企業供應鏈溯源應對中的數據合規風險管理

趙新華 郭歡 等 金杜研究院

引言

近年來,美歐等國家日益加強對人權、“強迫勞動”等問題的關注,面對如棉紡織行業、光伏產業等特定勞動密集型行業領域,在向歐美等發達國家出口時,如今愈發受到外國監管市場特殊法律法規和國際條約等設置新的監管要求的挑戰,例如美國發布了所謂《維吾爾族強迫勞動預防法》[1](Uyghur Forced Labor Prevention Act,以下簡稱“UFLPA”或“《涉疆法案》”)、歐盟《禁止銷售強迫勞動產品條例》草案、經濟合作與發展組織《關於來自受沖突影響和高風險地區的礦石的負責任供應鏈盡職調查指南》等(相關法案介紹和企業應對建議可參考我們之前的文章《涉疆法案下產業鏈溯源應對與突圍》《山雨欲來風滿樓——歐美綠色供應鏈法案對比解析》)。

企業面對出口業務的需要和境外執法的硬性要求,一方面該等調查涉及向境外實體包括境外主管機關等提供數據、材料等信息,另一方面國內也在不斷加強數據安全保護、企業同樣面臨國內數據出境的監管約束,因此,面對交叉監管下的企業供應鏈溯源,也就成為了當下相關企業亟需解決的問題。我們基於近期辦理的系列案件的共性,提煉了一個典型案例,並圍繞該案例提示、分析供應鏈溯源案件中可能涉及的數據合規風險,向相關企業提出初步的應對建議。

01

案例介紹

受美國海關與邊境保護局(CBP)暫扣令及《涉疆法案》的影響,A公司從去年開始頻繁接到美國進口商或國內下遊企業的要求,希望其配合應對美國海關的供應鏈溯源調查要求,證明其供應鏈“清潔”,並實現其已被暫扣或有暫扣風險的貨物順利通關並最終進入美國市場。

在美《涉疆法案》生效後,美國海關已開始采取“可反駁推定”的方式,即在查扣進口貨物後默認貨物已存在“強迫勞動”。A公司為了滿足該等溯源調查要求,需要直接向國內下遊企業及CBP提供其能證明原料來源(即上遊全產業鏈)“清潔”的材料(“原始供應鏈清潔材料”)。

隨著企業自動化智能化系統的普及,面對上述材料的提供,各相關企業除了常規的電子或紙質文件的梳理提供形式以外,數據出境的模式與業務場景也愈發趨向復雜,具體如下:

1. 通常情形:向下遊及海關提供溯源材料

在UFLPA執法落地後,通常情形下,美進口商需要在30天內完全配合CBP的調查要求並提交CBP所要求的證明資料。因此,美進口商和國內供應鏈下遊企業,希望企業更為詳盡的準備原始供應鏈清潔材料。實踐中,A公司通常被要求提供所有的原料采購交易文件、生產流程管理文件、生產加工記錄、工人的工作記錄(工時、薪資等)、生產工廠的位置、產能、產量信息等。另外,基於美《涉疆法案》的要求,出口產品整條供應鏈需要追溯至采礦階段,並且還從地理位置上要求披露矽礦的位置及礦權人信息。

2. 特殊情形:由第三方平台抓取數據

除前述通常情形外,由於原始供應鏈清潔材料的梳理和審閱較為繁雜,某下遊客戶B公司希望借用信息化產品,為A公司建設定制化溯源數據系統,希望A公司將追溯所需的資料和數據提前上傳至其委托的第三方追溯信息系統X平台(服務器在中國境外),日後每次對B公司供貨時,原始供應鏈清潔材料相關信息會在X平台上集成,通過X平台將A公司與B公司需在日常溯源中人工傳送相關材料,轉變為由系統建立的API接口自動在A公司授權數據區域內直接抓取該等原始供應鏈清潔材料/數據等信息,再由X平台對原始供應鏈清潔材料進行一定處理後提供至B公司及美國海關。

02

數據合規風險評析

1. 數據出境的合規義務主體確定和身份識別

如A公司為集團型企業,在中國境內有多家實體和/或在境外設有子公司或分支機構,則A公司需要內部確認負責統籌、提供原始供應鏈清潔材料的主體:

  • 在境內主體之間,A公司集團內部需事先整合相關供應鏈數據形成原始供應鏈清潔材料,由經確認的負責主體履行包括數據出境在內的一系列數據合規義務;

