数据安全 | 步步为营—中国企业“走出去”跨境数据合规要点与步骤

关键词：区块链；人工智能；大数据；

本期关键词：跨境数据；数据合规；个人数据法；数据安全风险；GDPR；CCPA；

本文约2718字，大概需要阅读8分钟

大数据环境下，大规模和复杂的跨境数据流动成为常态，它也是当前国家、地区间政策博弈最为复杂的领域之一，这使我国“走出去”企业面临着风险不小的营商环境。跨境数据流动规制各国立法纷繁复杂，“走出去”企业应对各国数据跨境限制性规定存在风险。

二、中国企业数据跨境合规框架构建

中国企业需要时刻关注其业务所涉及国家和地区的数据隐私安全法律法规的出台及对其相关业务的影响，从公司战略高度给予足够的重视，制定数据合规框架，并定时进行合规性自检，以确保其数据处理和传输与所要求的法律法规相符合。中国企业整体部署其用户数据、信息处理政策，应包括但不仅限于从以下几个方面考量：

1、建立数据本地化

为了应对日渐趋严的数据跨境转移壁垒和审查要求，中国企业可考虑提出数据本地化要求的物理数据中心/ 物理服务器，在一定程度上可以避免产生数据跨境问题。

2、采用标准合同条款

采用欧盟标准合同条款（Standard Contractual Clause）作为公司合同拟定的模板。采用标准合同条款的跨境转移数据不需要监管机关的个案审批。

3、建立企业内部数据合规委员会

成立由法务部门、信息安全部门、隐私合规部门和业务部门成员组成的数据合规委员会。数据合规委员会须定期研究业务所涉及国家和地区的数据安全立法，整体规划并实时更新面向用户的相关协议文本（如隐私声明/ 隐私政策），在数据获取、存储和处理业务过程中获取完整的使用、共享、转移用户数据和信息的授权。保留隐私政策的更新记录，并在隐私政策更新时，通过一定途径通知用户，重新获取用户的同意。

4、数据合规思路

第一步：梳理企业所有涉及业务需要处理的用户数据和信息，按照隐私等级进行分类，根据不同的隐私等级制定相应级别的数据加密规则，并根据员工的工作职责和需求设立不同的数据访问权限。

第二步：参照企业数据“数据清单”（Data Inventory），制定符合企业数据合规的体系，以下内容可以作为评估参考：

第三步：梳理完用户数据之后，企业需要根据隐私等级对个人数据加以分类，针对不同隐私等级的数据采取不同的加密策略。建议的等级分类依据如下：

第四步：遵守个人数据和信息处理的必要性和有限性原则以及透明性规则，具体如下：

第五步：建立完善的数据保护规则和体系，规范数据主体修改或删除个人数据、撤销同意或授权的途径，以及企业内部的数据修改、删除操作机制。

综上所述，商业自由原则以及数据流动对于经济社会的巨大价值需要数据自由跨境，然而由于网络本身具有脆弱性，数据接收国（输出国）的法律规制、社会环境不可控，如果缺乏法律约束机制，数据跨境后轻则侵犯个人隐私，公司、企业遭受财产损失；重则泄露国家秘密、扰乱社会秩序甚至威胁政权。因此，聘任专业的律师参与具体的业务设计和评估，降低数据安全和隐私安全方面的违法风险，对于保证“走出去”企业的合规经营意义不可低估。

[1] Aaditya Mattoo & Joshua P. Meltzer, International Data Flowsand Privacy: The Conflict and Its Resolution, World Bank Group ,May 2018, p.4.

[2]参见京东法律研究院：《欧盟数据宪章：GDPR评述及实务指引》，法律出版社2018年版，第104页

[3]参见阿里巴巴数据安全研究院：《全球数据跨境流动政策与中国战略研究报告》

[4] GDPR第46条第2款（a）项

[5] GDPR第46条第2款（b）项

[6] GDPR第46条第2款（c）项

[7] GDPR第46条第2款（d）项

[8] GDPR第46条第2款（e）项

[9] GDPR第46条第2款（f）项

[10]根据GDPR第46条第2款（e）项规定，该承诺应包括数据主体权利并与本条所指“适当保障措施”相适应。

[11]参见H.R.4943-CLOUD ACT，载https://www.congress.gov/bill/115th-congress/house-bill/4943