Linkedin
Facebook
Email
more前一篇《助中企出海 容诚在“路”上 | 聚焦“一带一路”之IT篇(二)数据出境 合规为基(上)》中,我们探讨了中国企业出海的背景之下,数据合规和隐私保护存在的诸多潜在风险。
本篇将承接上篇内容,详细介绍在企业面对挑战时的具体应对策略。
面对政策监管、技术挑战、网络威胁等多重风险,中国企业出海必须做好充分的准备。不仅需要了解企业数据跨境面临的国内外合规管控重点,更要以风险为导向,建立完善企业数据跨境合规管控机制,搭建可持续的数据跨境合规体系。
容诚提供的数据跨境合规治理思路主要包括:数据全面梳理、数据合规核查与整改、信息及网络安全核查与整改三个板块(如下图)。
数据全面梳理
企业在数据出境实操过程中,首先需要梳理和识别内部受管控的数据对象,以及对数据出境行为进行判断,以综合衡量其适应何种数据出境制度。
全面梳理企业内部数据
从系统搜查开始逐步深入到数据库表和数据字段的级别进行全面数据搜查,涵盖组织、业务、系统三个范围。根据数据的重要性和敏感性可以将数据分为个人信息和非个人信息,非个人信息又细分为重要数据、特殊行业敏感数据、其他数据三类:
个人信息
指可以直接或间接地识别姓名、身份ID等基本身份信息、指纹、声纹、虹膜、面部识别特征等生物识别数据的信息;
重要数据
指对企业的正常经营、决策等活动具有关键作用的数据。这些一旦泄露可能直接影响到国家安全、经济安全、社会稳定的信息;
特殊行业敏感数据
例如金融行业的客户资金交易信息、医疗行业的患者病历和基因数据、能源行业的电网运行数据等,不仅涉及企业的利益,还可能涉及国家安全、公共安全或社会稳定等重要数据;
其他数据
用于涵盖那些不属于前面三类的企业数据。
确认数据主体身份
2024年3月22日,国家网信办正式发布《促进和规范数据跨境流动规定》,根据规定要求,企业需要明确自己属于“关键信息基础设施运营者”、“非关键信息基础设施运营者”(绝大部分企业)还是“自由贸易试验区内数据处理者”。
正确识别主体身份对于选择合适的数据出境合规策略至关重要。不同类型的主体可能面临不同的合规要求和监管环境,准确定位自己的主体身份,以便采取相应的合规措施。例如:对于“非关键信息基础设施运营者”,除个人信息和重要信息之外的,如属于收集和产生与国际贸易、跨境运输等活动,无需进行审批或备案,可自由向境外传输。
识别并梳理出境场景
企业需要对数据出境行为和其归属的业务场景进行梳理排查,包括出境业务场景、信息系统、数据类型、数据量、储存位置、出境必要性等。
企业的出境行为主要包括:
01
数据处理者将在境内运营中收集和产生的数据传输与存储至境外;
02
数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;
03
符合《个人信息保护法》第三条第二款情形,在境外处理境内自然人个人信息等其他数据处理活动。
可以通过开展内部信息调研、制度流程及法务文件审阅、实地走访观察等方式,形成数据出境情况清单和跨境数据流程图,对数据跨境情况进行记录。
数据合规核查与整改
数据安全风险自评估和个人信息保护评估
基于已梳理的数据出境情况清单,企业应对数据跨境活动进行全面的合规性审查,评估其在数据跨境活动中可能面临的合规风险。这些风险可能包括数据泄露、非法访问、违反国际数据传输协议等。根据风险的严重程度和发生的可能性,将风险分为高、中、低三个等级。
依据《数据出境安全评估办法》第五条和《个人信息出境标准合同办法》第五条,企业申报安全出境评估前,应重点评估以下事项:
01
数据或个人信息出境和境外接收方处理的目的、范围、方式等的合法性、正当性、必要性;
02
出境数据或个人信息的规模、范围、种类、敏感程度,以及可能对国家安全、公共利益、个人或者组织合法权益带来的风险;
03
境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据或个人信息的安全;
04
数据和给人信息出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,权益维护的渠道是否通畅等;
05
与境外接收方拟订立的数据或个人信息出境相关合同或者其他具有法律效力的文件等(以下统称法律文件)是否充分约定了相应的安全保护责任义务;
06
其他可能影响数据或个人信息出境安全的事项。
数据全生命周期管理的合规核查
01
数据收集
核查数据的收集来源是否合法。企业不能通过欺骗、窃取等不正当手段获取数据。例如,在通过网站收集用户信息时,是否在隐私政策中明确告知用户收集的信息范围、用途和安全措施,并且是否获得用户的同意(如通过勾选同意框等方式)。
