CEO锦囊Vol.13丨新规来临,企业出海如何做好跨境数据安全与合规?

在国际化背景的大趋势下,随着企业出海业务的增加,数据跨境活动日益频繁,企业对于处理出境数据的需求正在快速攀升。对跨境数据的监管不妥容易给国家安全、公共利益和个人权益带来风险甚至损害,因此世界各国正在不竭推进和完善各种跨境数据监管办法。数据出境合规是企业出海必需面对的重要问题,那么在监管趋严的大背景下如何确保企业数据合规合法地出境?9月1日起全面施行的《数据出境安全评估办法》里具体提出了哪些法律要求?针对出境数据,企业该提前做好哪些准备工作?

作为陪伴企业家一起成长的新经济媒体,发起并上线了CEO锦囊系列活动,以直播形式,邀请创业最前线的嘉宾们分享他们是如何应对变化的。

第13期「CEO锦囊」聚焦企业主们非常关注的跨境数据安全与合规问题,本期直播由营销产品运营部总监 余雯君主持,【北京师范大学】互联网发展研究院院长助理&博导、【中国互联网协会研究中心】副主任 吴沈括、【德恒律师事务所】科技专委会负责人 王一楠以及【数风科技】创始人张帅作为连麦嘉宾就《新规来临,企业出海如何做好跨境数据安全与合规?》话题展开了讨论。

第13期CEO锦囊中,嘉宾们回答了以下问题:

Q1:《数据安全法》出台的背景是什么?

Q2:《数据安全法》相较于其他国家的条文有何特殊性?

Q3:如何理解数据存在“脆弱性”?

Q4:如何理解数据出境的”境”?如何判断企业的业务行为是否属于“数据出境”?

Q5:《数据出境安全评估办法》9月1日起开始施行,哪些企业需要进行评估申报?

Q6:应申报而未申报,企业会面临怎样的后果?

Q7:在数据出境安全评估中,企业该如何自评?

Q8:企业申报数据出境安全评估的结果有哪几类?

Q9:企业实际业务运行中产生的出境数据,应该存储在境内还是境外?

Q10:在具体的业务场景下,若企业要开展“数据出境风险自评估”,具体的申报安全评估划分标准是什么?

Q11:从技术的角度看,企业出境数据庇护最薄弱的环节在哪些方面?

Q12:如何高效率地做好企业出境数据安全与合规?

Q13:面对市面上众多的数据出境安全自评估解决方案,企业主该用什么样的标准去选择“合适”的方案?

Q14:若企业拟赴海外上市,需要如何申报网络安全审查?申报中需要注意哪些问题?

Q15:《数据安全法》颁布之后,未来数据问题的发展趋势如何?

Q16:关于数据出境问题,有什么对出海企业的建议?

Q1:《数据安全法》出台的背景是什么?

【北京师范大学】互联网发展研究院 院长助理&博导 吴沈括

数据安全问题由来已久,《数据安全法》出台的背景可以分为两个阶段:

  1. 《数据安全法》出台之前,人们对于数据安全的理解有多种角度,包罗技术角度、经济角度以及社会角度。在此过程中,业内对《数据安全法》更多是从数据安全技术层面的考虑,特别是信息安全角度。
  2. 《数据安全法》出台之后,数据安全的概念有了质的飞跃。今天法律层面所讲的数据安全是国家安全层面或者安身于国家安全的数据办理要求,这是理解《数据安全法》的核心标的目的。

在支撑立法的过程中,我们曾经对世界范围内所有的与数据安全相关的立法规范做了梳理。我们发现目前在世界范围内,针对数据安全专门的立法只有中国有;到现在为止,《数据安全法》依然是世界上第一部关于数据安全的专门立法。此外,我们也发现全世界范围内超过66个国家出台了和数据安全相关的条文或法律规则,但这些国家设计的角度与中国不一样,有安全审查、知识产权、出口管制以及制裁等多个角度。

Q2:《数据安全法》相较于其他国家的条文有何特殊性?

【北京师范大学】互联网发展研究院 院长助理&博导 吴沈括

《数据安全法》对标了世界范围内超过 66 个国家的五种以上的立法技巧,因此我们也发现《数据安全法》有两个特殊性:

  1. 从强度上来讲,中国立法是世界上最严格的。抛开热点事件不谈,在立法层面,《数据安全法》实际上已经划定了8条行为红线,即违反相关法规之后可能产生法律责任的重要边界。从企业的角度而言,真正具有毁灭性意义或具有极强的威慑性意义的不是罚款,而是资格处罚,比如吊销营业执照、终止营业执照许可等。
  2. 《数据安全法》采取双罚制。一方面追究相关责任人的责任,另一方面追究企业本身的责任。那么在这种情况之下,无论是行政责任层面还是在中国独有的刑事责任层面都强化了数据安全违法的责任强度。

Q3:如何理解数据存在“脆弱性”?