  • 在境內主體和境外主體(從數據合規法律角度,包括設立在香港、澳門、台灣的實體)之間,如由境外主體負責提供原始供應鏈清潔材料,則集團內部需要事先按照中國的數據出境規則,完成境內主體向境外主體的數據跨境傳輸。值得注意的是,即使數據(如個人信息和/或重要數據(見下文介紹))已被傳輸至境外,境外主體對出境數據的再轉移並非“法外之地”。在中國網信部門等監管機構組織的官方數據出境安全評估(“數據出境官方評估”)以及個人信息出境的標準合同中,均要求跨境傳輸雙方對數據出境後的再轉移進行前置條件的約定和限制[2]。這意味著,境內提供數據的主體仍需對出境數據的後續流向進行整體性且有約束力的把控。

無論提供原始供應鏈清潔材料的主體如何確定,A公司自身(如為單一企業)或集團體系下確認承擔數據出境合規義務的主體(如為集團企業)均需對是否涉及中國數據法律法規項下的特殊身份(例如關鍵信息基礎設施運營者,處理100萬人以上個人信息處理者等)進行識別,以確認數據出境時所需滿足的合規要求。

在供應鏈溯源的語境下,A公司尤其需關注對其是否屬於關鍵信息基礎設施運營者(“CIIO”)的身份識別。一旦A公司被主管部門確認為CIIO,其在中國境內運營中收集和產生的個人信息和重要數據(如下文所介紹)應當在境內存儲,且在出境時需完成數據出境官方評估[3]

隨著《關鍵信息基礎設施安全保護條例》的頒布,CIIO的認定機制在經歷數年討論後得以確定。相關重要行業、領域(包括公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等[4])的主管部門和監督管理部門是關鍵信息基礎設施(“CII”)的保護工作部門,在公安部門統一指導下開展關鍵信息基礎設施認定工作[5]。如被認定為CIIO,企業將收到監管機構的確認通知[6]

實踐中,CII或CIIO的認定結果是不公開的。原則上,如果A公司沒有接到來自監管機構的專門通知,則意味著其不是監管機構認定的CIIO。但提請注意的是,我們了解到當前諸多行業領域的CIIO認定工作仍在進行中,因此,我們仍建議像A公司一樣面臨境外供應鏈溯源調查的國內企業對其是否涉及CII做初步判斷,以便了解將來被認定為CIIO的可能性。

2. 出境數據的類型識別

出境數據的類型對出境過程中的合規要求有著至關重要的影響。結合《網絡安全法》和《數據安全法》,中國建立數據分類分級保護制度。其中,關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬於國家核心數據[7];而重要數據則指向特定領域、特定群體、特定區域或達到一定精度和規模的數據,其一旦被泄露或篡改、損毀,可能直接危害國家安全、經濟運行、社會穩定、公共健康和安全[8]

目前,法律法規尚未規定核心數據的認定方式和管理要求,但明確要實行更加嚴格的管理制度。對於重要數據,《數據安全法》規定,行業、領域的主管部門將負責制定具體的重要數據目錄[9]。但在實踐中,大部分行業領域的重要數據目錄仍在制定階段,具體範圍亦不明確。盡管如此,我們仍建議A公司或同樣涉及境外供應鏈溯源調查的境內企業根據重要數據(以及核心數據)的定義描述,結合相關國家標準(如《信息安全技術 重要數據識別規則》征求意見稿)對其可能對外提供的原始供應鏈清潔材料進行初步梳理,對可能構成重要數據(乃至核心數據)的數據類型進行預先識別。

A公司還需關注原始供應鏈清潔材料是否涉及國家秘密,或是否屬於某一行業領域內特別規定的數據(如人類遺傳資源信息、人口健康信息、醫療數據、金融征信信息、汽車數據等),這些特殊的數據類型都可能對出境安排產生較大影響。

如原始供應鏈清潔材料包含個人信息,我們建議A公司先行確認該等個人信息是否可通過匿名化提供的方式滿足溯源要求。如確需提供個人信息,A公司需滿足一系列中國個人信息保護要求,包括獲得個人信息主體的單獨同意、事先開展個人信息保護影響評估等。

3. 直接向B公司或監管機構提供原始供應鏈清潔材料

如案例中所描述的,境外下遊客戶B公司要求A公司提供原始供應鏈清潔材料,以證明原料來源的合規性。A公司需要根據中國近期發布的數據出境規則,遵循合適的數據出境路徑並滿足相應的合規要求。

