随着企业出海进程的加快,越来越多的数据开始使用网络进行传输,数据风险已经成为了企业发展中需要格外注意的风控问题。非夕机器人cso刘歆轶在日前召开的“2023广东(广州)制造业cio沙龙”活动中,详细阐述了企业在全球化进程中面临的数据合规挑战。
企业出海常见的风控问题主要包括商业风险、政治风险、合规风险三个方面。刘歆轶表示,在激烈竞争和不断变化的全球市场经营环境中,中国企业出海要考虑多样复杂的商业风险,树立风险意识,提高主体的竞争能力、应变能力和发展能力,加强企业商业风险管理。受当前逆全球化影响,数字经济领域的网络安全等受到各国社会和政府的关注,中国企业“走出去”不断遭遇国际贸易摩擦和日趋严格的国际环境。不同国家之间的法律法规差别较大,监管中国企业“走出去”如果没有做全面和详细的法律合规风险分析,可能出现差错,引发严重问题。
纵观企业出海的合规风险,可以分为“国际化1.0”和“国际化2.0”两个阶段。
国际化1.0版,是一个相对简单的国际化模型,即利用中国红利,比如早期的劳动力红利,后期的工程师红利等,以极低的成本结构做出产品或者服务,再卖到世界各地,即用中国红利,在全球卖货。这种模式存在两个问题:首先是在政治博弈的大背景下,这样简单的卖货方式不再适用。企业依旧可以推出低价格产品,但是国外市场的大门已经关上。第二个问题是企业如果只是单纯卖货而没有形成品牌影响力,只要国外渠道不再需要货物,企业就毫无招架之力。
国际化2.0版不再是简单的卖货模式,而是真正地深入到海外市场,组织本地生产要素,雇佣本地生产力,针对本地市场,最终变身成一家本地企业。毫无疑问,2.0版的国际化对中国企业的挑战很大,如果能顺利转型,得到的红利也是巨大的。
在国际化2.0合规中,双反调查包括反倾销调查、反补贴调查,这些调查不仅针对涉案企业,所有同类产品企业都受影响。刘歆轶特别提到了中国知识产权及技术资料出境管控,并以小米在印度市场被冻结资产而后又解冻的案例深入讲述了知识产权再出口的问题。
数据跨境合规相关法规
随着各国对数据和个人隐私保护监管的不断加强,数据跨境合规问题越来越受到重视。根据联合国贸易与发展会议(unctad)统计,截止2022年9月,全球有 71%的地区有数据相关立法,共计241部法律法规。纵观全球数据跨境局势,主要呈现三大趋势:首先是“数据本地化”使得跨境数据流动与数字服务贸易呈现“有限性特征”;第二,对涉及国家安全利益的数据采取“灵活化”对策;第三,数据主权争夺加剧。
欧盟数据跨境法规的出发点在于保障个人数据主体的数据权利,因此并不禁止数据的跨境流动,也不强制要求本地化,但对数据接收方的数据保护水平或保障措施等做出了要求。美国奉行宽松的数据跨境流动政策,在联邦层面并未明确对数据跨境流动进行限制。但与欧盟立法偏重个人数据权利保护不同,美国数据跨境法规与贸易政策深度绑定,对重要或关键部门或领域的数据跨境流动进行分散但严格的管控,同时通过立法赋予国内执法机构对境外数据进行长臂管辖的权力。
俄罗斯数据跨境法规的一个显著特点是更为关注国内数据安全,对数据跨境流动施行严格管控,提出了数据本地化的监管策略,俄罗斯数据本地化的要求是指相关公司均需在俄罗斯境内的服务器上存储和处理俄罗斯公民的个人信息,并将境内服务位置告知联邦通信、信息技术和大众媒体监管局。2023年中国汽车的海外车主用户数量急剧增长,尤其是在俄罗斯,中国制造的汽车在俄罗斯市场上的占比已超过40%。随着车载摄像头和传感器被大量运用到现代汽车中,俄罗斯出于安全考虑不仅要求数据“本地化存储”,而且在2023年个人数据保护立法的修正案中,给企业增加了一些新的合规责任,包括涉及个人数据处理变更和个人信息出境需按照新的要求和程序发送通知;将个人数据销毁相关的证据保存3年的义务;正确报告个人数据泄露事件;损害评估新规则。
在我国,2022年7月,国家互联网信息办公室公布了《数据出境安全评估办法》,自2022年9月1日起施行。《办法》旨在落实《网络安全法》、《数据安全法》、《个人信息保护法》的规定,规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,切实以安全保发展、以发展促安全。
当然,相较于欧盟和美国等其他世界主要国家,中国的数据跨境管理体系还不够成熟,在未来完善的过程中还需要注意很多方面的短板。
数据出境的三种途径
在演讲中,刘歆轶具体介绍了数据出境的三种途径。
