南方财经全媒体记者 吴立洋 21世纪经济报道记者 张雅婷 王俊 尤为 郑雪 实习生谭砚文 上海、广州、北京报道
随着数字化成为我国社会发展中不可或缺的一部分,数据已被我国政府视为保障国家主权、对国家安全和经济发展具有重大影响的一项重要资产。监管部门对数据跨境传输的合规情况亦越发关注。
【资料图】
2022年7月,国家互联网信息办公室正式发布《数据出境安全评估办法》(下称《评估办法》),并于同年9月施行,且要求不符合规定的数据出境活动于6个月内完成整改。截至今年3月,《评估办法》施行已达半年,企业落实政策要求、进行合规整改的实际成效如何将迎来初考。
为了解当下境内企业数据跨境的现状与困境,探讨如何建设更为安全高效的数据跨境传输渠道与监管机制,由环球律师事务所与南方财经全媒体集团合规科技研究院组成的联合研究团队结合问卷调查、深度访谈、案例分析等多种研究方法,对我国企业进行数据跨境传输和安全评估的实践情况进行了调查。
在梳理当前涉及数据跨境法律法规的基础上,研究团队就调研结果中的典型问题进行了分析,并结合当前政府管理部门披露的公开数据与案例,最终撰写完成《数据跨境现状调查与分析报告——基础问题与十个痛点的解决》(以下简称《报告》),希望为政策制定、执行和产业实践提供参考。
在《报告》的下篇,研究团队面向21家涉及数据跨境企业进行了问卷调查,并就其中的焦点话题对其中的9家企业进行了更为细致深入的访谈,了解其在进行数据跨境传输合规中遇到的困难和处理困难的实践经验,以对当前我国企业的数据出境情况进行切片细描,旨在反映当前数据跨境中企业、行业、监管存在的典型问题,推动社会共同关注,行成合力加以解决。
安全保障机制如何选择《报告》调查结果显示,在实践中,企业作为数据跨境传输活动中的出境方往往面临缺乏安全保护机制或难以决策选择何种安全保护机制的难题。
当前,企业在进行数据跨境时通常存在三种路径可以选择,即出境安全评估、认证和标准合同。虽然《个人信息保护法》第三十八条要求个人信息处理者任选其一方式,但其实在选择顺序上需要先评估是否需要申报出境安全评估,不适用时才能考虑适用出境标准合同的机制。
原因在于,《评估办法》第四条指出,向境外提供重要数据等四种情形下的数据处理者,应当申报数据出境安全评估。
在部分企业看来,法律法规中作为出境安全评估合规门槛的“100万个人信息” ,存在数量标准偏低的问题。一家零售行业的互联网企业认为,对于部分行业而言,企业日常业务中很容易达到100万,安全评估覆盖范围过大,其他两种市场化合规路径就没有了空间:“而安全评估属于事前许可,非常消耗合规资源。”
问卷则显示,有近40%的企业对于划分“重要数据感到困难”,33%的“不确定自己是否需要申报数据跨境安全评估”,这些因素都对企业选择哪种数据出境的安全保障机制有重要影响。
作为最早一批聚焦出海业务的企业,汇量科技在访谈中表示,当下很多企业部门众多,数据散落在各个部门中,一旦缺乏统一的管理,想要识别和评估所有数据就难以实现,盘点数据数量更是无从谈起。
跨境路径选择流程示意图
此外值得关注的是,如企业存在向境外跨境传输重要数据的情况,则仅能选择申报数据出境安全评估作为唯一安全保护机制。参考《报告》上篇分析的内容,由于现行的法律法规对于重要数据的定义规范的较为模糊,企业在分辨采集数据是否为重要数据时往往缺乏较为明确的参考标准。
平衡合规与业务在进行数据跨境的过程中,按照法律法规要求履行数据合规责任是企业应当遵守的基本义务,但在大部分企业还未具备较为成熟的数据合规经验甚至数据处理经验的背景下,如何在满足合规要求的前提下尽可能降低合规成本,维持业务运行,是当前企业最为关注的话题之一。
以数据安全评估为例,从问卷调查结果来看,76%的受访企业都进行了数据出境安全评估。但成本高、耗时长和缺乏系统指导是受访企业谈及处境安全评估时最长提及的词语。某大型科技企业在访谈中表示,就自己正在经历的出境安全评估来说,省级网信办审查的颗粒度比自己预期高,且更严格,审核周期也比预想的时间长,且对报告形式要求高。
深圳数据交易所(以下简称“深数交”)在近年支撑推动了大湾区地区数据跨境的相关案例实践。深数交在访谈中也表达了上述观点,由于重要数据的识别标准模糊,一方面,数据处理者因未识别到重要数据,故未履行出境前置程序,但实际上出境数据可能涉及重要数据,存在合规义务未履行的风险。
另一方面,部分数据处理者所处理的数据虽安全级别较低,不属于重要数据,但同样由于重要数据识别标准模糊,数据处理者将无需进行安全评估的跨境数据事项向网信部门进行申报,造成了不必要的资源浪费及负担加重。
此外,如何协调合规评估、审核、整改等流程与企业正常业务间的关系,也是企业关心的话题之一。问卷结果显示,有近七成的受访企业都表示在相关工作中面临着“公司业务和合规要求间存在冲突,难以短时间内调和”的困难,有超过30%的企业存在“对所需履行的申报义务及流程认识不够完整,存在漏报、少报等情况”。
