1、全球跨境惠赢矩阵惠天下 赢未来数据跨境合规白皮书2023年5月目录1 全球及中国数据安全合规趋势全球及中国数据安全合规趋势041.1 全球数据安全合规趋势051.2 中国数据安全合规趋势072 数据跨境法规解读数据跨境法规解读082.1 全球数据跨境法规092.2 中国数据跨境法规113 典型数据跨境场景的风险及应对典型数据跨境场景的风险及应对133.1 典型跨境场景143.2 数据跨境带来的风险与挑战143.3 典型跨境应对154 数据跨境合规应对数据跨境合规应对164.1 金融行业174.2 科技互联网行业 以智能硬件为例214.3 汽车行业 以车联网为例264.4 企业内部管理场景295
2、 总结总结31联系方式联系方式 普华永道普华永道33联系方式联系方式 奇安信奇安信34随着全球数字经济规模持续增长,数据作为重要的生产要素,在生产生活各个环节的重要作用正日益显现,数据流动和处理活动安全受到越来越多的关注。世界范围内,对数据跨境活动的管控和监管逐步健全,目前,世界各国针对数据跨境流动密集出台了相关的法律法规,主要国家和地区的监管执行力度增强,数据合规制度数量增长、管辖范围逐步扩大的趋势明显,是进行跨国商业活动的企业必须重视的课题。此外,数据跨境可能会因个人信息、重要数据、商业数据等引发用户数据易被泄露、滥用等问题,导致的企业名誉受损、利益受损、被通报批评处罚或罚款,还可能会给企
3、业带来技术管理、资产管理和组织管理等问题。数据安全是数字经济发展的底板,明确数据跨境安全合规措施,是保护个人信息、防范化解企业数据跨境安全风险、促进数字经济健康发展的重要保障。本白皮书由普华永道中国(简称普华永道)与奇安信科技集团股份有限公司(简称奇安信),双方依托各自深耕领域的技术优势和良好资源,重点围绕数据跨境在金融、科技互联网、汽车以及企业内部管理的场景,分析了数据跨境法规对于具体场景的影响以及典型应对措施,为企业数据合规和安全保障提供有力借鉴。前言PwC1全球及中国数据安全合规趋势普华永道41.1 全球数据安全合规趋势全球数据合规条例兴起全球数据合规条例兴起,主要国家和地区执法力度趋严
4、主要国家和地区执法力度趋严近年来,随着互联网的迅速发展以及新冠疫情影响带来的数据增长,各国更加关注对数据的合法利用。自欧盟推出一般数据保护条例(下文简称“GDPR”或“一般数据保护条例”)以来,已有100多个国家颁布或提出了数据保护或隐私保护法。除此之外,主要国家和地区的监管执行力度增强,2021年GDPR全年罚款金额同比上涨,达到总计11亿欧元,亚马逊也因违反GDPR被罚7.46亿欧元1,为保证数据安全和执法透明度,全球数据合规条例增长和范围扩大已成为必然。1984-数据保护法2003-隐私与电子通信条例(PECR)2018.5-网络和信息系统安全法规2021.1-通用数据保护条例2022.
5、1-国家网络安全战略2022-20302022.5-数据改革法案(草案)1976-个人数据保护法2018-新联邦数据保护法2021.1-联邦数据战略2021.5-IT安全法2.0版1978-信息技术与自由法2008.6-国家安全与防务白皮书2011.2-信息系统防御与安全:法国战略2015.10-法国国家数字安全战略2018.2-网络防御战略评论2018.11-个人数据保护法2018.12-数据保护法1947.12-宪法1996-数据保护法2003-电子商务法2005-消费者法典2012-个人数据保护法典(修订版)2013-国家网络空间安全战略框架1983-隐私法1983.7-信息访问法案20
6、00-个人信息保护和电子文档法案2012.3-加拿大网络安全对关键基础设施威胁的评估2018.6-新版国家网络安全战略1981-欧盟个人数据自动化处理中的个人保护公约1995.10-95指令2016.4-一般数据保护条例2019.5-非个人数据自由流动条例2019.4-网络安全法案2020.2-欧洲数据战略2022.2-数据法案(草案)2022.5-数据治理法案2022.9-数字市场法案2022.10-数字服务法案欧盟欧盟1974.12-隐私法案1986-电子通信隐私法1986.10-计算机欺诈和滥用法2018.3澄清海外合法使用数据法案2018.6-消费者隐私法案(加利福尼亚州)2021.3
