當(dāng)前位置：CIO → 新聞中心 → 正文

非夕機器人劉歆軼：企業(yè)出海，如何應(yīng)對數(shù)據(jù)跨境合規(guī)問題

責(zé)任編輯：lijing 作者：趙立京 |來源：企業(yè)網(wǎng)D1Net 2023-11-13 15:39:35 原創(chuàng)文章企業(yè)網(wǎng)D1Net

隨著企業(yè)出海進程的加快，越來越多的數(shù)據(jù)開始使用網(wǎng)絡(luò)進行傳輸，數(shù)據(jù)風(fēng)險已經(jīng)成為了企業(yè)發(fā)展中需要格外注意的風(fēng)控問題。非夕機器人CSO劉歆軼在日前召開的“2023廣東(廣州)制造業(yè)CIO沙龍”活動中，詳細(xì)闡述了企業(yè)在全球化進程中面臨的數(shù)據(jù)合規(guī)挑戰(zhàn)。

企業(yè)出海常見的風(fēng)控問題主要包括商業(yè)風(fēng)險、政治風(fēng)險、合規(guī)風(fēng)險三個方面。劉歆軼表示，在激烈競爭和不斷變化的全球市場經(jīng)營環(huán)境中，中國企業(yè)出海要考慮多樣復(fù)雜的商業(yè)風(fēng)險，樹立風(fēng)險意識，提高主體的競爭能力、應(yīng)變能力和發(fā)展能力，加強企業(yè)商業(yè)風(fēng)險管理。受當(dāng)前逆全球化影響，數(shù)字經(jīng)濟領(lǐng)域的網(wǎng)絡(luò)安全等受到各國社會和政府的關(guān)注，中國企業(yè)“走出去”不斷遭遇國際貿(mào)易摩擦和日趨嚴(yán)格的國際環(huán)境。不同國家之間的法律法規(guī)差別較大，監(jiān)管中國企業(yè)“走出去”如果沒有做全面和詳細(xì)的法律合規(guī)風(fēng)險分析，可能出現(xiàn)差錯，引發(fā)嚴(yán)重問題。

縱觀企業(yè)出海的合規(guī)風(fēng)險，可以分為“國際化1.0”和“國際化2.0”兩個階段。

國際化1.0版，是一個相對簡單的國際化模型，即利用中國紅利，比如早期的勞動力紅利，后期的工程師紅利等，以極低的成本結(jié)構(gòu)做出產(chǎn)品或者服務(wù)，再賣到世界各地，即用中國紅利，在全球賣貨。這種模式存在兩個問題：首先是在政治博弈的大背景下，這樣簡單的賣貨方式不再適用。企業(yè)依舊可以推出低價格產(chǎn)品，但是國外市場的大門已經(jīng)關(guān)上。第二個問題是企業(yè)如果只是單純賣貨而沒有形成品牌影響力，只要國外渠道不再需要貨物，企業(yè)就毫無招架之力。

國際化2.0版不再是簡單的賣貨模式，而是真正地深入到海外市場，組織本地生產(chǎn)要素，雇傭本地生產(chǎn)力，針對本地市場，最終變身成一家本地企業(yè)。毫無疑問，2.0版的國際化對中國企業(yè)的挑戰(zhàn)很大，如果能順利轉(zhuǎn)型，得到的紅利也是巨大的。

在國際化2.0合規(guī)中，雙反調(diào)查包括反傾銷調(diào)查、反補貼調(diào)查，這些調(diào)查不僅針對涉案企業(yè)，所有同類產(chǎn)品企業(yè)都受影響。劉歆軼特別提到了中國知識產(chǎn)權(quán)及技術(shù)資料出境管控，并以小米在印度市場被凍結(jié)資產(chǎn)而后又解凍的案例深入講述了知識產(chǎn)權(quán)再出口的問題。

數(shù)據(jù)跨境合規(guī)相關(guān)法規(guī)

隨著各國對數(shù)據(jù)和個人隱私保護監(jiān)管的不斷加強，數(shù)據(jù)跨境合規(guī)問題越來越受到重視。根據(jù)聯(lián)合國貿(mào)易與發(fā)展會議(UNCTAD)統(tǒng)計,截止2022年9月，全球有 71%的地區(qū)有數(shù)據(jù)相關(guān)立法，共計241部法律法規(guī)。縱觀全球數(shù)據(jù)跨境局勢，主要呈現(xiàn)三大趨勢：首先是“數(shù)據(jù)本地化”使得跨境數(shù)據(jù)流動與數(shù)字服務(wù)貿(mào)易呈現(xiàn)“有限性特征”;第二，對涉及國家安全利益的數(shù)據(jù)采取“靈活化”對策;第三，數(shù)據(jù)主權(quán)爭奪加劇。

