1、企业数据跨境合规与技企业数据跨境合规与技术应用白皮书术应用白皮书(20232023)中国联通研究院中国联通网络安全研究院下一代互联网宽带业务应用国家工程研究中心2023 年 11 月企业数据跨境合规与技术应用白皮书(2023)目录目录前 言.1一、全球数据跨境流动背景.31.1 数据跨境驱动全球数字经济加速增长.31.2 各国加快构建自身数据跨境流动规则.41.3 我国数据跨境流动监管面临较大挑战.6二、我国数据跨境政策环境与重点内容解读.82.1 我国数据跨境监管制度.92.2 数据出境合规路径判断方法.122.3 数据出境合规路径实施流程.152.4 数据出境所涉基本概念.182.5 数据
2、出境典型场景.20三、企业数据跨境合规治理体系建设.233.1 组织机构建设.243.2 制度体系建设.263.3 合规路径操作实践.273.4 保障体系建设.283.5 技术防护措施.30四、数据跨境安全管理发展建议.394.1 健全数据出境制度体系与保护机制.394.2 强化数据跨境技术创新研究与应用.40企业数据跨境合规与技术应用白皮书(2023)4.3 推动数据跨境协同治理与国际交流合作.41附录:数据出境相关法律法规和国家标准.43参考文献.45企业数据跨境合规与技术应用白皮书(2023)表目录表目录表 2-1 我国法律规制的数据出境合规路径.10表 2-2 数据出境合规路径适用情形
3、.11表 2-3 规定(征求意见稿)出台后合规路径适用情形.12表 2-4 数据出境行为模式一.21表 2-5 数据出境行为模式二.22表 3-1 传统联邦学习和安全联邦学习的比较.36图目录图目录图 2-1 数据出境安全评估流程.16图 2-2 个人信息出境标准合同备案流程.17图 3-1 数据跨境合规治理框架.24图 3-2 基于区块链网络的跨境数据流动示意图.37企业数据跨境合规与技术应用白皮书(2023)-1-前 言在数字经济背景下,数据已经成为国家战略资源和关键生产要素,也是企业的核心竞争资产。伴随着经济全球化,数据跨境活动日益频繁,数据出境场景越来越多,防范数据出境安全风险,保障数
4、据依法有序自由流动成为我国关注的重要方面。目前,我国数据出境安全管理体系已经初步构建形成。网络安全法数据安全法个人信息保护法确立了数据出境的基本原则和主要路径,数据出境安全评估办法个人信息出境标准合同办法个人信息保护认证实施规则等进一步明确了不同数据出境路径的具体要求。企业作为数据跨境活动最活跃的主体之一,无可避免的成为履行数据跨境合规义务的重要主体,但在具体实践中,如何采取相应的措施、采取哪些措施仍面临许多问题,比如:如何判断是否需要申报数据出境安全评估,或订立并备案个人信息出境标准合同,或通过个人信息保护认证?三条路径具体应如何实施?能够采取哪些方法和手段防范数据出境安全风险?本白皮书力图
5、从分析政策、剖析概念、归纳方法、总结举措等方面,尽可能全面、系统地整理当前我国数据跨境的有关法律法规和实施举措,希望为提高有关企业或个人对数据跨境制度的认识和理解,增强经营管理和业务开展过程中对数据出境合规风险的防范意识,强化数据出境合规管理贡献力量。企业数据跨境合规与技术应用白皮书(2023)-2-本白皮书由中国联通研究院主笔,中国联通集团网络与信息安全部、联通数字科技有限公司数据智能事业部、中国联通国际有限公司、中兴通讯股份有限公司、北京市环球律师事务所联合编写。编写组成员编写组成员(排名不分先后):总策划:总策划:苗守野、李浩宇、叶晓煜编委会编委会:徐雷、杨锦洲、吴钢、马瑞涛、林海、张航
6、、陶冶、曹咪、孙艺、吴连勇、李佳杭、康旗、刘亚琪、孟洁、王程、刘洋、李冰、陈靖、杨晓蔚、韩莹莹、薛竞、黄一申、李佳敏、孙进芳、杨开敏、赵灿、刘宇健、张钦华企业数据跨境合规与技术应用白皮书(2023)-3-一、一、全球数据跨境流动背景全球数据跨境流动背景当前,以 5G、云计算、大数据、人工智能等为代表的新一代信息通信技术快速发展并逐渐跨界融合,加速推进全球数字化转型和国际数字贸易发展。数据作为新型生产要素,数据跨境流动在当今数字经济中扮演着重要角色,因其机遇与风险并存,已经成为各个国家和地区重点关注的议题之一。1 1.1.1 数据跨境数据跨境驱动驱动全球全球数字经济数字经济加速加速增长增长数据跨