7、-消费者数据保护法(弗吉尼亚州)2021.5-关于加强国家网络安全的行政命令2021.8-统一个人数据保护法美国美国加拿大加拿大英国英国德国德国法国法国意大利意大利普华永道512021年度GDPR罚金和数据泄露调查报告,欧华律师事务所(DLA Piper)。1988.12-隐私法1997-电信法2013.8-公共服务大数据战略2013.6-关键基础设施安全法2020.8-网络安全战略2022.4-国家数据安全行动计划澳大利亚澳大利亚2001.1-巴西银行保密法2011.6-巴西良好数据法 2012.5-巴西信息获取法2014.4-巴西网络民法2018.8-通用数据保护法2019.7-政府第99
8、36/19号法令2019.7-巴西中央银行第4737/19号决议2021.2-网络安全条例巴西巴西1999-信息技术法2013.7-国家网络安全政策2017.11-数据保护框架白皮书2022.12-数字化个人数据保护法草案印度印度2015.7-中华人民共和国国家安全法2017.6-中华人民共和国网络安全法2020.1-中华人民共和国密码法2021.1-中华人民共和国民法典2021.9-中华人民共和国数据安全法2021.11-中华人民共和国个人信息保护法2022.9-数据出境安全评估办法2023.6-个人信息出境标准合同办法中国中国2001.1-信息通信网络利用促进和信息保护法2001.9-个人
9、信息保护法施行令2008.2-位置信息保护和使用法实施令2008.2-信息和通信网络利用和信息保护促进法实施令2009.4-信用信息使用和保护法2009.10-信用信息使用和保护法实施令2010.3-位置信息保护和使用法2011.3-个人信息保护法韩国韩国1988.12-行政机关计算机处理的个人信息保护法2000.1-保护信息系统免受网络攻击行动计划2003.5-个人信息保护法2013.6-网络安全战略2014.11-网络安全基本法2015.9-网络安全战略(第二版)2018.7-网络安全战略(第三版)2022.2-网络安全战略日本日本1992-俄罗斯联邦安全法1993.7-国家秘密法1993
10、.12-俄罗斯联邦宪法2004.7-商业秘密法2006-信息、信息技术和信息保护法2006.7-俄罗斯联邦个人数据法2008.9-不使用自动化设备进行个人数据处理规定2012.11-个人数据相关信息系统在处理个人数据过程中的防护要求俄罗斯俄罗斯普华永道62此处节选部分法律法规,仅供一般参考之用,不可视为详尽说明。长臂管辖对数据所在国法规产生冲击长臂管辖对数据所在国法规产生冲击目前,全球数据跨境流动和数据监管未形成统一规制,受本国国情和多种因素影响,各国立法框架仍存在差异,由此导致同一主体可能受到双重法规限制的问题。例如,欧盟一般数据保护条例(General Data Protection Re
11、gulation)确立的效果原则规定了只要是向欧盟境内的数据主体提供商品服务且存在处理个人数据等行为,其收集到的信息都要受到欧盟管辖,因此,数据处理国不得不通过数据立法进一步应对长臂管辖带来的影响。各国家和地区立法具有鲜明特点各国家和地区立法具有鲜明特点,发展趋势存在发展趋势存在差异差异由于各国家和地区间立法驱动因素不同、国情和地区特性不同,其立法侧重点及发展趋势也有所差异,以欧盟和亚太经济合作组织为代表的地区性立法以保护个人数据为出发点,推动地区间数据流通,同时在监管和执法程序上更加标准化和透明化;以美国为代表的国家在合规立法中更看重数据自由流动带来的经济效益,在奉行整体宽松政策的同时,为特
12、殊行业提供不同的法律依据,例如金融、医疗、电子通信、基础设施等行业;以俄罗斯为代表的国家在合规立法方面受政治因素影响较大,更关注以安全为核心的国内治理,对数据跨境流动施行严格管控,形成“内外双严”的数据安全发展态势。1.2 中国数据安全合规趋势数据合规管理制度日趋完善数据合规管理制度日趋完善随着网络安全法数据安全法个人信息保护法的相继落地实施,我国网络安全与数据保护领域基本法律框架形成,未来,数据法规整改和内容细化将成为主要趋势。例如,针对数据出境活动相关规范细则不断落地,数据出境安全评估办法数据出境安全评估申报指南等进一步细化个人信息保护法中提到的数据出境安全评估路径的要求,个人信息出境标准
13、合同办法个人信息跨境处理活动安全认证规范等法律法规则进一步细化个人信息保护法中提及的合同备案及数据认证路径,数据出境的基本合规框架亦已搭建完成。数据分级分类管理趋势数据分级分类管理趋势网络安全法提出了数据分级分类保护制度,数据可从个人维度、公共管理维度、信息传播维度、组织经营维度和行业领域维度等进行分类,不同数据涉及的法律风险和数据合规要求各有不同;同时,根据对国家安全和公共利益等造成危害的程度,对重要数据提出了严格的监管要求,以此实现数据资源的精细化管理和保护。分行业进行数据合规管理分行业进行数据合规管理监管机构针对不同行业发起了多项监管行动,个别行业数据治理成为重点监督方向。例如,金融领域