首先,企业应当依据《数据出境安全评估办法》第四条,判断自身是否符合第四条下的三种情形:
(1)是否构成关键信息基础设施运营者,或处理100万人以上个人信息的数据处理者。
(2)是否涉及重要数据,如《汽车数据安全管理若干规定(试行)》中对汽车重要数据进行了规定,因此企业应核实自身行业是否出台相关规定,判断是否涉及重要数据。
(3)从个人信息出境数量进行判断,是否自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息。
若符合上述情形之一的,除数据出境安全评估外,企业不存在其他出境路径的选择。企业应当立即着手进行数据出境风险自评估及其他准备工作。
第二,未符合上述情形的,企业可选择个人信息保护认证或签订《标准合同》。
两种路径相比,认证流程和内容相对复杂,标准合同签订后至省网信部备案即可,流程较为简单,两种路径都存在有效期内需要重新申请认证/签订的情况。其中,认证适用于个人信息处理者与境外接收方遵循统一的个人信息跨境处理规则,且个人信息传输的政策和规模应当较为稳定,更适用于频发、长期的数据传输活动,例如跨国集团、关联实体。
标准合同条款适用于少量、偶发,场景直接、清晰的个人信息出境,由于标准合同签订流程短、生效快,只要合同相对人达成合意,即可开展出境活动,且出境活动发生一定变动还需要重新签订合同,可能对正常的业务流程造成一定影响,因此标准合同更适合少量个人信息的单次出境活动,例如单次跨境商业交易或合作。
第三,选择合适的出境路径后,个人信息处理者应当按照监管的相关要求执行相关的合规要求,履行相关数据安全保障等义务,如完成自评估工作、对境外接收方进行调查、签署相关法律文件等。
第四,持续跟踪。数据出境安全评估结果的有效期只有2年,个人信息保护认证的有效期为3年,并且发生一定情形时还应当重新申报,标准合同在出境活动发生一定变化时需要重新签署,个人信息保护影响评估在一定条件下应重新进行。企业应持续关注这些合规义务,注意识别是否发生相应应重新评估或申报的条件,也应持续监督境外接收方的个人信息处理活动,以及监管部门是否提出个人信息出境的补充合规要求。
随后,刘歆轶介绍了全球主要隐私法律概述,包括欧盟的《通用数据保护条例》,美国的《加州消费者隐私法》和《儿童在线隐私权保护法》,中国的《个人信息保护法》和《数据出境安全评估办法》。
如何应对数据跨境合规问题
针对企业数据跨境合规问题的应对,刘歆轶先是以企业网站cookie的设置为例,详细解释了《gdpr》中对“用户告知义务”的具体落地方法,主要包括以下五点:
1、企业应当在用户进入网站或应用平台的第一时间,在进入页面或端口,向用户提交cookie隐私协议申请。
2、充分告知用户cookie的相关信息。
3、用户能够就不同种类的cookie做出接受与否的选择;企业不能将提供全部个人信息的cookie作为浏览网页的前提条件。
4、同理,在征求用户同意时,企业应当设置单独、明显的cookie隐私协议界面,不能将使用cookie与其他内容相混淆。
5、确保用户在cookie隐私协议界面做出“积极”的意思表示。
接下来,刘歆轶建议涉及到出海业务的企业,都应尽快建立并运行一套完善的合规管理体系。
企业在制定合规管理体系时,首先应该明确合规管理体系的范围和目标,以确保其符合国家法律法规和政策要求,同时也满足企业自身的实际需求。在明确合规目标后,企业需要制定相应的合规策略,包括风险评估、合规政策制定、合规培训和管理等方面。之后企业需要根据自身的实际情况,建立符合国家法律法规和政策要求的合规管理体系,并进行相应的内部管理和外部认证。合规管理体系应包括合规框架、合规政策、合规培训、合规监督和评估等方面。
建立合规管理体系后,企业需要全面执行合规体系,包括合规政策的通知和培训、合规监督和检查、合规风险评估和预警等方面。
最后,刘歆轶表示,合规管理体系的建立和执行是一个持续改进的过程,企业需要不断反思和总结经验,及时调整和修正合规政策和管理措施,以确保合规管理体系的有效性和持续改进。
更多精彩,敬请锁定第1培训 d1edu直播间
11月15日(周三)晚8点,数据安全专家刘歆轶老师做客第1培训 d1edu直播间,干货分享《企业出海数据合规》解析数据合规关键点,了解法规,降低风险。
刘歆轶,上海非夕机器人科技公司信息安全总监及数据保护官,iso22301、cdpse等国际标准及认证教材的中文翻译审核专家,担任多家国内大型头部企业高级顾问。
听课链接: