數(shù)據(jù)跨境合規(guī)治理實(shí)踐（2021）

來源：德勤Deloitte 時(shí)間：2021-12-14 15:34:56 作者：

　　隨著全球各國(guó)數(shù)字產(chǎn)業(yè)及大數(shù)據(jù)、云計(jì)算技術(shù)的迅猛發(fā)展，數(shù)據(jù)流動(dòng)將對(duì)全球經(jīng)濟(jì)產(chǎn)生更深遠(yuǎn)的影響，由此產(chǎn)生的數(shù)據(jù)紅利與數(shù)據(jù)安全之間的矛盾也將深刻影響著未來數(shù)字經(jīng)濟(jì)的走向。為了平衡這兩者之間的矛盾，搶占新一輪經(jīng)濟(jì)競(jìng)爭(zhēng)制高點(diǎn)，各國(guó)紛紛建立、完善數(shù)據(jù)跨境流動(dòng)的相關(guān)國(guó)內(nèi)規(guī)則，并積極推動(dòng)、參與國(guó)際規(guī)則的制定。

　　聚焦我國(guó)，隨著《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》的最終頒布施行、《數(shù)據(jù)安全出境評(píng)估辦法》（征求意見稿）、《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》（征求意見稿）、《網(wǎng)絡(luò)安全審查辦法》（征求意見稿）對(duì)于執(zhí)行細(xì)節(jié)制定工作的穩(wěn)步推進(jìn)，我國(guó)已建立了數(shù)據(jù)出境的基本合規(guī)框架，為數(shù)字經(jīng)濟(jì)的發(fā)展奠定了最堅(jiān)實(shí)的基礎(chǔ)。該框架一方面采納了國(guó)際通行的數(shù)據(jù)跨境流動(dòng)原則及制度，將我國(guó)的數(shù)據(jù)出境合規(guī)規(guī)則積極地融入到全球數(shù)據(jù)跨境流動(dòng)的規(guī)則體系中去；同時(shí)，其展現(xiàn)的創(chuàng)新性安全審查審批制度、安全與發(fā)展的平衡之道，也為全球的數(shù)據(jù)跨境流動(dòng)體系做出了“中國(guó)貢獻(xiàn)”。

　　在這樣的國(guó)際及國(guó)內(nèi)環(huán)境背景下，為了清晰界定數(shù)據(jù)跨境相關(guān)概念，在錯(cuò)綜復(fù)雜的數(shù)據(jù)跨境合規(guī)體系中精準(zhǔn)提煉出中國(guó)企業(yè)面對(duì)的數(shù)據(jù)跨境合規(guī)要求，進(jìn)而探討風(fēng)險(xiǎn)可控、成本可控、可落地、可執(zhí)行的合規(guī)思路，并切實(shí)賦能國(guó)內(nèi)企業(yè)數(shù)據(jù)跨境合規(guī)的治理工作，德勤攜手中興通訊聯(lián)合發(fā)布《數(shù)據(jù)跨境合規(guī)治理實(shí)踐》白皮書。

　　當(dāng)前各界對(duì)數(shù)據(jù)跨境界定仍存在差異，尚未形成統(tǒng)一認(rèn)知。通常將其理解為“數(shù)據(jù)從一法域被轉(zhuǎn)移至另一法域的行為”或“跨越國(guó)界對(duì)存儲(chǔ)在計(jì)算機(jī)中的機(jī)器可讀數(shù)據(jù)進(jìn)行處理”。

　　以“境外實(shí)體接觸”為標(biāo)準(zhǔn)，數(shù)據(jù)跨境主要包括三類：

第一類：數(shù)據(jù)跨越國(guó)界的傳輸、轉(zhuǎn)移行為；

第二類：盡管數(shù)據(jù)尚未跨越國(guó)界，但能夠被境外的主體進(jìn)行訪問；

第三類：數(shù)據(jù)跨越國(guó)界采集，直接從位于另一法域的數(shù)據(jù)主體處采集數(shù)據(jù)至處理方所在地。

資料來源：德勤分析與研究

　　全球各國(guó)家、國(guó)際組織制定的數(shù)據(jù)跨境規(guī)則模式往往與數(shù)據(jù)安全政策偏好相關(guān)聯(lián)?，F(xiàn)有規(guī)則大體分為兩類：