【北京师范大学】互联网发展研究院 院长助理&博导 吴沈括

数据泄露,不只是源于外部恶意的泄露,还有很多是源于技术固有的脆弱性。

关于数据的“脆弱性”有一个经典的故事:美国前太平洋舰队司令曾说世界上只有两种系统,一种是已经被攻破的系统,另一种是已经被攻破,但你不知道它被攻破的系统。

所以数字环境必然有它的“脆弱性”,它不成避免地存在包罗数据泄露在内的各种不测情况,就比如没有一个单位或企业能够完全做到系统无漏洞。数字系统、数字生态的“脆弱性”是无法避免的,只是我们可以有事先的制度安排机制设计、人员配置、办法配置来最大限度地降低和缓解可能带来的危害。

Q4:如何理解数据出境的”境”?如何判断企业的业务行为是否属于“数据出境”?

【北京师范大学】互联网发展研究院 院长助理&博导 吴沈括

理解数据出境需要从多个层次考虑,我从目前世界范围内的规则角度和目前监管的基本立场角度理解该问题。

从中国法的语词含义上来说,“境”是指中国边境。需要特别注意的是中国大陆到港澳台地区的也视为出境。什么叫“出境”?总体来看它是一个拜候标准,这里面需要注意出境问题这个概念实际上有一个变迁的过程。

该概念最初首先来自于欧洲,在欧洲概念中,出境实际上就是跨境传输问题,即发送端、接收端这两个办事器别离处于两个国境之内。然而随着数据形式的变化,特别是国际地缘政治的变化,各国对出境的概念越来越多地融入法律和技术以外的其他含义,包罗政治含义。因此要动态地看待出境问题,不要认为它是一个固定的概念,我们也很难指望有一个固定不变的关于出境的机制。这也是为什么我们在相关的法律规则傍边,对出境实际上保留了必然的弹性。

在当下这个历史阶段,我们所谈论的出境既包罗物理意义上的传输,也包罗逻辑上的拜候问题,即信息的获取。

数据出境问题,首先涉及到国家安全问题,这是一个重要的价值判断维度;其次数据出境问题又明显受到国际形势的影响,是一个敏感的话题;最后现在人们将关注点主要集中在数据出境的侧面,而涉及到数据跨境,实际上包罗两种情形:一是数据路径;二是数据过境。

关于路径和过境的问题,这一点特别是在中国企业跨国合作中很重要,但企业内部可能除了高层级办理人员外,其他人员对数据跨境的全貌掌握不全,无论是单个的法务部还是合规部其实都没有完全掌握。此外在复杂的商业生态中,企业也不必然能够注意到数据已经出境了。

Q5:《数据出境安全评估办法》9月1日起开始施行,哪些企业需要进行评估申报?

【德恒律师事务所】科技专委会负责人 王一楠

这个问题实际上是关于安全评估适用的范围问题,对应《数据出境安全评估办法》中的第四条明确了四种应当申报数据出境安全评估的情形:

一是数据处理者向境外提供重要数据。

二是关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息。

三是自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息。

四是国家网信部门规定的其他需要申报数据出境安全评估的情形。

针对这四种情形我进行解读:首先企业要先查看本身是否向境外提供了数据;其次是企业需要查看本身向境外提供的数据类型,如果是重要数据自然就需要做安全评估。同时如果涉及到个人信息则需要看是否达到必然的门槛;最后是企业要关注具体出境的数据数量,也就是10万个人信息或者1万以上的敏感个人信息这两个门槛,要注意是自上一年度1月1日起累计。

Q6:应申报而未申报,企业会面临怎样的后果?

【德恒律师事务所】科技专委会负责人 王一楠

中国的数据安全庇护的立法比力严格,但我想强调一点,在整体的数据合规法律要求的大前提下,数据出境是一个比力高风险的数据处理活动。因此《数据出境安全评估办法》明确数据处理者违反本办法规定的,要依照《网络安全法》、《数据安全法》、《个人信息庇护法》等法律法规的规定处理;构成犯罪的,依法追究刑事责任。落到实处的处罚有停业整顿、吊销营业执照、罚款等等。

别的值得注意的是,《办法》第66条表白:任何组织和个人若发现企业存在违法行为,可以向网信部门举报。在实际业务操作过程中,我也遇到过竞争对手或离职员工向网信部门举报企业的情况。

Q7:在数据出境安全评估中,企业该如何自评?

