数据跨境合规主要痛点、难点
导读:
随着经济全球化、数字化的深入发展,企业开展境外业务时面临的数据跨境监管形势日益严峻,数据跨境管控过程的痛点、难点,成为数据合规治理的热点、焦点。
数据多样,跨境数据的法律属性识别与分类困难
数据体量大。大数据背景下,企业生产经营过程中产生的数据呈爆炸式增长,且涉及数据 类型丰富多变。从数据主体角度,包括客户数据、用户数据、合作方数据、供应商数据、内部员工数据等;从业务经营角度,包括产品数据、日常经营数据、研究\研发数据、内务管理数据等,极大增加了企业数据管理的难度和成本。
属性识别难。关于个人信息、重要数据等在监管定义上通常采用“概括式”的表达形式, 虽为企业提供了一定灵活度,也为企业对数据的法律属性类型识别带来了模糊性和不确定性;不同法域对个人信息、重要数据等概念定义存在差异甚至冲突,对企业跨境数据的属性识别和应用管控造成困难。
参考示例:在与欧盟的电讯运营商合作的国内手机厂商可能会碰到类似的数据合规困局,欧盟的电讯运营商会要求合作的中国手机制造商提供其手机设备的标识符如IMEI信息,以保障网络运营商对设备的使用,根据中国标准,设备硬件标识符属于个人信息,于是国内的手机制造商会要求欧盟运营商签署数据处理协议;但欧盟运营商依据所在国法律,认为因整个业务流程中,运营商仅获取了硬件标识符,未能获取其他任何数据,进而无法通过硬件标识符识别到特定使用该硬件的用户,不具备可识别性,不是个人信息,于是拒绝签署数据处理协议(DPA)。
载体拆分难。多种类型的非结构化数据,可能同时集合在同一载体或分散在不同载体中,难以拆分、合并和精准识别,如何按照数据来源、内容、用途等进行数据分类梳理,成为企业数据跨境合规管控的实务难题。
参考示例:公司内部搭建的文档管理平台,存储了内部包括项目业务资料、商务合同、财务单据等大量文件,文件中的业务资料如果标识了他国的交通路网、能源节点、敏感区域位置则可能涉及他国重要数据;商务合同中可能包含签署双方的法人代表个人信息;财务金融单据中可能涉及敏感个人信息等。但因为数据量大,且以非结构化的形式出现,难以对每类数据做精准识别。
场景复杂,数据跨境的路径、角色及责任识别困难
企业业务场景多样。随着企业成长与发展,业务版图和业务领域不断扩展或变化,配套的内部支撑流程也随之细化,各业务场景交互融合,业务数据随之交互融合,加大了数据跨境路径梳理和相关责任方识别的难度。
参考示例:某大型企业旗下存在多个业务板块:金融业务板块包括银行、保险、证券等;非金融业务板块包括系统产品开发、供应链管理、市场营销等;同时还包括人力资源、财务管理、行政管理、法律合规、内控审计等内部支撑板块,均涉及大量的数据处理活动。
数据流转路径复杂。数字化转型背景下,企业的业务数据往往通过线上系统进行流转处理,业务系统间数据存在交叉传输的情况;同时,出于成本、效率等多因素考虑,企业的系统服务器通常集中部署、统一管理,导致在全球化业务开展过程中涉及频繁、复杂的数据跨境流转。
参考示例:某企业的系统服务器集中部署于总部所在地、由总部统一运维管理,导致在开展境外业务过程中涉及大量数据跨境流转场景,例如数据从境外分支机构传输至总部服务器存储,境外分支机构从总部服务器调取数据,境外发分支机构直接访问总部服务器数据等。若多家境外分支机构纳入数据跨境传输管控全景,各分支机构之间也可能通过总部服务器相互调取/访问数据。
角色法定含义不同。不同的数据处理角色承担相应的责任和义务,准确识别企业在数据跨境场景下承担的角色、清晰界定双方责任和义务,对数据跨境合规管控非常重要;不同法域对数据处理角色的定义、相应责任与义务的规定不尽相同,复杂的数据流转链条下,企业难以准确判断自身角色、明确责任和义务,为企业数据跨境合规管控的力度决策带来障碍。
参考示例:欧盟GDPR对个人数据的控制者与处理者的责任分别有详细的规定;而中国个保法没有区分个人信息处理过程中控制者与处理者角色,统一称为“个人信息处理者”,并规定个人信息处理者共同处理个人信息将承担连带责任。
规则变动,规则要求多层次、多类型、不断演进
全球规则层次多样。全球尚未形成统一的数据跨境治理框架,各国家/地区受国家安全、数据主权、人权保护、地缘政治、贸易模式等因素影响,制定了侧重点不同、各个层次的数据跨境规则,数据治理和数据跨境流动政策具有很大差异,并积极寻求扩大各自数据生态系统,企业数据跨境规则研究和遵从难度显著增加。
不同法域规则冲突。企业在开展数据跨境流动活动时,需要同时考虑数据输出地和输入地的数据跨境规则,但不同法域数据跨境规则的不同,对企业“双向合规”带来困难;由于长臂管辖等因素,同一法域的数据处理行为也可能需要满足多法域规则,存在法律冲突隐患,对企业数据跨境合规应对和治理能力提出考验。
参考示例:数据的处理必须具备合法基础,但各法域的数据处理的合法基础不尽相同。在我国境内处理欧洲公民的数据,需要同时满足个保法及GDPR的要求。我国个保法为避免扩大解释,未将“数据主体利益”及“控制者合法利益”两个边界较模糊的合法基础纳入条款范围。若以“合法利益”为基础在中国境内进行进行数据处理,则可能因失去法律承认的合法基础而违规。
规则动态发展变化。自欧洲GDPR正式发布以来,隐私和数据保护的立法和更新浪潮在全球范围内迅速蔓延;各国家/地区对数据保护的重要性形成了普遍认知,基于公民权益、国家安全、数据主权等多重考量的数据跨境规则呈现明确化、具体化的特征,使企业数据跨境合规体系的设计、执行和维护成本进一步加大。
参考示例:GDPR第15条对隐私仪表盘提出了要求:“数据控制者不得使用任何的技术手段阻止用户行使访问权,在可能的情况下,数据控制者应该给予数据主体远程访问其数据的权利,特别是提供在线服务的访问工具,例如隐私仪表盘。”两年后,西班牙通过《默认数据保护指南》,对隐私仪表盘提出了十分详尽的配置要求。即便其不具备强制执行的效力,也有着极高的参考价值。西班牙作为欧盟成员国之一,率先在用户控制方面提出了要求,将会影响到其他国家细化规则的进度,这将大大增加企业合规成本。
互联互通社区
互联互通社区专注于IT互联网交流与学习,旨在打造最具价值的IT互联网智库中心,关注公众号:互联互通社区,每日获取最新报告并附带专题内容辅助学习。
方案咨询、架构设计、数字化转型、中台建设、前沿技术培训与交流,合作请+微信:hulianhutongshequ