7、境安全有序流动是数据要素高效运转流动的关键环节,自2008 年以来,跨境数据流动对全球经济增长的贡献已经超过传统的跨国贸易和投资,支撑了包括商品、服务、资本、人才等其他几乎所有类型资源的全球化活动,已经成为驱动数字经济增长的主要力量。数据跨境流动是经济全球化的必然结果,也是当下和未来经济发展的常态。数据跨境流动对于促进数字创新、提高经济增长效率和增进社会福祉具有重要意义。一是促进国际贸易高质量发展一是促进国际贸易高质量发展。跨境数据流动已成为推动经济全球化与国际贸易发展的重要力量。作为国际贸易发展的最新趋势,数字贸易在提升贸易效率、拓展贸易对象、降低贸易成本、丰富贸易业态等方面发挥着重要作用。
8、企业数据跨境合规与技术应用白皮书(2023)-4-二是加速企业发展国际化进程二是加速企业发展国际化进程。企业作为市场主体,其业务模式和经营模式引发高频化、规模化且常态化的跨境数据流动,在全球产业分工日趋细化的背景下,企业的海外业务布局通常涉及多个国家,数据的集中协同处理是企业经营的客观需求。企业跨境数据流动可促进各类资源要素畅通流动以及各行业市场主体加速融合,帮助企业持续推动自身运营方式改善、供应链优化与商业模式创新,助力企业实现资源的高效配置。跨境数据流通是推动人才流、物流、资金流和信息流跨域自由流转的基础,在推动企业全球化等方面发挥着积极作用。三是驱动数字经济加速增长三是驱动数字经济加速增
9、长。全球数据流动对经济增长有明显的拉动效应,据麦肯锡估算,数据流动量每增加 10%,将带动 GDP 增长 0.2%。预计到 2025 年,全球数据流动对经济增长的贡献将达到11 万亿美元。据经济合作与发展组织(OECD)测算,数据流动对各行业利润增长的平均促进率在 10%,在数字平台、金融业等行业中可达到 32%。依托数字技术和信息网络推动数据跨境流动,可带动各类资源要素高效流动、各类市场主体加速融合,促进数字经济做强做优做大。1 1.2.2 各国加快构建自身数据跨境各国加快构建自身数据跨境流动流动规则规则数据跨境流动给数字经济发展带来了强大的推动作用,但是数据跨境后也隐藏着不受控的安全风险。
10、当前,国际上广泛认为,数据跨境流动不仅包括物理意义上的跨越国界,还包含第三国主体对数据的企业数据跨境合规与技术应用白皮书(2023)-5-跨境访问和使用。随着经济全球化的发展,国际交流合作愈加频繁,数据跨境传输、存储、访问、使用的频次大幅上升,所带来的安全风险渗透至数据全生命周期,且随着数据跨境流动的范围不断扩大,产生的风险从个人隐私保护、商业利益保护升级跃迁至国家数据主权甚至国家安全。随着各国对数据跨境流动意义和影响的认识日益深入,数据跨境流动逐步成为国家和地区间博弈的重要问题。基于国家安全、经济发展、隐私保护、技术能力等多方面的考量,各国确立了不同的数据跨境流动策略,并基于此加快构建自身的
11、数据跨境流动规则体系。分国家层面来看分国家层面来看,当前,数据跨境流动规则还处在探索阶段,各国对于数据跨境流动规则尚未形成共识,整体呈现多元性与差异化的特点。比如,美国美国采取的策略是理念上主张全球数据自由流动,实践中构建数据“单向”流动格局。欧盟欧盟“两手都要抓,两手都要硬”,双边场合推动数据互认标准,多边场合提倡数据自由流动,在强化个人隐私数据保护的同时,提升数据竞争优势。日本日本对数据跨境流动的限制性条件较少,但强调对涉及国家安全的敏感或关键数据进行监管。俄罗斯俄罗斯要求俄公民个人数据收集必须使用位于俄境内的数据库。印度印度将个人数据分为一般个人数据、敏感个人数据和关键个人数据,一般个人
12、数据和敏感个人数据在境内存储副本的条件下可跨境流动,关键个人数据仅能存储在印度境内的服务器或数据中心,绝对禁止离境。澳大利亚澳大利亚、加拿大加拿大、韩国韩国、巴西巴西等国支持数据自由流动,但主张将保企业数据跨境合规与技术应用白皮书(2023)-6-护个人隐私和国家安全写入例外条款,包括实现公共政策目标、保护个人隐私安全、保护国家安全等。截至目前,全球已有 70 多个国家或地区对数据跨境流动进行了不同程度的限制。从当前国际数字贸易相关协定来看从当前国际数字贸易相关协定来看,数据跨境流动规则正在成为高水平贸易协定的重要标志,无论是发达国家成员主导的全面与进步跨太平洋伙伴关系协定(CPTPP)和数字
13、经济伙伴关系协定(DEPA),还是发展中国家成员签署的区域全面经济伙伴关系协定(RCEP),保障数据合理数据跨境流动都是其中的核心条款。各国限制数据跨境流动的规章制度存在显著差异,而且具有明显的冲突性,给数据跨境流动带来了很大难度。但是国际主流的跨境管理思想较为统一:基于数据的重要程度,分类分级的开展数据跨境管理工作,并在既有的国际合作框架下探索数据跨境合作,在经济发展、数据安全、国际环境三者约束条件下,形成数据跨境流动规则。1 1.3 3 我我国数据跨境国数据跨境流动流动监管监管面临面临较大较大挑战挑战我国明确将数据作为新型生产要素,据数字中国发展报告(2022 年)数据显示,2022 年我