14、发布了征信业务管理办法,国家市场监督管理总局和国家标准化管理委员会也针对医疗领域发布了推荐性国家标准GB/T39725-2020信息安全技术健康医疗数据安全指南,以及汽车行业的汽车数据安全管理若干规定(试行)等。普华永道7PwC2数据跨境法规解读普华永道82.1 全球数据跨境法规目前,针对数据跨境的治理在全球范围内并未形成统一的规制体系,不同国家和地区主要通过双边或多边区域性合作实现对数据跨境的协调管理,其中最为知名影响范围最广的便是欧盟主导推进的数据跨境治理体系,致力于在数据跨境传输过程中为个人数据主体提供充足保护。此外,经济合作与发展组织(OECD)在1980年已发布隐私保护和跨境个人数据
15、流动指南(GuidelinesGoverningtheProtectionofPrivacyandTransborder Flows of Personal Data),鼓励数据跨境和自由流动;亚太经济合作组织(APEC)在 2005 年 发布 APEC 隐私 框架 (APECPrivacy Framework),提出数据收集目的明确、数据使用范围限制、安全管理等九项原则,对成员国数据跨境立法提出规制建议。与国际间积极合作的趋势相对应,不同主权国家基于本国国情也纷纷出台相应数据跨境法规。其中美国、澳大利亚等国奉行宽松的数据跨境流动政策,就美国而言,联邦层面并未立法禁止或限制数据跨境,但针对重点
16、行业或领域的数据实行专门管控;而俄罗斯、印度、中国等国受本国特殊政治经济及文化环境影响对国家数据安全及主权更为关注,俄罗斯更是施行数据本地化的治理策略。欧盟数据跨境法规解读欧盟数据跨境法规解读欧盟数据跨境法规规制的出发点在于保障个人数据主体的数据权利,因此并不禁止数据的跨境流动,也不强制要求本地化,但对数据接收方的数据保护水平或保障措施等做出要求,具体而言,数据控制者主要可通过以下三种方式进行个人数据跨境传输活动3:1.个人数据可传输至获得欧盟“充分性认定”的国家或地区,也即“白名单”制度。该名单由欧盟委员会根据个人信息保护立法状况、执法能力,是否存在有效的救济机制等做出综合评估。截至目前,中
17、国尚未获得欧盟“充分性认定”,国内企业暂时无法通过该等路径进行数据跨境传输。此外,美国虽未获得充分性认定,但与欧盟不断就数据跨境磋商并达成双边协定,并根据欧美隐私盾协议(EU-U.S.PrivacyShield)取得类似“白名单”地位,后该协议在Schrems II案中由欧盟法院宣告无效,但双方于2022年3月25日就新的跨大西洋数据隐私框架(Trans-Atlantic Data Privacy Framework)达成原则性一致,欧美数据跨境流动开启了新的可能性。2.针对未获得“充分性认定”的国家和地区,企业可采取以下任一由欧盟认可的充分保障措施来进行跨境传输活动:(1)通过公共当局之间有
18、法律约束力和可执行性的文书。(2)建立有约束力的公司规则,主要适用于集团型跨国企业,即集团可以就集团内统一适用的数据处理机制申请个人数据监管机构认可,获准后个人数据可以从集团内的一个成员合法传输给另一个成员。(3)与数据接收方签署欧盟委员会通过或批准的标准合同条款,考虑到操作难度、成本等,该措施实践中为多数企业采纳。此外,2021年6月4日,欧盟委员会对合同条款进行了更新,自2022年12月27日起,双方需签署新版合同并根据要求对境外接收方所在地的法律环境及数据保护水平进行评估。(4)遵守行业协会拟定的并经欧盟委员会事先认可的行为准则。(5)数据接收方的数据处理流程通过相关认证,每三年需更新一
19、次。3欧盟一般数据保护条例(General Data Protection Regulation)第44-49条。普华永道93.特定情形下的豁免。如跨境流动取得了数据主体的明确同意,或该跨境流动是为了履行与数据主体之间的协议所必需,为公共利益等,应属例外,该条路径实际适用场景较少。值得注意的是,若公司未按照前述要求进行个人数据传输,则需就相关主体所受损失进行赔偿,并需缴纳最高达2000万欧元或就一项经营而言其上一财政年度全球全年营业额的4%(两者以较高为准)的行政罚款4。美国数据跨境法规解读美国数据跨境法规解读美国奉行宽松的数据跨境流动政策,在联邦层面并未明确对数据跨境流动进行限制;但与欧盟立
