欧盟碳边境调节机制下我国企业的数据出境风险及应对

2023年5月16日，欧盟《碳边疆调节机制法案》（下称“CBAM法案”）发布并成为欧盟法律，将于2023年10月1日起正式施行。
碳边疆调节机制（Carbon Border Adjustment Mechanism，下称“CBAM”）也被称为“碳关税”，哀求入口商在向欧盟入口第三国货色时报告货色碳排放量，并按照欧盟碳排放价格购买CBAM证书。
CBAM法案设定了自2023年10月1日至2025年12月31日的过渡期，期间入口商无需购买CBAM证书，仅需向欧盟履行CBAM报告责任。

欧盟作为环球首个征收“碳关税”的经济体，CBAM旨在防止碳泄露[1]风险，并在实际效用上达到缩减第三国入口产品与欧盟本当地货物碳本钱差距的效果。

鉴于CBAM法案较多涉及数据供应责任，对付中国对欧出口企业而言，除了须要重点关注贸易政策及减碳方法，还需关注数据出境风险，本文将重点对此展开剖析，以供干系企业参考（为免疑义，本文所述“数据出境”仅指数据从中国境内向中国境外传输或存储在中国境外的环境）。

一、CBAM框架下的数据供应哀求

下表对CBAM法案哀求供应数据的情形进行梳理。

表1 CBAM法案的数据供应哀求

法案条款

第5条

数据供应事由

授权申请

详细规定

入口商/报关代表（以下合称“入口商”）应在将货色入口至欧盟关境之前申请成为CBAM授权报告人，并须要供应干系信息

数据项

a) 名称、地址和联系办法；

b) EORI号码（欧盟经济经营者注册识别号）；

c) 在欧盟开展的紧张经济活动；

d) 申请人所在成员国税务机关出具的证明，证明申请人没有未实行的国家税收追缴令；

e) 名誉声明，申请人在申请年度前5年内没有干系违法犯罪记录；

f) 证明申请人履行干系责任的财务和经营能力的必要信息，以及干系证明文件（如涉及），如损益表和资产负债表；

g) 在提交申请的日历年和下一个日历年，按商品种类划分的同盟关税区入口商品的估计货币代价和数量；

h) 申请人代理职员的姓名和联系信息（如适用）

法案条款

第6条

数据供应事由

CBAM报告

详细规定

在规定的报告日期，每个CBAM授权报告人应利用第14条的CBAM登记册提交上一日历年的CBAM报告，CBAM报告应包含干系信息

数据项

a) 上一日历年各种入口货色总量；

b) 入口货色的总隐含碳排放量；

c) 应交的CBAM证书总数；

经认可的核查员出具的核查报告副本

法案条款

第10条

数据供应事由

第三国经营者和举动步伐登记

详细规定

委员会应根据第三国举动步伐经营者（即出口商）的要求，在第14条CBAM登记册中登记该经营者[2]（operator）及举动步伐[3]（installation）的信息

