2023年5月16日,欧盟《碳边境调节机制法案》(下称“CBAM法案”)发布并成为欧盟法律,将于2023年10月1日起正式施行。碳边境调节机制(Carbon Border Adjustment Mechanism,下称“CBAM”)也被称为“碳关税”,要求进口商在向欧盟进口第三国货物时申报货物碳排放量,并按照欧盟碳排放价格购买CBAM证书。CBAM法案设定了自2023年10月1日至2025年12月31日的过渡期,期间进口商无需购买CBAM证书,仅需向欧盟履行CBAM报告义务。欧盟作为全球首个征收“碳关税”的经济体,CBAM旨在防止碳泄漏 风险[1],并在实际效用上达到缩减第三国进口产品与欧盟本土产品碳成本差距的效果。
鉴于CBAM法案较多涉及数据提供义务,对于中国对欧出口企业而言,除了需要重点关注贸易政策及减碳措施,还需关注数据出境风险,本文将重点对此展开分析,以供相关企业参考(为免疑义,本文所述“数据出境”仅指数据从中国境内向中国境外传输或存储在中国境外的情形)。
一、CBAM框架下的数据提供要求
下表对CBAM法案要求提供数据的情况进行梳理。
表1 CBAM法案的数据提供要求
法案条款 | 数据提供事由 | 具体规定 | 数据项 |
第5条 | 授权申请 | 进口商/报关代表(以下合称“进口商”)应在将货物进口至欧盟关境之前申请成为CBAM授权申报人,并需要提供相关信息 | a) 名称、地址和联系方式; b) EORI号码(欧盟经济经营者注册识别号); c) 在欧盟开展的主要经济活动; d) 申请人所在成员国税务机关出具的证明,证明申请人没有未执行的国家税收追缴令; e) 荣誉声明,申请人在申请年度前5年内没有相关违法犯罪记录; f) 证明申请人履行相关义务的财务和经营能力的必要信息,以及相关证明文件(如涉及),如损益表和资产负债表; g) 在提交申请的日历年和下一个日历年,按商品种类划分的联盟关税区进口商品的估计货币价值和数量; h) 申请人代理人员的姓名和联系信息(如适用) |
第6条 | CBAM 申报 | 在规定的申报日期,每个CBAM授权申报人应使用第14条的CBAM登记册提交上一日历年的CBAM申报,CBAM申报应包含相关信息 | a) 上一日历年各类进口货物总量; b) 进口货物的总隐含碳排放量; c) 应交的CBAM证书总数; d) 经认可的核查员出具的核查报告副本 |
第10条 | 第三国经营者和设施登记 | 委员会应根据第三国设施经营者(即出口商)的请求,在第14条CBAM登记册中登记该经营[2](operator)及设施[3](installation)的信息 | a) 经营者的名称、地址和联系方式; b) 每个设施的位置,包括完整地址和经纬度地理坐标(包括6位小数); c) 设施的主要经济活动 |
第14条 | CBAM 登记 | 委员会将以标准化电子数据库的形式建立CBAM授权申报人登记册,其中包含CBAM授权申报人相关数据 | a) CBAM授权申报人的名称、地址和联系信息; b) CBAM授权申报人的EORI号码; c) CBAM账号; d) 每个CBAM授权申报人的CBAM证书的识别号码、销售价格、销售日期以及交回、回购或注销日期 |
第35条 | CBAM 报告 | 过渡期内,进口商按季度向委员会提交CBAM报告,报告包含相关季度进口货物的信息 | a) 每种货物的总量; b) 实际总隐含碳排放量; c) 总隐含间接碳排放量; d) 进口货物在原产国已支付的碳价 |
通过梳理,CBAM法案要求提供的数据主要可分为以下几类:
(1)欧盟进口商相关数据,例如其名称、地址、联系方式、EORI号码、主要经济活动、税务证明、荣誉声明、财务和经营能力信息、CBAM账号、CBAM证书相关信息等;
(2)进口货物相关数据,例如其总量、碳排放量、在原产国已支付的碳价等;
(3)第三国经营者相关数据,例如名称、地址、联系方式,设施的地址、经纬度坐标、主要经济活动等。可见, CBAM法案要求提供的数据范围广泛,对于在中国境内的对欧出口企业而言,由此涉及的数据出境风险值得关注。
