企业需搭建适合自身的数据跨境合规体系

随着数字经济、数字贸易活动不断开展，跨国公司日趋活跃，各类企业势必会被卷入全球数据跨境转移的洪流中，数据作为生产要素的价值功用被不断激发出来，也正在成为企业乃至国家的核心竞争力。

洪流之下，规制数据跨境转移迫在眉睫，近段时期各国、各司法管辖区都在建立自己的数据跨境规则，以形成全球性的数据跨境规则框架。例如，从欧洲的GDPR到我国前段时间发布的《数据出境安全评估办法（征求意见稿）》（以下简称征求意见稿），都针对数据跨境转移行为提出了明确要求。当前，企业应高度重视数据跨境流动管控和发展态势，在全球业务和经营活动中进行合规遵从，降低合规风险，将数据跨境转移进行流程化、体系化，迎接数据跨境合规的挑战。一方面企业需要了解内部数据跨境现状和外部监管规则，了解企业数据跨境合规管控重点；另一方面，企业需要以风险为导向，建立完善企业数据跨境合规管控机制，搭建适合自身的清晰明确、灵活可持续的数据跨境合规体系。

一、识别数据类型，进行数据映射

企业首先需要梳理数据跨境转移情况，明确要出境的数据类型有哪些，是个人数据、重要数据还是核心数据。针对不同种类数据采取不同的保护措施。同时企业在数据转移前需根据最小化原则，确认转移的数据是充分的、相关的，并且数据内容仅限于向数据接收方转移和处理的必要数据。

具体分述如下：

1.个人信息的识别：个保法规定：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”

2.重要数据的识别：关于重要数据，目前国际规则尚未形成明确定义，根据我国《网络安全法》的定义，重要数据是指一旦泄露可能直接影响到国家安全、经济安全、社会稳定的数据，如未公开的政府信息、大面积人口、基因健康、地理、矿产资源等。

《信息安全技术重要数据识别指南（草案）》，详细明确了重要数据的特征，将重要数据分为经济运行、人口与健康、自然资源与环境、科学技术、安全保护、应用服务、政务活动等类型。

针对工业和信息化领域，《工业和信息化领域数据安全管理办法（试行）》提出先分类后分级，形成数据分类清单，明确界定重要数据，将重点领域国家安全相关、对工业、电信行业发展、生产、运行和经济利益等造成影响、社会影响范围大、涉及行业广泛的数据界定为重要数据，同时增加兜底原则。

3.核心数据的识别：核心数据原则上不出境，在这里不做过多探讨。

其次，了解数据接受方所在的国家/地区对于数据保护的情况，即数据映射数据（data mapping），数据输出者定位数据流，确保数据接收方对个人数据提供实质同等的保护水平，数据输出者还必须核实传输的数据，数据接收方使用的数据形式、目的是否与约定描述一致。

二、明确数据跨境转移工具

以GDPR为例，企业想要将存储在欧盟的数据转移至中国境内，首先需要看数据接收方所在的国家是否为欧盟在其网站上公布的充分性决议清单中，很显然中国不在这份名单中。这时，数据输出方与数据接收方需要签署SCC（标准合同条款）来实现数据的跨境流动，若签署SCC的实际条件未达成，只能签署非标准合同条款等替代方案达到数据的跨境流动，而非标合同的签署需要经过监管机关的审批，同时GDPR非常明确的规定，在采用标准合同条款、约束性公司规则等适当保障措施的情况下，跨境转移数据不需要监管机关的个案审批，只有采用非标准合同条款的情况下才需要监管机关的批准。

同样，征求意见稿则明确企业若进行数据跨境转移必须进行安全评估，征求意见稿要求数据处理者开展数据出境风险自评估，重点评估出境数据的数量、范围、种类、敏感程度，数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险；数据处理者在数据转移环节的管理和技术措施、能力等能否防范数据泄露、毁损风险的。

征求意见稿中提到，数据处理者向境外提供数据，符合以下情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估：

1、关键信息基础设施的运营者收集和产生的个人信息和重要数据；

2、出境数据中包含重要数据；

3、处理个人信息达到一百万人的个人信息处理者向境外提供个人信息；

4、累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息；

5、国家网信部门规定的其他需要申报数据出境安全评估的情形。

三、评估跨境转移工具有效性，识别内外部合规要点

评估跨境工具从两个方面出发：一是数据接收方国家层面的整体法律环境评估；二是数据接收方的技术措施评估。

数据输出方需要独立评估数据接受方的法律环境，在合规运行的前提下，充分利用数据跨境流动的国际规则会极大降低企业的跨境运营成本。

目前全球数据跨境规则主要有以下分类：

1.追求数据流动与数据保护平衡区：欧盟作为世界范围内最早对数据跨境流动进行规制的区域性组织之一，建立了较为完善的数据跨境流动机制。对内欧盟通过GDPR在成员国间的直接使用，消除成员国数据保护规则的差异性，实现个人数据在欧盟范围内的自由流动；对外为企业提供合规下的转移规则，严格保护数据安全。

