數(shù)據(jù)跨境合規(guī)主要痛點、難點

數(shù)據(jù)跨境合規(guī)主要痛點、難點導(dǎo)讀:隨著經(jīng)濟全球化、數(shù)字化的深入發(fā)展，企業(yè)開展境外業(yè)務(wù)時面臨的數(shù)據(jù)跨境監(jiān)管形勢日益嚴(yán)峻，數(shù)據(jù)跨境管控過程的痛點、難點，成為數(shù)據(jù)合規(guī)治理的熱點、焦點。數(shù)據(jù)多樣，跨境數(shù)據(jù)的法律屬性陰與分類困難數(shù)據(jù)體量大。大數(shù)據(jù)背景下，企業(yè)生產(chǎn)經(jīng)營過程中產(chǎn)生的數(shù)據(jù)呈爆炸式增長，且涉及數(shù)據(jù)類型豐富多變。從數(shù)據(jù)主體角度，包括客戶數(shù)據(jù)、用戶數(shù)據(jù)、合作方數(shù)據(jù)、供應(yīng)商數(shù)據(jù)、內(nèi)部員工數(shù)據(jù)等；從業(yè)務(wù)經(jīng)營角度，包括產(chǎn)品數(shù)據(jù)、日常經(jīng)營數(shù)據(jù)、研究\研發(fā)數(shù)據(jù)、內(nèi)務(wù)管理數(shù)據(jù)等，極大增加了企業(yè)數(shù)據(jù)管理的難度和成本。屬性識別難。關(guān)于個人信息、重要數(shù)據(jù)等在監(jiān)管定義上通常采用“概括式”的表達(dá)形式，雖為企業(yè)提供了一定靈活度，也為企業(yè)對數(shù)據(jù)的法律屬性類型識別帶來了模糊性和不確定性；不同法域?qū)€人信息、重要數(shù)據(jù)等概念定義存在差異甚至沖突，對企業(yè)跨境數(shù)據(jù)的屬性識別和應(yīng)用管控造成困難。參考示例：在與歐盟的電訊運營商合作的國內(nèi)手機廠商可能會碰到類似的數(shù)據(jù)合規(guī)困局，歐盟的電訊運營商會要求合作的中國手機制造商提供其手機設(shè)備的標(biāo)識符如IMEI信息，以保障網(wǎng)絡(luò)運營商對設(shè)備的使用，根據(jù)中國標(biāo)準(zhǔn)，設(shè)備硬件標(biāo)識符屬于個人信息，于是國內(nèi)的手機制造商會要求歐盟運營商簽署數(shù)據(jù)處理協(xié)議；但歐盟運營商依據(jù)所在國法律，認(rèn)為因整個業(yè)務(wù)流程中，運營商僅獲取了硬件標(biāo)識符，未能獲取其他任何數(shù)據(jù)，進(jìn)而無法通過硬件標(biāo)識符識別到特定使用該硬件的用戶，不具備可識別性，不是個人信息，于是拒絕簽署數(shù)據(jù)處理協(xié)議（DPA）。載體拆分難。多種類型的非結(jié)構(gòu)化數(shù)據(jù)，可能同時集合在同一載體或分散在不同載體中，難以拆分、合并和精準(zhǔn)識別，如何按照數(shù)據(jù)來源、內(nèi)容、用途等進(jìn)行數(shù)據(jù)分類梳理，成為企業(yè)數(shù)據(jù)跨境合規(guī)管控的實務(wù)難題。參考示例：公司內(nèi)部搭建的文檔管理平臺，存儲了內(nèi)部包括項目業(yè)務(wù)資料、商務(wù)合同、財務(wù)單據(jù)等大量文件，文件中的業(yè)務(wù)資料如果標(biāo)識了他國的交通路網(wǎng)、能源節(jié)點、敏感區(qū)域位置則可能涉及他國重要數(shù)據(jù)；商務(wù)合同中可能包含簽署雙方的法人代表個人信息；財務(wù)金融單據(jù)中可能涉及敏感個人信息等。