對於個人信息而言,出境的路徑包括完成數據出境官方評估、訂立個人信息出境標準合同以及聘請專業機構進行個人信息保護認證。

對於非個人信息的數據而言,結合上文介紹,A公司需要著重考慮兩個維度:(1)A公司自身是否構成(或可能構成)相關中國數據法律法規項下的特殊身份,如CIIO;及(2)擬上傳的非個人信息數據是否屬於(或可能屬於)中國數據相關法律法規項下的特殊類型,如國家秘密、核心數據、重要數據或受到行業或領域特別規定的數據。

一旦涉及上述特殊身份和數據類型,A公司將需視情況采取合規措施(如國家秘密不得對外提供,如涉及重要數據,則需要完成數據出境官方評估)完成數據出境官方評估。根據中國的數據出境規則和我們目前的實踐觀察,數據出境官方評估從前期準備到後期正式獲批,至少需要幾個月的時間,這對A公司響應溯源要求有著較大影響。另外,鑒於《涉疆法案》等境外規定的敏感性,中國監管機構是否會認可A公司數據出境的直接或間接目的,存在著較大的不確定性。

相較於普適性的數據出境規則,如A公司直接向境外監管機構(如外國海關、商務部等)提供原始供應鏈清潔材料,其需滿足的前置性條件將更為嚴格。《數據安全法》和《個人信息保護法》均明確,非經中國主管機關批準,境內的組織、個人不得向外國司法或者執法機構提供存儲於中華人民共和國境內的個人信息或數據[10]。一方面,這一規定所適用的出境數據並不局限於個人信息、重要數據、核心數據、行業特殊規定數據等數據類型,而是適用於所有類型的數據;另一方面,規定中提及的中國主管部門審批目前尚未有相關配套規定,審批部門、期限、申報材料、審核要素和尺度等細節問題仍有待根據個案進行分析和處理。

另外值得留意的是,根據《數據安全法》,中國建立數據安全審查制度,對影響或者可能影響中國國家安全的數據處理活動進行國家安全審查[11]。這意味著,如A公司對外提供原始供應鏈清潔材料的行為觸發敏感事件,國家安全審查的適用並非不可能。

4. 向X平台上傳原始供應鏈清潔材料

實踐中我們觀察到,越來越多中國上遊供應企業收到了境外下遊客戶有關使用第三方溯源平台的要求。如案例中所描述的,A公司使用X平台,對B公司向監管機構和消費者證明其原材料的合規性有著極大幫助,但A公司可能因此背負較大的數據合規風險。我們以案例為基礎,將相關風險點舉例提示如下:

(1)引入X平台的前置條件

A公司如被認定為CIIO或涉及CII,其采購網絡產品和服務且可能影響國家安全的,應當通過國家網信部門會同國務院有關部門組織的國家安全審查[12],同時需與產品或服務提供者簽訂安全保密協議,明確安全和保密義務與責任[13]。因此,鑒於X平台提供的是數據相關服務,A公司需考慮其身份因素,事先評估確認其是否適用特殊合規要求。

(2)X平台的數據處理角色

根據《數據安全法》的定義,數據處理包括對數據的收集、存儲、使用、加工、傳輸、提供、公開等活動[14]

A公司向X平台上傳的數據將被存儲於該X平台,由此,X平台不僅提供了技術、軟件、運維等服務,其存儲行為亦很可能被中國法律認定為對數據的處理。

不僅如此,據我們的觀察了解,第三方溯源平台對其接收到的原始供應鏈清潔材料的處理遠不止存儲這麽簡單。第三方溯源平台常常會對原始供應鏈清潔材料進行梳理、抓取、計算、整合等一系列分析行為,並將分析後生成的數據(無論是否會直接披露特定供應商)視情況提供給供應鏈中的其他下遊企業。

由此,A公司需留意在與X平台訂立的相關協議中明確原始數據和處理後數據的歸屬以及X平台的數據處理權限,以確保對與自身有關的供應鏈數據保持足夠的主動控制權。

(3)數據出境

一般而言,為了滿足境外下遊客戶應對原材料合規監管的需求,中國上遊供應企業被要求使用的第三方溯源平台服務器多架設於中國境外,甚至有不少的第三方溯源平台並未在中國境內設立經營實體。

