X

保护数据安全与隐私,让企业数据跨境安全合规

1、背景

当今世界已经进入数据经济时代,数据逐渐成为驱动全球经济社会发展的核心资源。在全球化和数字化背景下,数据经济的发展离不开数据的跨境流动,其有利于促进技术的革新、经济的发展以及缩小各国的经济文化差异,甚至有利于打击跨国犯罪和恐怖主义。随着互联网服务的扩展,跨境数据无限制流动的快速发展导致许多国家对侵犯个人数据和国家安全议题感到担忧。尤其是在斯诺登事件的警示下,各国都开始加强对本国数据跨境流动的监管。因此,完善数据立法、加强监管等法治保障对于跨境数据流动的规范和风险防范具有至关重要的作用。

2、国际数据跨境立法形势

据不完全统计,在全球总计231个国家中,已经有超过135个国家出台数据保护法,其中大多数有跨境数据流动法律或政策。国际上通常不允许个人数据流向保护标准较低的国家。为了减少此类控制措施对企业部门的影响,许多国家结成联盟就采用统一数据保护标准达成协议,以使数据在联盟内部自由流动,减少开展跨境业务的限制。

欧盟立法的特点是统一规则实施欧盟数字化单一市场战略,以数据保护高标准引导全球重建数据保护规则体系,其更多关注个人数据保护,强调在规则、个人隐私保护方面注重价值发挥。2018年5月正式生效的《通用数据保护条例》(GDPR)中,有关数据跨境的制度主要集中在第五章(个人转移给第三国或国际组织)。对于欧盟成员国而言,个人数据可以自由流动。对于欧盟国之外的第三国,欧盟数据保护委员会需要通过“充分性认定”,确保第三国对相关数据有适当的保护水平,评估内容包括第三国法制和人权保障及基本自由、公共当局获得数据转移的情况、数据保护当局的存在和有效职能等。

美国的立法特点有区别于欧盟,借助在信息通讯产业和数字经济全球领先优势,主张“数据跨境自由流动”,希望更多的数据流通在美国境内,以破除许多国家利用跨境数据流动设置的市场准入壁垒,同时限制重要技术数据出口和特定数据领域的外国投资,遏制战略竞争对手发展,确保美国在科技领域的全球领导地位。通过“长臂域外管辖”扩大国内法域外适用的范围,以满足新环境下美国政府跨境调取数据的执法需要。2018年3月28日,美国议会通过《澄清境外数据的合法使用法案》,该法扩大了美国执法机关调取海外数据的权力,使美国的数据主权扩展至美国企业所在的全球市场。

其他国家也纷纷出台了跨境数据流动规则。例如,日本同时是欧盟充分性认定的成员和APEC构建跨境隐私规则体系成员,其希望扮演桥梁连接美、日、欧及其他经济体之间的数据流通;新加坡确保被传输到他国的数据得到与本国同等的数据保护,同时又设立了豁免条件,以建设亚太地区数据中心为导向,积极参与跨境数据流动区域合作;印度区分敏感数据和非敏感数据,采取数据主体同意转移,以及数据控制人和数据主体之间达成合法契约等方式,在融入全球化和促进本国数字经济发展之间寻求本地化中间路线。

3、国内政策合规分析

在全球各国数据跨境流动的背景下,我国更加注重国家层面的安全,特别是政治安全、意识形态安全或国家在主权层面的安全,强调重要数据与个人信息数据出境要经过国家相关部门的严格审批。

近年来,我国逐渐加速数据跨境流动的立法工作。以《网络安全法》《数据安全法》《个人信息保护法》三部法律为基础,在各自侧重的网络安全领域、数据安全领域、个人信息安全领域分别对数据跨境问题有具体条例解释。同时还发布了几部关于数据出境管理与评估办法,虽然目前还在向社会公开征求意见阶段,但对未来数据出境的管控措施具有极大的参考价值。

3.1 数据出境法律

从《网络安全法》《数据安全法》《个人信息保护法》三部法律中我们可以发现,如果是关键信息基础设施的运营者或者是达到特定信息数量的个人信息处理者,原则上要将在我国境内运营收集的个人信息和重要数据存储在中国境内,如果因业务发展需要出境的,必须经过网信部门对涉及关键信息基础设施的数据进行安全评估及批准。