限制性規(guī)范，常見為一國(guó)家或地區(qū)針對(duì)重要數(shù)據(jù)或個(gè)人信息進(jìn)行出境限制，以維護(hù)數(shù)據(jù)安全或數(shù)據(jù)主權(quán)，即數(shù)據(jù)安全偏好型。

推動(dòng)性規(guī)范，常見為雙邊、多邊或國(guó)際組織，為推進(jìn)數(shù)據(jù)跨境安全有序地跨境流動(dòng)，制定雙/多邊國(guó)際協(xié)定或條約框架，以促進(jìn)數(shù)據(jù)紅利最大化發(fā)展，即數(shù)據(jù)紅利偏好型。

　　對(duì)企業(yè)而言，限制性和推動(dòng)性規(guī)范均具有現(xiàn)實(shí)意義，限制性規(guī)范因占據(jù)主導(dǎo)地位將成為企業(yè)關(guān)注的重點(diǎn)。一方面，根據(jù)限制性規(guī)范要求，嚴(yán)格實(shí)施合規(guī)治理及管控運(yùn)行，最大限度規(guī)避違規(guī)風(fēng)險(xiǎn)；一方面，在合規(guī)管控運(yùn)行前提下，充分利用推動(dòng)性規(guī)則彈性空間，降低企業(yè)跨境管控壓力和成本。

資料來源：德勤分析與研究

　　企業(yè)必須迎接數(shù)據(jù)跨境合規(guī)的挑戰(zhàn)，一方面，了解內(nèi)部數(shù)據(jù)跨境現(xiàn)狀和外部監(jiān)管規(guī)則，了解企業(yè)數(shù)據(jù)跨境合規(guī)管控重點(diǎn)，另一方面，以風(fēng)險(xiǎn)為導(dǎo)向，建立完善企業(yè)數(shù)據(jù)跨境合規(guī)管控機(jī)制，搭建立足自身、內(nèi)外聯(lián)動(dòng)、成本效益并舉、靈活可持續(xù)的數(shù)據(jù)跨境合規(guī)體系。

　　數(shù)據(jù)跨境合規(guī)治理思路主要包括：明確管控?cái)?shù)據(jù)對(duì)象、摸查關(guān)鍵情形場(chǎng)景、識(shí)別外部合規(guī)需求、開展數(shù)據(jù)跨境風(fēng)險(xiǎn)評(píng)估、數(shù)據(jù)跨境風(fēng)險(xiǎn)治理以及重要數(shù)據(jù)合規(guī)延展。

　　在合規(guī)運(yùn)行的前提下，充分利用數(shù)據(jù)跨境流動(dòng)的國(guó)際規(guī)則，將極大降低企業(yè)的跨境運(yùn)維成本。通過對(duì)全球50多個(gè)國(guó)家和地區(qū)的跨境規(guī)則進(jìn)行研究，研究發(fā)現(xiàn)全球數(shù)據(jù)跨境規(guī)則的主要邏輯結(jié)構(gòu)如下：

　　第一層級(jí)—基本跨境模式

　　數(shù)據(jù)跨境模式通常分為不允許出境、滿足條件出境、自由出境三類，其中“滿足條件出境”為多數(shù)模式，也是下列監(jiān)管應(yīng)對(duì)的重點(diǎn)和前提；

　　第二層級(jí)—跨境核心要求

　　數(shù)據(jù)保護(hù)法令往往在跨境章節(jié)的首段列明數(shù)據(jù)跨境的核心要求，包括同意、同等/充分性保護(hù)和批準(zhǔn)/評(píng)估。各法域的核心要求為其中的一項(xiàng)或者兩項(xiàng)的組合；

　　第三層級(jí)—充分性保障措施

　　保障條件是針對(duì)同等保護(hù)作為核心條件的國(guó)家而言的，部分國(guó)家規(guī)定了具體的條件，例如：標(biāo)準(zhǔn)協(xié)議、集團(tuán)內(nèi)部規(guī)則等；部分國(guó)家未規(guī)定具體條件，企業(yè)可以采用最佳實(shí)踐做法，以自證滿足充分性保障要求；

