热门标签:2020“数博对话”(http://www.cbdio.com/node_12921.htm)·2020“数博访问”(http://www.cbdio.com/node_12920.htm)·大数据政策(http://www.cbdio.com/node_5141.htm)·区块链(http://www.cbdio.com/node_8557.htm)·人工智能(http://www.cbdio.com/node_3928.htm)· 登录|注册投稿(http://tgao.cbdio.com) 首页(../../../)报告(../../../node_2782.htm)正文 数据跨境合规治理实践(2021) 来源:德勤Deloitte时间:2021-12-1415:34:56作者: 随着全球各国数字产业及大数据、云计算技术的迅猛发展,数据流动将对全球经济产生更深远的影响,由此产生的数据红利与数据安全之间的矛盾也将深刻影响着未来数字经济的走向。为了平衡这两者之间的矛盾,抢占新一轮经济竞争制高点,各国纷纷建立、完善数据跨境流动的相关国内规则,并积极推动、参与国际规则的制定。 聚焦我国,随着《数据安全法》、《个人信息保护法》的最终颁布施行、《数据安全出境评估办法》(征求意见稿)、《网络数据安全管理条例》(征求意见稿)、《网络安全审查办法》 (征求意见稿)对于执行细节制定工作的稳步推进,我国已建立了数据出境的基本合规框架,为数字经济的发展奠定了最坚实的基础。该框架一方面采纳了国际通行的数据跨境流动原则及制度,将我国的数据出境合规规则积极地融入到全球数据跨境流动的规则体系中去;同时,其展现的创新性安全审查审批制度、安全与发展的平衡之道,也为全球的数据跨境流动体系做出了“中国贡献”。 在这样的国际及国内环境背景下,为了清晰界定数据跨境相关概念,在错综复杂的数据跨境合规体系中精准提炼出中国企业面对的数据跨境合规要求,进而探讨风险可控、成本可控、可落地、可执行的合规思路,并切实赋能国内企业数据跨境合规的治理工作,德勤携手中兴通讯联合发布《数据跨境合规治理实践》白皮书。 当前各界对数据跨境界定仍存在差异,尚未形成统一认知。通常将其理解为“数据从一法域被转移至另一法域的行为”或“跨越国界对存储在计算机中的机器可读数据进行处理”。 以“境外实体接触”为标准,数据跨境主要包括三类: 第一类:数据跨越国界的传输、转移行为; 第二类:尽管数据尚未跨越国界,但能够被境外的主体进行访问; 第三类:数据跨越国界采集,直接从位于另一法域的数据主体处采集数据至处理方所在地。 资料来源:德勤分析与研究 全球各国家、国际组织制定的数据跨境规则模式往往与数据安全政策偏好相关联。现有规则大体分为两类: 限制性规范,常见为一国家或地区针对重要数据或个人信息进行出境限制,以维护数据安全或数据主权,即数据安全偏好型。 推动性规范,常见为双边、多边或国际组织,为推进数据跨境安全有序地跨境流动,制定双/多边国际协定或条约框架,以促进数据红利最大化发展,即数据红利偏好型。 对企业而言,限制性和推动性规范均具有现实意义,限制性规范因占据主导地位将成为企业关注的重点。一方面,根据限制性规范要求,严格实施合规治理及管控运行,最大限度规避违规风险;一方面,在合规管控运行前提下,充分利用推动性规则弹性空间,降低企业跨境管控压力和成本。 资料来源:德勤分析与研究 企业必须迎接数据跨境合规的挑战,一方面,了解内部数据跨境现状和外部监管规则,了解企业数据跨境合规管控重点,另一方面,以风险为导向,建立完善企业数据跨境合规管控机制,搭建立足自身、内外联动、成本效益并举、灵活可持续的数据跨境合规体系。 数据跨境合规治理思路主要包括:明确管控数据对象、摸查关键情形场景、识别外部合规需求、开展数据跨境风险评估、数据跨境风险治理以及重要数据合规延展。 在合规运行的前提下,充分利用数据跨境流动的国际规则,将极大降低企业的跨境运维成本。