CIAPH 第八届医药健康行业信息化高峰论坛
国际视野下,企业如何应对数据跨境传输合规风险
2021-01-06  来源:CIO发展中心

本文由CIO发展中心根据金杜律师事务所网络安全与数据合规合伙人蒋科在《解读数字化时代的企业合规与数据保护暨走进金杜律师事务所现场会》上的演讲整理。

在《解读数字化时代的企业合规与数据保护暨走进金杜律师事务所现场会》上,金杜律师事务所网络安全与数据合规合伙人蒋科发表了题为《企业数据跨境的合规问题和解决方案》的演讲。他讲到,从目前国家出台的各项规定以及颁布的相关法律来看,对于数据的跨境传输呈现出趋严的监管态势。在这样的环境下,企业需要通过技术手段进行个人信息脱敏,同时避免跨境传输或者境外的处理与访问;进行安全评估,留存数据出境安全评估报告;拥有全球化视野,明确系统部署地区性的法律要求。以上做法都将大大降低数据跨境传输的合规风险。 

蒋科.png

蒋科 金杜律师事务所 网络安全与数据合规 合伙人

大家好,我是蒋科,非常高兴能为大家带来本次分享。由于我个人曾经担任过企业法务,负责汽车厂商的网络安全和数字化项目以及公有云的产品合规和运营合规相关工作,所以我与IT部门的朋友交流非常密切,因此见到各位IT行业的来宾,倍感亲切。

今天带来的分享是《企业数据跨境的合规问题和解决方案》。数据跨境只是网络安全和数据合规中的一小部分,随着新型科技的兴起,为企业带来便利和高效的同时也带来了数据安全、数据治理、数据融合等问题,这样的现状使企业内的法务部门与IT部门密切联系起来。由业务部门产生的数据往往会通过IT部门搭建的系统或者工具进入到后端,进行处理、使用、共享等操作,在这个过程中往往会涉及到合规的问题,想要解决这一问题就要求法务和IT人员具备丰富的知识储备,法务人员需要去了解IT部门如何运作,IT部门也需要理解相关的法律要求,只有双方共同推进,才能保证数据在流动的过程中更加高效合规,以充分实现数据的价值。不论是数据于企业内部之间跨部门的流动传输,还是外部的跨境传输,安全与合规是企业不得不面对的一个严峻的挑战。

蒋科1.png

从全球视角来看,目前已经有120多个国家和地区制定了个人信息保护相关的法律,其中关于跨境传输的问题在个人信息保护的专项立法中有大量体现,问题在于如果一个地区对数据进行限制,那么它影响的将是与这个地区相关联的所有地区。当两个地区的相关要求不一致,就需要找到一个方法保证本地部署以及全球部署的合规。

对于数据跨境传输的管控,不同地区采用不同的规制。例如欧盟,他们认为安全的地区会开放白名单,数据可以自由传输。如果认为不安全,将会采用标准合同条款或者是约束性的公司规则进行限制,在一定的规则内进行传输。

印度则采用另外一种思路,首先是对数据的性质进行界定,一些敏感数据例如健康、财务、宗教信仰等等会通过合同条款和法律规则进行限制,而一些普通的数据则可以自由传输,印度数据保护局认定的关键个人数据则不允许对外传输。 美国基本上是不限制数据传输的,但是对于在外资安全审查机制中进入基础设施市场外的外资所掌握的数据施加限制。例如收购一家美国电商,电商里所掌握的一些数据从国家角度被认为是敏感数据的,则会进行传输的限制。

总体上来看,大多数国家都会对敏感信息的传输进行限制,因此我国企业在与其他国家和地区打交道的时候往往会遇到数据传输的问题,IT部门的人员在上线相应的系统的时候,对于服务商的选择,基于地域限制的考量,都将受到法律合规的限制。

蒋科2.png

以欧盟为例,欧盟是通过不同等级规范的方法来限制数据的传输,当然中国不在其白名单范围之内,中国如果想要进行数据传输,则需要到欧盟的数据保护机关进行批复。如果是一家集团公司,则可以在内部进行传输;如果涉及到第三方,则需要按照欧盟发布的合同条款进行数据传输。目前欧盟对于该领域的数据传输的管控愈发严格,前期欧盟与美国签订的隐私盾框架也于2020年7月被判无效,双方也正在探讨如何去修正相关的协议中。

