海外市場的復(fù)雜環(huán)境給中企出海帶來數(shù)據(jù)跨境合規(guī)挑戰(zhàn)
全球貿(mào)易發(fā)展已呈現(xiàn)出產(chǎn)業(yè)服務(wù)化�、服務(wù)數(shù)據(jù)化的演進(jìn)態(tài)勢�����,2019年起全球跨境數(shù)據(jù)流產(chǎn)生的GDP總值已超過跨境商品流����,跨境數(shù)據(jù)已從個人信息泛化到包括了非個人信息的一切數(shù)據(jù)范圍。全球各國高度關(guān)注跨境數(shù)據(jù)領(lǐng)域建立國際規(guī)則的問題���,數(shù)據(jù)跨境問題已經(jīng)成為維系世界平衡甚至和平的重要因素��。在世界范圍網(wǎng)絡(luò)空間安全論壇中���,數(shù)據(jù)跨境已成為最重要的話題之一�����。中國作為國際經(jīng)濟(jì)和政治影響力大國��,全球?qū)τ谥袊臄?shù)據(jù)跨境監(jiān)管要求表現(xiàn)出了空前的關(guān)注�����。中國近年來高速發(fā)展的數(shù)據(jù)管理司法架構(gòu)以及中國后續(xù)的監(jiān)管執(zhí)法�,將直接對出海企業(yè)運(yùn)營帶來直接的影響。
同時���,全球因?yàn)閿?shù)據(jù)跨境導(dǎo)致的監(jiān)管案例層出不窮��,其中不乏國內(nèi)多個出海企業(yè)受到影響和處罰�����。全球數(shù)據(jù)跨境已不僅僅在監(jiān)管層面��,執(zhí)法處罰的案例也逐年增多�����。例如�����,2021年愛爾蘭數(shù)據(jù)保護(hù)委員已經(jīng)對TikTok啟動調(diào)查���,包括向中國傳輸數(shù)據(jù)是否滿足GDPR等�����。已發(fā)生的監(jiān)管事件也提示著企業(yè)要謹(jǐn)慎思考如何針對不同國家特有的數(shù)據(jù)跨境法律制度資源建立特有的業(yè)務(wù)規(guī)則和模式����。
因此�,跨境數(shù)據(jù)治理對出海企業(yè)的產(chǎn)業(yè)布局、產(chǎn)業(yè)鏈分配已產(chǎn)生重大影響��,出海企業(yè)在數(shù)據(jù)合規(guī)方面主要面臨兩大挑戰(zhàn):
? 企業(yè)如何合法合規(guī)的實(shí)現(xiàn)數(shù)據(jù)跨境,包括國內(nèi)的數(shù)據(jù)出境����、國外的數(shù)據(jù)入境、第三國的數(shù)據(jù)過境��;
? 企業(yè)如何針對不同國家特有的數(shù)據(jù)跨境法律制度資源�����,制定特有的業(yè)務(wù)規(guī)則和模式��,真正的實(shí)現(xiàn)業(yè)務(wù)出海��。
全球數(shù)據(jù)及隱私監(jiān)管的主要模式
由于數(shù)據(jù)貿(mào)易的飛速發(fā)展���,全球各個國家和國家團(tuán)體都會形成自身的立場差異,基于立場的差異的不同必然需要基于自身的立場通過法規(guī)監(jiān)管工具來實(shí)現(xiàn)和推動自身的立場主張�����。目前全球數(shù)據(jù)及隱私監(jiān)管主要分為三種模式:
以自身的情況制定相關(guān)規(guī)定�����,直接對隱私和數(shù)據(jù)的跨境流動做出規(guī)則限制。美國直接規(guī)定了受控非密信息中的“出口控制信息”��,就是主要涵蓋《出口管理?xiàng)l例》��、《國際武器貿(mào)易條例》等規(guī)定的物品�、授權(quán)應(yīng)用程序以及敏感的核心技術(shù)信息,包括某些物品����、商品、技術(shù)��、軟件或其他類型的非機(jī)密信息����。這些信息未經(jīng)政府批準(zhǔn)或獲得《出口管理?xiàng)l例》、《國際武器貿(mào)易條例》管制的許可��,不得向外國公民或外國實(shí)體的代表做出任何披露�。同時,在美上市的企業(yè)還需要遵循專門針對跨境直接調(diào)取數(shù)據(jù)的《澄清海外合法使用數(shù)據(jù)法》���。根據(jù)該法案�,美國執(zhí)法機(jī)構(gòu)可依法向全球科技公司獲取其所擁有��、保管或控制的數(shù)據(jù),即使有關(guān)數(shù)據(jù)存儲于美國境外也依舊適用��;
