【安永洞察】出海企业数据跨境合规挑战与应对

一

海外市场的复杂环境给中企出海带来数据跨境合规挑战

全球贸易发展已呈现出产业服务化、服务数据化的演进态势，2019年起全球跨境数据流产生的GDP总值已超过跨境商品流，跨境数据已从个人信息泛化到包括了非个人信息的一切数据范围。全球各国高度关注跨境数据领域建立国际规则的问题，数据跨境问题已经成为维系世界平衡甚至和平的重要因素。在世界范围网络空间安全论坛中，数据跨境已成为最重要的话题之一。中国作为国际经济和政治影响力大国，全球对于中国的数据跨境监管要求表现出了空前的关注。中国近年来高速发展的数据管理司法架构以及中国后续的监管执法，将直接对出海企业运营带来直接的影响。

同时，全球因为数据跨境导致的监管案例层出不穷，其中不乏国内多个出海企业受到影响和处罚。全球数据跨境已不仅仅在监管层面，执法处罚的案例也逐年增多。例如，2021年爱尔兰数据保护委员已经对TikTok启动调查，包括向中国传输数据是否满足GDPR等。已发生的监管事件也提示着企业要谨慎思考如何针对不同国家特有的数据跨境法律制度资源建立特有的业务规则和模式。

因此，跨境数据治理对出海企业的产业布局、产业链分配已产生重大影响，出海企业在数据合规方面主要面临两大挑战：

► 企业如何合法合规的实现数据跨境，包括国内的数据出境、国外的数据入境、第三国的数据过境；

► 企业如何针对不同国家特有的数据跨境法律制度资源，制定特有的业务规则和模式，真正的实现业务出海。

二

全球数据及隐私监管的主要模式

由于数据贸易的飞速发展，全球各个国家和国家团体都会形成自身的立场差异，基于立场的差异的不同必然需要基于自身的立场通过法规监管工具来实现和推动自身的立场主张。目前全球数据及隐私监管主要分为三种模式：

以美国为典型的单边模式：

以自身的情况制定相关规定，直接对隐私和数据的跨境流动做出规则限制。美国直接规定了受控非密信息中的“出口控制信息”，就是主要涵盖《出口管理条例》、《国际武器贸易条例》等规定的物品、授权应用程序以及敏感的核心技术信息，包括某些物品、商品、技术、软件或其他类型的非机密信息。这些信息未经政府批准或获得《出口管理条例》、《国际武器贸易条例》管制的许可，不得向外国公民或外国实体的代表做出任何披露。同时，在美上市的企业还需要遵循专门针对跨境直接调取数据的《澄清海外合法使用数据法》。根据该法案，美国执法机构可依法向全球科技公司获取其所拥有、保管或控制的数据，即使有关数据存储于美国境外也依旧适用；

以欧盟为典型的双边模式：

欧盟从2018年的GDPR，到2019年的FFD《非个人数据自由流动条例》和《开放数据指令》，再到2022年发布的《数据法案》（草案），已经形成了以“权利平衡”为底座的治理模式。个人数据跨境以GDPR为基本规则，在企业正当利益维度下的个人信息合理使用及限制，而非个人数据的跨境规则正逐步完善。同时欧盟通过充分性认定的白名单机制，和日本、韩国、新西兰等国家建立了双边治理模式；

以中国为典型的多边模式：

从中国来看，数据出境已成为国内监管的重中之重，其数据出境相关法律法规包括：

• 《技术进口管理条例》；

• 《中国禁止出口限制出口技术目录》；

• 《出口管制法》；

• 《网络安全法》；

• 《数据安全法》；

• 《个人信息保护法》；

• 《反国外制裁法》；

• 《网络安全审查办法》等。

从今年的监管发布就可以判断出来，在数据跨境和企业出海领域，我国的监管趋势将是监管力度更强，执法颗粒度更细，跨部门联动立法执法更密切，合规格局和域外适用更清晰。

三

中企出海数据跨境合规的应对之道

1、数据合规风险全面诊断

出海中企应对业务涉及主流国家的数据及隐私法规环境进行全面了解，综合当地执法案例等信息，对企业出海及跨境数据进行全面评估与快速差距分析。企业在开展数据跨境评估时应重点关注以下六个方面：

从现实情况看，出海企业可能存在经验不足、缺少有效的信息渠道等问题，需要在其出海前先通过合规风险评估工作，对数据合规情况进行全面诊断。

首先，企业应基于已识别的全球数据及隐私合规要求，对数据安全及隐私合规情况进行快速的现状评估，并制定针对性的可落地整改方案，快速达到监管合规要求。

识别数据及隐私合规要求：

基于企业出海相关业务和隐私场景，企业应识别并解读业务涉及主流国家地区的数据安全与隐私保护法律法规要求，形成全球数据及隐私监管合规基线，并重点关注数据跨域流动和本地化要求。目前全球有超过60个国家都有对数据本地化存储的要求，我国对于数据本地化存储尤其严格，因此对于数据本地化要求，企业要解读当地监管机构对于数据本地化存储的要求程度，比如是仅要求境内存储数据副本，还是更进一步，数据的存储和处理只能在境内进行；

