| 德勤Deloitte
編輯
| 蒲蒲
隨著全球各國數字產業及大資料、雲計算技術的迅猛發展,資料流動將對全球經濟產生更深遠的影響,由此產生的資料紅利與資料安全之間的矛盾也將深刻影響著未來數字經濟的走向。為了平衡這兩者之間的矛盾,搶佔新一輪經濟競爭制高點,各國紛紛建立、完善資料跨境流動的相關國內規則,並積極推動、參與國際規則的制定。
聚焦我國,隨著《資料安全法》、《個人資訊保護法》的最終頒佈施行、《資料安全出境評估辦法》(徵求意見稿)、《網路資料安全管理條例》(徵求意見稿)、《網路安全審查辦法》(徵求意見稿)對於執行細節制定工作的穩步推進,我國已建立了資料出境的基本合規框架,為數字經濟的發展奠定了最堅實的基礎。該框架一方面採納了國際通行的資料跨境流動原則及制度,將我國的資料出境合規規則積極地融入到全球資料跨境流動的規則體系中去;同時,其展現的創新性安全審查審批制度、安全與發展的平衡之道,也為全球的資料跨境流動體系做出了“中國貢獻”。
在這樣的國際及國內環境背景下,為了清晰界定資料跨境相關概念,在錯綜複雜的資料跨境合規體系中精準提煉出中國企業面對的資料跨境合規要求,進而探討風險可控、成本可控、可落地、可執行的合規思路,並切實賦能國內企業資料跨境合規的治理工作,德勤攜手中興通訊聯合釋出《資料跨境合規治理實踐》白皮書。
當前各界對資料跨境界定仍存在差異,尚未形成統一認知。通常將其理解為“資料從一法域被轉移至另一法域的行為”或“跨越國界對儲存在計算機中的機器可讀資料進行處理”。
以“境外實體接觸”為標準,資料跨境主要包括三類:
第一類:資料跨越國界的傳輸、轉移行為;
第二類:儘管資料尚未跨越國界,但能夠被境外的主體進行訪問;
第三類:資料跨越國界採集,直接從位於另一法域的資料主體處採集資料至處理方所在地。
資料來源:德勤分析與研究
全球各國家、國際組織制定的資料跨境規則模式往往與資料安全政策偏好相關聯。現有規則大體分為兩類:
限制性規範,
常見為一國家或地區針對重要資料或個人資訊進行出境限制,以維護資料安全或資料主權,即資料安全偏好型。
推動性規範,
常見為雙邊、多邊或國際組織,為推進資料跨境安全有序地跨境流動,制定雙/多邊國際協定或條約框架,以促進資料紅利最大化發展,即資料紅利偏好型。
對企業而言,限制性和推動性規範均具有現實意義,限制性規範因佔據主導地位將成為企業關注的重點。
一方面,根據限制性規範要求,嚴格實施合規治理及管控執行,最大限度規避違規風險;一方面,在合規管控執行前提下,充分利用推動性規則彈性空間,降低企業跨境管控壓力和成本。
資料來源:德勤分析與研究
企業必須迎接資料跨境合規的挑戰,
一方面,瞭解內部資料跨境現狀和外部監管規則,瞭解企業資料跨境合規管控重點,另一方面,以風險為導向,建立完善企業資料跨境合規管控機制,搭建立足自身、內外聯動、成本效益並舉、靈活可持續的資料跨境合規體系。
資料跨境合規治理思路主要包括:明確管控資料物件、摸查關鍵情形場景、識別外部合規需求、開展資料跨境風險評估、資料跨境風險治理以及重要資料合規延展。
在合規執行的前提下,充分利用資料跨境流動的國際規則,將極大降低企業的跨境運維成本。透過對全球50多個國家和地區的跨境規則進行研究,研究發現全球資料跨境規則的主要邏輯結構如下:
第一層級—基本跨境模式
資料跨境模式通常分為不允許出境、滿足條件出境、自由出境三類,其中“滿足條件出境”為多數模式,也是下列監管應對的重點和前提;
第二層級—跨境核心要求
資料保護法令往往在跨境章節的首段列明資料跨境的核心要求,包括同意、同等/充分性保護和批准/評估。各法域的核心要求為其中的一項或者兩項的組合;
第三層級—充分性保障措施
保障條件是針對同等保護作為核心條件的國家而言的,部分國家規定了具體的條件,例如:標準協議、集團內部規則等;部分國家未規定具體條件,企業可以採用最佳實踐做法,以自證滿足充分性保障要求;
第四層級—克減條件
即在滿足某些條件的情況下,可以不履行同等的保障條件,即對保障條件的克減。但有些國家並未規定克減條件,如中國。
不同國家/地區的資料跨境合規管控強度不同,致使企業面臨的執行難度、合規風險存在差異。根據規則邏輯進行國家風險等級劃分至關重要:
針對部分國家,如埃及、俄羅斯,僅能傳輸到充分性認定的國家或需要監管機構的批准才能出境,又如尚比亞,必須就其標準協議獲取監管機構註冊,即必須透過監管機構參與才能達成合規條件,合規難度較高;另外一部分國家規定了多樣化的出境合規保障條件,其中包括了不需要監管機構參與、企業可以自由裁量選用的方式,合規難度相對較低;相同風險等級國家對應的合規措施大體相同。
因此,對全球重點國家的資料跨境轉移要求劃分成高中低風險,依據風險的高低即合規措施模式對各國家/地區進行歸類分級,並給每一等級的國家適配統一的合規措施,最終形成包含合規措施的資料跨境傳輸風險矩陣:嚴格管控(三級)、適度管控(二級)、寬鬆管控(一級)。
針對企業面臨的資料多樣、跨境資料的法律屬性識別與分類困難、規則動態多變等痛點,確定適用於各類場景的管控要點至關重要。
對於企業,合規管控全景大體包括兩部分:
一、針對全業務活動的合規管控基線,基於對各法域跨境規則分類、整理而形成基線(如下表);
二、針對特殊場景中的管控側重點,設定特殊的管控要點。
企業基於資料跨境風險評估結論,結合監管要求和同業先進實踐,從制度流程設計與業務單位落地執行兩個層面,制定資料跨境風險治理方案,主要包括以下兩方面:
風險控制與治理:
針對風險評估結論,制定風險治理方案並進行優先順序排期,優先處置影響重大、高緊迫度的風險,緩釋影響中小、低緊迫度的風險,適配可落地的技術和組織措施,包括對各業務執行問題的糾正,以及對現有合規管控基線的最佳化;
成果內化與長效運維:
堅持合規與業務發展相結合、體系完善與落地執行相結合的治理原則,制定可落地、可推廣、可持續的資料跨境風險管控和合規治理規則、指引、方法和工具,逐步完善的資料跨境風險治理體系。