2023年5月16日���,歐盟《碳邊境調節機製法案》(下稱“CBAM法案”)發布並成為歐盟法律���,將於2023年10月1日起正式施行。碳邊境調節機製(Carbon Border Adjustment Mechanism�,下稱“CBAM”)也被稱為“碳關稅”����,要求進口商在向歐盟進口第三國貨物時申報貨物碳排放量�����,並按照歐盟碳排放價格購買CBAM證書。CBAM法案設定了自2023年10月1日至2025年12月31日的過渡期�����,期間進口商無需購買CBAM證書���,僅需向歐盟履行CBAM報告義務。歐盟作為全球首個征收“碳關稅”的經濟體�,CBAM旨在防止碳泄漏 風險[1]�,並在實際效用上達到縮減第三國進口產品與歐盟本土產品碳成本差距的效果。
鑒於CBAM法(fa)案(an)較(jiao)多(duo)涉(she)及(ji)數(shu)據(ju)提(ti)供(gong)義(yi)務(wu)�����,對(dui)於(yu)中(zhong)國(guo)對(dui)歐(ou)出(chu)口(kou)企(qi)業(ye)而(er)言(yan)�����,除(chu)了(le)需(xu)要(yao)重(zhong)點(dian)關(guan)注(zhu)貿(mao)易(yi)政(zheng)策(ce)及(ji)減(jian)碳(tan)措(cuo)施(shi)���,還(hai)需(xu)關(guan)注(zhu)數(shu)據(ju)出(chu)境(jing)風(feng)險(xian)���,本(ben)文(wen)將(jiang)重(zhong)點(dian)對(dui)此(ci)展(zhan)開(kai)分(fen)析(xi)���,以(yi)供(gong)相(xiang)關(guan)企(qi)業(ye)參(can)考(kao)(為免疑義�,本文所述“數據出境”僅指數據從中國境內向中國境外傳輸或存儲在中國境外的情形)。
一����、CBAM框架下的數據提供要求
下表對CBAM法案要求提供數據的情況進行梳理。
表1 CBAM法案的數據提供要求
法案條款 | 數據提供事由 | 具體規定 | 數據項 |
第5條 | 授權申請 | 進口商/報關代表(以下合稱“進口商”)應在將貨物進口至歐盟關境之前申請成為CBAM授權申報人��,並需要提供相關信息 | a) 名稱�、地址和聯係方式���; b) EORI號碼(歐盟經濟經營者注冊識別號)����; c) 在歐盟開展的主要經濟活動���; d) 申請人所在成員國稅務機關出具的證明����,證明申請人沒有未執行的國家稅收追繳令�; e) 榮譽聲明�����,申請人在申請年度前5年內沒有相關違法犯罪記錄��; f) 證明申請人履行相關義務的財務和經營能力的必要信息�,以及相關證明文件(如涉及)��,如損益表和資產負債表����; g) 在提交申請的日曆年和下一個日曆年���,按商品種類劃分的聯盟關稅區進口商品的估計貨幣價值和數量���; h) 申請人代理人員的姓名和聯係信息(如適用) |
第6條 | CBAM 申報 | 在規定的申報日期����,每個CBAM授權申報人應使用第14條的CBAM登記冊提交上一日曆年的CBAM申報���,CBAM申報應包含相關信息 | a) 上一日曆年各類進口貨物總量���; b) 進口貨物的總隱含碳排放量����; c) 應交的CBAM證書總數�; d) 經認可的核查員出具的核查報告副本 |
第10條 | 第三國經營者和設施登記 | 委員會應根據第三國設施經營者(即出口商)的請求����,在第14條CBAM登記冊中登記該經營[2](operator)及設施[3](installation)的信息 | a) 經營者的名稱���、地址和聯係方式�����; b) 每個設施的位置��,包括完整地址和經緯度地理坐標(包括6位小數)����; c) 設施的主要經濟活動 |
第14條 | CBAM 登記 | 委員會將以標準化電子數據庫的形式建立CBAM授權申報人登記冊��,其中包含CBAM授權申報人相關數據 | a) CBAM授權申報人的名稱�����、地址和聯係信息����; b) CBAM授權申報人的EORI號碼�; c) CBAM賬號��; d) 每個CBAM授權申報人的CBAM證書的識別號碼�����、銷售價格��、銷售日期以及交回���、回購或注銷日期 |
第35條 | CBAM 報告 | 過渡期內��,進口商按季度向委員會提交CBAM報告�,報告包含相關季度進口貨物的信息 | a) 每種貨物的總量����; b) 實際總隱含碳排放量�; c) 總隱含間接碳排放量����; d) 進口貨物在原產國已支付的碳價 |