《报告》指出,企业在落实数据跨境传输合规措施的过程中,可能会涉及法务、信息安全与安全运维、审计内控、人力资源等多个部门联动。例如,法务部门通常负责识别企业在业务开展过程中的各种数据类型,梳理各种类型数据的传输链路,确定企业与合作伙伴、供应商等各方间的数据处理关系是委托还是共享,并签署相应的合同或其他法律文件等;信息安全与安全运维部门通常负责制定出境安全操作流程,制定安全管理制度,建立出境数据记录,制定数据出境安全事件应急预案等。
在实际开展合规工作过程中,需要针对各部门负责的领域做好对应义务措施的落实,并就数据出境合规的重要性对所有涉及部门,包括业务部门在内进行普及,以提升合规效率与配合的流畅度。
对此,《报告》建议,企业在开展数据跨境传输合规工作时建立特定部门(实践中为法务部门牵头居多)牵头统筹协调,各相关部门联动配合的工作机制,以法务部门或其聘请的第三方咨询机构对法律法规和标准、指南的解读及相关经验作为合规工作的指引,确保数据出境各环节的合法合规。
考察境外主体与环境《评估办法》第五条提出,数据处理者在申报数据出境安全评估前,应当开展数据出境风险自评估,其中将境外接收方履行责任义务的管理和技术措施、能力等能否保障出境数据的安全列为重点评估事项。
此外,网信办随附发布的《数据出境安全评估申报指南(第一版)》中也将数据处理者及境外接收方的数据安全保障能力作为出境活动整体情况说明的重要部分 。由此可见,正确评估境外接收方的数据安全保障能力对企业完成数据出境合规至关重要,但在实践中,对境外数据接收方的考察往往并没有预想的简单。
“实际上,我们面对的境外接收方可能就是网店、经销商或者是一个中小企业,规模也比较小,没有安全保障能力,或者它的安全保障没有想象的那么复杂;至于境外的大企业可能就不愿配合,会问‘为什么这么多细节?’”一家大型互联网公司在访谈中表示,境外数据接收方的态度和配合意愿也给合规工作带来了不少阻碍。
也有企业提出,出境合规主要的难点之一在于如何清晰详细地说明数据出境单位的数据出境安全风险以及如何保障风险可控,但这往往涉及较为机密的业务流程和繁琐的沟通过程,需要数据出境单位与数据境外接收方的信任与配合才能完成,否则评估报告的真实性和完整性都难以保证。
问卷调查的结果亦显示,目前77%的受访企业仍主要是靠“在合同中进行约定的方式”来完成判定境外主体履行责任义务的管理和技术措施、能力等保障出境数据的安全,仅有6家企业有能力“派遣公司内部人员进行实地考察判断其管理和安全防护能力”,有6家企业“要求对方自行就数据安全、合规进行评估并出具报告。”
对此,《报告》建议企业在与境外主体沟通的过程中向其强调安全评估申报的重要性,即不完成评估将无法开展数据出境活动;境外材料的必要性,即境外材料是评估的重点对象;以及完成评估时间的紧迫性,即根据《数据出境安全评估办法》第二十条规定,需进行安全评估的企业应在宽限期6个月内——2023年3月1日前完成整改。
此外,在向境外提供个人信息或其他数据前,作为个人信息保护影响评估(PIA)及数据出境安全评估的重要组成部分,企业需要评估境外接收方所在国家或区域的法律与政治环境,以判断数据出境存在的安全风险。
深圳数交所指出,目前境外接收方的合规义务难核查是一个重要问题。根据现行有效的法律法规等规范文件,对于数据出境链路及数据接收方的数据安全保障能力均有相应的要求。
“但在实际业务开展中,域外法律识别、政策法规和安全环境评价、接收方数据安全保障能力、数据处理全流程过程等事项核查因为涉及域外核查,开展实地调研及核查存在一定难度及较高成本,企业落实存在一定困难。”
也有企业表示,部分境外接收方的法律与政治环境相对稳定,由每个企业都独立进行评估可能会带来大量的重复劳动,如果有相关监管部门或第三方机构形成一份成熟的法律与政治环境评估结果,将能够大大增加合规效率。
“如果严格按照要求所有目的地都要评估的话,假设跨境贸易如果要和200个国家合作,那就要评估200个国、地区,这个工作量是非常大的。”
在综合我国法律法规规定,参考域外经验的基础上,《报告》总结得出了境外接收方所在国家或区域的法律与政治环境的评估要点,包括:法律体系、国际承诺、落实机制、机构权力、个人信息主体救济路径、国际协定、境外接收方所在地在数据方面是否对中国采取歧视性的禁止、限制或其他类似措施等。
《报告》建议,由于境外接收方法律政治环境评估工作的专业要求较高,需要评估人员对当地的政治、法律、文化、社会等各方面具有充分的理解,因此在具体评估实践中,企业可通过与境外接收方内部法务等相关部门进行合作,或聘请当地律师或其他跨国服务机构协助,以实现全面、深入的评估。
报告全文请点击:《数据跨境现状调查与分析报告——基础问题与十个痛点的解决》
或扫描以下二维码后台留言获取报告全文
【报告出品】斑马数据合规研究中心
【报告撰写】
环球律师事务所 孟洁 戴畅 王程 张楚淇 李晨瑜 田梓仪
南财合规科技研究院 吴立洋 王俊 张雅婷 尤一炜 郑雪 谭砚文
【设计统筹】林军明
【封面/排版】林潢 陈国丽
【校对】黄志明
2023年3月