根据最新的判例,也不是按照欧盟的标准传输条款签订合同就可以自由传输,而是要考量在特定的案子中,保护水平是否达到要求;如果不够,还需要额外保护。总体来看,欧盟对于数据传输的管控呈现出了趋严的特征。

最后还有一种情况是最终用户传输的目的国既不在白名单,同时也无法适用约束性公司准则或者标准合同条款,这样的情况只有获得了数据主体的完全同意才可以进行传输,但是在现实情况中,这样的场景非常有限,想要取得数据主体的完全同意是十分困难的。

蒋科3.png

对于中国企业来说,目前对于数据跨境和本地化要求主要来自于两个方面,一个就是《网安法》体系的约束,另外一个就是行业监管的要求。我国《网安法》中的各项要求主要的关注点在于是否与关键信息基础设施相关,目前生效的法律法规要求如果公司的系统被认定为关键信息基础设施,同时涉及关键信息基础设施的个人信息和重要数据收集,这样的数据出境则需要进行一系列评估。

另外一方面,是我国主管机关会根据不同行业的特殊性,进而认为其产生的数据也具有特殊性,可能会要求服务器必须设置在境内,或者是某类数据禁止跨境进行传输,通过以上两种方式进行规范。例如医疗数据、人口健康信息相关的服务器要求设置在境内,金融机构要求如果进行数据传输,只能传递至其子公司、母公司等关联公司,征信数据只能在中国境内进行处理等等。

蒋科4.png

近几年来,随着《网安法》的出台,每年都会有很多法规和相关的标准被制定出来,这些条文大部分是在执行关于网络安全的要求。2019年,我国对于个人信息和重要数据的出境又发布了最新的草案。值得我们关注的是,以前往往IT部门的人不能明确关键信息基础设施的范畴,不清楚数据出境是否符合规范。但是当2019年相关草案出台后,责任主体已经成为了所有的网络运营者,大大扩展了管制的范围,很多以前不明确的范畴都划入了管制的范围。

蒋科5.png

针对我国的实际情况,主管机关目前也在全方位考虑,2020年十月颁布的《个人信息保护法(草案)》相对于《网安法》中的监管,和2019年相关草案中的扩张又有了一定程度的缩限,例如其中的第四十条,关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,在数据出境的时候需要进行评估,该条款的主体既不是所有的网络运营者,也不是仅限关键信息基础设施的运营者,而是在达到一定的信息处理数量以后,才会对相应的责任主体进行相关的要求,客观来看,这是相对平衡的一种做法。

其他情况涉及到信息出境,企业还是具有一定义务的,比如说做一些安全评估;或者是到专业的评测机构进行认证,认证后再进行数据传输;或者是像欧盟一样,与境外接收方订立合同,当然合同中要明确发送方和接收方的权利与义务,以及在数据传输过程中采取的安全措施。

蒋科6.png

接下来我将为大家分享一些业务部门与IT部门非常关注的问题,以帮助大家更好地理解数据跨境传输相关的要求。

如何构成数据跨境。目前中国管控的是在中国境内运营过程中收集的数据的跨境,即便是没有在中国设立实体,但是在中国开展业务,在这个过程中产生的数据也有可能被认定为数据出境,进而需要履行相关的义务。目前对于中国客户,涉及到人民币结算、网站等方面与中国市场具有关联的业务,以及公司的IT架构等,是可能影响判断是否为在中国开展业务的因素,因此IT部门进行系统部署应当注意到这一点。

蒋科7.png

第二点是不下载只是登陆是否属于数据跨境,如果行为主体在公开的网站进行浏览,则不属于数据跨境;如果是只有账户登陆后才能够看到境内的相关数据的话,就属于数据跨境的动作。当我们去判断数据是否跨境的时候,是依据地域来进行判断的,主要看是否有数据汇入国外这一结果产生。此外如果是境外的数据传入到国内仅仅进行了不发生任何变化的使用,或者是在服务器内流动,进而传输到国外,这样的情况目前来看是不属于数据跨境的范畴的。

