服務熱線
400 180 8892
一
海外市場的復雜環境給中企出海帶來數據跨境合規挑戰
全球貿易發展已呈現出產業服務化、服務數據化的演進態勢,2019年起全球跨境數據流產生的GDP總值已超過跨境商品流,跨境數據已從個人信息泛化到包括了非個人信息的一切數據范圍。全球各國高度關注跨境數據領域建立國際規則的問題,數據跨境問題已經成為維系世界平衡甚至和平的重要因素。在世界范圍網絡空間安全論壇中,數據跨境已成為最重要的話題之一。中國作為國際經濟和政治影響力大國,全球對于中國的數據跨境監管要求表現出了空前的關注。中國近年來高速發展的數據管理司法架構以及中國后續的監管執法,將直接對出海企業運營帶來直接的影響。
同時,全球因為數據跨境導致的監管案例層出不窮,其中不乏國內多個出海企業受到影響和處罰。全球數據跨境已不僅僅在監管層面,執法處罰的案例也逐年增多。例如,2021年愛爾蘭數據保護委員已經對TikTok啟動調查,包括向中國傳輸數據是否滿足GDPR等。已發生的監管事件也提示著企業要謹慎思考如何針對不同國家特有的數據跨境法律制度資源建立特有的業務規則和模式。
因此,跨境數據治理對出海企業的產業布局、產業鏈分配已產生重大影響,出海企業在數據合規方面主要面臨兩大挑戰:
? 企業如何合法合規的實現數據跨境,包括國內的數據出境、國外的數據入境、第三國的數據過境;
? 企業如何針對不同國家特有的數據跨境法律制度資源,制定特有的業務規則和模式,真正的實現業務出海。
二
全球數據及隱私監管的主要模式
由于數據貿易的飛速發展,全球各個國家和國家團體都會形成自身的立場差異,基于立場的差異的不同必然需要基于自身的立場通過法規監管工具來實現和推動自身的立場主張。目前全球數據及隱私監管主要分為三種模式:
以美國為典型的單邊模式:
以自身的情況制定相關規定,直接對隱私和數據的跨境流動做出規則限制。美國直接規定了受控非密信息中的“出口控制信息”,就是主要涵蓋《出口管理條例》、《國際武器貿易條例》等規定的物品、授權應用程序以及敏感的核心技術信息,包括某些物品、商品、技術、軟件或其他類型的非機密信息。這些信息未經政府批準或獲得《出口管理條例》、《國際武器貿易條例》管制的許可,不得向外國公民或外國實體的代表做出任何披露。同時,在美上市的企業還需要遵循專門針對跨境直接調取數據的《澄清海外合法使用數據法》。根據該法案,美國執法機構可依法向全球科技公司獲取其所擁有、保管或控制的數據,即使有關數據存儲于美國境外也依舊適用;
以歐盟為典型的雙邊模式:
歐盟從2018年的GDPR,到2019年的FFD《非個人數據自由流動條例》和《開放數據指令》,再到2022年發布的《數據法案》(草案),已經形成了以“權利平衡”為底座的治理模式。個人數據跨境以GDPR為基本規則,在企業正當利益維度下的個人信息合理使用及限制,而非個人數據的跨境規則正逐步完善。同時歐盟通過充分性認定的白名單機制,和日本、韓國、新西蘭等國家建立了雙邊治理模式;
以中國為典型的多邊模式:
從中國來看,數據出境已成為國內監管的重中之重,其數據出境相關法律法規包括:
《技術進口管理條例》;
《中國禁止出口限制出口技術目錄》;
《出口管制法》;
《網絡安全法》;
《數據安全法》;
《個人信息保護法》;
《反國外制裁法》;
《網絡安全審查辦法》等。
從今年的監管發布就可以判斷出來,在數據跨境和企業出海領域,我國的監管趨勢將是監管力度更強,執法顆粒度更細,跨部門聯動立法執法更密切,合規格局和域外適用更清晰。
三
中企出海數據跨境合規的應對之道
1
數據合規風險全面診斷
出海中企應對業務涉及主流國家的數據及隱私法規環境進行全面了解,綜合當地執法案例等信息,對企業出海及跨境數據進行全面評估與快速差距分析。企業在開展數據跨境評估時應重點關注以下六個方面:
從現實情況看,出海企業可能存在經驗不足、缺少有效的信息渠道等問題,需要在其出海前先通過合規風險評估工作,對數據合規情況進行全面診斷。
首先,企業應基于已識別的全球數據及隱私合規要求,對數據安全及隱私合規情況進行快速的現狀評估,并制定針對性的可落地整改方案,快速達到監管合規要求。
識別數據及隱私合規要求:
基于企業出海相關業務和隱私場景,企業應識別并解讀業務涉及主流國家地區的數據安全與隱私保護法律法規要求,形成全球數據及隱私監管合規基線,并重點關注數據跨域流動和本地化要求。目前全球有超過60個國家都有對數據本地化存儲的要求,我國對于數據本地化存儲尤其嚴格,因此對于數據本地化要求,企業要解讀當地監管機構對于數據本地化存儲的要求程度,比如是僅要求境內存儲數據副本,還是更進一步,數據的存儲和處理只能在境內進行;
梳理企業數據和個人信息:
企業應基于全球數據及隱私監管合規基線,從業務的角度出發,對企業擁有的數據進行系統性梳理,了解這些數據所有者是誰,以什么方式存在在企業中,存儲在哪里,保留多長時間等,形成相應的數據清冊;同時通過數據流轉圖來展現不同類別的數據是如何在企業內外部進行收集、存儲、使用、加工、傳輸、提供、公開直至刪除的,從而更有針對性地識別不同數據在數據全生命周期的各個階段可能存在的合規問題;
開展風險評估:
企業基于企業數據和個人信息梳理的結果,通過穿行測試與技術測試的方式,從組織架構、管理流程、技術支撐與人員能力四個方面對出海企業數據跨境合規進行風險評估;
提供整改建議:
基于風險評估結果,從法務政策層面、產品/系統層面、數據運營層面、人員操作層面多維度全方位對合規風險提供針對性整改建議。
2
數據合規治理體系建立
企業在進行快速摸底后會發現暴露的風險問題只是冰山一角,很多問題其根源是數據合規治理體系的缺失造成的。因此為了應對外國法長臂管轄和中國法域外適用的潛在沖突和監管環境,企業應建立國際國內雙循環的合規共生體系,從而降低緩釋企業全球合規風險帶來的風險。
出海中企數據合規治理體系應包括但不限于:
? 組織架構:明確數據安全負責人,成立數據安全管理機構,由數據安全負責人領導,履行數據安全管理治理職責;明確個人信息保護負責人,履行個人信息保護管理職責;
? 制度體系:根據管理層級、管理重點分層級進行制度體系建設,以組織管理策略為綱領,逐級建立制度辦法,形成工作流程,并結合工具表單,將管理要求落實到日常工作中。在制度方面,企業應落實數據分類分級保護制度。企業應按照不同數據類型落實數據處理要求,涉及個人信息處理的,應依法細化個人信息處理規則;
? 技術保護:為了讓數據出海合規不再流于表面,企業還需要將數據安全與隱私保護真正融入到日常的業務和產品中,包括應針對數據全生命周期的各個環節提出明確的技術解決方案,采用如訪問控制、加密、脫敏、防泄漏等技術手段,切實落實管理要求,同時針對安全缺陷、漏洞立即采取補救措施;另外企業需確保隱私合規方面的持續運營能力,將隱私納入到新系統和流程的設計規范與管理流程中(Privacy By Design),將隱私風險管控前置,避免后期花費大量人力物力對系統進行整改;
? 人員能力:為了提升企業人員整體數據及隱私合規水平,應制定數據及隱私合規培訓計劃,每年組織開展全員數據及隱私合規意識教育培訓,并向相關人員提供專業技能培訓,從而幫助企業專業人才的培養。
基于企業當前的管理現狀,及未來發展目標,安永可以提供針對性的咨詢服務方案,包括但不限于:
? 數據合規體系咨詢服務:以全球數據保護相關監管要求為依據,基于數據的全生命周期各個環節,重點關注數據出境合規,為中企出海提供全方位數據合規機制改進建議,并協助企業建立數據合規體系,從而有效降低企業數據出境合規風險;
? 個人隱私保護體系咨詢服務:重點關注全球隱私保護監管要求,幫助出海中企有效界定個人信息保護邊界,提升企業隱私保護整體水平,形成滿足監管要求,并與其數據戰略相匹配的個人隱私保護體系。