20、法偏重个人数据权利保护不同,美国数据跨境法规与贸易政策深度绑定,对重要或关键部门或领域的数据跨境流动进行分散但严格的管控,同时通过立法赋予国内执法机构对境外数据进行长臂管辖的权力。首先,美国针对特殊或关键行业或领域的数据出境构建了分散但严密的监管体系,例如针对外商投资领域,美国将涉及关键技术、关键基础设施或美国公民敏感个人信息的投资或交易纳入国家安全审查的范围,由美国外资投资委员会(CFIUS)进行安全审查5,防止外国企业涉足处理美国公民敏感个人数据的美国企业。又如,军用或军民两用物项的进出口管控中要求部分关键技术与特定领域的数据出口传输到位于美国境外的服务器保存或处理的情形,需要取得商务部产
21、业与安全局(BIS)出口许可6。同时,针对金融、医疗、电子通信等其他特殊领域的数据出境,亦出台相应的监管措施7,从而构建起严密且多层次的数据主权监管体系。此外,美国亦积极通过执法开展数据监管,如中国某知名云服务提供商因被怀疑获取或传输美国数据而被美国商务部调查等。其次,美国通过长臂管辖授予本国广泛的数据管理权力,例如美国可以基于国家安全需要调取境外存储的数据,并且可调取数据的范围并不限于美国人的数据,所涉企业也不局限于美国企业或总部在美国的外国企业。外国企业只要在美国提供业务并且与美国发生了充分的联系,就可能被要求提供数据8。因此,中国企业赴美经营需要更加关注中美贸易政策及其相关合规风险。4
22、欧盟一般数据保护条例(General Data Protection Regulation)第82及83条。5美国2018年外国投资风险审查现代化法案(Foreign Investment Risk Review Modernization Act of 2018)第1703章。6美国出口管理条例(Export Administration Regulations)第730.7章7美国金融现代化法(Gramm-Leach-Bliley Act)、健康保险隐私及责任法案(Health Insurance Portability and Accountability Act)、电子通信隐私法(El
23、ectronic Communication Privacy Act)等8美国澄清海外合法使用数据法案(Clarifying Lawful Overseas Use of Data Act)第103章。普华永道10俄罗斯数据跨境法规解读俄罗斯数据跨境法规解读由于特殊的历史文化背景和政治经济环境,俄罗斯数据跨境法规的一个显著特点是更为关注国内数据安全,对数据跨境流动施行严格管控,提出了数据本地化的监管策略,但这并不意味着俄罗斯禁止数据的跨境流动,在满足特定条件的情况下,数据处理者可以将个人数据传输至境外。具体而言,俄罗斯数据本地化的要求是指相关公司均需在俄罗斯境内的服务器上存储和处理俄罗斯公民的
24、个人信息,并将境内服务位置告知联邦通 信、信 息 技 术 和 大 众 媒 体 监 管 局(Roskomnadzor,以下简称“联邦监管局”)9,受监管主体包括俄罗斯实体、在俄罗斯有官方代表和分支机构的外国实体,以及在俄罗斯没有官方机构但针对俄罗斯消费者开展业务的外国实体。此外,通常情况下,个人数据处理者向境外传输个人数据有以下两条路径:1.个人数据可传输至获得“充分性认定”的国家或地区(中国于2022年被列入白名单第二组)。但自2023年3月1日起,个人数据处理者需就跨境意图提前通知联邦监管局,联邦监管局有权限制或禁止其向进行境外传输10。2.若个人数据传输至未获“充分性认定”的国家或地区,则
25、个人数据处理者需取得联邦监管局申请许可,该种路径下,个人数据处理者和境外接收方都承担更重的合规义务。另一方面,俄罗斯数据执法力度相较而言较轻,其数据存储本土化规则自2015年9月开始实施以来,联邦监管局检查发现的违规企业数量较少,但依据2019年行政罚款规定,对于违反数据本地化要求的运营者,最高将处以1800万卢布的罚款。2.2 中国数据跨境法规与美欧相比,中国更多地从维护网络安全和数据主权为目的出发,制定跨境数据流动法规体系。具体而言,现行法律框架可以概括为“1+3+N”的模式,监管机构亦形成“1+X”的多方配合机制,数据跨境监管日益完善。中国数据跨境法规体系概览中国数据跨境法规体系概览中国
