德勤与中兴通讯联合发布《数据跨境合规治理实践》白皮书-48页_2mb.pdf

数据跨境合规治理实践 白皮书 2021 序言 数字经济正加快驱动产业融合变革，拓宽和提升经济发展空间。数据流动在数字经济发展中发挥着重要作用，数据要素的市场化配置上升为各国宏观战略考量。为了平衡“数据安全”与“数据红利”，建构和凝聚数字经济优势，主要国家和地区纷纷推进、强化数据跨境内部规则的完善，积极推动、参与数据跨境国际规则的制定，形成了不同的数据跨境流动合规规制圈。 全球数据跨境流动规则框架下，没有企业可以回避数据跨境流动规则的深刻影响。企业应高度重视数据跨境流动管控形势和发展态势，在全球业务和经营活动中应主动进行合规遵从，对冲和降低风险和不确定性 压力，并将数据跨境风险控制机制化、常态化。 古语有云：“万物得其本者生，百事得其道者成。”“以风险为导向”的合规治理思想是迎接数据跨境规则挑战的重要方法。确保商业可持续，合规管控与效益追求并重，一方面在制定完善跨境治理方案的基础上完成系统性合规整改，主动降低外部风险；另一方面利用已有的企业统一合规框架基线，以及双边、多边国际包容性规则降低投入和运营成本。数字文明新时代下，共同探索、相互借鉴数据跨境合规治 理实践，通过持续和务实的合规建设，有助于优化企业数据合规体系、共建产业数字合作格局。 申楠 主编： 高瑞鑫、申燕茹、方圆、何智聪、王晨、刘天雅、杨宇鑫、徐敏、肖腾飞、黄惠娥、 Marco、 Alberto 参编： 周宇心、王志宇、丁沛、魏安迪、梅傲婷、宋伟强、陈立生、文华龙、赵智海、李琳、池逸飞、惠兆帅、曲绅维、龙浩、陈威特、陈正伟、林苏明、胡志强、邓园园、岳艳红、鲁可兴、林峻、张亮、张哲、杨柳 数据跨境合规治理实践白皮书（ 2021） 目录 一、 全球数据跨境规则现状及发展趋势 . - 1 - 1.1 数据跨境规则现状 . - 1 - 1.1.1 主要国家规则多为限制性规范 . - 2 - 1.1.2 国际组织机制多为推动性规范 . - 2 - 1.1.3 中国具有差异化和多层次特征 . - 3 - 1.2 数据跨境发展趋势 . - 3 - 1.2.1 数据分级分类管理成为主流 . - 3 - 1.2.2 探索促进统一数据跨境规范 . - 4 - 1.2.3 数据主权管辖博弈冲击持续 . - 4 - 1.3 数据跨境类型 . - 4 - 1.4 数据本地化模式 . - 5 - 二、 企业数据跨境 典型场景及管控要点 . - 6 - 2.1 数据跨境合规主要痛点难点 . - 6 - 2.1.1 数据多样，跨境数据的法律属性识别与分类困难 . - 6 - 2.1.2 场景复杂，数据跨境的路径、角色及责任识别困难 . - 7 - 2.1.3 规则变动，规则要求多层次、多类型、不断演进 . - 8 - 2.2 数据跨境典型场景管控要点 . - 9 - 2.2.1 数据跨境合规典型场景 . - 9 - 2.2.2 数据跨境合规要点 . - 10 - 三、 企业数据跨境合规治理思路与良好实践 . - 12 - 3.1 数据跨境合规治理路径 . - 12 - 3.2 数据跨境合规治理实践 . - 12 - 3.2.1 明确管控数据对象 . - 12 - 3.2.2 摸查关键情形场景 . - 14 - 3.2.3 识别外部合规要点 . - 15 - 3.2.4 组织合规风险评估 . - 17 - 3.2.5 开展合规风险治理 . - 19 - 3.2.6 重要数据合规延展 . - 22 - 附录 . - 23 - 附件一：全球主要数据跨境限制模式 . - 23 - 附件二：国际组织数据跨境流动框架 . - 25 - 附件三：中国数据跨境相关法律规定 . - 26 - 附件四：中国特殊行业数据跨境要求 . - 28 - 数据跨境合规治理实践白皮书（ 2021） 附件五：全球数据跨境法律法规清单 . - 30 - 附件六：全球数据跨境管控要求清单 . - 32 - 附件七：全球主要监管机构联系方式 . - 35 - 附件八：欧洲数据跨境管控机制范式 . - 38 - 附件九：数据跨境司法执法舆情案例 . - 40 - 参考文献 . - 23 - - 1 - 数据跨境合规治理实践 白皮书 （ 2021） 一、 全球数据跨境规则现状及发展趋势 1.1 数据跨境规则现状 数据跨境规则模式往往与数据安全政策偏好相关联。现有规则大体分为两类： 限制性规范， 常见为一国家或地区针对重要数据或个人信息进行出境限制，以维护数据安全或数据主权，即数据安全偏好型。 