数据项

a) 经营者的名称、地址和联系办法；

b) 每个举动步伐的位置，包括完全地址和经纬度地理坐标（包括6位小数）；

举动步伐的紧张经济活动

法案条款

第10条

数据供应事由

CBAM登记

详细规定

委员会将以标准化电子数据库的形式建立CBAM授权报告人登记册，个中包含CBAM授权报告人干系数据

数据项

a) CBAM授权报告人的名称、地址和联系信息；

b) CBAM授权报告人的EORI号码；

c) CBAM账号；

每个CBAM授权报告人的CBAM证书的识别号码、发卖价格、发卖日期以及交回、回购或注销日期

法案条款

第35条

数据供应事由

CBAM报告

详细规定

过渡期内，入口商按季度向委员会提交CBAM报告，报告包含干系季度入口货色的信息

数据项

a) 每种货色的总量；

b) 实际总隐含碳排放量；

c) 总隐含间接碳排放量；

入口货色在原产国已支付的碳价

通过梳理，CBAM法案哀求供应的数据紧张可分为以下几类：

（1）欧盟入口商干系数据，例如其名称、地址、联系办法、EORI号码、紧张经济活动、税务证明、名誉声明、财务和经营能力信息、CBAM账号、CBAM证书干系信息等；

（2）入口货色干系数据，例如其总量、碳排放量、在原产国已支付的碳价等；

（3）第三国经营者干系数据，例如名称、地址、联系办法，举动步伐的地址、经纬度坐标、紧张经济活动等。

可见， CBAM法案哀求供应的数据范围广泛，对付在中国境内的对欧出口企业而言，由此涉及的数据出境风险值得关注。

根据国家互联网信息办公室（下称“国家网信办”）于2022年8月31日发布的《数据出境安全评估报告指南（初版）》第1条第2款[4]，中国对欧出口企业作为CBAM法案下的第三国经营者，依据CBAM法案第10条向欧盟委员会履行登记责任，以及合营、帮忙欧盟入口商依据CBAM法案第6条或第35条履行CBAM报告或CBAM报告责任，可能构成“将在境内运营中网络和产生的数据传输、存储至境外”的数据出境行为。
对付欧盟入口商本身的数据而言，由于入口商设立在欧盟成员国，且干系数据紧张属于企业经营管理数据，因此除非该等数据来源于中国对欧出口企业或与之有关，否则我们认为一样平常不涉及数据出境。

二、CBAM框架下的主要数据识别

在CBAM框架下的数据出境活动中，紧张涉及欧盟入口商、报关代表、第三国经营者（即出口商）等企业的干系数据，基本不涉及个人信息，因此我们建议中国对欧出口企业重点关注主要数据出境行为。
《数据出境安全评估办法》第19条规定，主要数据“是指一旦遭到修改、毁坏、透露或者造孽获取、造孽利用等，可能危害国家安全、经济运行、社会稳定、公共康健和安全等的数据。
”但该定义较为模糊，我们建议参考法律法规或国家标准等干系规定，结合以下成分对主要数据进行识别：

（1）是否属于特定行业领域

例如，工业、电信、能源、交通、水利、金融、国防科技工业、海关、税务等重点行业和领域安全生产、运行的数据，关键系统组件、设备供应链数据；[5] 国家法律、行政法规、部门规章明确规定须要保护或者掌握传播的主要行业业务数据；[6]出口牵制物项数据等。
[7]根据CBAM法案附件1，拟征收“碳关税”的产品范围包括电力、钢铁、水泥、铝、化肥、氢6大种类，若涉及重点行业领域或出口牵制物项，则存在被认定为主要数据的可能性。

（2）是否涉及特定群体

例如国家根本举动步伐、关键信息根本举动步伐（下称“CII”）培植运行及其安全数据。
[8]如果干系企业被认定为关键信息根本举动步伐运营者（下称“CIIO”），则须要重点关注自身数据出境的情形。

（3）是否公开

例如，未公开的政务数据、事情秘密、情报数据和司法法律数据；[9]未公开的环保监测数据等。
[10]

（4）是否达到一定精度或规模

例如达到国家有关部门规定的规模或者精度的地理、矿产、气候等自然资源与环境国家根本数据。
[11]CBAM法案第10条哀求登记第三国经营者每个举动步伐的位置，包括完全地址和经纬度地理坐标（包括6位小数），可能属于精度较高的位置数据而落入主要数据范畴。

三、CBAM框架下的数据出境方案

根据《数据安全法》第46条，违反规定向境外供应主要数据且情节严重的，可能被处以100万元以上1000万元以下罚款，并被采纳责令停息干系业务、停业整顿、吊销干系业务容许证或者吊销业务执照等方法，干系任务人可被处10万元以上100万元以下罚款。
一旦被我国监管或主管部门认定为违法数据出境，可能面临非常严厉的惩罚，因此我们建议对欧出口企业把稳戒备数据安全风险，尽早方案数据出境安排。

《数据出境安全评估办法》第4条规定，知足以下任一环境的，应该报告安全评估：

①向境外供应主要数据；

②CIIO向境外供应个人信息；

③处理100万人以上个人信息的数据处理者向境外供应个人信息；

④自上年1月1日起累计向境外供应10万人个人信息的数据处理者向境外供应个人信息；

⑤自上年1月1日起累计向境外供应1万人敏感个人信息的数据处理者向境外供应个人信息；

⑥国家网信办规定的其他环境。

详细到CBAM框架下，中国对欧出口企业向欧盟供应的数据如涉及主要数据，或者被主管部门或监管部门关照认定为CIIO[12]并向欧盟供应个人信息的，应该向我国网信部门报告数据出境安全评估。
安全评估路径下，干系企业可依据《数据出境安全评估办法》和《数据出境安全评估报告指南（初版）》进行准备。