A公司如向X平台上傳其原始供應鏈清潔材料,這無疑將構成中國法律所界定的數據出境行為。結合上文中對數據出境路徑、要求和限制的簡要介紹,一旦A公司向X平台上傳數據的行為觸發數據出境官方評估程序(無論是基於A公司自身的身份亦或數據本身的屬性界定),A公司需對數據出境行為進行“三性”解釋(合法性、正當性、必要性)。不論中國監管部門是否會批準該等數據出境行為,即使在申請數據出境官方評估程序階段,A公司就需要X平台提供充分的配合,包括簽署(符合中國監管部門要求的)數據跨境傳輸協議、配合完成數據出境風險自評估等。A公司需要事先與X平台明確該等需求,提前確認X平台是否有意願提供相應配合。

(4)第三方溯源平台的技術安全措施和水平

如X平台無法確保數據的安全性,由此造成的後果在極端情況下可能是非常嚴重的,甚至會對中國的國家安全、公共利益造成威脅,並導致A公司受到嚴厲處罰。因此,無論從數據交互還是數據出境的角度,A公司都需對X平台的技術安全措施進行評估。

A公司需要考察X平台的數據安全管理能力,包括管理組織體系和制度建設情況,全流程管理、分類分級、應急處置、風險評估、個人信息權益保護(如適用)等制度及落實情況;同時,也需關注X平台的數據安全技術能力,包括數據收集、存儲、使用、加工、傳輸、提供、公開、刪除等全流程所采取的安全技術措施等;另外,還需收集X平台關於數據安全保障措施有效性的證明,例如開展的數據安全風險評估、數據安全能力認證、數據安全檢查測評、數據安全合規審計等[15]

X平台要求A公司在其自有數據庫開放API接口,由X平台通過該接口自動從A公司數據庫中抓取相關供應鏈信息。如接受該等要求,A公司需高度留意API接口所對應的X平台可訪問數據範圍。這對A公司日常數據分級分類工作是一項更高且更緊迫的要求。

實踐中我們還觀察到有些第三方溯源平台以使用區塊鏈技術為由對數據處理和管理責任(如及時歸還、刪除數據等)提出免責。但結合中國立法趨勢和監管口徑,區塊鏈技術的應用並不能豁免中國上遊供應企業和/或第三方溯源平台作為數據處理者的責任。中國上遊供應企業需與第三方溯源平台探討其他技術方式的可行性,或在無法避免使用區塊鏈技術的情況下,對上傳數據的類型、範圍、方式進行更為嚴格的把控。

(5)管轄法律和爭議解決

由於第三方溯源平台背後的主體多為境外企業,在第三方溯源平台提供的標準服務合同中,往往將境外法律作為管轄法律,且爭議解決機構也一般約定為境外法院或仲裁。為更好保障中國上遊供應企業的權利,中國上遊供應企業需盡可能爭取對中國法律及爭議解決機構的適用,或退一步而言,爭取對中立國管轄法律和爭議解決機構的適用。如確無改變管轄法律和爭議解決機構的可能,中國上遊供應企業需事先評估、判斷該國法院判決或仲裁裁決的可執行力。

總結與建議

美國和歐盟等發達國家市場對產品追溯要求逐漸明晰後,對中國企業的應對帶來了不小的挑戰,企業需要重視供應鏈合規管理、產品追溯體系建立和勞動合規等現實問題,投入人力、精力、財力以便盡早適應和滿足相關市場合規要求。

從數據合規角度,中國上遊供應企業需要對溯源過程中的一系列數據合規問題進行預先評估和判斷,包括數據流向的具體安排、自身的數據合規角色、數據的範圍和類型、相關合規要求(尤其與數據出境相關)等。根據我們的經驗,這些工作並非一蹴而就,需要前期部署和整體統籌。如涉及第三方溯源平台,企業尤其需注意與平台明確約定數據處理權限、數據歸屬,在企業自身、平台、下遊客戶之間尋找合適的平衡點。

向下滑動閱覽

腳注:

[1] 美國《涉疆法案》落地後,我們在《涉疆法案生效對中國企業的影響及應對》文章中,就其重點內容、產生影響及短長期應對建議進行了剖析,本文中將不再展開敘述。

[2] 《數據出境安全評估申報指南》(第一版)附件4第二(六)部分、《個人信息出境標準合同》(征求意見稿)第三條第(七)部分

[3] 《網絡安全法》第37條、《數據安全法》第31條、《數據出境安全評估辦法》第4條

[4] 《關鍵信息基礎設施安全保護條例》第2條、《網絡安全法》第31條、《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》三(一)

[5] 《關鍵信息基礎設施安全保護條例》第8、10條

[6] 《關鍵信息基礎設施安全保護條例》第11條

[7] 《數據安全法》第21條

[8] 《信息安全技術 重要數據識別規則》(征求意見稿)2022年5月12日發布版本

[9] 《數據安全法》第21條

[10] 《數據安全法》第36條和《個人信息保護法》第41條

[11] 《數據安全法》第24條

[12] 《網絡安全法》第35條、《網絡安全審查辦法》第2條、第5條

[13] 《網絡安全法》第36條

[14] 《數據安全法》第3條

[15] 參考《數據出境安全評估申報指南》附件4,內容有刪減。


本文作者

趙新華

合夥人

公司業務部

atticus.zhao@cn.kwm.com

業務領域:公司業務、外商直接投資、公司重組及一般公司事務

趙新華律師擁有十多年法律從業經驗,曾為多家知名國內外企業提供法律服務,包括股權或資產收購、轉讓、公司重組、設立合資公司、特許經營等,趙律師服務的客戶涉及的行業包括汽車、人工智能、物聯網、高科技、零售、教育、現代農業、船舶、工業制造和醫藥等。趙新華律師對智能汽車、車聯網領域的法律問題有著深入的研究,並為國內外眾多客戶提供並購、市場準入及合規方面的法律服務。

郭歡

合夥人

公司業務部

guohuan@cn.kwm.com

業務領域:企業大合規,以出口管制與經濟制裁、海關、外匯管理為中心的跨境合規等

郭律師多次參與企業合規相關立法指導工作,精通企業大合規管理體系以及合規、內控、風控“三位一體”管理體系搭建、合規檢查與調查、合規風險識別與評估、合規問題應急處理以及各類專項合規管理體系建立與改進。在出口管制及經濟制裁領域,協助眾多企業搭建出口管制合規內控體系(ECP),配合企業開展產業鏈溯源並建立和完善產業鏈安全管理體系,協助企業從出口管制及經濟制裁視角出發,開展交易前可行性分析及專項盡職調查、建立風險篩查機制、設計並實施相關合規流程等。在海關與外匯管理領域,近年來專注於進出口合規體系及關務系統搭建、海關稽查及海關行政處罰案件應對,以及經常項目下的貨物及服務貿易、資本項目下的投資及跨境資本移動等相關外匯管理事宜的處理,具備卓越的提供跨境合規領域綜合法律服務的能力。

陳起超

貿易·出口管制顧問

公司業務部

業務領域:出口管制與經濟制裁

陳起超先生在過去十年的工作中專注於出口管制規制的研究及出口合規內控體系(ECP)的搭建與實施。為中國、美國及日本等知名企業提供出口管制相關咨詢服務,協助企業開展出口物項歸類、許可證申請、內部合規體系建設、出口管制培訓及審計工作。在出口管制和經濟制裁領域具有豐富的實操經驗。

王哲峰


公司業務部

劉學朋


公司業務部

單文鈺


公司業務部

劉姝倩


公司業務部

感謝北京外國語大學國際關系學院博士生導師周鑫宇教授、資深合夥人劉新宇律師對本文的指導!

跨國制裁與出口管制研究中心介紹

該中心是以北京外國語大學國際商學院和國際關系學院為中心設立的,聘請其他大學及研究機構的學者、北京市金杜律師事務所經濟制裁與出口管制合規團隊的優秀律師在內的各律所律師、相關企業的專業人士等精英力量組成的,旨在以跨國制裁與出口管制、海關監管、國際貿易等為核心,將北京外國語大學在國際關系、國際經濟等領域積累的重要研究成果與涉外律師在跨境貿易服務中積累的豐富實務經驗相結合,集結政、法、商等多方力量,在促進中國的出口管制法制建設、促進出口管制與經濟制裁領域的國際交流與合作、為中外高新技術企業的發展提供助力、培養相關領域專業人才、加強出口管制與經濟制裁法律研究及法律服務等方面發揮積極作用,並以期從更加宏觀的角度對相關政策走向和立法趨勢進行解讀與研判,在積極開展相關前沿學術研究的同時,為法律實務領域提供強有力的技術支持。

轉載聲明:好文共賞,如需轉載,請直接在公眾號後台或下方留言區留言獲取授權。

封面圖源:美好家園-未知的風景·杜飛辰

責任編輯:趙天園

文章推薦