14、国数据产量达 8.1ZB,同比增长 22.7%,占全球数据总产量的 10.5%,位居全球第二;我国数字经济规模达 50.2 万亿元,占国内生产总值比重提升至 41.5%。我国已经发展成为全球第二大数字经济体,数据跨境流动在数字经济中的作用愈发重要。但是如何在维护好国家数据安全、保护好个人信息权企业数据跨境合规与技术应用白皮书(2023)-7-益的前提下促进数据有序流动成为当前面临的难题,我国数据跨境流动监管也面临较大挑战。一是一是数据跨境流动隐蔽性强数据跨境流动隐蔽性强,难以难以有效监管有效监管。数据跨境流动深植于国际贸易、交往互动中,处理过程涉及多方参与协商,数据流动隐蔽性高,增加了数据跨境
15、流动监管的复杂度。隐蔽的方式包括通过恶意软件采集、网络爬虫抓取或其他非法方式获取他人未授权的数据并流转使用。全球经济一体化背景下,数据是否以隐蔽且未授权的方式流动出境,成为数据出境安全治理亟需重点关注的问题,准确识别数据的不合法出境是数据跨境安全治理的基础。二是二是数据跨境量级指数递增数据跨境量级指数递增,分类监管难度较大分类监管难度较大。随着互联网的快速普及,海量数据不断汇聚积累,呈现出“数据海量化、种类多样化、处理快速化”等特点,这些数据遍布通信、金融、能源、交通等各个行业领域,数据格式混杂多样,数据价值各有不同,在数据跨境流动过程中,如何对海量的数据进行全面梳理分类和有效监管仍是挑战。数
16、据规模庞大、数据流转实时变化、数据持续聚合拆分,增加了数据分类分级的难度。数据级别评估基准不统一,对重复加工生成的衍生数据状态判断不明,使得数据跨境流动风险难以有效判定。三是三是数据跨境攻击不断升级数据跨境攻击不断升级,数据安全态势严峻数据安全态势严峻。随着数据价值不断提升,以数据为目标的跨境攻击愈加频繁,数据跨境攻击技术持续升级,攻击者的组织形式趋于集中化、专业化;攻击对象日益渗透企业数据跨境合规与技术应用白皮书(2023)-8-至管、网、云、端等各环节以及各类网络设备、软硬件、关键信息基础设施等;攻击方式走向智能化、多样化,以人工智能等新技术为载体的攻击方式不断演变升级,难以防范。近年来,
17、我国积极构建实施数据保护相关的法律法规我国积极构建实施数据保护相关的法律法规,秉持秉持“统统筹安全和发展筹安全和发展”的理念的理念,关注国家利益、公共安全与国际合作,探寻合规高效的跨境数据流动规则。我国立法明确提出“坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展”“积极开展数据安全治理、数据开发利用等领域的国际交流与合作,促进数据跨境安全、自由流动”的政策目标。同时,我国遵循多元共治的理念,在数据出境国际规则构建中,兼顾发达国家关注数字贸易利益以及发展中国家关注数据安全与产业发展利益的情况,支持基于公共政策目标或者国家安全利益而采取的数据本地化策略,与各国在独立
18、自主基础上的开展合作与治理。一直以来,我国积极参与国际交流合作,逐步构建完善国内数据要素治理的顶层法律法规,推进具体落地实施,目前基本形成了符合我国数字经济发展要求的数据跨境流动规则。二、二、我国我国数据跨境数据跨境政策政策环境与重点内容解读环境与重点内容解读我国的数据跨境流动规则已基本建立,本章将进行归纳分析,剖析重要数据、个人信息、关键信息基础设施等基本概念,总结数据出企业数据跨境合规与技术应用白皮书(2023)-9-境合规路径的判断方法与实施流程,并以举例形式详细阐述数据出境的典型场景。2 2.1.1 我国数据跨境监管制度我国数据跨境监管制度近年来,我国相继出台网络安全法网络安全法数据安
19、全法数据安全法和和个人个人信息保护法信息保护法,对网络安全、数据安全、个人信息保护进行了制度要求,也为数据跨境流动构建了基础框架。虽然理论上数据跨境分为数据出境和数据入境,但我国主要规制数据出境活动,故本次报告主要从数据出境的角度进行切入探讨。总体来看,前述三部法律主要从重要数据和个人信息保护两个维度监管数据出境活动,建立了“数据出境安全评估”、“个人信息保护认证”和“标准合同条款”三大合规路径,具体要求如表 2-1 所示。其中,数据安全法和个人信息保护法还明确,向外国司法或者执法机构提供数据,应经主管机关批准。个人信息处理者向境外提供个人信息前应履行相应的义务,包括:基于个人同意向境外提供个