根据国家互联网信息办公室(下称“国家网信办”)于2022年8月31日发布的《数据出境安全评估申报指南(第一版)》第1条第2款[4],中国对欧出口企业作为CBAM法案下的第三国经营者,依据CBAM法案第10条向欧盟委员会履行登记义务,以及配合、协助欧盟进口商依据CBAM法案第6条或第35条履行CBAM申报或CBAM报告义务,可能构成“将在境内运营中收集和产生的数据传输、存储至境外”的数据出境行为。对于欧盟进口商本身的数据而言,由于进口商设立在欧盟成员国,且相关数据主要属于企业经营管理数据,因此除非该等数据来源于中国对欧出口企业或与之有关,否则我们认为一般不涉及数据出境。
二、CBAM框架下的重要数据识别
在CBAM框架下的数据出境活动中,主要涉及欧盟进口商、报关代表、第三国经营者(即出口商)等企业的相关数据[5],基本不涉及个人信息,因此我们建议中国对欧出口企业重点关注重要数据出境行为。《数据出境安全评估办法》第19条规定,重要数据“是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。”但该定义较为模糊,我们建议参考法律法规或国家标准等相关规定,结合以下因素对重要数据进行识别:
(1)是否属于特定行业领域
例如,工业、电信、能源、交通、水利、金融、国防科技工业、海关、税务等重点行业和领域安全生产、运行的数据,关键系统组件、设备供应链数据; 国家法律、行政法规、部门规章明确规定需要保护或者控制传播的重要行业业务数据; [6]出口管制物项数据等。 [7]根据CBAM法案附件1,拟征收“碳关税”的产品范围包括电力、钢铁、水泥、铝、化肥、氢6大种类,若涉及重点行业领域或出口管制物项,则存在被认定为重要数据的可能性。
(2)是否涉及特定群体
例如国家基础设施、关键信息基础设施(下称“CII”)建设运行及其安全数据。 [8]如果相关企业被认定为关键信息基础设施运营者(下称“CIIO”),则需要重点关注自身数据出境的情况。
(3)是否公开
例如,未公开的政务数据、工作秘密、情报数据和执法司法数据; [9]未公开的环保监测数据等[10]。
(4)是否达到一定精度或规模
例如达到国家有关部门规定的规模或者精度的地理、矿产、气象等自然资源与环境国家基础数据[11]。 CBAM法案第10条要求登记第三国经营者每个设施的位置,包括完整地址和经纬度地理坐标(包括6位小数),可能属于精度较高的位置数据而落入重要数据范畴。
三、CBAM框架下的数据出境规划
根据《数据安全法》第46条,违反规定向境外提供重要数据且情节严重的,可能被处以100万元以上1000万元以下罚款,并被采取责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照等措施,相关责任人可被处10万元以上100万元以下罚款。一旦被我国监管或主管部门认定为违法数据出境,可能面临非常严厉的处罚,因此我们建议对欧出口企业注意防范数据安全风险,尽早规划数据出境安排。
《数据出境安全评估办法》第4条规定,满足以下任一情形的,应当申报安全评估:
①向境外提供重要数据;
②CIIO向境外提供个人信息;
③处理100万人以上个人信息的数据处理者向境外提供个人信息;
④自上年1月1日起累计向境外提供10万人个人信息的数据处理者向境外提供个人信息;
⑤自上年1月1日起累计向境外提供1万人敏感个人信息的数据处理者向境外提供个人信息;
⑥国家网信办规定的其他情形。
具体到CBAM框架下,中国对欧出口企业向欧盟提供的数据如涉及重要数据,或者被主管部门或监管部门通知认定为CIIO [12]并向欧盟提供个人信息的,应当向我国网信部门申报数据出境安全评估。安全评估路径下,相关企业可依据《数据出境安全评估办法》和《数据出境安全评估申报指南(第一版)》进行准备。
四、CBAM框架下向外国司法或执法机构提供数据