歐盟從2018年的GDPR���,到2019年的FFD《非個人數(shù)據(jù)自由流動條例》和《開放數(shù)據(jù)指令》�,再到2022年發(fā)布的《數(shù)據(jù)法案》(草案)���,已經(jīng)形成了以“權(quán)利平衡”為底座的治理模式�。個人數(shù)據(jù)跨境以GDPR為基本規(guī)則����,在企業(yè)正當(dāng)利益維度下的個人信息合理使用及限制,而非個人數(shù)據(jù)的跨境規(guī)則正逐步完善�����。同時歐盟通過充分性認(rèn)定的白名單機(jī)制�,和日本���、韓國���、新西蘭等國家建立了雙邊治理模式��;
從中國來看��,數(shù)據(jù)出境已成為國內(nèi)監(jiān)管的重中之重����,其數(shù)據(jù)出境相關(guān)法律法規(guī)包括:
從今年的監(jiān)管發(fā)布就可以判斷出來�����,在數(shù)據(jù)跨境和企業(yè)出海領(lǐng)域,我國的監(jiān)管趨勢將是監(jiān)管力度更強(qiáng)�,執(zhí)法顆粒度更細(xì),跨部門聯(lián)動立法執(zhí)法更密切���,合規(guī)格局和域外適用更清晰����。
中企出海數(shù)據(jù)跨境合規(guī)的應(yīng)對之道
數(shù)據(jù)合規(guī)風(fēng)險全面診斷
出海中企應(yīng)對業(yè)務(wù)涉及主流國家的數(shù)據(jù)及隱私法規(guī)環(huán)境進(jìn)行全面了解����,綜合當(dāng)?shù)貓?zhí)法案例等信息,對企業(yè)出海及跨境數(shù)據(jù)進(jìn)行全面評估與快速差距分析��。企業(yè)在開展數(shù)據(jù)跨境評估時應(yīng)重點(diǎn)關(guān)注以下六個方面:
從現(xiàn)實(shí)情況看����,出海企業(yè)可能存在經(jīng)驗(yàn)不足、缺少有效的信息渠道等問題�,需要在其出海前先通過合規(guī)風(fēng)險評估工作,對數(shù)據(jù)合規(guī)情況進(jìn)行全面診斷���。
首先,企業(yè)應(yīng)基于已識別的全球數(shù)據(jù)及隱私合規(guī)要求�,對數(shù)據(jù)安全及隱私合規(guī)情況進(jìn)行快速的現(xiàn)狀評估,并制定針對性的可落地整改方案��,快速達(dá)到監(jiān)管合規(guī)要求。
識別數(shù)據(jù)及隱私合規(guī)要求:
基于企業(yè)出海相關(guān)業(yè)務(wù)和隱私場景��,企業(yè)應(yīng)識別并解讀業(yè)務(wù)涉及主流國家地區(qū)的數(shù)據(jù)安全與隱私保護(hù)法律法規(guī)要求����,形成全球數(shù)據(jù)及隱私監(jiān)管合規(guī)基線,并重點(diǎn)關(guān)注數(shù)據(jù)跨域流動和本地化要求��。目前全球有超過60個國家都有對數(shù)據(jù)本地化存儲的要求��,我國對于數(shù)據(jù)本地化存儲尤其嚴(yán)格����,因此對于數(shù)據(jù)本地化要求,企業(yè)要解讀當(dāng)?shù)乇O(jiān)管機(jī)構(gòu)對于數(shù)據(jù)本地化存儲的要求程度��,比如是僅要求境內(nèi)存儲數(shù)據(jù)副本��,還是更進(jìn)一步�����,數(shù)據(jù)的存儲和處理只能在境內(nèi)進(jìn)行�;
梳理企業(yè)數(shù)據(jù)和個人信息:
企業(yè)應(yīng)基于全球數(shù)據(jù)及隱私監(jiān)管合規(guī)基線,從業(yè)務(wù)的角度出發(fā),對企業(yè)擁有的數(shù)據(jù)進(jìn)行系統(tǒng)性梳理��,了解這些數(shù)據(jù)所有者是誰���,以什么方式存在在企業(yè)中�,存儲在哪里����,保留多長時間等,形成相應(yīng)的數(shù)據(jù)清冊���;同時通過數(shù)據(jù)流轉(zhuǎn)圖來展現(xiàn)不同類別的數(shù)據(jù)是如何在企業(yè)內(nèi)外部進(jìn)行收集�、存儲��、使用���、加工�、傳輸���、提供��、公開直至刪除的,從而更有針對性地識別不同數(shù)據(jù)在數(shù)據(jù)全生命周期的各個階段可能存在的合規(guī)問題;
企業(yè)基于企業(yè)數(shù)據(jù)和個人信息梳理的結(jié)果����,通過穿行測試與技術(shù)測試的方式,從組織架構(gòu)��、管理流程����、技術(shù)支撐與人員能力四個方面對出海企業(yè)數(shù)據(jù)跨境合規(guī)進(jìn)行風(fēng)險評估;