推动性规范 ，常见为双边、多边或国际组织，为推进数据跨境安全有序地跨境流动，制定双 /多边国际协定或条约框架，以促进数据红利最大化发展，即数据红利偏好型。 对数据主体而言，限制性规范中涉及的数据类型一般为个人信息、重要数据或特殊行业的敏感数据；推动型规范中并未对数据性质作显著区分。 对企业而言，限制性和推动性规范均具有现实意义，限制性规范因占据主导地位将成为企业关注的重点。一方面，根据限制性规范要求，严格实施合规治理及管控运行，最大限度规避违规风险；一方面，在合规管控运行前提下，充分利用推动性规则弹性空间，降低企业跨境管控压力和成本。 注：基于“非强制”、“仅约束缔约方”特性，推进性规则多不具备普遍约束力。 - 2 - 1.1.1 主要国家规则多为限制性规范 限制性规范，即一国家 /地区的数据出境规则，根据当地法律体系、历史传统、风险偏好的区别而呈现出不同严苛程度。目前，尚无国家完全禁止数据出境，或者对数据出境完全不加限制，大部分国家 /地区集中分布于中段。 中段形式大体表现为： 国家安全与数字红利并举，促进数字经济发展的同时寻求本地化，如印度、俄罗斯；市场自由与数字规则并重，提倡数据跨境自由流动的同时规定多样化的数据出境机制，如欧盟、新加坡。 参考附件：全球主要数据跨境限制模式 1.1.2 国际组织机制多为推动性规范 国际组织积极制定数据跨境流动规则框 架，推动数据在国家 /地区间有序流动，以期减少数据跨境流动摩擦，最大限度地发挥数字作用。其中，经济合作与发展组织（ OECD）、亚洲太 - 3 - 平洋经济合作组织（ APEC）等国际组织确立了若干数据跨境流动的原则，建立了若干具有代表性的框架。 国际组织对于成员国间的跨境数据持开放态度，希望通过畅通的数据跨境渠道进一步加强组织内数据的流通效率，但对于数据对组织外的跨境则较为谨慎。欧洲的通用数据保护条例（ GDPR）提供了目前唯一的对外跨境合规框架，并采取了世界范围内的持续性实质推广，对全球多个国家 /地区的相关规则产生了显著 影响。 参考附件：国际组织数据跨境流动框架 1.1.3 中国具有差异化和多层次特征 中国 数据跨境 法律法规处于创新 制定 和持续 完善 的 过程。 随着 网络安全法 数据安全法个人信息保护法（以下简称“个保法”）发布，数据保护相关上位法的“三驾马车”已然形成；相关 规范性文件、 国家 标准等 陆续出台构成规则 体系。 中国 数据 跨境规则 体现 出 分层管理 特征，对 重要数据和个人信息 的合规管控 进行 了 差异化设计。 对于 特定行业的特定 类型 数据， 明确 本地化 要求 ；数量较大的个人信息和重要数据进行境内存储，经监管机构审批出境；一般个人信息出境，规定了标准合同、安全认证等多样化合规措施。 参考附件：中国数据跨境相关法律法规中国特殊行业数据跨境要求 1.2 数据跨境发展趋势 1.2.1 数据分级分类管理成为主流 个人信息、重要数据、核心数据等不同数据类型涉及的法律风险和所需的保护要求各有不同，主要国家尝试采取数据分级分类监管，形成宽严不同的数据跨境流动管控政策。 - 4 - 1.2.2 探索促进统一数据跨境规范 随着数据跨境流动规模的扩大，各国家和地区已试图将数据跨境流动治理纳入国际贸易规则，现有国际治理框架难以满足全球数据治理的特点和需要，需要为由无形资产主导的新的数字世界建立一个新的治理结构，以最大限度的发挥数据价值。 1.2.3 数据主权管辖博弈冲击持续 长臂管辖会将一国的执法效力扩展至数据所在国，对数据所在国数据保护法实施产生冲击，对国际司法适用原则产生冲击，进而对全球的数据安全合规框架产生深远影响，并在很大程度上改变全球数据主权的游戏规则。 1.3 数据跨境类型 当前各界对数据跨境界定仍存在差异，尚未形成统一认知。通常将其理解为“数据从一法域被转移至另一法域的行为”或“跨越国界对存储在计算机中的机器可读数据进行处理”。以“境外实体接触”为标准，数据跨境主要包括两类： 第 一类：数据跨越国界的传输、 转移行为 ； 第二类： 尽管数据尚未跨越国界，但能够被 境外的 主体进行访问。 其中， 一种特殊 情形为 直接的跨境 数据 采集，即数据直接从位于 A 国的数据主体处被采集至 B 国的数据中心，并未在 A 国进行存储落地。由于 实践中难以 在全球 范围内 部署服务器，必然存在大量的跨境采集情况。 