通过对全球50多个国家和地区的跨境规则进行研究,研究发现全球数据跨境规则的主要逻辑结构如下: 第一层级—基本跨境模式 数据跨境模式通常分为不允许出境、满足条件出境、自由出境三类,其中“满足条件出境”为多数模式,也是下列监管应对的重点和前提; 第二层级—跨境核心要求 数据保护法令往往在跨境章节的首段列明数据跨境的核心要求,包括同意、同等/充分性保护和批准/评估。各法域的核心要求为其中的一项或者两项的组合; 第三层级—充分性保障措施 保障条件是针对同等保护作为核心条件的国家而言的,部分国家规定了具体的条件,例如:标准协议、集团内部规则等;部分国家未规定具体条件,企业可以采用最佳实践做法,以自证满足充分性保障要求; 第四层级—克减条件 即在满足某些条件的情况下,可以不履行同等的保障条件,即对保障条件的克减。但有些国家并未规定克减条件,如中国。 不同国家/地区的数据跨境合规管控强度不同,致使企业面临的执行难度、合规风险存在差异。根据规则逻辑进行国家风险等级划分至关重要: 针对部分国家,如埃及、俄罗斯,仅能传输到充分性认定的国家或需要监管机构的批准才能出境,又如赞比亚,必须就其标准协议获取监管机构注册,即必须通过监管机构参与才能达成合规条件,合规难度较高;另外一部分国家规定了多样化的出境合规保障条件,其中包括了不需要监管机构参与、企业可以自由裁量选用的方式,合规难度相对较低;相同风险等级国家对应的合规措施大体相同。 因此,对全球重点国家的数据跨境转移要求划分成高中低风险,依据风险的高低即合规措施模式对各国家/地区进行归类分级,并给每一等级的国家适配统一的合规措施,最终形成包含合规措施的数据跨境传输风险矩阵:严格管控(三级)、适度管控(二级)、宽松管控(一级)。 针对企业面临的数据多样、跨境数据的法律属性识别与分类困难、规则动态多变等痛点,确定适用于各类场景的管控要点至关重要。 对于企业,合规管控全景大体包括两部分: 一、针对全业务活动的合规管控基线,基于对各法域跨境规则分类、整理而形成基线(如下表); 二、针对特殊场景中的管控侧重点,设置特殊的管控要点。 企业基于数据跨境风险评估结论,结合监管要求和同业先进实践,从制度流程设计与业务单位落地执行两个层面,制定数据跨境风险治理方案,主要包括以下两方面: 风险控制与治理:针对风险评估结论,制定风险治理方案并进行优先级排期,优先处置影响重大、高紧迫度的风险,缓释影响中小、低紧迫度的风险,适配可落地的技术和组织措施,包括对各业务执行问题的纠正,以及对现有合规管控基线的优化; 成果内化与长效运维:坚持合规与业务发展相结合、体系完善与落地执行相结合的治理原则,制定可落地、可推广、可持续的数据跨境风险管控和合规治理规则、指引、方法和工具,逐步完善的数据跨境风险治理体系。 具体内容如下 ZTE中兴 Deloitte. 针对⼯业和信息化领域,我国《⼯业和信息化领域数据安全答理办法(试⾏》多提出先分类后分级,形成和维护数据分类清单:然后根掘效据遣到籍改、破坏、泄露或者⾮法获取、⾮法利⽤,对国家安全、公共利益或者个⼈、组织合法权益等造成的危害程度,将⼯业和电信数掘分为⼀般数掘、蛋要数据和核⼼数掘三级:并明确提出我国境内收集和产⽣的重要数据,应当依照法律、⾏政法规要求在境内存储,确需向境外提供的,应当依法依规进⾏数据出境安全评估,在确保安全的前提下进⾏数据出境,井加强对数据出境后的跟踪筆握。核⼼致据不得出境。 •其他法城相关规定 其他国家/地区暂未针对重要数据进⾏清浙定义,但针对特殊数据或特殊⾏业,均有不同程度的合规要求。对于企业来说,企业在⽇第运营过程中的⼀些商业数据,或致量有限的个⼈信惠通第不被祝为是重要致据。但针对⼀些特殊的⾏业如測绘、勘探、电信,⽇常运營过程中的商业数据可能被认定为重要数据。 3.2.2摸查关键情形场景 关键动作⼀:开展现状调研,识别数据跨境场景 企业对内部数据跨境场景进⾏识别,为合规差距分析和明确合规治理重点提供坚实的事实基砣。