【德恒律师事务所】科技专委会负责人 王一楠

企业若是有本身专业且有经验的团队,包罗法务、技术人员可以提供支撑的话,我认为企业可以进行出境前的数据安全自查。并且我认为由于企业内部部门需要给外部的专业机构提供资介绍,所以不管有没有外部的专业支持,企业内部的各部门都需要提前做一些准备工作。此外,企业在进行自评时,我建议要加深对法规的理解,按照监管部门的要求进行准备。

Q8:企业申报数据出境安全评估的结果有哪几类?

【德恒律师事务所】科技专委会负责人 王一楠

我认为企业申报数据出境安全评估的结果与整个申报过程的程序有关,申报的程序主要有以下几个节点:

首先提交省级网信部门,企业要登录系统注册,提供资,省级网信部门可以从材的形式进行形式审查。

如果材不全,省级网信部门会通知企业进行补充。

补充完备后,省级网信部门会上报国家网信部门,国家网信部门会对材进行本色审查,审查后再决定是否受理。

国家网信部门受理后,如若发现企业提供的材中内容不全会要求进行补充,最后会出具一个评估结果。

这种评估结果一般为两种:一种是通过,这种情况表白企业的数据可以自由地流动;另一种是未通过,这种情况监管部门会让企业申请复评,我也建议企业可以把握复评的机会,同监管部门进行沟通,争取在复评傍边通过。

Q9:企业实际业务运行中产生的出境数据,应该存储在境内还是境外?

【数风科技】创始人 张帅

在企业实际业务运行中产生的出境数据,有的企业是存储在境内,有的企业则可能存储在境外。《个人信息庇护法》第四十条规定达到国家网信部门规定数量的个人信息处理者应将个人信息存储再境内,但是这个规定数量目前没有公布,因此这个环节没有强制要求。

另一种情况是企业的业务既可以在境外完成,也可以在境内完成,但他选择了境外的办事商、供应商,所以企业将数据存储在境外。这种情况在安全评估时评估数据出境的必要性上会显得薄弱一些。针对这类企业,我建议如果数据没有必要出境,还是存储在境内会更好一些。

Q10:在具体的业务场景下,若企业要开展“数据出境风险自评估”,具体的申报安全评估划分标准是什么?

【数风科技】创始人 张帅

在具体的业务场景下,具体的申报安全评估划分方式有两种:

第一种是相同的数据出境是为了达到不同的业务目的,那么需要分开来申报。

第二种是按照数据的接收方式来划分。如果数据接收方是不同的接收方,需要拆分开申报。但是这其中有很多复杂的场景,比如有些数据处理者,他的境外接收方分布非常分散,这种情况下网信部门还没有公布相对应的规则,但我认为未来或许会对分散的接收方做批量申报或“打包”申报。

Q11:从技术的角度看,企业出境数据庇护最薄弱的环节在哪些方面?

【数风科技】创始人 张帅

最薄弱的环节,我认为主要在三个方面:

数据采集环节:在采集环节,会发生企业过度采集或未授权搜集个人信息的情况。

存储环节:数据应该存储在境内还是境外的问题、出境数据链路应该如何设计的问题。

交换环节:在该环节傍边必然要划分清楚网络边界,如果出现拜候调用或下载的情况,必然要将权限设置成最小范围。

Q12:如何高效率地做好企业出境数据安全与合规?

【数风科技】创始人 张帅

企业做数据出境的风险自评估时,既可以自行开展也可以委托第三方机构。

在企业里面开展自评估,我们有一个原则是全面性原则,就是必然要覆盖到企业所有的与出境相关的部门及分支机构。这里面包含法务部门、风控部门、安全部门、IT部门以及业务部门等,但在实际交流的过程中,我们发现了一个问题是企业里可能没有人可以将企业的数据全貌梳理清楚。因此在做自评估的时候,我们需要联合所有跟出境数据和出境业务相关的部门及机构一起做自评估。

Q13:面对市面上众多的数据出境安全自评估解决方案,企业主该用什么样的标准去选择“合适”的方案?