歐盟數(shù)據(jù)跨境法規(guī)的出發(fā)點在于保障個人數(shù)據(jù)主體的數(shù)據(jù)權(quán)利，因此并不禁止數(shù)據(jù)的跨境流動，也不強制要求本地化，但對數(shù)據(jù)接收方的數(shù)據(jù)保護水平或保障措施等做出了要求。美國奉行寬松的數(shù)據(jù)跨境流動政策，在聯(lián)邦層面并未明確對數(shù)據(jù)跨境流動進行限制。但與歐盟立法偏重個人數(shù)據(jù)權(quán)利保護不同，美國數(shù)據(jù)跨境法規(guī)與貿(mào)易政策深度綁定，對重要或關(guān)鍵部門或領(lǐng)域的數(shù)據(jù)跨境流動進行分散但嚴(yán)格的管控，同時通過立法賦予國內(nèi)執(zhí)法機構(gòu)對境外數(shù)據(jù)進行長臂管轄的權(quán)力。

俄羅斯數(shù)據(jù)跨境法規(guī)的一個顯著特點是更為關(guān)注國內(nèi)數(shù)據(jù)安全，對數(shù)據(jù)跨境流動施行嚴(yán)格管控，提出了數(shù)據(jù)本地化的監(jiān)管策略，俄羅斯數(shù)據(jù)本地化的要求是指相關(guān)公司均需在俄羅斯境內(nèi)的服務(wù)器上存儲和處理俄羅斯公民的個人信息，并將境內(nèi)服務(wù)位置告知聯(lián)邦通信、信息技術(shù)和大眾媒體監(jiān)管局。2023年中國汽車的海外車主用戶數(shù)量急劇增長，尤其是在俄羅斯，中國制造的汽車在俄羅斯市場上的占比已超過40%。隨著車載攝像頭和傳感器被大量運用到現(xiàn)代汽車中，俄羅斯出于安全考慮不僅要求數(shù)據(jù)“本地化存儲”，而且在2023年個人數(shù)據(jù)保護立法的修正案中，給企業(yè)增加了一些新的合規(guī)責(zé)任，包括涉及個人數(shù)據(jù)處理變更和個人信息出境需按照新的要求和程序發(fā)送通知;將個人數(shù)據(jù)銷毀相關(guān)的證據(jù)保存3年的義務(wù);正確報告?zhèn)€人數(shù)據(jù)泄露事件;損害評估新規(guī)則。

在我國，2022年7月，國家互聯(lián)網(wǎng)信息辦公室公布了《數(shù)據(jù)出境安全評估辦法》，自2022年9月1日起施行。《辦法》旨在落實《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個人信息保護法》的規(guī)定，規(guī)范數(shù)據(jù)出境活動，保護個人信息權(quán)益，維護國家安全和社會公共利益，促進數(shù)據(jù)跨境安全、自由流動，切實以安全保發(fā)展、以發(fā)展促安全。

當(dāng)然，相較于歐盟和美國等其他世界主要國家，中國的數(shù)據(jù)跨境管理體系還不夠成熟，在未來完善的過程中還需要注意很多方面的短板。

數(shù)據(jù)出境的三種途徑

在演講中，劉歆軼具體介紹了數(shù)據(jù)出境的三種途徑。

首先，企業(yè)應(yīng)當(dāng)依據(jù)《數(shù)據(jù)出境安全評估辦法》第四條，判斷自身是否符合第四條下的三種情形：

(1)是否構(gòu)成關(guān)鍵信息基礎(chǔ)設(shè)施運營者，或處理100萬人以上個人信息的數(shù)據(jù)處理者。

(2)是否涉及重要數(shù)據(jù)，如《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》中對汽車重要數(shù)據(jù)進行了規(guī)定，因此企業(yè)應(yīng)核實自身行業(yè)是否出臺相關(guān)規(guī)定，判斷是否涉及重要數(shù)據(jù)。

(3)從個人信息出境數(shù)量進行判斷，是否自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息。

若符合上述情形之一的，除數(shù)據(jù)出境安全評估外，企業(yè)不存在其他出境路徑的選擇。企業(yè)應(yīng)當(dāng)立即著手進行數(shù)據(jù)出境風(fēng)險自評估及其他準(zhǔn)備工作。

第二，未符合上述情形的，企業(yè)可選擇個人信息保護認(rèn)證或簽訂《標(biāo)準(zhǔn)合同》。

兩種路徑相比，認(rèn)證流程和內(nèi)容相對復(fù)雜，標(biāo)準(zhǔn)合同簽訂后至省網(wǎng)信部備案即可，流程較為簡單，兩種路徑都存在有效期內(nèi)需要重新申請認(rèn)證/簽訂的情況。其中，認(rèn)證適用于個人信息處理者與境外接收方遵循統(tǒng)一的個人信息跨境處理規(guī)則，且個人信息傳輸?shù)恼吆鸵?guī)模應(yīng)當(dāng)較為穩(wěn)定，更適用于頻發(fā)、長期的數(shù)據(jù)傳輸活動，例如跨國集團、關(guān)聯(lián)實體。

