上海2023年5月11日 /美通社/ -- 普華永道今日在中國多個城市同步發布《數據跨境合規白皮書》。該白皮書由普華永道與奇安信科技集團股份有限公司(簡稱奇安信)聯合撰寫,通過系統梳理全球及中國數據合規安全趨勢與法規,分析典型數據跨境場景的風險和挑戰,深度解讀結合不同行業典型場景下數據跨境合規應對之道,以期為企業數據合規和安全保障提供有力借鑒。
普華永道全球跨境服務中國主管合伙人黃耀和表示:"隨著中國企業面向全球的業務拓展以及跨國企業在中國業務的深入,業務出海、數據出境以及數據回流等剛性需求不斷增長,數據跨境流動已成為社會創新經濟增長的重要引擎。目前全球數據跨境合規問題仍處于探索階段,還需要進一步的深入研究與探討。很高興能夠與奇安信合作共同發布這一白皮書,從雙方各自深耕領域的資源和優勢出發,提出我們的最新思考與解析,為數據跨境合規建言獻策,為中國數字化發展貢獻專業力量。"
近年來,全球范圍逐步建立健全對數據跨境活動的管控和監管力度,數據合規制度數量增長、管轄范圍逐步擴大的趨勢明顯。但我國企業參與全球數據跨境流動也面臨內部數據合規管理體系不完善、國內國外合規風險加大、合規激勵機制不健全等挑戰。如何保障企業在履行數據合規義務的同時,規避其中的數據流通風險,是業內共同關注的話題。普華永道網絡安全和隱私服務中國內地主管合伙人李睿表示:"數據跨境合規既是數字企業應當履行的社會責任,也是打造企業核心競爭力、開拓海外市場的重要保障。隨著《網絡安全法》、《數據安全法》、《個人信息保護法》的相繼落地實施,我國網絡安全與數據保護領域基本法律框架已形成。我們認為未來數據法規整改和內容細化、對數據進行分級分類、分行業管理將成為主要趨勢。"
白皮書指出,在全球化背景下,企業數據跨境傳輸可能面臨法律合規和監管風險、網絡安全風險、操作風險、業務連續性風險等,并建議從幾方面入手來應對:梳理數據跨境場景,掌握跨境整體情況、加強數據安全整體防護能力、建立數據安全管理的組織和資源保障體系。實施持續的合規監測、跟蹤與改進。針對數據跨境合規與個人信息及隱私保護合規進行建立培訓機制。
白皮書中對一些重點行業的數據出境場景進行了解析,識別具備行業特點的出境合規風險并提出了應對建議。從數據跨境的典型行業細分來看,金融行業中主要存在外部數據跨境場景和數據公開出境兩大類場景。對于外部數據跨境場景,建議加強與外部組織的合同約定,明確雙方跨境數據安全責任,通過技術手段進行跨境數據安全管控,清晰掌握業務數據、重要數據、個人信息等敏感數據跨境流動詳情。對于數據公開出境場景,建議完善數據公開安全管控,通過數據安全治理識別存在數據跨境的人、業務、數據,建立數據跨境流動保障機制和審查機制,對出境數據、途徑、行為進行實時檢測和管控。金融行業數據跨境合規的關鍵應對舉措主要包括:從總體上完善內部的數據合規體系、加強出境數據安全性管控和跨境數據流轉監控、制定數據跨境安全事件應急預案等。
針對智能硬件領域,白皮書以中國企業向歐洲出海為前提,介紹了企業主要面臨在歐洲市場向中國總部進行數據跨境傳輸的風險以及GDPR合規的挑戰。基于典型業務場景的數據流轉過程與全球數據跨境是智能硬件行業中存在的兩大典型跨境場景。企業自我風險評估、根據GDPR的相關規定任命數據保護專員(DPO)、基于不同產品條線及業務場景,建立從產品前端到IT系統架構的風險管理體系以及新產品的GDPR合規管理等是智能硬件行業應對數據跨境合規的主要關鍵舉措。
對于基于車聯網行業的數據跨境,白皮書以海外企業在中國運營為前提,闡釋了汽車企業面臨的數據跨境風險以及中國網絡安全、個人信息保護及汽車行業合規的挑戰。隨著車聯網"人、車、平臺"的建設,車聯網行業可分為移動終端、車機端和車聯網平臺(TSP)三個場景,其中車聯網平臺(TSP)的數據出境場景尤其復雜。結合車聯網行業的監管要求和業務特點,白皮書建議企業應從強化風險應對能力、合規運營能力和產品合規能力三個維度出發,建立健全風險管理的制度設計、組織建設、機制運轉和產品設計,從而全面提升企業風險承受能力。
在企業內部管理的數據跨境合規方面,白皮書指出企業需關注數據來源的合法性,需對內部的數據安全進行管理,制定覆蓋全數據生命周期的安全管理制度,以及企業數據的使用與處理應當采取合法、正當的方式。
針對以上風險和挑戰,普華永道網絡安全和隱私服務中國內地主管合伙人李睿建議:第一,企業要以適用法規為指導、行業敏感數據和個人信息為基礎,盤點數據資產;結合自身業務確定數據統計口徑和標準;梳理數據出境具體場景。第二,根據梳理情況確認數據出境適用的合規路徑,盡快制定數據出境合規方案并組建團隊或委托第三方展開數據合規工作。第三,建立企業數據出境管理制度和常態化合規流程,做到定人、定崗、定責。第四,判斷數據出境安全合規的風險和緊迫性,制定有針對性的整改方案,并按規定時間(如有)完成整改。第五,對于在限期內難以完成整改的數據出境業務,應當評估不同執行方案的可行性,避免合規風險對業務連續性造成影響。最后,企業應積極與監管部門保持溝通,持續關注中國和國際的相關立法,建立整合的數據合規體系和動態合規機制,從而實現企業在不同地域的數據跨境合規流動。
普華永道中國數據洞察、云轉型及數據安全合規合伙人李揚表示:"無論是對于在中國開展業務的跨國企業、還是即將或已經開始全球化的中國企業,都建議應建立一套專門的應對管理體系,以在開展跨境業務時能更好地履行數據合規義務,規避數據流動風險。例如制定跨境數據安全合規準則及基線、建立數據出境常態化風險監控體系、加強對數據接收方的審查與監督等。我們期待著未來繼續與業內同仁開展深度交流與合作,一同助推數據跨境合規前進的步伐,協助政企數字化改革,為‘數字中國'的建設盡綿薄之力。"