3.2 数据出境行政法规

国家互联网信息办公室(简称“国家网信办”)共发布了3份关于数据出境的评估办法,分别是《个人信息和重要数据出境安全评估办法(征求意见稿)》《个人信息出境安全评估办法(征求意见稿)》《数据出境安全评估办法(征求意见稿)》,业内人士普遍认为2021年10月29日发布的《数据出境安全评估办法(征求意见稿)》,是综合考虑了《网络安全法》《数据安全法》《个人信息保护法》对数据出境的要求,同时结合了当前国际形势与各方意见后较成熟的版本。我们一起先来看看三个文件的差异。

《数据出境安全评估办法(征求意见稿)》要求:数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和依法应当进行安全评估的个人信息,应当按照本办法的规定进行安全评估。数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合,防范数据出境安全风险,保障数据依法有序自由流动。

3.3 数据出境行业规范

2021年8月16日,国家网信办联合四部委发布了《汽车数据安全管理若干规定(试行)》,自2021年10月1日起施行。第12条要求:汽车数据处理者向境外提供重要数据,不得超出出境安全评估时明确的目的、范围、方式和数据种类、规模等。国家网信部门会同国务院有关部门以抽查等方式核验前款规定事项,汽车数据处理者应当予以配合,并以可读等便利方式予以展示。

2021年9月30日,工信部公开征求对《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》的意见。第24条要求:工业和电信数据处理者在我国境内收集和产生的重要数据,应当在境内存储,确需向境外提供的,应当依法进行数据出境安全评估,在确保安全的前提下进行数据出境,并加强对数据出境后的跟踪掌握。核心数据不得出境。

4、国内企业数据出境建议

当前,我国企业在数据出境面临得风险是巨大的,如果企业事先对跨境数据法律风险准备不足,事中对风险又不善应对,就可能会导致数据出境后因触犯境外国家法律而遭受巨额罚款。所以企业应当组建数据合规团队,严重落实数据出境的相关规范要求,制定数据出境计划,对数据出境情况进行检查与问题整改,持续提升数据出境合规化能力。

第一步:企业在数据出境前应首先判断出境目的,如果数据出境目的不具有合法性、正当性和必要性,不得出境。在此基础上再评估数据出境安全风险,将数据出境及再转移后被泄露、损毁、篡改、滥用等风险有效地降至最低限度。

第二步:建立数据分类分级制度,参照国家和行业领域的重要数据识别指南等文件,结合企业自身的业务数据识别重要数据与个人敏感信息。

第三步:由企业的信息安全部门、法务部门和业务部门等成员组成数据出境合规委员会。数据出境合规委员会定期对国内外数据安全法律法规进行研究,确保在采集和处理国外数据时不违反当地法律;在本国数据出境时,接入方有严格的安全保护措施来保证数据安全。同时,落实数据出境的安全主体责任制,建立企业数据出境管理制度,加强数据出境安全监测与防护。

第四步:企业数据出境的过程中须保留相关记录,比如出境审批记录、出境数据日志等。企业数据出境合规委员会由专人不定期抽查,及时发现违规现象并通知相关责任人处理。

第五步:企业数据出境风险自评估是数据处理者向境外提供数据的必经之路,对出境方式、数据数量、数据属性进行充分综合判断,制定数据出境计划,最终形成数据出境风险评估报告。通过有效的自评估,不仅可以降低数据出境的合规风险,在向主管部门申报安全评估时,也有助于提高监管部门安全评估的效率。

第六步:建立企业数据出境合同,约定双方的数据安全保护权责,优化隐私政策和用户协议中跨境条款。

第七步:企业建立完善的数据泄露应急预案,在紧急事件发生后,第一时间通知相关责任人,同时在法律规定的时间内上报数据监管机构,避免因违反法规程序而扩大不良影响及惩罚金额。

第八步:通过常态化的数据安全风险评估,及时发现企业在管理与技术上的不足,不断完善数据跨境流动治理框架体系。

5、数据出境安全展望

面对美欧等大国借助数字战略强化规则主导权的新态势,我国应服务于建设“数字经济强国”的战略目标,全面加强数据安全监管和推进我国数据出境相关制度建设,探索适合中国国情与发展道路的跨境数据流动治理框架体系,最大化地保障本国企业的数据安全。