20、人信息的,应当取得个人信息主体同意;数据出境前应当开展个人信息保护影响评估等。企业数据跨境合规与技术应用白皮书(2023)-10-表表 2-12-1 我国法律规制的数据出境合规路径我国法律规制的数据出境合规路径法律名称法律名称生效日期生效日期规制数据规制数据规制主体规制主体合规路径合规路径网络安全法网络安全法2017 年6 月 1 日重要数据重要数据个人信息个人信息关键信息基础设施运营者关键信息基础设施运营者向境外提供,应当进行安全评估安全评估数据安全法数据安全法2021 年9 月 1 日重要数据重要数据关键信息基础设施运营者关键信息基础设施运营者向境外提供,应当进行安全评估安全评估其他数据处
21、理者遵照国家网信部门会同国务院有关部门制定的办法个人信息保护法个人信息保护法2021 年11 月 1 日个人信息个人信息国家机关向境外提供,应当进行安全评估安全评估关键信息基础设施运营者关键信息基础设施运营者处理个人信息达到国家网信部门规定数量的个人信息处理者其他个人信息处理者向境外提供,应当具备下列条件之一:(1)通过国家网信部门组织的安全评估安全评估;(2)按照国家网信部门的规定经专业机构进行个人信息保护认证个人信息保护认证;(3)按照国家网信部门制定的标准合同与境外接收方订立合同订立合同,约定双方的权利和义务;(4)法律、行政法规或者国家网信部门规定的其他条件其他条件。随后,国家互联网信
22、息办公室(以下简称“国家网信办”)陆续发布数据出境安全评估办法数据出境安全评估办法个人信息保护认证实施规则个人信息保护认证实施规则个个人信息出境标准合同办法人信息出境标准合同办法(以下分别简称评估办法认证实施规则 合同办法)等,进一步明确了“数据出境安全评估”、“个人信息保护认证”和“标准合同条款”的实施细则,我国数据出境监管制度已基本建立。三大合规路径的适用情形如表 2-2 所示。企业数据跨境合规与技术应用白皮书(2023)-11-表表 2-22-2 数据出境合规路径适用情形数据出境合规路径适用情形部门规章部门规章生效日期生效日期适用情形适用情形配套文件配套文件数据出境安全评数据出境安全评估
23、办法估办法2022 年9 月 1 日数据出境安全评估适用于以下四种情形:(1)数据处理者向境外提供重要数据重要数据;(2)关键信息基础设施运营者和处理 100100 万人以上个人信息的数据处理者向境外提供个人信息个人信息;(3)自上年 1 1 月 1 1 日起累计向境外提供 1010 万人个人信息或者 1 1 万人敏感个人信息敏感个人信息的数据处理者向境外提供个人信息个人信息;(4)国家网信部门规定的其他其他需要申报数据出境安全评估的情形。数据出境安全评估申报指南(第一版)(以下简称 评估申报指南)个人信息保护认个人信息保护认证实施规则证实施规则2022 年11 月 4日对个人信息处理者开展个
24、人信息跨境等处理活动进行认证信息安全技术 个人信息安全规范网络安全标准实践指南个人信息跨境处理活动安全认证规范V2.0个人信息个人信息出境标出境标准合同办法准合同办法2023 年6 月 1 日通过标准合同方式向境外提供个人信息应同时符合同时符合下列情形:(1)非关键信息基础设施运营者;(2)处理个人信息不满 100100 万人的;(3)自上年 1 1 月 1 1 日起累计向境外提供个人信息不满 1010 万人的;(4)自上年 1 1 月 1 1 日起累计向境外提供敏感个人信息不满 1 1 万人的。法律、行政法规或者国家网信部门另有规定的,从其规定。个人信息出境标准合同备案指南(第一版)2023
25、 年 9 月 28 日,国家网信办发布规范和促进数据跨境流规范和促进数据跨境流动规定动规定(征求意见稿征求意见稿)(以下简称规定(征求意见稿),向社会公开征求意见,拟对申报数据出境安全评估、订立个人信息出境标准合同等的适用门槛进行调整,这一变化预计将在很大程度上减轻企业的数据出境合规负担,降低数据出境成本,进一步规范和促进数据依法有序自由流动。规定(征求意见稿)明确,“数据出境安全评估办法、个人信息出境标准合同办法等相关规定与本规定不一致的,按照本规定执行”。根据规定(征求意见稿),“数据出境安全评估”、“个人信息保护认证”和“标准合同条款”的适企业数据跨境合规与技术应用白皮书(2023)-1