通過梳理�����,CBAM法案要求提供的數據主要可分為以下幾類:
(1)歐盟進口商相關數據�,例如其名稱����、地址�����、聯係方式�����、EORI號碼����、主要經濟活動����、稅務證明����、榮譽聲明�����、財務和經營能力信息�、CBAM賬號�����、CBAM證書相關信息等�;
(2)進口貨物相關數據���,例如其總量�、碳排放量��、在原產國已支付的碳價等����;
(3)第三國經營者相關數據�����,例如名稱��、地址����、聯係方式����,設施的地址����、經緯度坐標���、主要經濟活動等。可見���, CBAM法案要求提供的數據範圍廣泛�,對於在中國境內的對歐出口企業而言����,由此涉及的數據出境風險值得關注。
根據國家互聯網信息辦公室(下稱“國家網信辦”)於2022年8月31日發布的《數據出境安全評估申報指南(第一版)》第1條第2款[4]��,中國對歐出口企業作為CBAM法案下的第三國經營者�����,依據CBAM法案第10條向歐盟委員會履行登記義務�����,以及配合����、協助歐盟進口商依據CBAM法案第6條或第35條履行CBAM申報或CBAM報告義務�����,可能構成“將在境內運營中收集和產生的數據傳輸��、存儲至境外”的數據出境行為。對dui於yu歐ou盟meng進jin口kou商shang本ben身shen的de數shu據ju而er言yan��,由you於yu進jin口kou商shang設she立li在zai歐ou盟meng成cheng員yuan國guo�,且qie相xiang關guan數shu據ju主zhu要yao屬shu於yu企qi業ye經jing營ying管guan理li數shu據ju��,因yin此ci除chu非fei該gai等deng數shu據ju來lai源yuan於yu中zhong國guo對dui歐ou出chu口kou企qi業ye或huo與yu之zhi有you關guan���,否fou則ze我wo們men認ren為wei一yi般ban不bu涉she及ji數shu據ju出chu境jing。
二�、CBAM框架下的重要數據識別
在CBAM框架下的數據出境活動中���,主要涉及歐盟進口商����、報關代表����、第三國經營者(即出口商)等企業的相關數據[5]����,基本不涉及個人信息���,因此我們建議中國對歐出口企業重點關注重要數據出境行為。《數據出境安全評估辦法》第19條規定��,重要數據“是指一旦遭到篡改�、破壞�、泄露或者非法獲取�����、非法利用等����,可能危害國家安全��、經濟運行��、社會穩定�、公共健康和安全等的數據。”但該定義較為模糊�����,我們建議參考法律法規或國家標準等相關規定�����,結合以下因素對重要數據進行識別:
(1)是否屬於特定行業領域
例如���,工業��、電信��、能源�����、交通����、水利����、金融���、國防科技工業�����、海關����、稅務等重點行業和領域安全生產�、運行的數據���,關鍵係統組件��、設備供應鏈數據���; 國家法律���、行政法規��、部門規章明確規定需要保護或者控製傳播的重要行業業務數據�; [6]出口管製物項數據等。 [7]根據CBAM法案附件1��,擬征收“碳關稅”的產品範圍包括電力�����、鋼鐵����、水泥����、鋁��、化肥�����、氫6大種類�,若涉及重點行業領域或出口管製物項�����,則存在被認定為重要數據的可能性。
(2)是否涉及特定群體
例如國家基礎設施�����、關鍵信息基礎設施(下稱“CII”)建設運行及其安全數據。 [8]如果相關企業被認定為關鍵信息基礎設施運營者(下稱“CIIO”)��,則需要重點關注自身數據出境的情況。
(3)是否公開
例如�����,未公開的政務數據���、工作秘密��、情報數據和執法司法數據���; [9]未公開的環保監測數據等[10]。
(4)是否達到一定精度或規模
例如達到國家有關部門規定的規模或者精度的地理����、礦產����、氣象等自然資源與環境國家基礎數據[11]。 CBAM法案第10條要求登記第三國經營者每個設施的位置�,包括完整地址和經緯度地理坐標(包括6位小數)�,可能屬於精度較高的位置數據而落入重要數據範疇。
三�、CBAM框架下的數據出境規劃