四、CBAM框架下向外国法律或司法机构供应数据

在CBAM框架之下，中国对欧出口企业将向欧盟入口商所在成员国主管机关或欧盟委员会直接或间接地供应数据。
同时，根据CBAM法案第13条，干系成员国主管机关、欧盟委员会、海关、卖力行政或刑事惩罚的机关、欧洲审查官办公室之间会共享干系数据，以确保干系主体遵守CBAM法案和海关立法。
只管此类共享数据会受到职业保密责任的保护，但依然在一定程度上扩大了数据表露的范围，乃至增加我国对欧出口企业遭受行政或刑事惩罚的风险。
上述直接或间接的数据共享，不但涉及数据出境问题，还可能与《数据安全法》第36条[13]规定的“向外国法律或司法机构供应数据”发生竞合。
虽然CBAM法案正式生效仅两个月，我国尚未采纳针对CBAM框架的配套方法，但我们建议对欧出口企业如有向欧盟供应数据操持的，可咨询行业主管部门（例如工信部门、发改委等）、数据安全监管部门（网信部门）或其他干系主管机关并进行沟通，不得未经中国主管机关批准而向外国法律或司法机构供应存储于中国境内的数据，否则可能面临最高500万元的罚款，以及停息干系业务、停业整顿、吊销干系业务容许证或吊销业务执照的惩罚风险。
[14]如果涉及国外法律帮忙的，应该由外国具有提出取证要求资格的法律机关或个人向我国法律部或外交部提出要求，经审批后由我国公民法院实行，结果由法律部或外交部转交外国要求方。
[15]

注释

[1] 碳泄露，是指一些国家或地区的碳减排方法会引起其他国家或地区碳排放量的增长。
对付欧盟而言，欧盟的碳减排方法可能导致一些高耗能家当转移至其他未采纳碳减排方法的国家或地区（尤其是发展中国家）。
虽然欧盟内部碳排放量减少，但环球的碳排放总量却可能未达到有效降落。

[2] 欧盟《碳边疆调节机制法案》第3条第（31）项

“经营者”是指是指在第三国经营或掌握举动步伐的任何人。

[3] 欧盟《碳边疆调节机制法案》第3条第（30）项

“举动步伐”是指进行生产过程的固定技能装置。

[4]《数据出境安全评估报告指南（初版）》第1条第2款

以下环境属于数据出境行为：

（一）数据处理者将在境内运营中网络和产生的数据传输、存储至境外；

（二）数据处理者网络和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出；

（三）国家网信办规定的其他数据出境行为。

[5] 《网络数据安全管理条例（搜聚见地稿）》第73条第3款第4项。

[6] 《网络数据安全管理条例（搜聚见地稿）》第73条第3款第3项。

[7]《网络数据安全管理条例（搜聚见地稿）》第73条第3款第2项。

主要数据包括以下数据：出口牵制物项涉及的核心技能、设计方案、生产工艺等干系的数据。

《信息安全技能 主要数据识别指南（搜聚见地稿）》第5条第d项

识别主要数据时，可考虑如下成分：关系出口牵制物项，如描述出口牵制物项的设计事理、工艺流程、制作方法等的信息以及源代码、集成电路布图、技能方案、主要参数、实验数据、检测报告属于主要数据。

[8] 《网络数据安全管理条例（搜聚见地稿）》第73条第3款第6项。

[9] 《网络数据安全管理条例（搜聚见地稿）》第73条第3款第1项、《信息安全技能 主要数据识别指南（搜聚见地稿）》第5条第m项。

[10] 《信息安全技能 主要数据识别指南（搜聚见地稿）》第5条第i项。

[11] 《网络数据安全管理条例（搜聚见地稿）》第73条第3款第5项。

[12]《关键信息根本举动步伐安全保护条例》第10条

保护事情部门根据认定规则卖力组织认定本行业、本领域的关键信息根本举动步伐，及时将认定结果关照运营者，并通报国务院公安部门。

[13]《数据安全法》第36条

中华公民共和国主管机关根据有关法律和中华公民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国法律或者司法机构关于供应数据的要求。
非经中华公民共和国主管机关批准，境内的组织、个人不得向外国法律或者司法机构供应存储于中华公民共和国境内的数据。

[14]《数据安全法》第48条第2款

违反本法第三十六条规定，未经主管机关批准向外国法律或者司法机构供应数据的，由有关主管部门给予警告，可以并处十万元以上一百万元以下罚款，对直接卖力的主管职员和其他直接任务职员可以处一万元以上十万元以下罚款；造成严重后果的，处一百万元以上五百万元以下罚款，并可以责令停息干系业务、停业整顿、吊销干系业务容许证或者吊销业务执照，对直接卖力的主管职员和其他直接任务职员处五万元以上五十万元以下罚款。

[15] 《国际民商事法律帮忙常见问题解答》第5条，载法律部官网2022年6月24日。

E&C 不雅观点 | 欧盟碳边疆调节机制下我国企业的数据出境风险及应对

本文首发于微信"大众号”天达共和法律不雅观察“，欢迎关注查看更多专业不雅观点。