概念 定义 场景 类型 场景示例 数据跨境 任何正在转移 数据到其他司法管辖区或是转移到其他司法管辖区之后意图再转移的行为。 1. 跨境传输 数据的接收方，基于合同或其他基础，接收来自于其他法域的数据。 某跨国 企业 的子公司通过内部的系统传输 数据 至位于另一司法管辖区的总部。 *跨境采集 跨境传输 是跨境传输的 一种特殊情况：数据的采集方基于某种需求，直接从位于另一法域的数据主体处采集 数据 至处理方所在地，而未在数据主体所在法域进行任何处理行为。 某跨国 企业 的员工使用内部系统填报个人信息，而该系统的服务器与该员工所在地不属于同一司法管辖区。 - 5 - 概念 定义 场景 类型 场景示例 2. 跨境访问 数据的访问方基于某种需求，访问位于另一法域的 系统 服务器，读取其数据库中的部分或全部 数据 并进行一定的自动化处理动作。 某跨国 企业 在中国为欧盟境内的客户提供 系统 远程运维服务。 跨境流转示意图 1.4 数据本地化模式 数据本地化是数据跨境管理的一种措施，通常理解为某一主权国家 /地区，通过制定法律或规则来限制本国 /地区数据向境外流动，是对数据出境进行限制的做法之一。 数据本地化要求数据服务器位于本法域境内，在境内存储或处理数据。目前，全球多个国家 /地区提出了本地化要求，宽严程度有所不同，几种模式交织并行。 模式 具体情况 代表国家 涉及数据 类型 无本地化要求，但有出境限制 原则上允许数据合规流动 欧盟、日本 一般个人信息 境内存储副本，对转移或出境无限制 仅要求将数据副本存储在国内计算机设备中，对外转移或处理数据副本无限制，其通常的目的 是 为 了 确 保 监 管 需求。 印度（ 2018 年个保法草案） 一般个人信息 境内存储，可境外处理 数据必须首次存储在国内，满足出境合规条件的情况下可以向境外传输，在境外处理数据。 俄罗斯 一般个人信息 - 6 - 境内存储、处理 数据只能在境内存储、处理，仅在特定的条件下（如国家安全需求）的 情 况 下 ， 经 审 批 出境。 美国、土耳其、澳大利亚 特殊类别非个人信息 /重要数据 本地化通常为非“全量”的本地化： （ 1） 对数据类型进行划分 ：对不同的数据类型提出不同的保护要求，对特定类型的数据提出本地化要求。最常见的受限的数据类型包括生物健康、金融、征信等重要数据。 （ 2） 对收集数据的主体进行划分 ：对不同的特定主体提出了不同的本地化存储要求。 二、 企业数据跨境典型场景及管控要点 2.1 数据跨境合规主要痛点难点 随着经济全球化、数字化的深入发展，企业开展境外业务时面临的数据跨境监管形势日益严峻，数据跨境管控过程的痛点、难点，成为数据合规治理的热点、焦点。 2.1.1 数据多样，跨境数据的法律属性识别与分类困难 数据体量大。 大数据背景下，企业生产经营过程中产生的数据 呈爆炸式增长， 且涉及数据类型丰富多变。 从 数据 主体角度，包括 客户 数据、 用户数据、 合作 方 数据、 供应商数据、 内部员工数据 等 ；从业务 经营 角度，包括产品 数据 、 日常 经营 数据 、研究 研发 数据 、内务管理 数据 等， 极大增加了企业数据管理的难度和成本。 属性识别难。 关于个人信息、重要数据 等在监管 定义 上通常 采用“概括式”的 表达形式 ， 虽为企业提供了一定灵活度，也为企业对数据的法律属性类型识别带来了模糊性和不确定性； 不参考示例：印度政府将数据类型划分为关键个人信息、敏感个人信息和一般个人信息，关键的个人信息必须存储在印度境内，但也提供了例外条件；对于敏感的个人信息，必须存储在印度境内，但其副本可以按照跨境转移的要求进行传输到印度境外。 参考示例：印度尼西亚政府要求只有公共电子系统运营商才必须将其电子系统和数据放置在印度尼西亚本地。美国国防部规定所有为该部门服务的云计算服务提供商须在境内储存数据，美国国家税务局发布规定要求税务信息系统应当位于美国境内等。 - 7 - 同法域对 个人信息、重要数据等概念 定义存在差异 甚至冲突 ， 对企业跨境 数据 的属性 识别 和应用管控 造成困难。 载体拆分难。 多种 类型的 非结构化数据，可能 同时 集合在 同一 载体 或分散在不同载体中 ，难以 拆分、合并和精准 识别， 如何按照数据来源、内容、用途等进行数据分类梳理，成为企业数据跨境合规管控的实务难题。 2.1.2 场景复杂，数据跨境的路径、角色及责任识别困难 企业业务场景多样。 