企业动态

    5月11日，普华永道发布《数据跨境合规白皮书》。该白皮书由普华永道与奇安信科技集团股份有限公司（简称奇安信）联合撰写，通过系统梳理全球及中国数据合规安全趋势与法规，分析典型数据跨境场景的风险和挑战，深度解读结合不同行业典型场景下数据跨境合规应对之道，以期为企业数据合规和安全保障提供有力借鉴。

    白皮书指出，在全球化背景下，企业数据跨境传输可能面临法律合规和监管风险、网络安全风险、操作风险、业务连续性风险等，并建议从几方面入手来应对：梳理数据跨境场景，掌握跨境整体情况、加强数据安全整体防护能力、建立数据安全管理的组织和资源保障体系。实施持续的合规监测、跟踪与改进。针对数据跨境合规与个人信息及隐私保护合规进行建立培训机制。

    白皮书中对一些重点行业的数据出境场景进行了解析，识别具备行业特点的出境合规风险并提出了应对建议。

    从数据跨境的典型行业细分来看，金融行业中主要存在外部数据跨境场景和数据公开出境两大类场景。

    对于外部数据跨境场景，建议加强与外部组织的合同约定，明确双方跨境数据安全责任，通过技术手段进行跨境数据安全管控，清晰掌握业务数据、重要数据、个人信息等敏感数据跨境流动详情。

    对于数据公开出境场景，建议完善数据公开安全管控，通过数据安全治理识别存在数据跨境的人、业务、数据，建立数据跨境流动保障机制和审查机制，对出境数据、途径、行为进行实时检测和管控。

    金融行业数据跨境合规的关键应对举措主要包括：从总体上完善内部的数据合规体系、加强出境数据安全性管控和跨境数据流转监控、制定数据跨境安全事件应急预案等。

    在企业内部管理的数据跨境合规方面，白皮书指出企业需关注数据来源的合法性，需对内部的数据安全进行管理，制定覆盖全数据生命周期的安全管理制度，以及企业数据的使用与处理应当采取合法、正当的方式。

    针对以上风险和挑战，普华永道网络安全和隐私服务中国内地主管合伙人李睿建议：

    第一，企业要以适用法规为指导、行业敏感数据和个人信息为基础，盘点数据资产；结合自身业务确定数据统计口径和标准；梳理数据出境具体场景。

    第二，根据梳理情况确认数据出境适用的合规路径，尽快制定数据出境合规方案并组建团队或委托第三方展开数据合规工作。

    第三，建立企业数据出境管理制度和常态化合规流程，做到定人、定岗、定责。

    第四，判断数据出境安全合规的风险和紧迫性，制定有针对性的整改方案，并按规定时间（如有）完成整改。

    第五，对于在限期内难以完成整改的数据出境业务，应当评估不同执行方案的可行性，避免合规风险对业务连续性造成影响。

    最后，企业应积极与监管部门保持沟通，持续关注中国和国际的相关立法，建立整合的数据合规体系和动态合规机制，从而实现企业在不同地域的数据跨境合规流动。

    普华永道中国企业融资部合伙人张平平表示：“无论是对于在中国开展业务的跨国企业、还是即将或已经开始全球化的中国企业，都建议应建立一套专门的应对管理体系，以在开展跨境业务时能更好地履行数据合规义务，规避数据流动风险。例如制定跨境数据安全合规准则及基线、建立数据出境常态化风险监控体系、加强对数据接收方的审查与监督等。”

    普华永道数字咨询合伙人叶天斌表示：“数据跨境合规既是数字企业应当履行的社会责任，也是打造企业核心竞争力、开拓海外市场的重要保障。随着《网络安全法》、《数据安全法》、《个人信息保护法》的相继落地实施，我国网络安全与数据保护领域基本法律框架已形成。我们认为未来数据法规整改和内容细化、对数据进行分级分类、分行业管理将成为主要趋势。”

    奇安信副总裁陈华平表示：数据作为新的生产要素，其作用和价值是无法取代的，但要想释放出数据要素的全部潜力，就必须解决好数据安全问题。对于数据应用方来说，当前面临的最大问题是无法判断哪些数据需要流转出境，以及如何解决数据流转过程中的安全问题。

    “在数字化转型过程中，企业需要收集、处理和分析大量的数据”，他表示，在跨境交易或合作中，企业还需要考虑不同国家之间的数据保护法规和政策差异，如何在遵守相关法规前提下实现跨境数据流转也是一个难题。因此，对于监管单位来说，如何有效监管、处置和评判企业在数字化转型过程中所涉及到的数据安全问题也是一个挑战。随着互联网技术和数字化转型的发展，数据流转的方式和路径越来越复杂，监管难度也越来越大。对于技术提供方来说，使用什么样的技术手段能够解决企业数据合规风险是关键问题。在数字化转型过程中，企业需要依赖技术提供方提供安全可靠、符合法规要求的数据处理和存储方案。

    奇安信数据安全PBU副总经理刘洪亮表示：数据出境评估仅仅只是开始，持续合规才是关键。数据出境持续合规需要结合管理体系、技术体系、运营体系全面开展，管理体系方面需建立组织架构和制定数据安全管理制度，从技术体系方面需要建设持续监测和应急响应的技术手段，从运营体系方面需要建立常态化的运营体系，提升企业的自身运营能力。

    奇安信数据安全子公司副总经理姚磊表示：数据安全是企业数字化转型过程中必不可少的一部分，同时，数据安全问题也日益凸显。在面对越来越复杂和多样化的数据安全威胁时，政企需要重新审视自身的数据安全策略，并采取相应的措施来确保数据安全。在制定策略时，需要从更广阔的视角思考问题，并统筹发展与安全两个因素。同时还需要建立跨部门的数据管理团队，并明确各部门职责和权限。最后，还需要进行数据安全风险评估，并针对评估结果采取相应措施加以防范。

    据悉，白皮书由普华永道与奇安信联合撰写，通过系统梳理全球及中国数据合规安全趋势与法规，分析典型数据跨境场景的风险和挑战，深度解读结合不同行业典型场景下数据跨境合规应对之道，以期为企业数据合规和安全保障提供有力借鉴。