为数据出境通道
描述:境内委托方委托一家具有跨境业务能力的境内受托方,专门负责将数据安全地传输给境外接收方。
案例:一家中国游戏公司开发了一款面向海外市场的游戏,需要将全球玩家的数据集中传输到新加坡的国际业务总部。它委托一家持有跨境专线资质的运营商,专门负责此项数据传输任务。运营商在此角色中仍是“受托传输方”。
04
—
总结与合规启示
通过对这三种基本类型及其七种子场景的拆解,我们可以清晰地看到,数据跨境的路径并非单一。企业在合规自查时,必须问自己几个关键问题,先做好自己的合规标准动作:
1.我们是什么角色?是决定处理目的的委托方,还是执行指令的受托方?这决定了我们应当承担的义务范围和合规动作。
2.数据在哪?数据源头、处理地、存储地和最终目的地分别在哪里?把整个数据流转链路图绘制出来,比照所涉及的不同国家/地区数据跨境管理办法。
3.数据流向如何?是单向出境,还是往返循环,或是经由我方之手传向第三方?只有精确地定位了业务在以上矩阵中的坐标,才能准确地适用《个人信息保hufa》《数据出境安全评估办法》等法律法规中的具体要求,明确申报主体、厘清法律责任,并选择正确的合规路径,最终在保障数据安全的前提下,顺利开展国际业务。
未来,随着企业数据合规体系逐渐落实成熟,国内监管体系逐步细化到位,类似于认证、国际互认合作、负面清单等制度将会被实际适用,实现分层分类的监管措施,数据才能真正有序安全的流动起来。
来源:贺律不姓贺;数据法评Hike