根據《數據安全法》第46條��,違反規定向境外提供重要數據且情節嚴重的�����,可能被處以100萬元以上1000萬元以下罰款���,並被采取責令暫停相關業務�����、停業整頓�����、吊銷相關業務許可證或者吊銷營業執照等措施����,相關責任人可被處10萬元以上100萬wan元yuan以yi下xia罰fa款kuan。一yi旦dan被bei我wo國guo監jian管guan或huo主zhu管guan部bu門men認ren定ding為wei違wei法fa數shu據ju出chu境jing�����,可ke能neng麵mian臨lin非fei常chang嚴yan厲li的de處chu罰fa�����,因yin此ci我wo們men建jian議yi對dui歐ou出chu口kou企qi業ye注zhu意yi防fang範fan數shu據ju安an全quan風feng險xian����,盡jin早zao規gui劃hua數shu據ju出chu境jing安an排pai。
《數據出境安全評估辦法》第4條規定�,滿足以下任一情形的����,應當申報安全評估:
①向境外提供重要數據����;
②CIIO向境外提供個人信息���;
③處理100萬人以上個人信息的數據處理者向境外提供個人信息�����;
④自上年1月1日起累計向境外提供10萬人個人信息的數據處理者向境外提供個人信息���;
⑤自上年1月1日起累計向境外提供1萬人敏感個人信息的數據處理者向境外提供個人信息��;
⑥國家網信辦規定的其他情形。
具體到CBAM框架下����,中國對歐出口企業向歐盟提供的數據如涉及重要數據����,或者被主管部門或監管部門通知認定為CIIO [12]並向歐盟提供個人信息的��,應當向我國網信部門申報數據出境安全評估。安全評估路徑下���,相關企業可依據《數據出境安全評估辦法》和《數據出境安全評估申報指南(第一版)》進行準備。
四���、CBAM框架下向外國司法或執法機構提供數據
在CBAM框架之下����,中國對歐出口企業將向歐盟進口商所在成員國主管機關或歐盟委員會直接或間接地提供數據。同時���,根據CBAM法案第13條��,相關成員國主管機關����、歐盟委員會�����、海關����、負責行政或刑事處罰的機關��、歐洲檢察官辦公室之間會共享相關數據����,以確保相關主體遵守CBAMfaanhehaiguanlifa。jinguancileigongxiangshujuhuishoudaozhiyebaomiyiwudebaohu���,danyiranzaiyidingchengdushangkuodaleshujupiludefanwei����,shenzhizengjiawoguoduiouchukouqiyezaoshouxingzhenghuoxingshichufadefengxian。shangshuzhijiehuojianjiedeshujugongxiang�,budanshejishujuchujingwenti��,haikenengyu《數據安全法》第36條[13]規定的“向外國司法或執法機構提供數據”發生競合。雖然CBAM法案正式生效僅兩個月�,我國尚未采取針對CBAM框架的配套措施����,但我們建議對歐出口企業如有向歐盟提供數據計劃的����,可谘詢行業主管部門(例如工信部門�、發改委等)����、數據安全監管部門(網信部門)或其他相關主管機關並進行溝通���,不得未經中國主管機關批準而向外國司法或執法機構提供存儲於中國境內的數據�����,否則可能麵臨最高500萬元的罰款�,以及暫停相關業務�����、停業整頓���、吊銷相關業務許可證或吊銷營業執照的處罰風險。 [14]如(ru)果(guo)涉(she)及(ji)國(guo)外(wai)司(si)法(fa)協(xie)助(zhu)的(de)��,應(ying)當(dang)由(you)外(wai)國(guo)具(ju)有(you)提(ti)出(chu)取(qu)證(zheng)請(qing)求(qiu)資(zi)格(ge)的(de)司(si)法(fa)機(ji)關(guan)或(huo)個(ge)人(ren)向(xiang)我(wo)國(guo)司(si)法(fa)部(bu)或(huo)外(wai)交(jiao)部(bu)提(ti)出(chu)請(qing)求(qiu)���,經(jing)審(shen)批(pi)後(hou)由(you)我(wo)國(guo)人(ren)民(min)法(fa)院(yuan)執(zhi)行(xing)���,結(jie)果(guo)由(you)司(si)法(fa)部(bu)或(huo)外(wai)交(jiao)部(bu)轉(zhuan)交(jiao)外(wai)國(guo)請(qing)求(qiu)方(fang)。[15]
注釋:
