CEO锦囊Vol.13丨新规来临,企业出海如何做好跨境数据安全与合规?

来源:岁月联盟 编辑:猪蛋儿 时间:2022-09-03

在国际化背景的大趋势下,随着企业出海业务的增加,数据跨境活动日益频繁,企业对于处理出境数据的需求正在快速攀升。对跨境数据的监管不当容易给国家安全、公共利益和个人权益带来风险甚至损害,因此世界各国正在不断推进和完善各种跨境数据监管措施。数据出境合规是企业出海必须面对的重要问题,那么在监管趋严的大背景下如何确保企业数据合规合法地出境?9月1日起全面施行的《数据出境安全评估办法》里具体提出了哪些法律要求?针对出境数据,企业该提前做好哪些准备工作?

作为陪伴企业家一起成长的新经济媒体,36氪发起并上线了CEO锦囊系列活动,以直播形式,邀请创业最前线的嘉宾们分享他们是如何应对变化的。

第13期「CEO锦囊」聚焦企业主们非常关注的跨境数据安全与合规问题,本期直播由36氪营销产品运营部总监 余雯君主持,【北京师范大学】互联网发展研究院院长助理&博导、【中国互联网协会研究中心】副主任 吴沈括、【德恒律师事务所】科技专委会负责人 王一楠以及【数风科技】创始人张帅作为连麦嘉宾就《新规来临,企业出海如何做好跨境数据安全与合规?》话题展开了讨论。

第13期CEO锦囊中,嘉宾们回答了以下问题:

Q1:《数据安全法》出台的背景是什么?

Q2:《数据安全法》相较于其他国家的条文有何特殊性?

Q3:如何理解数据存在“脆弱性”?

Q4:如何理解数据出境的”境”?如何判断企业的业务行为是否属于“数据出境”?

Q5:《数据出境安全评估办法》9月1日起开始施行,哪些企业需要进行评估申报?

Q6:应申报而未申报,企业会面临怎样的后果?

Q7:在数据出境安全评估中,企业该如何自评?

Q8:企业申报数据出境安全评估的结果有哪几类?

Q9:企业实际业务运行中产生的出境数据,应该存储在境内还是境外?

Q10:在具体的业务场景下,若企业要开展“数据出境风险自评估”,具体的申报安全评估划分标准是什么?

Q11:从技术的角度看,企业出境数据保护最薄弱的环节在哪些方面?

Q12:如何高效率地做好企业出境数据安全与合规?

Q13:面对市面上众多的数据出境安全自评估解决方案,企业主该用什么样的标准去选择“合适”的方案?

Q14:若企业拟赴海外上市,需要如何申报网络安全审查?申报中需要注意哪些问题?

Q15:《数据安全法》颁布之后,未来数据问题的发展趋势如何?

Q16:关于数据出境问题,有什么对出海企业的建议?

Q1:《数据安全法》出台的背景是什么?

【北京师范大学】互联网发展研究院 院长助理&博导 吴沈括

数据安全问题由来已久,《数据安全法》出台的背景可以分为两个阶段:

  1. 《数据安全法》出台之前,人们对于数据安全的理解有多种角度,包括技术角度、经济角度以及社会角度。在此过程中,业内对《数据安全法》更多是从数据安全技术层面的考虑,特别是信息安全角度。
  2. 《数据安全法》出台之后,数据安全的概念有了质的飞跃。今天法律层面所讲的数据安全是国家安全层面或者立足于国家安全的数据管理要求,这是理解《数据安全法》的核心方向。

在支撑立法的过程中,我们曾经对世界范围内所有的与数据安全相关的立法规范做了梳理。我们发现目前在世界范围内,针对数据安全专门的立法只有中国有;到现在为止,《数据安全法》依然是世界上第一部关于数据安全的专门立法。此外,我们也发现全世界范围内超过66个国家出台了和数据安全相关的条文或法律规则,但这些国家设计的角度与中国不一样,有安全审查、知识产权、出口管制以及制裁等多个角度。

Q2:《数据安全法》相较于其他国家的条文有何特殊性?

【北京师范大学】互联网发展研究院 院长助理&博导 吴沈括

《数据安全法》对标了世界范围内超过 66 个国家的五种以上的立法技巧,因此我们也发现《数据安全法》有两个特殊性:

  1. 从强度上来讲,中国立法是世界上最严格的。抛开热点事件不谈,在立法层面,《数据安全法》实际上已经划定了8条行为红线,即违反相关法规之后可能产生法律责任的重要界限。从企业的角度而言,真正具有毁灭性意义或具有极强的威慑性意义的不是罚款,而是资格处罚,比如吊销营业执照、终止营业执照许可等。
  2. 《数据安全法》采取双罚制。一方面追究相关责任人的责任,另一方面追究企业本身的责任。那么在这种情况之下,无论是行政责任层面还是在中国独有的刑事责任层面都强化了数据安全违法的责任强度。

Q3:如何理解数据存在“脆弱性”?