对于从第三方获取的数据,要检查是否有合法的授权协议,明确数据的来源是否合规,以及第三方是否有权利转让这些数据。
02
数据处理
核查在数据使用过程中是否对数据进行必要的匿名化或脱敏处理,以保护数据主体的隐私。对于内部数据分析等用途,要查看是否存在过度使用数据的情况,例如使用员工的个人健康数据用于非医疗相关的工作评估,这是不符合合规要求的。
03
数据存储
核查企业是否按照法规要求和自身承诺的期限存储数据。例如,对于一些法定要求保存的数据(如财务审计数据等),需要检查企业是否按照规定的年限进行存储。
04
数据传输
核查数据在传输过程中是否采用了安全的加密技术,以防止数据在网络传输过程中被窃取或篡改。
涉及跨国数据传输时,需要检查是否符合相关国家和地区的数据跨境传输规定。
05
数据销毁
确保企业的数据销毁操作符合国家和地区的数据保护法律法规,例如,对于个人敏感信息,法律要求在数据主体提出删除请求或数据存储目的已达成且无继续留存必要时,企业必须及时、彻底地销毁相关数据。并留下数据销毁的申请、审批、操作和验证记录等文件,以备审计查验。
风险治理及整改
评估工作完成后,需制定相应的风险治理方案,包括加强内部控制、提高员工的数据安全意识、采用加密技术保护数据传输、与第三方签订严格的保密协议等措施。并将方案付诸实践,对执行情况进行持续监控和定期审计评估,及时发现并解决新出现的问题,以确保数据跨境活动的合规性和安全性。
信息及网络安全核查
企业应严格按照国家数据出境要求,构建完备的信息及网络安全管理和技术措施,防止在数据泄露、丢失、被篡改等风险。
信息及网络安全机制
01
数据分类分级
企业应从制度上对数据的分级分类进行管理,从数据的业务影响、合规风险、社会影响范围等维度,根据重要性和敏感性进行分级分类。
02
数据全生命周期管理
企业应针对不同类别和级别的数据建立对应的管控措施,从制度层面对数据采集、存储、处理到分析和应用的整个生命周期进行规范。
03
网络安全
企业应建立网络安全保障机制,包括但不限于部署防火墙,监测异常活动;安装和定期更新防病毒软件,进行定期的系统扫描;以及定期更新与补丁管理,保持操作系统、应用程序及所有相关软件组件处于最新状态等。
04
个人信息保护
企业应遵守国内外对于个人信息保护的监管要求,制定相应的安全保障措施,确保数据主体的知情权得到保障。
05
数据安全事件及应急
企业应针对数据在跨境传输过程中可能出现的泄露、篡改或丢失等风险,制定详细的应急响应计划。构建内外部协同的数据安全事件处理机制,并定期组织相关人员进行演练,以确保预案的有效性和可操作性。
信息及网络安全技术保障
01
数据加密技术
数据加密技术是确保数据安全的核心措施,针对个人隐私和关键数据,根据不同的安全需求实施数据库级别加密、表加密或字段加密等策略。这些加密方法能够有效保护数据在存储过程中免受未授权访问和泄露的风险,保证数据在存储和传输过程中的安全性。
02
数据访问安全
企业需从多方面保障数据访问安全,建立严格的访问控制机制,确保只有经过授权的人员才能访问敏感数据,并运用密码、指纹、动态验证码等识别用户身份;根据员工职能职责和业务需求进行授权管理,精确分配最小化的数据访问权限,并定期审查与更新。
03
数据传输安全
企业应根据数据传输的保密要求,选用合适的传输方式,采用国家标准规定的密码技术及安全传输协议,建立可靠的传输通道,例如,利用虚拟专用网络(VPN)技术,在公用网络上构建专用网络,以确保数据传输的完整性与可靠性,防止数据被篡改或破坏。另外,通过部署监控设备和定期检查等手段,对数据传输过程进行实时监控,及时发现问题并采取阻断措施。
04
数据脱敏技术
数据应基于最小必要原则,在不影响数据跨境需求方,对数据要求的条件下,对真实的生产数据进行脱敏处理。针对个人信息,应通过抑制、泛化、密码技术等实现匿名化处理。
05
数据备份
企业当构建针对出境数据在境内的备份策略体系,对个人信息以及重要数据开展备份工作。并定期开展恢复性测试,检验备份数据的可恢复性与完整性。
06
出境数据的可追溯
企业应保留并维护数据发送及跨境传输的详细日志记录,确保所有数据传输活动的可追溯性。实施严格的安全措施防止关键日志信息遭受未授权访问或篡改,定期执行日志审计流程,保障整个数据出境过程的可追溯性和安全性。
持续关注国内外数据合规动态,不断完善内部的数据合规管理体系,是中国企业在海外市场立足并取得长远发展的关键所在。
未来,数据合规将不仅是企业出海的必备通行证,更是企业构建核心竞争力、赢得国际市场信任的关键要素。