[1] 碳(tan)泄(xie)漏(lou)�,是(shi)指(zhi)一(yi)些(xie)國(guo)家(jia)或(huo)地(di)區(qu)的(de)碳(tan)減(jian)排(pai)措(cuo)施(shi)會(hui)引(yin)起(qi)其(qi)他(ta)國(guo)家(jia)或(huo)地(di)區(qu)碳(tan)排(pai)放(fang)量(liang)的(de)增(zeng)長(chang)。對(dui)於(yu)歐(ou)盟(meng)而(er)言(yan)�����,歐(ou)盟(meng)的(de)碳(tan)減(jian)排(pai)措(cuo)施(shi)可(ke)能(neng)導(dao)致(zhi)一(yi)些(xie)高(gao)耗(hao)能(neng)產(chan)業(ye)轉(zhuan)移(yi)至(zhi)其(qi)他(ta)未(wei)采(cai)取(qu)碳(tan)減(jian)排(pai)措(cuo)施(shi)的(de)國(guo)家(jia)或(huo)地(di)區(qu)(尤其是發展中國家)。雖然歐盟內部碳排放量減少�,但全球的碳排放總量卻可能未達到有效降低。
[2] 歐盟《碳邊境調節機製法案》第3條第(31)項
“經營者”是指是指在第三國經營或控製設施的任何人。
[3] 歐盟《碳邊境調節機製法案》第3條第(30)項
“設施”是指進行生產過程的固定技術裝置。
[4]《數據出境安全評估申報指南(第一版)》第1條第2款
以下情形屬於數據出境行為:
(一)數據處理者將在境內運營中收集和產生的數據傳輸����、存儲至境外��;
(二)數據處理者收集和產生的數據存儲在境內�,境外的機構���、組織或者個人可以查詢�����、調取����、下載�����、導出�����;
(三)國家網信辦規定的其他數據出境行為。
[5] 《網絡數據安全管理條例(征求意見稿)》第73條第3款第4項。
[6] 《網絡數據安全管理條例(征求意見稿)》第73條第3款第3項。
[7]《網絡數據安全管理條例(征求意見稿)》第73條第3款第2項。
重要數據包括以下數據:出口管製物項涉及的核心技術���、設計方案�、生產工藝等相關的數據。
《信息安全技術 重要數據識別指南(征求意見稿)》第5條第d項
識別重要數據時��,可考慮如下因素:關係出口管製物項�,如描述出口管製物項的設計原理�、工藝流程�����、製作方法等的信息以及源代碼���、集成電路布圖����、技術方案�����、重要參數���、實驗數據�、檢測報告屬於重要數據。
[8] 《網絡數據安全管理條例(征求意見稿)》第73條第3款第6項。
[9] 《網絡數據安全管理條例(征求意見稿)》第73條第3款第1項��、《信息安全技術 重要數據識別指南(征求意見稿)》第5條第m項。
[10] 《信息安全技術 重要數據識別指南(征求意見稿)》第5條第i項。
[11] 《網絡數據安全管理條例(征求意見稿)》第73條第3款第5項。
[12]《關鍵信息基礎設施安全保護條例》第10條
保護工作部門根據認定規則負責組織認定本行業�����、本領域的關鍵信息基礎設施���,及時將認定結果通知運營者�,並通報國務院公安部門。
[13]《數據安全法》第36條
中華人民共和國主管機關根據有關法律和中華人民共和國締結或者參加的國際條約�����、協定���,或者按照平等互惠原則�,處理外國司法或者執法機構關於提供數據的請求。非經中華人民共和國主管機關批準���,境內的組織����、個人不得向外國司法或者執法機構提供存儲於中華人民共和國境內的數據。
[14]《數據安全法》第48條第2款
違wei反fan本ben法fa第di三san十shi六liu條tiao規gui定ding���,未wei經jing主zhu管guan機ji關guan批pi準zhun向xiang外wai國guo司si法fa或huo者zhe執zhi法fa機ji構gou提ti供gong數shu據ju的de���,由you有you關guan主zhu管guan部bu門men給gei予yu警jing告gao����,可ke以yi並bing處chu十shi萬wan元yuan以yi上shang一yi百bai萬wan元yuan以yi下xia罰fa款kuan����,對dui直zhi接jie負fu責ze的de主zhu管guan人ren員yuan和he其qi他ta直zhi接jie責ze任ren人ren員yuan可ke以yi處chu一yi萬wan元yuan以yi上shang十shi萬wan元yuan以yi下xia罰fa款kuan��;造成嚴重後果的���,處一百萬元以上五百萬元以下罰款�,並可以責令暫停相關業務����、停業整頓����、吊銷相關業務許可證或者吊銷營業執照����,對直接負責的主管人員和其他直接責任人員處五萬元以上五十萬元以下罰款。
[15] 《國際民商事司法協助常見問題解答》第5條���,載司法部官網2022年6月24日。
感謝天達共和碳合規業務團隊梁巍顧問提供專業意見。
