数据跨境合规治理实践（2021）

来源：德勤Deloitte 时间：2021-12-14 15:34:56 作者：

　　随着全球各国数字产业及大数据、云计算技术的迅猛发展，数据流动将对全球经济产生更深远的影响，由此产生的数据红利与数据安全之间的矛盾也将深刻影响着未来数字经济的走向。为了平衡这两者之间的矛盾，抢占新一轮经济竞争制高点，各国纷纷建立、完善数据跨境流动的相关国内规则，并积极推动、参与国际规则的制定。

　　聚焦我国，随着《数据安全法》、《个人信息保护法》的最终颁布施行、《数据安全出境评估办法》（征求意见稿）、《网络数据安全管理条例》（征求意见稿）、《网络安全审查办法》（征求意见稿）对于执行细节制定工作的稳步推进，我国已建立了数据出境的基本合规框架，为数字经济的发展奠定了最坚实的基础。该框架一方面采纳了国际通行的数据跨境流动原则及制度，将我国的数据出境合规规则积极地融入到全球数据跨境流动的规则体系中去；同时，其展现的创新性安全审查审批制度、安全与发展的平衡之道，也为全球的数据跨境流动体系做出了“中国贡献”。

　　在这样的国际及国内环境背景下，为了清晰界定数据跨境相关概念，在错综复杂的数据跨境合规体系中精准提炼出中国企业面对的数据跨境合规要求，进而探讨风险可控、成本可控、可落地、可执行的合规思路，并切实赋能国内企业数据跨境合规的治理工作，德勤携手中兴通讯联合发布《数据跨境合规治理实践》白皮书。

　　当前各界对数据跨境界定仍存在差异，尚未形成统一认知。通常将其理解为“数据从一法域被转移至另一法域的行为”或“跨越国界对存储在计算机中的机器可读数据进行处理”。

　　以“境外实体接触”为标准，数据跨境主要包括三类：

• 第一类：数据跨越国界的传输、转移行为；

• 第二类：尽管数据尚未跨越国界，但能够被境外的主体进行访问；

• 第三类：数据跨越国界采集，直接从位于另一法域的数据主体处采集数据至处理方所在地。

资料来源：德勤分析与研究

　　全球各国家、国际组织制定的数据跨境规则模式往往与数据安全政策偏好相关联。现有规则大体分为两类：

• 限制性规范，常见为一国家或地区针对重要数据或个人信息进行出境限制，以维护数据安全或数据主权，即数据安全偏好型。

• 推动性规范，常见为双边、多边或国际组织，为推进数据跨境安全有序地跨境流动，制定双/多边国际协定或条约框架，以促进数据红利最大化发展，即数据红利偏好型。

　　对企业而言，限制性和推动性规范均具有现实意义，限制性规范因占据主导地位将成为企业关注的重点。一方面，根据限制性规范要求，严格实施合规治理及管控运行，最大限度规避违规风险；一方面，在合规管控运行前提下，充分利用推动性规则弹性空间，降低企业跨境管控压力和成本。

资料来源：德勤分析与研究

　　企业必须迎接数据跨境合规的挑战，一方面，了解内部数据跨境现状和外部监管规则，了解企业数据跨境合规管控重点，另一方面，以风险为导向，建立完善企业数据跨境合规管控机制，搭建立足自身、内外联动、成本效益并举、灵活可持续的数据跨境合规体系。

　　数据跨境合规治理思路主要包括：明确管控数据对象、摸查关键情形场景、识别外部合规需求、开展数据跨境风险评估、数据跨境风险治理以及重要数据合规延展。

　　在合规运行的前提下，充分利用数据跨境流动的国际规则，将极大降低企业的跨境运维成本。通过对全球50多个国家和地区的跨境规则进行研究，研究发现全球数据跨境规则的主要逻辑结构如下：

　　第一层级—基本跨境模式

　　数据跨境模式通常分为不允许出境、满足条件出境、自由出境三类，其中“满足条件出境”为多数模式，也是下列监管应对的重点和前提；

　　第二层级—跨境核心要求

　　数据保护法令往往在跨境章节的首段列明数据跨境的核心要求，包括同意、同等/充分性保护和批准/评估。各法域的核心要求为其中的一项或者两项的组合；

　　第三层级—充分性保障措施

　　保障条件是针对同等保护作为核心条件的国家而言的，部分国家规定了具体的条件，例如：标准协议、集团内部规则等；部分国家未规定具体条件，企业可以采用最佳实践做法，以自证满足充分性保障要求；

　　第四层级—克减条件

　　即在满足某些条件的情况下，可以不履行同等的保障条件，即对保障条件的克减。但有些国家并未规定克减条件，如中国。

　　不同国家/地区的数据跨境合规管控强度不同，致使企业面临的执行难度、合规风险存在差异。根据规则逻辑进行国家风险等级划分至关重要：

　　针对部分国家，如埃及、俄罗斯，仅能传输到充分性认定的国家或需要监管机构的批准才能出境，又如赞比亚，必须就其标准协议获取监管机构注册，即必须通过监管机构参与才能达成合规条件，合规难度较高；另外一部分国家规定了多样化的出境合规保障条件，其中包括了不需要监管机构参与、企业可以自由裁量选用的方式，合规难度相对较低；相同风险等级国家对应的合规措施大体相同。

　　因此，对全球重点国家的数据跨境转移要求划分成高中低风险，依据风险的高低即合规措施模式对各国家/地区进行归类分级，并给每一等级的国家适配统一的合规措施，最终形成包含合规措施的数据跨境传输风险矩阵：严格管控（三级）、适度管控（二级）、宽松管控（一级）。

　　针对企业面临的数据多样、跨境数据的法律属性识别与分类困难、规则动态多变等痛点，确定适用于各类场景的管控要点至关重要。

　　对于企业，合规管控全景大体包括两部分：

　　一、针对全业务活动的合规管控基线，基于对各法域跨境规则分类、整理而形成基线（如下表）；

　　二、针对特殊场景中的管控侧重点，设置特殊的管控要点。

　　企业基于数据跨境风险评估结论，结合监管要求和同业先进实践，从制度流程设计与业务单位落地执行两个层面，制定数据跨境风险治理方案，主要包括以下两方面：

　　风险控制与治理：针对风险评估结论，制定风险治理方案并进行优先级排期，优先处置影响重大、高紧迫度的风险，缓释影响中小、低紧迫度的风险，适配可落地的技术和组织措施，包括对各业务执行问题的纠正，以及对现有合规管控基线的优化；

　　成果内化与长效运维：坚持合规与业务发展相结合、体系完善与落地执行相结合的治理原则，制定可落地、可推广、可持续的数据跨境风险管控和合规治理规则、指引、方法和工具，逐步完善的数据跨境风险治理体系。

具体内容如下

责任编辑：蔺弦弦