随着企业成长与发展，业务版图和业务领域不断扩展或变化，配套的内部支撑流程也随之细化，各业务场景交互融合，业务数据随之交互融合，加大了数据跨境路径梳理和相关责任方识别的难度。 数据 流转路径复杂 。 数字化转型背景下，企业的业务数据往往 通过 线上 系统进行 流转 处理， 业务系统间数据 存在交叉传输的情况 ； 同时，出于成本、效率等多因素考虑，企业的系统服务器通常集中部署、统一管理，导致在全球化业务开展过程中涉及频繁、复杂的数据跨境流转。 参考示例：在与欧盟的电讯运营商合作的国内手机厂商可能会碰到类似的数据合规困局，欧盟的电讯运营商会要求合作的中国手机制造商提供其手机设备的标识符如 IMEI 信息，以保障网络运营商对设备的使用，根据中国标准，设备硬件标识符属于个人信息，于是国内的手机制造商会要求欧盟运营商签署数据处理协议；但欧盟运营商依据所在国法律，认为因整个业务流程中，运营商仅获取了硬件标识符，未能获取其他任何数据，进而无法通过硬件标识符识别到特定使用该硬件的用户，不具备可识别性，不是个人信息，于是拒绝签署数据处 理协议（ DPA）。 参考示例：公司内部搭建的文档管理平台，存储了内部包括项目业务资料、商务合同、财务单据等大量文件，文件中的业务资料如果标识了他国的交通路网、能源节点、敏感区域位置则可能涉及他国重要数据；商务合同中可能包含签署双方的法人代表个人信息；财务金融单据中可能涉及敏感个人信息等。但因为数据量大，且以非结构化的形式出现，难以对每类数据做精准识别。 参考示例：某大型企业旗下存在多个业务板块：金融业务板块包括银行、保险、证券等；非金融业务板块包括系统产品开发、供应链管理、市场营销等；同时还包括人力资源、财务管理、行政管理、法律合规、内控审计等内部支撑板块，均涉及大量的数据处理活动。 参考示例：某企业的系统服务器集中部署于总部所在地、由总部统一运维管理，导致在开展境外业务过程中涉及大量数据跨境流转场景，例如数据从境外分支机构传输至总部服务器存储，境外分支机构从总部服务器调取数据，境外发分支机构直接访问总部服务器数据等。若多家境外分支机构纳入数据跨境传输管控全景，各分支机构之间也可能通过总部服务器相互调取 /访问数据。 - 8 - 角色法定含义不同。 不同的数据处理角色承担相应的责任和义务，准确 识别 企业在 数据 跨境场景下承担的 角色、清晰界定 双方责任和 义务，对数据 跨境 合规 管控 非常重要； 不同法域对数据处理角色 的定义、相应责任与 义务 的规定不尽相同， 复杂 的数据流转链条下，企业难以准确判断自身角色、明确责任和 义务， 为企业数据跨境合规管控的力度决策带来障碍 。 2.1.3 规则变动，规则要求多层次、多类型、不断演进 全球规则层次多样。 全球尚未形成统一的数据跨境治理框架，各国家 /地区受国家安全、数据主权、人权保护、地缘政治、贸易模式等因素影响，制定了侧重点不同、各个层次的数据跨境规则，数据治理和数据跨境流动政策具有很大差异，并积极寻求扩大各自数据生态系统，企业数据跨境规则研究和遵从难度显著增加。 不同法域规则冲突。 企业在开展数据跨境流动活动时，需要同时考虑数据输出地和输入地的数据跨境规则，但不同法域数据跨境规则的不同，对企业“双向合规”带来困难； 由于长臂管辖 等因素 ，同一法域的数据处理行为 也 可能需要满足多 法域规则 ， 存在 法律冲突 隐患，对企业数据跨境合规应对和治理能力提出考验。 规则动态发展变化 。 自欧洲 GDPR 正式发布以来，隐私和数据保护的立法和更新浪潮在全球范围内迅速蔓延；各国家 /地区对数据保护的重要性形成了普遍认知，基于公民权益、国家安全、数据主权等多重考量的数据跨境规则呈现明确化、具体化的特征 ， 使企业数据跨境 合规体系的设计、执行和维护成本进一步加大 。 参考示例：欧盟 GDPR 对个人数据的控制者与处理者的责任分别有详细的规定；而中国个保法没有区分个人信息处理过程中控制者与处理者角色，统一称为“个人信息处理者”，并规定个人信息处理者共同处理 个人信息将承担连带责任。 参考示例：数据的处理必须具备合法基础，但各法域的数据处理的合法基础不尽相同。在我国境内处理欧洲公民的数据，需要同时满足个保法及 GDPR 的要求。我国个保法为避免扩大解释，未将“数据主体利益”及“控制者合法利益”两个边界较模糊的合法基础纳入条款范围。若以“合法利益”为基础在中国境内进行进行数据处理，则可能因失去法律承认的合法基础而违规。 - 9 - 参考附件：全球数据跨境法律法规清单全球数据跨境管控要求清单 2.2 数据跨境典型场景管控要点 2.2.1 数据跨境合规典型场景 基于企业常见业务活动，结合数据跨境基本模式，企业存在若干数据跨境典型场景。 （ 1）集团管理中的数据跨境。 在跨国企业的集团内部日常运营管理过程中，一方面，总部对分支机构有集中管理的客观需要；另一方面，分支机构对总部也有对数据调用的实际需求，数据跨境成为企业运营中必要、高频且规模化的常规数据处理活动。 常见的数据跨境场景有： 业务场景 数据跨境场景 相关字段 供应商管理 为进行供应商管理，企业会收集全球供应商相关个人信息录入位于总部的供应商管理系统进行维护。 供应商联系人、接口人、高层个人的姓名、职务、电话号码、传真、电子邮件、财务账号等信息 采购管理 为进行采购事宜的商谈及合同履行，企业会收集全球相关对接人的个人信息，并传输至总部采购部门进行管理、使用。 客户对接人姓名、国籍、地址、邮编、联系方式等信息 财务管理 企业总部统一管理境外子公司员工的薪酬发放、报销、报税等相关事宜，员工账户信息、报销单据等将涉及跨境传输。 员工账户信息、薪资数据、报销单据、税务单据等信息 人事管理 企业总部为完成招聘、公司内部人力资源管理等工作，需要上传境外员工或候选人个人信息至总部进行统一的管理。 员工信息包括姓名、电话号码、职位、教育背景、工作表现、薪资福利等信息 候选人信息包括姓名、电话号码、资格证书、教育背景、工作经历等信息 文档管理 为便于内部文档共享和管理，企业通常建立全球文档管理平台对企业内部文档进行整合。 企业内部制度、合同、过程性文档等内部文件中可能包含的个人信息 参考示例： GDPR 第 15 条对隐私仪表盘提出了要求：“数据控制者不得使用任何的技术手段阻止用户行使访问权，在可能的情况下，数据控制者应该给予数据主体远程访问其数据的权利，特别是提供在线服务的访问工具，例如隐私仪表盘。”两年后，西班牙通过默认 数据保护指南，对隐私仪表盘提出了十分详尽的配置要求。即便其不具备强制执行的效力，也有着极高的参考价值。西班牙作为欧盟成员国之一，率先在用户控制方面提出了要求，将会影响到其他国家细化规则的进度，这将大大增加企业合规成本。 - 10 - （ 2）业务活动中的数据跨境。 企业业务活动中同样涉及大量数据跨境情况，一方面，企业为扩展海外市场产生大量产品销售、品牌推广、售后维护相关数据跨境传输；另一方面，企业为节约成本部署全球供应链时也致使数据跨境流转路径复杂。常见的数据跨境场景有： 业务场景 数据跨境场景 相关字段 供应链 企业在供应商采购、国际货运及仓储等环节，企业会收集供应商、 收货人、仓库对接人等相关个人信息，并上传至总部供应商部门进行管理、使用。 供应商、收货人、仓库对接人的姓名、国籍、联系方式、收发地址等信息 市场销售 企业在进行全球市场调研、客户关系维护等过程中，需要收集、使用和维护客户信息。 客户 /潜在客户个人信息，包括姓名、电话号码、电子邮箱等信息 远程运维 企业通过网络远程接入境外客户的系统网络进行技术支持、故障处理等，其中会涉及客户个人信息的处理。 客户电话号码、 IMSI、 IP address、呼叫记录等信息 电商平台 电商平台一般由总部或第三方运维管理。企业在全球开展线上产品销售业务时，总部需跨境处理电商平台用户订单、物流信息等。 平台用户姓名、电话号码、订单信息、收获地址等信息 品牌管理 企业在境外组织开展品牌宣传、展会等活动，需采集参会者个人信息并传输至组织方所在境内。 参会人员个人信息，包括姓名、性别、国籍、电话号码、电子邮箱等信息 2.2.2 数据跨境合规要点 各企业的数据跨境场景各不相同，各法域的数据跨境规则也并未具体到场景维度，合规管控一般进行统一基线。各个场景的风险环节存在差异，在将统一基线下沉到具体业务活动中时，侧重点可能有所不同。对于企业，合规管控全景大体包括两部分： 一是针对全业务活动的合规管控基线，基于对各法域跨境规则分类、整理而形成基线； 二是针对特殊场景中的管控侧重点，设置特殊的管控要点。 （ 1） 通用合规管控要点 结合法律法规的要求、相关行业标准，形成数据跨境合规管控关键管控点。 数据跨境前的评估 数据跨境中的执行 数据跨境后的管理 适用范围 阶段 合规管控要点 跨境前：评估 1.1 数据字段清单梳理 - 11 - 适用范围 阶段 合规管控要点 数据跨境合规管控关键控制点 1.2 数据跨境流转路径识别 1.3 数据境外接收方识别和能力评估 1.4 跨境目的的合法性、必要性评估 1.5 跨境字段最小化评估 1.6 特殊类型数据筛查、拦截（国家秘密、核心数据、个人信息等） 1.7 约定数据发送方与境外接收方的数据安全保护责任义务 1.8 企业内部相关方会签审批 1.9 向 监管机构备案 /获得授权 1.10 相关人员培训 跨境中：执行 2.1 加固跨境保障机制（签署跨境转移协议、隐私告知书等） 2.2 保障传输安全性 2.3 记录数据处理过程 2.4 严格管控访问权限 2.5 监控和防范数据泄露风险 2.6 保障数据主体权利响应通道 跨境后：管理 3.1 目的完成后及时删除 /销毁数据 3.2 如超出目的范围跨境，重新进行合规评估 3.3 开展数据跨境合规审计 （ 2）特殊场景合规管控要点 针对特殊场景，在管控基线之外设置特殊的管控要点，制定场景化合规管控措施。 参考示例：境外分支机构在与当地客户开展业务过程中，需将客户数据传输至境内总部进行处理。为保障数据跨境传输的合法性，境外分支机构与该客户签署数据处理协议（ DPA）并列明子处理者清单，以特定授权境内总部作为子处理者参与数据处理；同时，境外分支机构与境内总部签署数据跨境协议（ DTC），约定数据跨境过程中双方的责任义务。 - 12 - 三、 企业数据跨境合规治理思路与良好实践 3.1 数据跨境合规治理路径 随着数字经济和数字贸易日益深入的发展，企业势必会被卷入全球数据跨境合规体系的洪流中。企业必须迎接数据跨境合规的挑战，一方面，了解内部数据跨境现状和外部监管规则，了解企业数据跨境合规管控重点，另一方面，以风险为导向，建立完善企业数据跨境合规管控机制，搭建立足自身、内外联动、成本效益并举、灵活可持续的数据跨境合规体系。 数据跨境合规治理思路主要包括：明确管控数据对象、摸查关键情形场景、识别外部合规需求、开展数据跨境风险评估、数据跨境风险治理以及重要数据合规延展（如下图），下文将作详细探讨。 3.2 数据跨境合规治理 实践 3.2.1 明确管控数据对象 企业需要首先梳理和明确企业内部受管控的数据对象，主要包括个人信息和重要数据。 （ 1）个人信息的识别 根据 欧洲 GDPR、我国个保法、个人信息安全规范等制度规范中对个人信息的定义，“直接或间接的可识别性”是判断个人信息的根本依据。直接可识别性的例子如姓名、身份 ID等 基本身份信息，指纹、声纹、虹膜、面部识别特征等生物识别数据等。 个人信息的认定难点在于具有“间接可识别性”的数据，即与其他信息结合能够识别出特定个人的数据范围的不确定性，例如常用设备数据、位置数据等，各法域对间接识别性的解释也存在差异。 - 13 - （ 2） 重要数据的识别 目前国际社会尚未对重要数据形成统一定义，企业需要持续关注重要数据相关监管政策出台和解读案例，以及时调整对于重要数据的合规策略。 我国相关规定 根据我国网络安全法的定义，重要数据指一旦泄露可能直接影响到国家安全、经济安全、社会稳定的数据，如未公开的政府信息、大面积人口、基因健康、地理、矿产资源等。 我国信息安全技术 重要数据识别指南（草案）详细明确了重要数据的特征，将重要数据分为经济运行、人口与健康、自然资源与环境、科学技术、安全保护、应用服务、政务活动等类型；并首次提出了识别重要数据的基本原则、重要数据的识别流程和对重要数据的描述格式，为企业梳理本企业重要数据具体目录提供参考和规则支撑。 针对工业和信息化领域，我国工业和信息化领域数据安 全管理办法（试行）提出先分类后分级，形成和维护数据分类清单；然后根据数据遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益等造成的危害程度，将工业和电信数据分为一般数据、重要数据和核心数据三级；并明确提出我国境内收集和产生的重要数据，应当依照法律、行政法规要求在境内存储，确需向境外提供的，应当依法依规进行数据出境安全评估，在确保安全的前提下进行数据出境，并加强对数据出境后的跟踪掌握。核心数据不得出境。 其他法域相关规定 参考示例：国际社会针对设备标识符的可识别性存在争议。因可能与其他信息组合而识别到个人，所以系统版本、软件版本、 log 日志信息均为个人信息，但在很多场景中，某软件采集了上述信息和其他一些信息，但经过组合亦无法识别到某个特定个人。 因此，在涉及硬件标识符或间接识别信息的场景中，要从以下两点出发，不能机械套用定义。 IMEI， GAID 等 硬件标识符，应考虑其与个人身份的关联性，如处理者无法获取其他信息，则该硬件标识符仅为硬件身份，不具备标识意义。 