26、2-用情形将发生变化,总结如表 2-3 所示。表表 2-32-3 规定规定(征求意见稿)出台后合规路径的适用情形(征求意见稿)出台后合规路径的适用情形合规路径合规路径规定规定(征求意见稿)出台后的适用情形(征求意见稿)出台后的适用情形申报数据出境安全评估申报数据出境安全评估(1)向境外提供重要数据;(2)国家机关和关键信息基础设施运营者向境外提供个人信息;(3)预计一年内向境外提供 100 万人以上个人信息。订立个人信息出境标准合同订立个人信息出境标准合同或通过个人信息保护认证或通过个人信息保护认证(1)预计一年内向境外提供 1 万人以上、不满 100 万人个人信息。豁免豁免(1)预计一年内向
27、境外提供不满 1 万人个人信息;(2)国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境,不包含个人信息或者重要数据;(3)不是在境内收集产生的个人信息向境外提供;(4)为订立、履行个人作为一方当事人的合同所必需,如跨境购物、跨境汇款、机票酒店预订、签证办理等,必须向境外提供个人信息的;(5)按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理,必须向境外提供内部员工个人信息的;(6)紧急情况下为保护自然人的生命健康和财产安全等,必须向境外提供个人信息的;(7)自由贸易试验区负面清单外的数据出境。建议企业对规定(征求意见稿)的正式出台保持关注,以便根据规定(征求意见稿)
28、的正式发布版本及时调整、确认自身适用的数据出境合规路径。我国现有数据出境相关的法律法规和国家标准情况详见附录。2 2.2.2 数据出境合规路径数据出境合规路径判断方法判断方法根据我国现行法律法规政策要求,企业在数据出境时应结合自身的主体类型、出境数据类型和数量等因素,综合判断是否需要申报并通过数据出境安全评估;订立并备案个人信息出境标准合同;或通过个人信息保护认证。具体应当适用何种路径,可参考如下判断方法。企业数据跨境合规与技术应用白皮书(2023)-13-1.1.判断判断出境出境数据类型数据类型 重要数据出境,应当申报数据出境安全评估。个人信息出境,则需进一步判断数据出境主体的性质、涉及个人
29、信息主体数量。向境外提供涉及党政军和涉密单位敏感信息、敏感个人信息的,依照有关法律、行政法规、部门规章规定执行。2.2.判断判断数据数据出境主体出境主体个人信息出境,如果出境主体属于关键信息基础设施运营者,确因业务需要向境外提供,应当申报数据出境安全评估。如果不属于,则需进一步判断出境所涉及的个人信息主体数量。3.3.判断出境数据数量判断出境数据数量若规定(征求意见稿)正式出台的版本与本次征求意见稿内容保持一致,那么数据出境数量对应的合规路径的判断方法如下:预计一年内向境外提供 100 万人以上个人信息的,应当申报数据出境安全评估。预计一年内向境外提供 1 万人以上、不满 100 万人个人信息
30、的,需要进行个人信息出境标准合同备案或个人信息保护认证,但可以不申报数据出境安全评估。预计一年内向境外提供不满 1 万人个人信息的,属于豁免情形,即不需要申报数据出境安全评估、订立个人信息出境标准合同、企业数据跨境合规与技术应用白皮书(2023)-14-通过个人信息保护认证。需要说明的是,企业在实际工作中,应以当时的应以当时的生效生效规定为准规定为准。4.4.判断是否属于豁免情形判断是否属于豁免情形规定(征求意见稿)列明了不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的情形,以下情况属于豁免情形。不包含个人信息或者重要数据不包含个人信息或者重要数据:国际贸易、学术合
31、作、跨国生产制造和市场营销等活动中产生的数据出境,不包含个人信息或者重要数据的。个人信息过境个人信息过境:不是在境内收集产生的个人信息向境外提供。履行合同所必履行合同所必需需:为订立、履行个人作为一方当事人的合同所必需,如跨境购物、跨境汇款、机票酒店预订、签证办理等,必须向境外提供个人信息的。人力资源管理所必须人力资源管理所必须:按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理,必须向境外提供内部员工个人信息的。紧急情况所必须紧急情况所必须:紧急情况下为保护自然人的生命健康和财产安全等,必须向境外提供个人信息的。未列入未列入自贸区负面清单自贸区负面清单的数据的数据:自贸区可自行制