在CBAM框架之下,中国对欧出口企业将向欧盟进口商所在成员国主管机关或欧盟委员会直接或间接地提供数据。同时,根据CBAM法案第13条,相关成员国主管机关、欧盟委员会、海关、负责行政或刑事处罚的机关、欧洲检察官办公室之间会共享相关数据,以确保相关主体遵守CBAM法案和海关立法。尽管此类共享数据会受到职业保密义务的保护,但依然在一定程度上扩大了数据披露的范围,甚至增加我国对欧出口企业遭受行政或刑事处罚的风险。上述直接或间接的数据共享,不但涉及数据出境问题,还可能与《数据安全法》第36条[13]规定的“向外国司法或执法机构提供数据”发生竞合。虽然CBAM法案正式生效仅两个月,我国尚未采取针对CBAM框架的配套措施,但我们建议对欧出口企业如有向欧盟提供数据计划的,可咨询行业主管部门(例如工信部门、发改委等)、数据安全监管部门(网信部门)或其他相关主管机关并进行沟通,不得未经中国主管机关批准而向外国司法或执法机构提供存储于中国境内的数据,否则可能面临最高500万元的罚款,以及暂停相关业务、停业整顿、吊销相关业务许可证或吊销营业执照的处罚风险。 [14]如果涉及国外司法协助的,应当由外国具有提出取证请求资格的司法机关或个人向我国司法部或外交部提出请求,经审批后由我国人民法院执行,结果由司法部或外交部转交外国请求方。[15]
注释:
[1] 碳泄漏,是指一些国家或地区的碳减排措施会引起其他国家或地区碳排放量的增长。对于欧盟而言,欧盟的碳减排措施可能导致一些高耗能产业转移至其他未采取碳减排措施的国家或地区(尤其是发展中国家)。虽然欧盟内部碳排放量减少,但全球的碳排放总量却可能未达到有效降低。
[2] 欧盟《碳边境调节机制法案》第3条第(31)项
“经营者”是指是指在第三国经营或控制设施的任何人。
[3] 欧盟《碳边境调节机制法案》第3条第(30)项
“设施”是指进行生产过程的固定技术装置。
[4]《数据出境安全评估申报指南(第一版)》第1条第2款
以下情形属于数据出境行为:
(一)数据处理者将在境内运营中收集和产生的数据传输、存储至境外;
(二)数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;
(三)国家网信办规定的其他数据出境行为。
[5] 《网络数据安全管理条例(征求意见稿)》第73条第3款第4项。
[6] 《网络数据安全管理条例(征求意见稿)》第73条第3款第3项。
[7]《网络数据安全管理条例(征求意见稿)》第73条第3款第2项。
重要数据包括以下数据:出口管制物项涉及的核心技术、设计方案、生产工艺等相关的数据。
《信息安全技术 重要数据识别指南(征求意见稿)》第5条第d项
识别重要数据时,可考虑如下因素:关系出口管制物项,如描述出口管制物项的设计原理、工艺流程、制作方法等的信息以及源代码、集成电路布图、技术方案、重要参数、实验数据、检测报告属于重要数据。
[8] 《网络数据安全管理条例(征求意见稿)》第73条第3款第6项。
[9] 《网络数据安全管理条例(征求意见稿)》第73条第3款第1项、《信息安全技术 重要数据识别指南(征求意见稿)》第5条第m项。
[10] 《信息安全技术 重要数据识别指南(征求意见稿)》第5条第i项。
[11] 《网络数据安全管理条例(征求意见稿)》第73条第3款第5项。
[12]《关键信息基础设施安全保护条例》第10条
保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知运营者,并通报国务院公安部门。
[13]《数据安全法》第36条
中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。
[14]《数据安全法》第48条第2款
违反本法第三十六条规定,未经主管机关批准向外国司法或者执法机构提供数据的,由有关主管部门给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;造成严重后果的,处一百万元以上五百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。
[15] 《国际民商事司法协助常见问题解答》第5条,载司法部官网2022年6月24日。
感谢天达共和碳合规业务团队梁巍顾问提供专业意见。