企业通常采⽤以下⼏种⽅法展开内部调研⼯作: •信息梁集和⼈员访谈:制定跨境要素识别表,通过下发信息采集装,调研跨境业务需求、数据保护现状和数据流转情况; •制度流程及法务⽂件市间:市核企业现有制度、流程、隐私通知书等相关⽂档,梳理 合規現状; •实地⾛查观察:对現有跨境业务流程的执⾏情况进⾏实地⾛查观察,随机挑选或者针 对企业关注的业务场景,从数据发出地朵集、跨境传输到孜据垵收国落地整个过程进 ⾏跟踪,了解传输道路各环节的控制措施和实际的执⾏情况。 关键动作⼆:清晰檢理路径,制定數据流转摸底⼯具 由于致据跨境流转情况复杂,需要采⽤⼯具表单和数据流转示意图的⽅式对数据踦塊情况进⾏记录和清浙梳理,可以通过枸建信息采集⼯具进⾏协助,例如: •枸建跨境场景识别表:根据业务单位填写的效据跨境场景识别要券装,梳理出敫据跨 境流转情况,包括具体业务场景、涉及部⻔、⽂件形式、具体字段、数据来源地区、 3.2.6重要数据合规延展 确定性。 ⽬前,各国家/地区对于重要数掘的定义和跨境規则较为校糊,监管执法情况存在诸多不 在数据识别⽅⾯,世界范围内对于重要效据的监管定义尚未统⼀且较为模糊,企业需结合当地法律及⾃身业务场景,对重要数掘进⾏场景化分析和识别,建⽴重要数掘清单井单独维护,同时坚持较为“保守”的重要致据定义原则,以应对监管执法的不确定性。 在外部规则⽅⾯,重要数据的跨境規则⼤体分为以下两种要求: 1)本地化存储及处理,原则上不允许向境外传输; 2)向境外传输需符合特定⽬的要求,并且经过严格的市批制度。 除上述要求外,对蛋要数掘路境的监管要求与个⼈信息⽆实质区别,如事先⻛险评估、安全性保險措施等。因此,对于重要致掘的跨境合规管控,可优先考感本地化部署的⽅式,从源头规避数据跨境合规⻛险;其次,严格评估重要数据跨境的必要性和合法性,如确禽进⾏重要数据跨境,应按规定进⾏监管报批报备,并做好組织层⾯和技术层⾯的安全保障措施:同时,企业应做好数据路境外部规則的排查、梳理及跟踪,以应对随时可能⾯临的重要数银合规⻛ 险。 附件九:数据跨境司法执法輿情案例 •⻄班⽛监管因违反数超法对Vodofone罰款815万欧元 2021年3⽉,⻄班⽛败据保护局,对算国电信公司天达串(Vodafono)及其殷务提供商 多次违反GOPR和国家法律罚款815万改元,其中200万欧元的罚款归因于其服务提供商向不 符合欧洲效据保护要求的国家进⾏个⼈数据国际传输。 •挪威数很保护部⻔对Fordo公司处以罚款,涉嫌向中国跨境传输图⽚数据 2021年5⽉,挪威数据保护局,决定对Ferde公司罚款500万椰威克期(约498.065欧元〉•根据调童显示,Forde公司因缺乏效据处理协议、在⼈⼯处理超过1200万张⻋牌图像之前没有进⾏⻛险评估、同时涉嫌在2017年⾄2019年期间向中国进⾏缺乏适当法律依据的数掘转移,违反GOPR第28条第三款、第32条、第44条⽽招致罚款。 •⽇本个⼈信息保护委员会对LINE中国⼦公司访问⽇本⽤户数据进⾏调查 2021年3⽉,⽇本个⼈信思保护委员会对LineCorp.进⾏调查,该消息应⽤程序提供商的⽇本⽤户效很被⼀家中国⼦公司访问,该中国⼦公司的⼯程师能够看到2018年8⽉⾄2021年2⽉期间存储在⽇本的⽤户个⼈信息,委员会于要求Line提交事件报告之后进⾏现 场检查,调查⼈员根据个⼈信,息保护法访问了Line及共⺟公司ZHoldingsCorp.<4689>,表示检查“旨在准确判断是否道守法律”,Line对附属公司的监餐及其对致据的访问。Line公司表示已终⽌其在中国的对话系统的开发、维护和运营。 •法国CNIL按照GOPR规定对Goo8l。开出5000万欧元罚单 2019年1⽉,⾕敢(Googl。)被法国监管机构国家信息与⾃由委员会(CNIL)处以5000 万欢元巨额罚款,缘由是⾕歐未能履⾏《通⽤数据保护条例》