【北京师范大学】互联网发展研究院 院长助理&博导 吴沈括

数据泄露,不只是源于外部恶意的泄露,还有很多是源于技术固有的脆弱性。

关于数据的“脆弱性”有一个经典的故事:美国前太平洋舰队司令曾说世界上只有两种系统,一种是已经被攻破的系统,另一种是已经被攻破,但你不知道它被攻破的系统。

所以数字环境必然有它的“脆弱性”,它不可避免地存在包括数据泄露在内的各种意外情况,就好比没有一个单位或企业能够完全做到系统无漏洞。数字系统、数字生态的“脆弱性”是无法避免的,只是我们可以有事先的制度安排机制设计、人员配置、措施配置来最大限度地降低和缓解可能带来的危害。

Q4:如何理解数据出境的”境”?如何判断企业的业务行为是否属于“数据出境”?

【北京师范大学】互联网发展研究院 院长助理&博导 吴沈括

理解数据出境需要从多个层次考虑,我从目前世界范围内的规则角度和目前监管的基本立场角度理解该问题。

从中国法的语词含义上来说,“境”是指中国边境。需要特别注意的是中国大陆到港澳台地区的也视为出境。什么叫“出境”?总体来看它是一个访问标准,这里面需要注意出境问题这个概念实际上有一个变迁的过程。

该概念最初首先来自于欧洲,在欧洲概念中,出境实际上就是跨境传输问题,即发送端、接收端这两个服务器分别处于两个国境之内。然而随着数据形式的变化,特别是国际地缘政治的变化,各国对出境的概念越来越多地融入法律和技术以外的其他含义,包括政治含义。因此要动态地看待出境问题,不要认为它是一个固定的概念,我们也很难指望有一个固定不变的关于出境的机制。这也是为什么我们在相关的法律规则当中,对出境实际上保留了一定的弹性。

在当下这个历史阶段,我们所谈论的出境既包括物理意义上的传输,也包括逻辑上的访问问题,即信息的获取。

数据出境问题,首先涉及到国家安全问题,这是一个重要的价值判断维度;其次数据出境问题又明显受到国际形势的影响,是一个敏感的话题;最后现在人们将关注点主要集中在数据出境的侧面,而涉及到数据跨境,实际上包括两种情形:一是数据路径;二是数据过境。

关于路径和过境的问题,这一点特别是在中国企业跨国合作中很重要,但企业内部可能除了高层级管理人员外,其他人员对数据跨境的全貌掌握不全,无论是单个的法务部还是合规部其实都没有完全掌握。此外在复杂的商业生态中,企业也不一定能够注意到数据已经出境了。

Q5:《数据出境安全评估办法》9月1日起开始施行,哪些企业需要进行评估申报?

【德恒律师事务所】科技专委会负责人 王一楠

这个问题实际上是关于安全评估适用的范围问题,对应《数据出境安全评估办法》中的第四条明确了四种应当申报数据出境安全评估的情形:

一是数据处理者向境外提供重要数据。

二是关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息。

三是自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息。

四是国家网信部门规定的其他需要申报数据出境安全评估的情形。

针对这四种情形我进行解读:首先企业要先查看自己是否向境外提供了数据;其次是企业需要查看自己向境外提供的数据类型,如果是重要数据自然就需要做安全评估。同时如果涉及到个人信息则需要看是否达到一定的门槛;最后是企业要关注具体出境的数据数量,也就是10万个人信息或者1万以上的敏感个人信息这两个门槛,要注意是自上一年度1月1日起累计。

Q6:应申报而未申报,企业会面临怎样的后果?

【德恒律师事务所】科技专委会负责人 王一楠

中国的数据安全保护的立法比较严格,但我想强调一点,在整体的数据合规法律要求的大前提下,数据出境是一个比较高风险的数据处理活动。因此《数据出境安全评估办法》明确数据处理者违反本办法规定的,要依照《网络安全法》、《数据安全法》、《个人信息保护法》等法律法规的规定处理;构成犯罪的,依法追究刑事责任。落到实处的处罚有停业整顿、吊销营业执照、罚款等等。

另外值得注意的是,《办法》第66条表明:任何组织和个人若发现企业存在违法行为,可以向网信部门举报。在实际业务操作过程中,我也遇到过竞争对手或离职员工向网信部门举报企业的情况。

Q7:在数据出境安全评估中,企业该如何自评?

【德恒律师事务所】科技专委会负责人 王一楠

企业若是有自己专业且有经验的团队,包括法务、技术人员可以提供支撑的话,我认为企业可以进行出境前的数据安全自查。而且我认为由于企业内部部门需要给外部的专业机构提供资料介绍,所以不管有没有外部的专业支持,企业内部的各部门都需要提前做一些准备工作。此外,企业在进行自评时,我建议要加深对法规的理解,按照监管部门的要求进行准备。

Q8:企业申报数据出境安全评估的结果有哪几类?

【德恒律师事务所】科技专委会负责人 王一楠

我认为企业申报数据出境安全评估的结果与整个申报过程的程序有关,申报的程序主要有以下几个节点:

首先提交省级网信部门,企业要登录系统注册,提供资料,省级网信部门可以从材料的形式进行形式审查。

如果材料不全,省级网信部门会通知企业进行补充。

补充完备后,省级网信部门会上报国家网信部门,国家网信部门会对材料进行实质审查,审查后再决定是否受理。

国家网信部门受理后,如若发现企业提供的材料中内容不全会要求进行补充,最后会出具一个评估结果。

这种评估结果一般为两种:一种是通过,这种情况表明企业的数据可以自由地流动;另一种是未通过,这种情况监管部门会让企业申请复评,我也建