在间接识别的场景中，应考虑处理者所管理的数据集合，对所有数据进行组合，是否能够识别到具体的个人，如无法识别，则不认定为个人信息。 - 14 - 其他国家 /地区暂未针对重要数据进行清晰定义，但针对 特殊数据或特殊行业，均有不同程度的合规要求。对于企业来说，企业在日常运营过程中的一些商业数据，或数量有限的个人信息通常不被视为是重要数据。但针对一些特殊的行业如测绘、勘探、电信，日常运营过程中的商业数据可能被认定为重要数据。 3.2.2 摸查关键情形场景 关键动作一：开展现状调研，识别数据跨境场景 企业对内部数据跨境场景进行识别，为合规差距分析和明确合规治理重点提供坚实的事实基础。企业通常采用以下几种方法展开内部调研工作： 信息采集和人员访谈：制定跨境要素识别表，通过下发信息采集表，调研跨境业务需求、数据 保护现状和数据流转情况； 制度流程及法务文件审阅：审核企业现有制度、流程、隐私通知书等相关文档，梳理合规现状； 实地走查观察：对现有跨境业务流程的执行情况进行实地走查观察，随机挑选或者针对企业关注的业务场景，从数据发出地采集、跨境传输到数据接收国落地整个过程进行跟踪，了解传输链路各环节的控制措施和实际的执行情况。 关键动作二：清晰梳理路径，制定数据流转摸底工具 由于数据跨境流转情况复杂，需要采用工具表单和数据流转示意图的方式对数据跨境情况进行记录和清晰梳理，可以通过构建信息采集工具进行协助，例如： 构建跨境场景识别表：根据 业务单位填写的 数据跨境场景识别要素表，梳理出数据跨境流转情况，包括具体业务场景、涉及部门、文件形式、具体字段、数据来源地区、数据跨境识别、涉及系统；呈现各业务场景数据跨境转移的类型：跨境传输、跨境访问、跨境采集以及是否存在跨境中转的情况。 - 15 - 绘制跨境数据流转图：根据数据跨境场景识别要素表， 绘制 跨境数据 流转 图，理清各业务细分场景下数据跨境流转 逻辑与路径 ，包括涉及系统、数据主体所在地、跨境流转情况等内容，汇总成公司业务数据跨境全景图。 同时，应设置针对上述工具的更新机制，定期对工具的符合性 、实用性进行审核、调整。 3.2.3 识别外部合规要点 完成上述两个步骤之后，企业对自身的数据跨境现状和合规需求已有清晰的认识。企业需结合自身业务分布情况，搜集和研究外部监管合规的要求，以明确数据跨境合规治理要点。 关键动作一：梳理和研究数据跨境监管规则 在合规运行的前提下，充分利用数据跨境流动的国际规则，将极大降低企业的跨境运维成本。通过对全球 50 多个国家和地区的跨境规则进行研究，我们发现了全球数据跨境规则的主要逻辑结构如下： 1） 跨境模式：数据跨境模式通常分为不允许出境、满足条件出境、自由出境三类，其中“满足条件出境”为多数模式，也是下列监管应对的重点和前提； 2） 跨境核心要求：数据保护法令往往在跨境章节的首段列明数据跨境的核心要求，包括同意、同等 /充分性保护和批准 /评估。各法域的核心要求为其中的一项或者两项的组合； 3） 充分性保障措施：保障条件是针对同等保护作为核心条件的国家而言的，部分国家规定了具体的条件，例如：标准协议、集团内部规则等；部分国家未规定具体条件，企业可以采用最佳实践做法，以自证满足充分性保障要求； 4） 克减条件：即在满足某些条件的情况下，可以不履行同等的保障条件，即对保障条件的克减。但有些国家并未规定克减条件，如中国。 - 16 - 关键动作二：划分各法域跨境风险等级 不同国家 /地区的数据跨境合规管控强度不同，致使企业面临的执行难度、合规风险存在差异。 1） 针对部分国家，如埃及、俄罗斯，仅能传输到充分性认定的国家或需要监管机构的批准才能出境，又如赞比亚，必须就其标准协议获取监管机构注册，即必须通过监管机构参与才能达成合规条件，合规难度较高； 2） 另外一部分国家规定了多样化的出境合规保障条件，其中包括了不需要监管机构参与、企业可 以自由裁量选用的方式，合规难度相对较低； 3） 相同风险等级国家对应的合规措施大体相同。 因此，对全球重点国家的数据跨境转移要求划分成高中低风险，依据风险的高低即合规措施模式对各国家 /地区进行归类分级，并给每一等级的国家适配统一的合规措施，最终形成包含合规措施的数据跨境传输风险矩阵：严格管控（三级）、适度管控（二级）、宽松管控（一级）（如下图）。 风险等级 国家举例 风险详情 应对原则 3 级 埃及、俄罗斯、乌克兰等 仅通过充分性认定或监管机构批准的方式出境，需要基于监管机构的参与结果，难把控。 