实践前沿 | 数据跨境合规治理实践(2021)
❑ 导 读
近年来,数据跨境流动支撑了跨国贸易中商品、服务、人才、资本等几乎所有贸易的流动,已成为推动全球经济增长的必要力量。
来源 | 德勤Deloitte
第一类:数据跨越国界的传输、转移行为;
第二类:尽管数据尚未跨越国界,但能够被境外的主体进行访问;
第三类:数据跨越国界采集,直接从位于另一法域的数据主体处采集数据至处理方所在地。
全球各国家、国际组织制定的数据跨境规则模式往往与数据安全政策偏好相关联。现有规则大体分为两类:
限制性规范,常见为一国家或地区针对重要数据或个人信息进行出境限制,以维护数据安全或数据主权,即数据安全偏好型。
推动性规范,常见为双边、多边或国际组织,为推进数据跨境安全有序地跨境流动,制定双/多边国际协定或条约框架,以促进数据红利最大化发展,即数据红利偏好型。
对企业而言,限制性和推动性规范均具有现实意义,限制性规范因占据主导地位将成为企业关注的重点。一方面,根据限制性规范要求,严格实施合规治理及管控运行,最大限度规避违规风险;一方面,在合规管控运行前提下,充分利用推动性规则弹性空间,降低企业跨境管控压力和成本。
企业必须迎接数据跨境合规的挑战,一方面,了解内部数据跨境现状和外部监管规则,了解企业数据跨境合规管控重点,另一方面,以风险为导向,建立完善企业数据跨境合规管控机制,搭建立足自身、内外联动、成本效益并举、灵活可持续的数据跨境合规体系。
数据跨境合规治理思路主要包括:明确管控数据对象、摸查关键情形场景、识别外部合规需求、开展数据跨境风险评估、数据跨境风险治理以及重要数据合规延展。
在合规运行的前提下,充分利用数据跨境流动的国际规则,将极大降低企业的跨境运维成本。通过对全球50多个国家和地区的跨境规则进行研究,研究发现全球数据跨境规则的主要逻辑结构如下:
数据跨境模式通常分为不允许出境、满足条件出境、自由出境三类,其中“满足条件出境”为多数模式,也是下列监管应对的重点和前提;
数据保护法令往往在跨境章节的首段列明数据跨境的核心要求,包括同意、同等/充分性保护和批准/评估。各法域的核心要求为其中的一项或者两项的组合;
保障条件是针对同等保护作为核心条件的国家而言的,部分国家规定了具体的条件,例如:标准协议、集团内部规则等;部分国家未规定具体条件,企业可以采用最佳实践做法,以自证满足充分性保障要求;
即在满足某些条件的情况下,可以不履行同等的保障条件,即对保障条件的克减。但有些国家并未规定克减条件,如中国。
针对部分国家,如埃及、俄罗斯,仅能传输到充分性认定的国家或需要监管机构的批准才能出境,又如赞比亚,必须就其标准协议获取监管机构注册,即必须通过监管机构参与才能达成合规条件,合规难度较高;另外一部分国家规定了多样化的出境合规保障条件,其中包括了不需要监管机构参与、企业可以自由裁量选用的方式,合规难度相对较低;相同风险等级国家对应的合规措施大体相同。
因此,对全球重点国家的数据跨境转移要求划分成高中低风险,依据风险的高低即合规措施模式对各国家/地区进行归类分级,并给每一等级的国家适配统一的合规措施,最终形成包含合规措施的数据跨境传输风险矩阵:严格管控(三级)、适度管控(二级)、宽松管控(一级)。
针对企业面临的数据多样、跨境数据的法律属性识别与分类困难、规则动态多变等痛点,确定适用于各类场景的管控要点至关重要。
对于企业,合规管控全景大体包括两部分:
一、针对全业务活动的合规管控基线,基于对各法域跨境规则分类、整理而形成基线(如下表);
二、针对特殊场景中的管控侧重点,设置特殊的管控要点。
企业基于数据跨境风险评估结论,结合监管要求和同业先进实践,从制度流程设计与业务单位落地执行两个层面,制定数据跨境风险治理方案,主要包括以下两方面:
风险控制与治理:针对风险评估结论,制定风险治理方案并进行优先级排期,优先处置影响重大、高紧迫度的风险,缓释影响中小、低紧迫度的风险,适配可落地的技术和组织措施,包括对各业务执行问题的纠正,以及对现有合规管控基线的优化;
成果内化与长效运维:坚持合规与业务发展相结合、体系完善与落地执行相结合的治理原则,制定可落地、可推广、可持续的数据跨境风险管控和合规治理规则、指引、方法和工具,逐步完善的数据跨境风险治理体系。
具体内容如下