32、定数据出境“负面清单”,报经省级网络安全和信息化委员会批准后,报企业数据跨境合规与技术应用白皮书(2023)-15-国家网信部门备案后生效。自贸区企业向境外传输“负面清单”之外的数据,无需适用三大数据出境合规路径。上述豁免场景中提及的部分定义仍需被进一步阐释说明,涉及的数据类型和范围也需要被进一步明确。此外,虽然规定(征求意见稿)阐述了多类出境豁免情形,但这并不意味着由此豁免了企业数据出境活动的事前数据安全保护义务、管理义务和安全事件发生后的报告义务。因此,企业应关注规定(征求意见稿)正式稿的发布情况,对企业自身数据出境涉及的豁免情形进行识别认定,以满足数据出境合规义务要求。另外,还须注意的是
33、,数据出境安全评估是法律的强制要求。企业一旦达到触发条件,则必须开展安全评估,不存在所谓选择数据出境路径的问题。2.32.3 数据出境合规路径实施流程数据出境合规路径实施流程2.3.12.3.1 数据出境安全评估数据出境安全评估若企业适用数据出境安全评估路径,则需要遵守 评估办法 评估申报指南中明确的数据出境安全评估的申报方式及相关流程。其中,企业应按要求提交申报材料,包括统一社会信用代码证件影印件、法定代表人身份证件影印件、经办人身份证件影印件、经办人授权委托书、数据出境安全评估申报书、与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件、数据出境风险自评估企业数据跨境合规与技术应
34、用白皮书(2023)-16-报告以及安全评估工作需要的其他材料。提交材料形式包括书面材料和电子版材料。此外,因评估申报指南要求提交的材料的语言必须是中文,如果企业准备的材料只有非中文版本,则必须同时提交准确的中文译本。企业还应严格按照评估申报指南准备和提交上述各项材料,如提交的材料不够完整,申请可能被退回。根据评估办法的要求,数据出境安全评估整体流程期间为57+N 天(5+7+45+N,N 代表补充材料审核时间);如涉及复评的,则为 72+N(57+N+15)天。具体流程如图 2-1 所示。图图 2-12-1 数据出境安全评估流程数据出境安全评估流程2.3.22.3.2 个人信息出境标准合同个
35、人信息出境标准合同若企业适用个人信息出境标准合同路径,则需要明确个人信息出境标准合同的签署及备案流程。其中,企业需要重点关注以下义务:首先,根据 个人信息保护法 第五十五条、第五十六条以及 合同办法第五条规定,企业应当事前针对个人信息出境活动进行个人信息保护影响评估,并对处理情况进行记录,形成个人信息保护影响企业数据跨境合规与技术应用白皮书(2023)-17-评估报告并至少保存三年。其次,企业在签署标准合同后,应遵守合同办法第三、六、七条的规定,履行标准合同备案要求,即在标准合同生效后方可开展个人信息出境活动,在标准合同生效之日起 10 个工作日内,向所在地省级网信部门提交标准合同和个人信息保
36、护影响评估报告等材料进行备案。省级网信部门在收到材料后,会在 15 个工作日内完成材料完备性查验,并通知个人信息处理者备案结果。具体流程如图 2-2所示。图图 2-22-2 个人信息出境标准合同备案流程个人信息出境标准合同备案流程2.3.32.3.3 个人信息保护认证个人信息保护认证若企业适用个人信息保护认证路径,则需要遵守关于开展个人信息保护认证工作的公告及认证实施规则中关于个人信息保护企业数据跨境合规与技术应用白皮书(2023)-18-认证流程的相关规定。对于跨境数据处理活动的个人信息保护认证的依据则为信息安全技术 个人信息安全规范以及网络安全标准实践指南个人信息跨境处理活动安全认证规范
37、V2.0。具体的认证模式为“技术验证+现场审核+获证后监督”。其中,技术验证是指由专门技术验证机构按照认证方案实施技术验证,并出具技术验证报告。现场审核是指由认证机构实施现场审核,并出具现场审核报告。认证机构会根据技术验证报告、现场审核报告和其他相关资料信息进行综合评价,并作出认证决定。对符合认证要求的,颁发认证证书;对暂不符合认证要求的,可要求限期整改,整改后仍不符合的,以书面形式通知终止认证。此外,认证机构会在认证有效期内采取适当的方式实施获证后监督,确保获得认证的个人信息处理者持续符合认证要求。需要注意的是,除上述数据出境合规路径之外,企业的数据跨境传输活动还可能同时会触发其他的审批程序
38、。例如,根据网络安全审查办法第二条,企业的数据出境活动影响或者可能影响国家安全的,应按照该办法进行网络安全审查等。2.42.4 数据出境所涉数据出境所涉基本概念基本概念数据出境场景复杂,尤其是数据类别、数据处理者身份等因素的不同,也会导致所适用的数据出境合规路径大有不同。因此,准确把握相关基本概念对有效识别数据出境合规路径及相应风险意义重大。企业数据跨境合规与技术应用白皮书(2023)-19-本部分以相关法律法规和规范性文件为基础,对数据出境所涉及的几项基本概念展开介绍。2.4.12.4.1 重要数据重要数据根据评估办法,重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国
39、家安全、经济运行、社会稳定、公共健康和安全等的数据。2.4.22.4.2 个人信息个人信息个人信息保护法明确了个人信息与敏感个人信息的概念,即个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。判断处理的信息是否为个人信息时,应重点关注其是否“已识别”或“可识别”自然人个人身份,只要有可能识别到特定个人,则应按个人信息的标准对待和处理。
40、只有被真正匿名化处理过的信息,才不属于个人信息。判断处理的信息是否涉及敏感个人信息,可以结合该信息对数据主体权益的影响程度、是否属于特殊类型数据、以及结合信息安全技术 个人信息安全规范 的附录举例表等进行综合判断。企业数据跨境合规与技术应用白皮书(2023)-20-2.4.32.4.3 关键信息基础设施关键信息基础设施关键信息基础设施安全保护条例 明确了关键信息基础设施的定义,即关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信
41、息系统等。2 2.5.5 数据出境典型场景数据出境典型场景综合个人信息保护法评估申报指南等相关法律规章及国家标准的规定,在判断数据处理行为是否涉及构成数据出境时,可以结合业务场景分别从“被传输数据是否在 境内运营中 收集和产生”以及“是否属于数据出境活动”两方面来判断。2.5.12.5.1 被传输数据是否属于在被传输数据是否属于在“境内运营中境内运营中”收集和产生收集和产生对于对于“境内运营境内运营”的概念的概念,现行生效的政策文件尚未明确定义,但实务中一般认定为是网络运营者在中国境内开展业务,或向中国境内提供产品或服务的活动。判断网络运营者是否在境内运营不以其是否在境内注册实体,而是关注企业
42、是否面向境内开展业务,或提供产品或服务,包括但不限于以下参考因素:是否以为中国境内居民提供服务为目的;提供产品和服务的过程中是否使用了中文;是否提供了可以用人民币作为结算货币的选项;企业数据跨境合规与技术应用白皮书(2023)-21-是否向中国境内配送物流等。在实践中,如果境内外的网络运营者仅向境外机构、组织或个人开展业务、提供商品或服务,且不涉及境内公民个人信息和重要数据的,均不视为境内运营。2.5.22.5.2 是否属于是否属于数据出境活动数据出境活动评估申报指南明确数据出境活动主要包括两种行为模式。一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外;二是数据处理者收集和产生的数
43、据存储在境内,境外的机构、组织或者个人可以访问、查询、调取、下载、导出。在上述两种行为模式下,实践中企业常见的几类数据出境场景分别如表 2-4 和表 2-5 所示。表表 2-42-4 数据出境行为模式一数据出境行为模式一:数据处理者数据处理者将在境内运营中收集和产生的数据传输、存储至境外将在境内运营中收集和产生的数据传输、存储至境外序号序号场景示例场景示例图示图示境内主体将在境内运营中收集和产生的数据从境内服务器传输至境外的服务器。例例:某公司将收集的境内业务数据上传至境内服务器,随后传输至境外母公司服务器。境内运营的终端(如 App 等应用)采集的数据“直接存储”至境外服务器。例例:某款服务
44、器位于新加坡的 App 将在境内收集的用户数据直接存储于新加坡。企业数据跨境合规与技术应用白皮书(2023)-22-境外主体委托境内或境外第三方供应商代为收集境内主体在境内运营中产生的数据。例例:公司聘请第三方机构代为招聘员工,由第三方机构将收集的拟聘请员工数据传输至境外,供境外母公司进一步评估考核。境内主体委托境内或境外第三方供应商处理其在境内运营中产生的数据,并传输给境外主体。例:例:境内子公司委托境外数据分析供应商处理境内运营数据,供应商按照子公司委托将数据进一步传输至境外母公司。境外公司直接向中国境内个人或用户提供产品或服务,且于境外直接收集境内产生的用户数据。例例 1 1:在公司招聘