通过监管机构授权实施跨境传输；未获授权情况下，通过满足特定“克减”条件实施跨境传输；否则不开展数据跨境。 参考示例：以欧盟数据出境为例，可以对条款进行如下解读： 1） GDPR 语境下数据出境的核心要求为：同等 /充分性保护； 2） GDPR 规定了满足充分性保障的多样化的形式，同时提供了标准的跨境协议； 3） GDPR 也规定了包括同意在内的克减条件，只有在清晰解读逻辑层次的基础上，才能明确各层级条款的运用规则。 参考示例：俄罗斯的数据跨境的核心要求为：同等 /充分性保护；但在保障措施方面，俄 罗斯仅规定了白名单一种保障形式。在实践中，若企业向非俄罗斯监管机构白名单国家传输数据，则必须通过克减条件进行传输。 - 17 - 2 级 巴西、 EEA、新加坡等 规定了同等保护的保障措施形式，可选择适用协议、 BCR 等合规保障措施（监管机构发布或自行拟定）；或未规定同等保护的保障措施形式，可使用自行拟定的协议模板。 通过签署标准合同条款实施跨境传输；通过满足特定“克减”条件实施跨境传输；否则不跨境或自行评估备案。 1 级 印度尼西亚、孟加拉国、越南等 暂未有数据跨境合规要求。 合规整改优先级排后，并动态跟踪立法更新情况。 同时，企业需要 立足 自身 管理实践，制定重点国家 /地区的数据跨境合规策略。 企业可 根据国别数据跨境风险矩阵，基于 自身 业务场景、风险偏好等，对不同风险等级的国家 /地区制定数据跨境合规管控策略和控制点，包括风险等级、跨境传输路径指引、相关示例 /工具、相关责任方和审核方等； 并 结合各国家 /地区的执法力度最终确定数据跨境合规管控策略和控制点，为全球跨境传输提供路径指引。 3.2.4 组织合规风险评估 为评估企业数据跨境活动中的合规风险，提升企业数据跨境管理能力、为业务发展提供可靠保障，企业需要对标监管要求对企业全跨境场景开展风险评估，整体的流程如下图： - 18 - 关键动作一：制定跨境风险评估标尺 企业需基于监管规则和国际标准，参考同业先进实践，从数据跨境全生命周期维度制定数据跨境风险评估矩阵。跨境前、数据跨境执行和跨境后评估内容大致如下所示： 1） 跨境前环节：数据字段 /流转情况梳理、最小化评估、合法性评估、第三方合规性等内容是否已评审通过等； 2） 跨境传输执行合规措施：监管机构审批 /备案、标准合同条款（ SCC）协议、数据主体同意是否已合规执行，跨境传输过程是否完整记录等； 3） 跨境数据的后续使用：目的完成后数据是否及时删除、是否有超出传输目的的使用情况等。 关键动作二：确定风险评级方法 基于风险评估整理问题清单，以“风险为导向”的合规策略对问题进行风险等级划分。结合实践经验，数据跨境风险的评级可以从风险影响程度及风险发生可能性两个维度出发，认定方法如下： 风险级别 风险影响 高 中 高 高 中 低 中 高 低 低 低 中 低 中 高 风险 发生 可能性 风险影响等级具体判断标准如下： 风险影响等级定义说明 风险影响等级 描述 高 高危风险项会导致很高的数据跨境合规风险，是监管机构关注的重点，一旦被监管机构查处，会严重影响此模块业务的正常运营；或一旦被发现和利用，可能会直接导致数据泄露，对公司造成重大经济损失或产生重大声誉风险，对模块业务运行造成较大的影响。 中 中危风险项会导致一般的数据跨境合规风险，一旦被监管机构查处，有中等或较高概率影响此模块业务的正常运营；或一旦被发现和利用，可能会直接导致数据泄露，对公司造成一定的经济损失，对模块业务运行造成一定的影响。 - 19 - 低 低危风险项会导致较低的数据跨境合规风险，对模块业务正常运营、个人信息安全以及公司经济损失等的影响较低且发生的几率较低。此类问题对模块业务的影响受限于特定的条件或需与其他问题组合才能导致较大的危害，从而问题发生的可能性低于风险级别为中的问题。 资料来源：德勤分析与研究 3.2.5 开展合规风险治理 企业基于数据跨境风险评估结论，结合监管要求和同业先进实践，从制度流程设计与业务单位落地执行两个层面，制定数据跨境风险治理方案，主要包括以下两方面： 1） 风险控制与治理：针对风险评估结论，制定风险治理方案并进行优先级排期，优先处置影响重大、高紧迫度的风险，缓释影响中小、低紧迫度的风险，适配可落地的技术和组织措施，包括对各业务执行问题的纠正，以及对现有合规管控基线的优化； 2） 成果内化与长效运维：坚持合规与业务发展相结合、体系完善与落地执行相结合的治理原则，制定可落地、可推广、可持续的数据跨境风