26、现行跨境法律监管体系由“1+3+N”组成,“1”即国家安全法,作为整个跨境监管体系的基石,进一步强调数据跨境监管中对国家网络安全和数据安全的保障。“3”即网络安全法数据安全法以及个人信息保护法,作为数据安全监管领域的三驾马车,分别对网络安全、数据安全以及个人信息保护领域提出原则性监管要求,并对关键信息基础设施、重要数据以及个人信息的跨境传输提出法律规制要求。“N”指在国家安全法和网络安全法数据安全法以及个人信息保护法基本框架之内,落实四部上位法监管要求针对数据跨境场景出台的法律和监管规定,包括专门的数据安全立法以及行业监管立法,其中数据安全立法包括数据出境安全评估办法数据出境安全评估申报指南个
27、人信息出境标准合同办法及标准合同样本、网络安全标准实践指南个人信息跨境处理活动安全认证规范V2.0个人信息保护认证实施规则等,进一步细化数据出境相关路径要求,为企业提供操作指引。此外,针对不同行业领域内的数据跨境,相应行业监管机构从本行业特点出发亦提出相应监管要求,从而构建多维度多层级的数据跨境监管体系。不同行业及领域企业须同时满足数据安全立法及各行业监管机构的数据跨境要求,由此也形成了由国家网信部门负责统筹协调和监督管理网络安全工作,国家电信部门、公安机关以及各行业监管机关共同配合的“1+X”监管机制。9俄罗斯联邦第242号法令就“进一步明确互联网个人数据处理规范”对俄罗斯联邦系列法律的修正
28、案(Federal Law No.242-FZ of July 21,2014 On Amendments to Certain Legislative Acts of the Russian Federation for Clarification of the Procedure of Personal Data Processing in Information and Telecommunication Networks)第2条10俄罗斯联邦个人数据法2022年修正案(The Federal Law of 14 July 2022 No.266-FZ on Amending the F
29、ederal Law on Personal Data)第12条。普华永道11中国数据跨境传输路径中国数据跨境传输路径在中国现有法律框架范围内,境内数据处理者向境外提供数据时,需根据出境数据类型、量级和规模等等,选择对应的出境路径。换言之,若境内数据处理者:(1)系关键信息基础设施运营者;(2)传输数据涉及重要数据;(3)处理100万人以上个人信息;或(4)上年度1月1日起累计向境外提供10万人以上的个人信息或上年度1月1日起累计向境外提供1万人以上的个人敏感信息,则需要按照数据出境安全评估办法及相关法律法规要求进行数据出境安全评估申报。若境内数据处理者向境外提供数据但量级未达到前述任何一个条
30、件,则需要按照个人信息出境标准合同办法及相关法律法规要求进行备案。此外,境内数据处理者在涉及数据出境的情况下亦可按照个人信息跨境处理活动安全认证规范及相关法律法规要求申请跨境活动认证,合法进行数据出境活动。若数据处理者未按照相应监管要求进行数据跨境传输,视情节轻重可能收到警告、罚款(情节严重可处一百万元以上一千万以下罚款)、责令暂停相关业务、停业整顿、吊销相关业务许可证或吊销营业执照,直接负责的主管人员和其他直接责任人员亦需缴纳相应罚款。(图示为数据出境安全评估办法规定需申报数据出境安全评估的情形及判断要点)1境外传输重要数据场景场景1:数据处理者向境外提供重要数据:数据处理者向境外提供重要数
31、据向境外传输重要数据的,即需要申报数据出境安全评估。2CIIO及100万以上的信息处理者场景场景2:关键信息基础设施运营者和处理:关键信息基础设施运营者和处理100万人以上个人信息的数据处万人以上个人信息的数据处理者向境外提供个人信息理者向境外提供个人信息以提供人数而非个人信息数量为标准,明确处理100万人以上个人信息的需进行安全评估。3自上年1月1日起向境外传输达到上限场景场景3:自上年:自上年1月月1日起累计向境外提供日起累计向境外提供10万人个人信息或者万人个人信息或者1万人敏感万人敏感个人信息个人信息以最高两年时长为准,自上年1月1日起算,达不到数量要求的可以不用安全评估,达到数量要求