【数风科技】创始人 张帅

数据庇护的办法必然要与它所面临的风险相匹配。比如企业每年出境的数据就几条,但在数据的出境上无论是存储还是链接,都是用了许多设备和设计。所以在选择“合适”的方案时,首先要评估企业的风险有多高,而这个风险更多的来自于出境后的传输风险、数据接收方利用数据的风险。单纯从技术上来说,我认为只需要找一个与风险相匹配的方案即可,不消过度配置。

Q14:若企业拟赴海外上市,需要如何申报网络安全审查?申报中需要注意哪些问题?

【德恒律师事务所】科技专委会负责人 王一楠

首先我们需要厘清两个概念——网络安全审查数据出境安全评估

网络安全审查是要求掌握100万用户个人信息去国外上市的企业必需进行网络安全审查。而数据出境安全评估则企业向境外提供重要数据和必然门槛条件的个人信息,需要向网信部门事前提供申报。

网络安全审查要求网络平台运营者,即掌握100万用户个人信息的运营者向国外的证券监管机构提交上市申请之前,需要进行申报网络安全审查。具体如何申报企业需要关注三点材:

提交申报书。

提交可能影响国家安全的分析报告。

提交采购协议或签订的合同或上市准备的材。

Q15:《数据安全法》颁布之后,未来数据问题的发展趋势如何?

【北京师范大学】互联网发展研究院 院长助理&博导 吴沈括

我认为未来还有三大趋势:

第一,数据监管将会成为企业愈加喜欢用的手段。在数字环境傍边,由于数字系统本身的脆弱性使得没有任何一个企业可以保证本身装备的系统100%安全,因此数据监管将会是一大趋势。

第二,未来企业会注重数据资源。对数据资源的看重使得未来对数据的重视不再只是数据合规问题和数据安全问题。

第三,在数据问题愈加扩大的情况下,数据问题会同数字经济、数字政府和数字社会的治理结合在一起,使得企业去面对数据合规问题时拥有更广阔的思路。比如ESG和数据合规问题,过去我们可能并没有把两者结合起来看待,但现在我们需要注意两者的融合问题。

【德恒律师事务所】科技专委会负责人 王一楠

国家出台《数据出境安全评估法》或者其他法规的目的在于更好地平衡安全与风险之间、安全与发展之间的关系,只有将安全工作做好,才能保证未来持续更好地发展。以个人信息为例,如果国家不进行监管,老百姓对于个人信息和隐私的泄露风险怨声载道,那企业未来可能就不会有用户了。

随着国际关系的多变、国家数据监管的快速发展,未来关于数据监管也会不竭更新,同样相关法律法规也会继续完善。

Q16:关于数据出境问题,有什么对出海企业的建议?

【北京师范大学】互联网发展研究院 院长助理&博导 吴沈括

关于出海企业的数据安全出境,我从企业出海的痛点问题倒推出三点建议:

数据。目前出海企业的痛点问题之一是企业数据资产不清,数据业务不明,在这点上需要突破。

监管。企业跟监管的沟通不够,对话途径很少,所以监管基线不明。

产业链。在出海场景、跨境场景傍边,中国企业的产业链很强,但是还没有到产业链的顶端,所以我们的发言权并不大。

从以上三个痛点问题去做根本性的解决是我想给出海企业的一些建议。

【德恒律师事务所】科技专委会负责人 王一楠

对于出海的企业我有三点建议:

建议企业重视数据出境的问题。因为数据出境属于高风险的数据处理行为。那什么是数据处理?主要包罗收集、存储、使用、加工、传输、提供、公开等。数据出境在国际形势风云变幻的今天,会受到国外政策的影响,面临很多未知的风险,因此必然要重视。

摸清家底,明白本身的数据出境类型、规模和目的。

数据安全与合规是一个系统工程,需要综合法律、技术、办理等多方面的能力。这不仅仅是法务部门、IT部门或合规部门某一个部门就能单独完成的,需要多部门协作。

以上就是第13期CEO锦囊的精华内容,第14期的主题是《穿越新周期,探寻中国互联网新标的目的》,我们邀请了【华为云】中国区互联网行业CMO刘丽丽、【魔珐科技】创始人兼CEO柴金祥以及【一点资讯】CEO金治 一起聊聊中国互联网行业的新增长路径。

如果你是企业主且对CEO锦囊系列直播活动感兴趣想参与互动,欢迎扫码添加创变者俱乐部小助手微信进行交流。

扫码添加创变者俱乐部小助手

采访丨余雯君 作者丨刘婧琼  实习生令倩对本文亦有贡献

未经允许不得转载:迪欧吧_技术交流_资源分享_热点资讯_免费VPS空间 » CEO锦囊Vol.13丨新规来临,企业出海如何做好跨境数据安全与合规?