2.自由流动区：美国鼓励并推行宽松的数据跨境流动政策，主张将数据跨境流动纳入协议条款，在确保国家安全利益的前提下最大程度地促进数据自由流动。

3.严格限制流动区：俄罗斯、印度作为严格限制流动模式的代表，注重对数据安全的保护，并强调对核心数据和敏感数据的控制。印度提倡对个人数据实行分级分类，敏感数据、关键个人数据要求在境内存储副本，并规定只有在极少数的情况下可以自由流动。俄罗斯要求收集和处理俄罗斯公民个人数据的所有运营者使用位于俄罗斯境内的数据中心，要求数据首次存储必须在俄罗斯境内的服务器上。

数据输出方还需要在数据接收方法律环境评估结果的基础上依据以下4项对数据传入方国家的法律环境评估进行独立评估：

1.数据处理规则需明确、准确和易懂。

2.证明所处理数据的合法性，并且数据接收方与数据输出方对数据处理目标具有一致性。

3.是否设立有独立的监督机制。

4.是否向数据主体提供有效的救济措施。

数据技术措施评估可以从以下几个方面开展：

1.数据接收方与数据输出方针对合同中约定的数据技术保护措施，数据接收方是否有条件可以实现。

2.数据在境外保存地点、期限，以及达到保存期限、完成约定目的或者合同终止后出境数据的处理措施。

3.数据接收方在实际控制权或者经营范围发生实质性变化或者所在国家地区法律环境发生变化，导致难以保证数据安全时应当采取的安全措施。

4.发生数据泄露等风险时所采取的急救措施是否设置维护个人信息权益的通畅渠道。

企业应立足自身实践，区分国家/地区法律环境高中低风险区。依据风险区的不同，建立国家/地区的数据跨境合规措施，针对不同风险等级的国家地区制定数据跨境合规管控策略和管控措施，有效开展数据跨境转移。

四、采取必要的补充措施

企业基于数据跨境风险评估结论，结合实际情况采取必要的补充措施，并在适当情况下与数据接收方合作，以确保添加补充措施之后，被转移的个人数据可以在数据接收方得到与数据输出方所在国保障水平实质同等的保护。

补充措施可以从三方面出发：

1. 技术措施：技术措施是数据跨境合规的第一手段，企业可以采取符合额外保障措施所要求的技术措施，例如采用数字加密技术、传输假名化的数据、将数据做分割和多方处理等措施。

2. 合同措施：合同措施通常不能单独使用，应该与技术措施与组织措施相结合，提供所需的数据保护水平。例如数据输出方与数据接收方在合同中约定使用具体技术措施的合同义务、合法赋予数据主体行使权利等。

3. 组织措施：从组织角度提供的保障，通常也必须与合同措施与技术措施相配合使用，以提供实质同等的保护。数据输出方可以要求数据接收方采用国际标准制定严格的数据安全和数据隐私政策、建立相应的数据保护组织、定期公布政府要求获取的数据透明度报告、要求数据接收方尽量减少不必要的数据操作、限制个人数据在未经授权的情况下被访问等等。

在此“首席风控合规官”特别提醒，当确定了有效的补充措施时，企业需要针对不同的补充措施确定正确程序的步骤。还是以GDPR为例，当企业实施SCC以外的补充措施时，需确定补充措施不直接或间接与SCC相抵触，并确保数据输出方所要求的保护水平不被削弱；如果采取补充中的合同措施，企业需确保附加条款不能变相降低数据保护水平。

五、审批评估结果及持续监测数据接收方的保护水平

企业基于上述提供的流程，对数据跨境转移进行评估，并建立相应的组织进行审批，评估结果将作为企业是否可以进行数据跨境转移的依据。

此外，企业应以年度或者季度为标准，重新评估数据传入方提供的数据保护水平，并安排技术人员持续监测是否有或者将有任何影响数据保护水平的情形。若数据接收方无法履行合同中所约定的数据保护义务或者采取的保障措施无法继续使用，企业应当及时终结或者暂停数据跨境转移。

结合以上分析，“首席风控合规官”特别提示，数据本地化与数据跨境流动互生共存，我们所追寻的，是在保护数据安全的前提下推进数据有秩序的流动。其中，数据本地化可以作为数据跨境流动中实现数据安全的一环。在当前数据流动已成为全球大势的情况下，企业必须建立合规的数据跨境转移流程，指导业务操作。对于数据跨境转移，企业应做好组织技术的双重安全保障，同时持续关注数据跨境外部规则的更新，应对随时可能面临的数据合规风险。

来源：首席风控合规官 ；作者：规小静