32、的应当进行安全评估。普华永道12PwC3典型数据跨境场景的风险及应对普华永道133.1 典型跨境场景在全球化背景下,数据跨境主体涵盖范围众多,跨国企业、具有跨境IPO上市需求的企业、和境外企业有业务往来的企业等都有可能涉及数据跨境传输。数据接收方包括跨国公司总部或其他分支机构、上下游合作伙伴、他国政府部门或监管机构等。数据跨境方式包括数据跨境存储、邮件跨境传输接收数据、网络跨境查询或访问数据、云环境下的应用登录访问、以及API接口等其他链路方式。3.2 数据跨境带来的风险与挑战企业数据跨境传输可能面临法律合规和监管风险、网络安全风险、操作风险、业务连续性风险等,从而导致企业财务损失、业务受限、
33、声誉受损。法律合规和监管风险:就境内而言,网络安全法数据安全法个人信息保护法数据出境安全评估办法均规定了网络运营者、关键信息基础设施运营者、个人信息处理者单位及个人对于跨境数据行为承担主体责任,如违反法律要求,可能将承担刑事和行政责任,面临经济和行政处罚。此外,各行业监管部门也对个人信息的保护提出了要求。同时,企业也需关注数据境外接收方所在国家的法律法规要求,并符合当地监管规定。网络安全风险:在数据跨境传输的过程中,因传输链路较长,暴露面增加,终端设备、通信链路、数据库、应用系统、开放API等都存在受到网络攻击的风险。如在网络和系统中传输、存储、处理等环节的安全保护措施处理不当,跨境传输的数据
34、存在被篡改、泄露、损毁的风险。操作风险:数据跨境过程中经过多种IT基础设施,涉及不同角色和权限,如遇到业务违规操作、用户权限管理缺失、运维工具连接不当等问题,可能造成数据泄露、损毁等。业务连续性风险:企业合规经营是业务连续性的关键保障。企业违反数据跨境的相关监管要求,将会面临来自监管机构的调查,进而产生通报批评、巨额罚款、停业整顿等处罚。另一方面,如企业遭受安全攻击并被公众获知,也将导致企业声誉受损,影响投资者信心和用户信任,影响企业业务连续性。普华永道14PwC153.3 典型跨境应对梳理数据跨境场景梳理数据跨境场景,掌握跨境整体情况掌握跨境整体情况。面对类型众多的数据跨境场景,梳理数据的位
35、置、应用场景等信息,掌握正在进行中的跨境数据传输行为,包括涉及的业务场景和系统、数据类型、数据量、跨境原因、境外接收方信息等,避免隐私合规风险不可控。加强数据安全整体防护能力加强数据安全整体防护能力。建设数据安全技术体系,根据法律法规要求对数据进行分类分级,加强数据全生命周期的安全防护措施,部署安全工具和技术手段,执行和优化防护策略,防止数据跨境过程中被破坏、泄露、篡改。建立数据安全管理的组织和资源保障体系建立数据安全管理的组织和资源保障体系。企业需要建立组织保障体系对企业的数据安全进行全生命周期的管理与监督,对数据跨境法规动态开展跟踪与洞察,并建立及时有效的数据跨境合规的应对机制与体系。根据
36、中国法律法规要求,重要数据的处理者应当明确数据安全负责人和管理机构,处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,因此,企业应根据自身数据处理情形,按需设置相应管理机构及职位,统筹企业内部数据安全与个人信息保护工作,落实监管要求并促进企业数据安全管理体系的完善。同时,企业需要建立针对数据跨境合规的问责制度,企业可将内部员工对于内部数据跨境合规制度的遵循情况纳入到员工的评价机制中,针对违规情况对相关员工进行追责处理,并建立一套补救处理措施的机制与流程。实施持续的合规监测实施持续的合规监测、跟踪与改进跟踪与改进。企业应对自身数据跨境行为进行持续监测,定期开展自评估
37、,掌握数据安全状态以及接收方处理方式,尤其是个人信息、重要数据等敏感数据,及时发现跨境数据违规情况,保障数据有序依法跨境流动。针对数据跨境合规与个人信息及隐私保护合规进针对数据跨境合规与个人信息及隐私保护合规进行建立培训机制行建立培训机制。随着国际上对于数据跨境及隐私保护的监管力度加强,企业需要建立针对数据跨境合规与个人信息及隐私保护合规方面的专项培训机制,确保企业所有员工都能及时了解相关法规的主要内容与影响,以及企业可能面临的风险与挑战,培养企业从管理层到员工的数据合规意识,将重视数据合规融入企业文化。普华永道15PwC4数据跨境合规应对普华永道164.1 金融行业基于金融行业的跨境场景基于