基于風(fēng)險評估結(jié)果��,從法務(wù)政策層面���、產(chǎn)品/系統(tǒng)層面��、數(shù)據(jù)運(yùn)營層面�、人員操作層面多維度全方位對合規(guī)風(fēng)險提供針對性整改建議��。
企業(yè)在進(jìn)行快速摸底后會發(fā)現(xiàn)暴露的風(fēng)險問題只是冰山一角�,很多問題其根源是數(shù)據(jù)合規(guī)治理體系的缺失造成的。因此為了應(yīng)對外國法長臂管轄和中國法域外適用的潛在沖突和監(jiān)管環(huán)境����,企業(yè)應(yīng)建立國際國內(nèi)雙循環(huán)的合規(guī)共生體系�,從而降低緩釋企業(yè)全球合規(guī)風(fēng)險帶來的風(fēng)險�。
出海中企數(shù)據(jù)合規(guī)治理體系應(yīng)包括但不限于:
? 組織架構(gòu):明確數(shù)據(jù)安全負(fù)責(zé)人,成立數(shù)據(jù)安全管理機(jī)構(gòu)�����,由數(shù)據(jù)安全負(fù)責(zé)人領(lǐng)導(dǎo)�,履行數(shù)據(jù)安全管理治理職責(zé);明確個人信息保護(hù)負(fù)責(zé)人�,履行個人信息保護(hù)管理職責(zé);
? 制度體系:根據(jù)管理層級����、管理重點(diǎn)分層級進(jìn)行制度體系建設(shè),以組織管理策略為綱領(lǐng)��,逐級建立制度辦法���,形成工作流程��,并結(jié)合工具表單�,將管理要求落實(shí)到日常工作中�。在制度方面,企業(yè)應(yīng)落實(shí)數(shù)據(jù)分類分級保護(hù)制度����。企業(yè)應(yīng)按照不同數(shù)據(jù)類型落實(shí)數(shù)據(jù)處理要求����,涉及個人信息處理的��,應(yīng)依法細(xì)化個人信息處理規(guī)則��;
? 技術(shù)保護(hù):為了讓數(shù)據(jù)出海合規(guī)不再流于表面�,企業(yè)還需要將數(shù)據(jù)安全與隱私保護(hù)真正融入到日常的業(yè)務(wù)和產(chǎn)品中��,包括應(yīng)針對數(shù)據(jù)全生命周期的各個環(huán)節(jié)提出明確的技術(shù)解決方案��,采用如訪問控制��、加密�、脫敏、防泄漏等技術(shù)手段���,切實(shí)落實(shí)管理要求���,同時針對安全缺陷、漏洞立即采取補(bǔ)救措施��;另外企業(yè)需確保隱私合規(guī)方面的持續(xù)運(yùn)營能力,將隱私納入到新系統(tǒng)和流程的設(shè)計規(guī)范與管理流程中(Privacy By Design)�,將隱私風(fēng)險管控前置,避免后期花費(fèi)大量人力物力對系統(tǒng)進(jìn)行整改�;
? 人員能力:為了提升企業(yè)人員整體數(shù)據(jù)及隱私合規(guī)水平,應(yīng)制定數(shù)據(jù)及隱私合規(guī)培訓(xùn)計劃��,每年組織開展全員數(shù)據(jù)及隱私合規(guī)意識教育培訓(xùn)��,并向相關(guān)人員提供專業(yè)技能培訓(xùn)�,從而幫助企業(yè)專業(yè)人才的培養(yǎng)。
基于企業(yè)當(dāng)前的管理現(xiàn)狀��,及未來發(fā)展目標(biāo)�,安永可以提供針對性的咨詢服務(wù)方案,包括但不限于:
? 數(shù)據(jù)合規(guī)體系咨詢服務(wù):以全球數(shù)據(jù)保護(hù)相關(guān)監(jiān)管要求為依據(jù)��,基于數(shù)據(jù)的全生命周期各個環(huán)節(jié)��,重點(diǎn)關(guān)注數(shù)據(jù)出境合規(guī)�,為中企出海提供全方位數(shù)據(jù)合規(guī)機(jī)制改進(jìn)建議,并協(xié)助企業(yè)建立數(shù)據(jù)合規(guī)體系��,從而有效降低企業(yè)數(shù)據(jù)出境合規(guī)風(fēng)險�����;
? 個人隱私保護(hù)體系咨詢服務(wù):重點(diǎn)關(guān)注全球隱私保護(hù)監(jiān)管要求,幫助出海中企有效界定個人信息保護(hù)邊界�,提升企業(yè)隱私保護(hù)整體水平,形成滿足監(jiān)管要求����,并與其數(shù)據(jù)戰(zhàn)略相匹配的個人隱私保護(hù)體系。