標(biāo)準(zhǔn)合同條款適用于少量、偶發(fā)，場景直接、清晰的個人信息出境，由于標(biāo)準(zhǔn)合同簽訂流程短、生效快，只要合同相對人達成合意，即可開展出境活動，且出境活動發(fā)生一定變動還需要重新簽訂合同，可能對正常的業(yè)務(wù)流程造成一定影響，因此標(biāo)準(zhǔn)合同更適合少量個人信息的單次出境活動，例如單次跨境商業(yè)交易或合作。

第三，選擇合適的出境路徑后，個人信息處理者應(yīng)當(dāng)按照監(jiān)管的相關(guān)要求執(zhí)行相關(guān)的合規(guī)要求，履行相關(guān)數(shù)據(jù)安全保障等義務(wù)，如完成自評估工作、對境外接收方進行調(diào)查、簽署相關(guān)法律文件等。

第四，持續(xù)跟蹤。數(shù)據(jù)出境安全評估結(jié)果的有效期只有2年，個人信息保護認(rèn)證的有效期為3年，并且發(fā)生一定情形時還應(yīng)當(dāng)重新申報，標(biāo)準(zhǔn)合同在出境活動發(fā)生一定變化時需要重新簽署，個人信息保護影響評估在一定條件下應(yīng)重新進行。企業(yè)應(yīng)持續(xù)關(guān)注這些合規(guī)義務(wù)，注意識別是否發(fā)生相應(yīng)應(yīng)重新評估或申報的條件，也應(yīng)持續(xù)監(jiān)督境外接收方的個人信息處理活動，以及監(jiān)管部門是否提出個人信息出境的補充合規(guī)要求。

隨后，劉歆軼介紹了全球主要隱私法律概述，包括歐盟的《通用數(shù)據(jù)保護條例》，美國的《加州消費者隱私法》和《兒童在線隱私權(quán)保護法》，中國的《個人信息保護法》和《數(shù)據(jù)出境安全評估辦法》。

如何應(yīng)對數(shù)據(jù)跨境合規(guī)問題

針對企業(yè)數(shù)據(jù)跨境合規(guī)問題的應(yīng)對，劉歆軼先是以企業(yè)網(wǎng)站cookie的設(shè)置為例，詳細(xì)解釋了《GDPR》中對“用戶告知義務(wù)”的具體落地方法，主要包括以下五點：

1、企業(yè)應(yīng)當(dāng)在用戶進入網(wǎng)站或應(yīng)用平臺的第一時間，在進入頁面或端口，向用戶提交cookie隱私協(xié)議申請。

2、充分告知用戶cookie的相關(guān)信息。

3、用戶能夠就不同種類的cookie做出接受與否的選擇;企業(yè)不能將提供全部個人信息的cookie作為瀏覽網(wǎng)頁的前提條件。

4、同理，在征求用戶同意時，企業(yè)應(yīng)當(dāng)設(shè)置單獨、明顯的cookie隱私協(xié)議界面，不能將使用cookie與其他內(nèi)容相混淆。

5、確保用戶在cookie隱私協(xié)議界面做出“積極”的意思表示。

接下來，劉歆軼建議涉及到出海業(yè)務(wù)的企業(yè)，都應(yīng)盡快建立并運行一套完善的合規(guī)管理體系。

企業(yè)在制定合規(guī)管理體系時，首先應(yīng)該明確合規(guī)管理體系的范圍和目標(biāo)，以確保其符合國家法律法規(guī)和政策要求，同時也滿足企業(yè)自身的實際需求。在明確合規(guī)目標(biāo)后，企業(yè)需要制定相應(yīng)的合規(guī)策略，包括風(fēng)險評估、合規(guī)政策制定、合規(guī)培訓(xùn)和管理等方面。之后企業(yè)需要根據(jù)自身的實際情況，建立符合國家法律法規(guī)和政策要求的合規(guī)管理體系，并進行相應(yīng)的內(nèi)部管理和外部認(rèn)證。合規(guī)管理體系應(yīng)包括合規(guī)框架、合規(guī)政策、合規(guī)培訓(xùn)、合規(guī)監(jiān)督和評估等方面。

建立合規(guī)管理體系后，企業(yè)需要全面執(zhí)行合規(guī)體系，包括合規(guī)政策的通知和培訓(xùn)、合規(guī)監(jiān)督和檢查、合規(guī)風(fēng)險評估和預(yù)警等方面。

最后，劉歆軼表示，合規(guī)管理體系的建立和執(zhí)行是一個持續(xù)改進的過程，企業(yè)需要不斷反思和總結(jié)經(jīng)驗，及時調(diào)整和修正合規(guī)政策和管理措施，以確保合規(guī)管理體系的有效性和持續(xù)改進。

更多精彩，敬請鎖定第1培訓(xùn) D1edu直播間

11月15日(周三)晚8點，數(shù)據(jù)安全專家劉歆軼老師做客第1培訓(xùn) D1edu直播間，干貨分享《企業(yè)出海數(shù)據(jù)合規(guī)》解析數(shù)據(jù)合規(guī)關(guān)鍵點，了解法規(guī)，降低風(fēng)險。