38、金融行业的跨境场景1.金融行业基于典型场景的场景描述和场景图金融机构数据跨境主要包括银行、证券、保险、基金、信托、期货、租赁、第三方支付、财务公司、互联网金融等机构的数据出入境,根据数据发送方和接收方性质,主要存在以下场景:(1)外部数据跨境场景主要为存在境外业务及服务的数据主动出境,如境外监管机构基于反洗钱等规则要求传输数据;与境外第三方机构、服务提供商、用户为实现服务的数据传输和处理,包括数据跨境外后的再次传输;境外行业机构关系维护,填写行业调研信息,行业机构会议报名、会员管理等事项信息,报送投资相关数据、报告、非标投资产品信息等。境内机构(总部/分支)境外第三方机构发送数据邮件、移动AP
39、P云上应用登录系统上传/下载数据登录系统上传/下载数据发送数据邮件、移动APP公开网页访问访问上传/下载数据访问上传/下载数据境外服务提供商境外用户普华永道17应用(2)数据公开出境场景主要为金融机构公开披露信息的被动跨境,主要为官网或其他渠道公开披露的年度报告、偿付能力报告摘要、其他信息等的被访问和使用。2.金融行业典型数据跨境合规场景及字段以保险公司数据跨境场景为例,保险公司日常向境外股东以及律师提供材料,通过精算软件进行数据分析工作,境外人员对人力资源系统的使用,境外员工通过学习平台进行会议及培训,在境外协会网站注册会员及维护,参加线上境外会议,参与境外调研等。涉及的部门包括集团总部、法
40、律合规部、资产管理部、精算部、内部审计部、培训部、人力资源部、IT部、财务管理部等。业务场景业务场景业务领域业务领域数据跨境数据跨境环节环节个人信息字段个人信息字段举例举例重要数据字重要数据字段举例段举例数据数据跨境跨境合规应对举例合规应对举例第三方第三方外外部数据跨部数据跨境境境外专业机构会员维护员工信息明细上传姓名、协会会员ID、电子邮件地址、身份证号加强与外部组织的合同约定,明确双方跨境数据安全责任,通过技术手段进行跨境数据安全管控,清晰掌握业务数据、重要数据、个人信息等敏感数据跨境流动详情。数据公开数据公开出境出境网站公开业务信息业务类型、产品介绍完善数据公开安全管控,通过数据安全治理
41、识别存在数据跨境的人、业务、数据,建立数据跨境流动保障机制和审查机制,对出境数据、途径、行为进行实时检测和管控。跨境法规对金融行业的影响分析和应对跨境法规对金融行业的影响分析和应对1.金融行业典型数据跨境合规场景应对对于第三方外部数据跨境场景,加强与外部组织的合同约定,明确双方跨境数据安全责任,通过技术手段进行跨境数据安全管控,清晰掌握业务数据、重要数据、个人信息等敏感数据跨境流动详情。对于数据公开出境场景,完善数据公开安全管控,通过数据安全治理识别存在数据跨境的人、业务、数据,建立数据跨境流动保障机制和审查机制,对出境数据、途径、行为进行实时检测和管控。普华永道182.金融行业关键应对措施(
42、1)数据跨境合规管控从总体上完善内部的数据合规体系。对金融数据采取分级安全管理措施,提升自身的数据保护能力,对数据实施生命周期安全管理,制定和有效落实金融数据生命周期安全管理策略,如提前约定安全保护义务,保障接收方具有对等的数据安全管理及技术能力。在数据出境前,收集并及时关注网信部门和金融监管部门发布的相关法律法规,结合监管要求明确自身向境外提供数据时需要承担的义务,包括但不限于数据出境是否需要经过金融监管部门的提前审批、是否需要进行数据出境安全评估申报等。对于需要申报的情况,开展内部自评估后申请出境安全评估,根据评估结果对开展数据跨境活动的方案进行调整。(2)出境数据安全性管控金融机构需结合
43、相关法律法规,明确机构自身的业务性质、主体性质和数据性质,包括但不限于明晰机构业务是否可能被认定为关键信息基础设施、机构自身是否属于关键信息基础设施运营者,以及需要向境外提供的数据是否属于重要数据、个人信息或敏感个人信息,对拟出境数据进行清晰的识别。企业可以通过建立数据跨境技术管理措施构建安全保障能力,包括数据传输保护措施,安全边界防护、安全漏洞技术发现、数据出境监测、数据权限访问控制、数据出境日志等。同时,通过跨境传输检测与跨境攻击窃取检测,清晰掌握数据跨境流动详情,为跨境风险自查和数据安全运营提供技术抓手和依据。(3)跨境数据流转监控建立对于数据跨境流转过程的监控机制。通过对个人信息、重要
44、数据、商业数据进行跨境分析,以及失陷主机统计分析,发现什么人在什么时间什么地点以某种方式发送了什么数据。依据出境数据的规模、范围、种类、敏感程度等进行合规分析和关联分析。根据威胁情报、结合异常流量分析模型针对加密出境流量进行检测,发现异常情况。对数据出境的目的地址、传输数据种类、传输数据方向、数据量大小、数据传输频次等维度进行异常行为监控,重点对敏感数据进行分析,对重点事件进行留存取证。(4)数据跨境事件应急制定数据跨境安全事件应急预案,确定对数据接收方发生数据泄露、损毁、滥用等安全事件的应急处置、安全事件告知和上报等相关内容,根据相关法律法规、安全技术、事件处置经验等及时更新应急响应预案。发