梳理企业数据和个人信息：

企业应基于全球数据及隐私监管合规基线，从业务的角度出发，对企业拥有的数据进行系统性梳理，了解这些数据所有者是谁，以什么方式存在在企业中，存储在哪里，保留多长时间等，形成相应的数据清册；同时通过数据流转图来展现不同类别的数据是如何在企业内外部进行收集、存储、使用、加工、传输、提供、公开直至删除的，从而更有针对性地识别不同数据在数据全生命周期的各个阶段可能存在的合规问题；

开展风险评估：

企业基于企业数据和个人信息梳理的结果，通过穿行测试与技术测试的方式，从组织架构、管理流程、技术支撑与人员能力四个方面对出海企业数据跨境合规进行风险评估；

提供整改建议：

基于风险评估结果，从法务政策层面、产品/系统层面、数据运营层面、人员操作层面多维度全方位对合规风险提供针对性整改建议。

2、数据合规治理体系建立

企业在进行快速摸底后会发现暴露的风险问题只是冰山一角，很多问题其根源是数据合规治理体系的缺失造成的。因此为了应对外国法长臂管辖和中国法域外适用的潜在冲突和监管环境，企业应建立国际国内双循环的合规共生体系，从而降低缓释企业全球合规风险带来的风险。

出海中企数据合规治理体系应包括但不限于：

► 组织架构：明确数据安全负责人，成立数据安全管理机构，由数据安全负责人领导，履行数据安全管理治理职责；明确个人信息保护负责人，履行个人信息保护管理职责；

► 制度体系：根据管理层级、管理重点分层级进行制度体系建设，以组织管理策略为纲领，逐级建立制度办法，形成工作流程，并结合工具表单，将管理要求落实到日常工作中。在制度方面，企业应落实数据分类分级保护制度。企业应按照不同数据类型落实数据处理要求，涉及个人信息处理的，应依法细化个人信息处理规则；

► 技术保护：为了让数据出海合规不再流于表面，企业还需要将数据安全与隐私保护真正融入到日常的业务和产品中，包括应针对数据全生命周期的各个环节提出明确的技术解决方案，采用如访问控制、加密、脱敏、防泄漏等技术手段，切实落实管理要求，同时针对安全缺陷、漏洞立即采取补救措施；另外企业需确保隐私合规方面的持续运营能力，将隐私纳入到新系统和流程的设计规范与管理流程中（Privacy By Design），将隐私风险管控前置，避免后期花费大量人力物力对系统进行整改；

► 人员能力：为了提升企业人员整体数据及隐私合规水平，应制定数据及隐私合规培训计划，每年组织开展全员数据及隐私合规意识教育培训，并向相关人员提供专业技能培训，从而帮助企业专业人才的培养。

基于企业当前的管理现状，及未来发展目标，安永可以提供针对性的咨询服务方案，包括但不限于：

► 数据合规体系咨询服务：以全球数据保护相关监管要求为依据，基于数据的全生命周期各个环节，重点关注数据出境合规，为中企出海提供全方位数据合规机制改进建议，并协助企业建立数据合规体系，从而有效降低企业数据出境合规风险；

► 个人隐私保护体系咨询服务：重点关注全球隐私保护监管要求，帮助出海中企有效界定个人信息保护边界，提升企业隐私保护整体水平，形成满足监管要求，并与其数据战略相匹配的个人隐私保护体系。

欢迎联系我们。

高轶峰

主管合伙人

大中华区网络安全与隐私保护咨询服务

安永（中国）企业咨询有限公司

+86 21 2228 6611

kelvin.gao@cn.ey.com

兰瑜

合伙人（华北）

大中华区网络安全与隐私保护咨询服务

安永（中国）企业咨询有限公司

+86 10 5815 3951

bruce.lan@cn.ey.com

施建俊

合伙人（华中）

大中华区网络安全与隐私保护咨询服务

安永（中国）企业咨询有限公司

+86 21 2228 7599

alex.shi@cn.ey.com

夏文婷

合伙人（华中）

大中华区网络安全与隐私保护咨询服务

安永（中国）企业咨询有限公司

+86 21 2228 3320

wendy.xia@cn.ey.com

胡立基

合伙人（华南）

大中华区网络安全与隐私保护咨询服务

安永（中国）企业咨询有限公司

+86 20 2881 2731

winson.woo@cn.ey.com

本文是为提供一般信息的用途所撰写，并非旨在成为可依赖的会计、税务、法律或其他专业意见。请向您的顾问获取具体意见。

如欲转载本文，务必原文转载，不得修改，且标注转载来源为：安永中国海外投资业务部官方微信公众号。如需修改内容，需要获得安永的书面确认。