45、的过程中,由应聘人员直接访问境外企业网站填写相关个人信息。例例 2 2:境外母公司通过部署在境外的全球人力资源管理系统直接收集境内子公司的员工数据。表表 2-52-5 数据出境数据出境行为模式二:数据处理者收集和产生的数据存储在境内,行为模式二:数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以访问或者调用(公开信息、网页访问除外)境外的机构、组织或者个人可以访问或者调用(公开信息、网页访问除外)序号序号场景示例场景示例图示图示跨国公司或者同一经济、事业实体下属子公司或关联公司访问或调用境内主体存储于境内的数据。例例:企业将境内员工个人信息上传至境内服务器,企业数据跨境合规与技
46、术应用白皮书(2023)-23-境外母公司可以通过登录系统直接访问、调取境内服务器上的员工数据。境外员工或人员到境内出差,访问境内系统或在境内接收数据。例例:企业将境内业务运营信息上传至境内服务器,境外母公司来华视察的高管直接访问并拷贝境内服务器上的运营信息。此外,一般而言,“数据过境”的情况不属于数据出境,即并非是在我国境内产生和收集的个人信息和重要数据,即使经由我国境内中转出境或是在我国进行了存储、加工处理后出境的,也均不属于数据出境。但需要注意的是,如果该等在境外产生和收集数据与境内产生收集的数据“混存”在同一境内服务器上(尽管进行了逻辑隔离),或在该服务器上对境内外数据进行融合加工分析
47、,那么当境外主体或应用可访问、调用该境内服务器上的数据时,此类场景也可能会被认定为数据出境。三三、企业数据跨境合规企业数据跨境合规治理体系建设治理体系建设企业是开展数据跨境活动最活跃的主体之一,在推动数据跨境业务发展的同时,也需履行好数据跨境合规义务,维护数据安全。我国数据安全法第四、七条明确“维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力”,“开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安企业数据跨境合规与技术应用白皮书(2023)-24-全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全”。数据跨境流动
48、作为数据处理活动的其中一环,需要采取多项措施健全数据跨境治理体系,提高数据安全保障能力,确保数据跨境业务的有序进行。根据国家法律规章要求,结合我们在实务中的具体实践,制定了企业数据跨境合规理框架,如图3-1 所示。下面将对框架图展开介绍。图图 3-13-1 数据跨境合规治理框架数据跨境合规治理框架3.13.1 组织组织机构机构建设建设数据跨境合规治理需要企业在内部建立相应的组织机构,以便推进数据跨境合规工作。可以在现有数据安全组织架构的基础上,明确各岗位的数据跨境安全管理职责,也可以参照决策层、管理层、执行企业数据跨境合规与技术应用白皮书(2023)-25-层、监督层的结构单独设立数据跨境合规
49、机构,并明确岗位职责体系。例如:决策层决策层:负责统筹决策数据跨境重大事项和重要部署,协调人力、物力资源推进数据跨境合规治理;管理层管理层:负责制定数据跨境管理规划和制度,对数据跨境合法性、必要性、安全性等开展审核审查;执行层执行层:负责落实数据跨境管控策略和要求,实施数据跨境活动,在开展数据跨境业务时保证操作安全合规;监督层监督层:负责监督检查数据跨境活动的执行情况,及时发现潜在的安全风险和问题。另外,根据有关法律和标准要求,还需重点明确关键岗位角色:数据安全负责人数据安全负责人:需由具备数据安全专业知识和相关管理工作经历的数据处理者决策层成员承担,并负责向网信部门和主管、监管部门反映数据安
50、全情况。个人信息保护负责人个人信息保护负责人:对个人信息处理活动以及采取的保护措施等进行监督,对个人信息处理活动的合规性负责,建议由决策层成员承担。同时,应当公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。企业数据跨境合规与技术应用白皮书(2023)-26-3 3.2.2 制度制度体系体系建设建设管理制度是规范数据跨境处理活动的基础和依据,企业可建立数据跨境专项管理制度,并结合数据分类分级等其他支撑制度,规范开展数据跨境工作,规避合规风险。3.2.13.2.1 数据跨境专项制度数据跨境专项制度围绕数据跨境安全主体责任、安全保障及运行管理
浙ICP备2021020529号-1 | 浙B2-20240490 