45、生数据跨境安全事件时及时采取有关措施,告知受影响的相关方,按照规定向行业主管部门上报,采取临时中断数据跨境或其他减缓损失的措施,详细记录数据跨境安全事件信息。普华永道193.金融行业数据跨境合规最佳实践某大型跨国金融企业,在境外有分支结构和大量合作伙伴,和境外的交互有多条专线,涉及邮件、ERP、音视频会议等多种业务系统。作为金融行业重点企业,该企业面临监管部门针对数据出境情况的约谈,亟需通过技术等手段梳理数据出境场景,加强数据出境监控,应对监管需要和自身管理需要。进行跨境数据检查共发现数据出境事件939次,其中938次为境外主动获取,1次为境内主动外发。传输敏感个人信息包括user ID、密码
46、、省份、手机号、银行卡号等,涉及境外地区包括新加坡、匈牙利、瑞典等地区的境外IP7个。发现内部设备通过http传输音视频会议的地址信息超过800次,传输设备维修单、说明书等,主动向境外发送工资单多次。全方位的梳理数据出境情况,包括传输的敏感个人信息类型、详情等、传输的源头,包括客户业务系统主机、个人主机等,跨境传输的目的地国家、IP地址等。有效梳理数据出境,不仅应对监管需求,同时发现内部可疑的数据出境事件,便于制定针对数据安全的技术和管理手段,保证安全生产。普华永道204.2 科技互联网行业 以智能硬件为例科技互联网行业包含的细分领域众多且复杂,不同细分领域的业务场景与商业模式差异性较大,本章
47、节仅针对智能硬件领域,并以中国企业向欧洲出海为前提,因此企业主要面临在欧洲市场向中国总部进行数据跨境传输的风险以及GDPR合规的挑战。基于智能硬件行业的跨境场景基于智能硬件行业的跨境场景1.智能硬件行业基于典型业务场景的数据流转过程智能硬件行业的业务场景复杂,涵盖的领域众多,个人信息及数据主要是通过物联网生态进行数据流转与传输。用户使用终端设备智能硬件终端收集用户数据物联网大数据平台智能硬件终端数据上传至物联网大数据平台大数据处理与分析AI预测通过人工智能及大数据分析结果,根据用户亿元,为用户推荐与提供互联网服务、其他硬件产品、第三方专业服务电商及零售线下线下线上线上云计算人工智能购买产品其他
48、硬件产品其他硬件产品第三方专业服务第三方专业服务机构机构互联网服务互联网服务终端用户智能硬件终端智能手机智能出行智能家居智能健康2.智能硬件行业全球数据跨境对于智能硬件行业来说,其数据流转过程中最容易发生数据跨境风险的是终端数据经过数据网关上传至数据存储与分析平台的环节,由于数据存储与分析平台的数据中心有可能遍布全球不同国家,因此极容易产生数据跨境风险;同时,另一个最容易发生数据跨境的环节就是数据应用与决策环节,因为对于全球化的企业来说,其数据决策者有很大的可能不在数据收集地境内。普华永道21数据网关数据存储/分析最新最新数据数据历史历史数据数据消息消息数据数据数据应用与决策数据数据服务服务数
49、据数据商业商业价值价值数据跨境数据跨境风险风险数据跨境风险数据跨境风险智能硬件终端智能手机智能出行智能家居智能健康海外终端用户跨境法规对智能硬件行业的影响分析和应对跨境法规对智能硬件行业的影响分析和应对1.智能硬件行业典型数据跨境合规场景及应对举例(以GDPR为例)随着数字化基础设置的普及与物联网生态体系的不断完善、智能硬件行业快速发展,中国智能硬件企业不断创新并纷纷拓展全球市场。其中,欧洲市场凭借其庞大的智能硬件产品市场与较高的消费水平成为了企业出海的主战场,而布局欧洲意味着智能硬件企业需要面对欧洲GDPR数据合规的严苛要求。业务场景业务场景相关信息相关信息主要风险主要风险数据数据跨境跨境合
50、规应对举例合规应对举例用户获取 用户购买信息 从第三方社交网络服务商获取的个人信息 违反隐私政策透明性风险 用户同意的获取不充分的风险展示隐私政策,取得用户同意:用户在使用产品之前,商家应当采用显著方式向用户提示平台的隐私政策,阐明所收集的个人数据的种类、处理用途、存储期限等,在充分尊重用户知情权的情况下获得其明确的同意与授权。同意应当由用户自行选择,不能默认设置,预先勾选。不恰当的做法可能被认为没有有效地取得用户同意。用户服务 用户使用相关硬件的应用程序的基础信息 用户使用售后及支持服务的信息 对用户使用个性化推荐服务时的信息 隐私政策不完整风险 未充分履行个性化广告提示义务风险 数据处理范