蒋科8.png

如何识别受监管的“数据客体”。相对来说,个人信息的认定是一个难点,这是因为个人信息的认定范围越来越广,除了直接能识别的个人信息,与其他信息结合的个人信息也会被识别出来,目前最新的《个信法(草案)》中也将“关联说”纳入其中。例如个人信息不单单只是姓名、手机号、健康情况等,像是上网记录、行踪轨迹、消费记录等其实也属于个人信息的一部分。另外一个难点就是重要数据的认定,原则上来讲重要数据是指影响到国家安全、经济安全、社会稳定的数据,但是条文中并没有详细而具体地规定哪种数据才属于是重要数据,《数据安全法(草案)》表示将要会按照地区、部门、行业来列举重要数据的名录,目前还没有通过。对于企业来说,一个比较合理的规定就是企业在日常运营过程中的一些数据包括个人信息通常不被视为是重要数据。 

蒋科9.png

例如说一些医疗机构的数据,其实不仅仅是个人信息,有些时候会涉及到个人健康信息,这类信息本身就会有一定的限制,不仅是安全评估的问题,而是完全禁止。所以想要查看这类信息,可能就要求相关的同事从境外飞过来进行查看,才能规避所谓的数据跨境的问题。而且有些时候不是说删除了个人的姓名和电话就达到了去除个人信息的目的,所以数据跨境传输的合规性还需要企业整体考虑。

蒋科10.png

数据本地化。如果是公司内部数据量大,想要对公司内的数据进行梳理,评估企业是否存在风险的时候,可以参照2017年发布的相关草案中的评估方法,整个评估过程依赖于法务人员、业务同事、系统支持的IT同事、信息安全同事的共同努力。整个过程需要去考虑是否具备出境的必要性?业务主体是什么?业务员收集了什么范围内的数据?采用了什么样的系统进行存储等等。在数据传输环节,需要评估通过什么样的途径进行传输?数据传输到了什么地方?接收方是谁,是否涉及供应商?数据接收方所在的国家和地区,数据传输过程中采取了哪些安全保护措施……这些内容都是评估的环节,只有梳理清楚这些内容,才能进行评估要点的分析。 

蒋科11.png 

数据出境安全评估。数据出境安全评估要点分析工作也是法务部、IT部门合作的内容,主要分为两个部分,一部分是合法性和正当性的法律问题,判断数据是否允许出境,是否明确了个人信息的把控;另一部分就是风险管控,在数据传输过程中是否达到了网络安全的要求。这两部分内容是数据传输过程中非常重要的工作。

蒋科12.png

出境合同。关于出境合同,目前已经有一些相关的规定,包括对合同的内容、传输基本情况、双方的权利、义务、责任进行了明确的要求,从这些规定中不难看出,未来对于数据跨境传输管控的趋势将会进行严格的监管。

蒋科13.png

第三方合作责任主体。在公司的系统架构中,除了自身研发的系统,往往企业会与第三方公司进行合作,采用服务商的产品,前期要明确供应商服务器的所在位置,如果企业明确知道合作公司的服务器在境外依然选择合作,那么数据的传输责任主体就是企业自身。如果前期服务商的服务器在国内,他需要迁移服务器至国外,在这种情况下,责任主体就是服务商,企业应当要求服务商承担起数据保护的义务。

蒋科14.png

针对以上的一系列要求,企业想要做到数据跨境传输的合规,我认为可以从以下三个方向入手:

第一点就是虽然数据跨境传输是个法律问题,但是可以通过技术手段来降低风险。企业在进行数据跨境传输时,可以通过技术手段进行个人信息脱敏,同时避免境外或者境外的处理与访问,这将会大大降低数据跨境传输合规的风险。

第二点就是进行安全评估,留存数据出境安全评估报告。同时在数据传输的过程中,要注意数据安全的保护。与技术服务商签订业务合同能够有效划分责任,建立“责任防火墙”,针对数据出境行为明确征求数据主体的授权也将有利于企业数据跨境传输合规。

第三点就是企业存在跨境业务,系统部署涉及到在不同司法区的时候,要充分了解当地的法律法规,同时要明确当地的系统部署以及业务情况,只有这样,在日后开展数据传输的时候才能够更加得心应手。

以上内容就是我的分享,希望能为大家带来一些启发。谢谢大家!