　　第四層級(jí)—克減條件

　　即在滿足某些條件的情況下，可以不履行同等的保障條件，即對(duì)保障條件的克減。但有些國(guó)家并未規(guī)定克減條件，如中國(guó)。

　　不同國(guó)家/地區(qū)的數(shù)據(jù)跨境合規(guī)管控強(qiáng)度不同，致使企業(yè)面臨的執(zhí)行難度、合規(guī)風(fēng)險(xiǎn)存在差異。根據(jù)規(guī)則邏輯進(jìn)行國(guó)家風(fēng)險(xiǎn)等級(jí)劃分至關(guān)重要：

　　針對(duì)部分國(guó)家，如埃及、俄羅斯，僅能傳輸?shù)匠浞中哉J(rèn)定的國(guó)家或需要監(jiān)管機(jī)構(gòu)的批準(zhǔn)才能出境，又如贊比亞，必須就其標(biāo)準(zhǔn)協(xié)議獲取監(jiān)管機(jī)構(gòu)注冊(cè)，即必須通過監(jiān)管機(jī)構(gòu)參與才能達(dá)成合規(guī)條件，合規(guī)難度較高；另外一部分國(guó)家規(guī)定了多樣化的出境合規(guī)保障條件，其中包括了不需要監(jiān)管機(jī)構(gòu)參與、企業(yè)可以自由裁量選用的方式，合規(guī)難度相對(duì)較低；相同風(fēng)險(xiǎn)等級(jí)國(guó)家對(duì)應(yīng)的合規(guī)措施大體相同。

　　因此，對(duì)全球重點(diǎn)國(guó)家的數(shù)據(jù)跨境轉(zhuǎn)移要求劃分成高中低風(fēng)險(xiǎn)，依據(jù)風(fēng)險(xiǎn)的高低即合規(guī)措施模式對(duì)各國(guó)家/地區(qū)進(jìn)行歸類分級(jí)，并給每一等級(jí)的國(guó)家適配統(tǒng)一的合規(guī)措施，最終形成包含合規(guī)措施的數(shù)據(jù)跨境傳輸風(fēng)險(xiǎn)矩陣：嚴(yán)格管控（三級(jí)）、適度管控（二級(jí)）、寬松管控（一級(jí)）。

　　針對(duì)企業(yè)面臨的數(shù)據(jù)多樣、跨境數(shù)據(jù)的法律屬性識(shí)別與分類困難、規(guī)則動(dòng)態(tài)多變等痛點(diǎn)，確定適用于各類場(chǎng)景的管控要點(diǎn)至關(guān)重要。

　　對(duì)于企業(yè)，合規(guī)管控全景大體包括兩部分：

　　一、針對(duì)全業(yè)務(wù)活動(dòng)的合規(guī)管控基線，基于對(duì)各法域跨境規(guī)則分類、整理而形成基線（如下表）；

　　二、針對(duì)特殊場(chǎng)景中的管控側(cè)重點(diǎn)，設(shè)置特殊的管控要點(diǎn)。

　　企業(yè)基于數(shù)據(jù)跨境風(fēng)險(xiǎn)評(píng)估結(jié)論，結(jié)合監(jiān)管要求和同業(yè)先進(jìn)實(shí)踐，從制度流程設(shè)計(jì)與業(yè)務(wù)單位落地執(zhí)行兩個(gè)層面，制定數(shù)據(jù)跨境風(fēng)險(xiǎn)治理方案，主要包括以下兩方面：

　　風(fēng)險(xiǎn)控制與治理：針對(duì)風(fēng)險(xiǎn)評(píng)估結(jié)論，制定風(fēng)險(xiǎn)治理方案并進(jìn)行優(yōu)先級(jí)排期，優(yōu)先處置影響重大、高緊迫度的風(fēng)險(xiǎn)，緩釋影響中小、低緊迫度的風(fēng)險(xiǎn)，適配可落地的技術(shù)和組織措施，包括對(duì)各業(yè)務(wù)執(zhí)行問題的糾正，以及對(duì)現(xiàn)有合規(guī)管控基線的優(yōu)化；

　　成果內(nèi)化與長(zhǎng)效運(yùn)維：堅(jiān)持合規(guī)與業(yè)務(wù)發(fā)展相結(jié)合、體系完善與落地執(zhí)行相結(jié)合的治理原則，制定可落地、可推廣、可持續(xù)的數(shù)據(jù)跨境風(fēng)險(xiǎn)管控和合規(guī)治理規(guī)則、指引、方法和工具，逐步完善的數(shù)據(jù)跨境風(fēng)險(xiǎn)治理體系。