但因為數(shù)據(jù)量大，且以非結(jié)構(gòu)化的形式出現(xiàn)，難以對每類數(shù)據(jù)做精準(zhǔn)識別。場景復(fù)雜，數(shù)據(jù)跨境的路徑、角色及責(zé)任識別困難企業(yè)業(yè)務(wù)場景多樣。隨著企業(yè)成長與發(fā)展，業(yè)務(wù)版圖和業(yè)務(wù)領(lǐng)域不斷擴展或變化，配套的內(nèi)部支撐流程也隨之細(xì)化，各業(yè)務(wù)場景交互融合，業(yè)務(wù)數(shù)據(jù)隨之交互融合，加大了數(shù)據(jù)跨境路徑梳理和相關(guān)責(zé)任方識別的難度。參考示例：某大型企業(yè)旗下存在多個業(yè)務(wù)板塊：金融業(yè)務(wù)板塊包括銀行、保險、證券等；非金融業(yè)務(wù)板塊包括系統(tǒng)產(chǎn)品開發(fā)、供應(yīng)鏈管理、市場營銷等；同時還包括人力資源、財務(wù)管理、行政管理、法律合規(guī)、內(nèi)控審計等內(nèi)部支撐板塊，均涉及大量的數(shù)據(jù)處理活動。數(shù)據(jù)流轉(zhuǎn)路徑復(fù)雜。數(shù)字化轉(zhuǎn)型背景下，企業(yè)的業(yè)務(wù)數(shù)據(jù)往往通過線上系統(tǒng)進(jìn)行流轉(zhuǎn)處理，業(yè)務(wù)系統(tǒng)間數(shù)據(jù)存在交叉?zhèn)鬏數(shù)那闆r；同時，出于成本、效率等多因素考慮，企業(yè)的系統(tǒng)服務(wù)器通常集中部署、統(tǒng)一管理，導(dǎo)致在全球化業(yè)務(wù)開展過程中涉及頻繁、復(fù)雜的數(shù)據(jù)跨境流轉(zhuǎn)。參考示例：某企業(yè)的系統(tǒng)服務(wù)器集中部署于總部所在地、由總部統(tǒng)一運維管理，導(dǎo)致在開展境外業(yè)務(wù)過程中涉及大量數(shù)據(jù)跨境流轉(zhuǎn)場景，例如數(shù)據(jù)從境外分支機構(gòu)傳輸至總部服務(wù)器存儲，境外分支機構(gòu)從總部服務(wù)器調(diào)取數(shù)據(jù)，境外發(fā)分支機構(gòu)直接訪問總部服務(wù)器數(shù)據(jù)等。若多家境外分支機構(gòu)納入數(shù)據(jù)跨境傳輸管控全景，各分支機構(gòu)之間也可能通過總部服務(wù)器相互調(diào)取/訪問數(shù)據(jù)。角色法定含義不同。不同的數(shù)據(jù)處理角色承擔(dān)相應(yīng)的責(zé)任和義務(wù)，準(zhǔn)確識別企業(yè)在數(shù)據(jù)跨境場景下承擔(dān)的角色、清晰界定雙方責(zé)任和義務(wù)，對數(shù)據(jù)跨境合規(guī)管控非常重要；不同法域?qū)?shù)據(jù)處理角色的定義、相應(yīng)責(zé)任與義務(wù)的規(guī)定不盡相同，復(fù)雜的數(shù)據(jù)流轉(zhuǎn)鏈條下，企業(yè)難以準(zhǔn)確判斷自身角色、明確責(zé)任和義務(wù)，為企業(yè)數(shù)據(jù)跨境合規(guī)管控的力度決策帶來障礙。參考示例：歐盟GDPR對個人數(shù)據(jù)的控制者與處理者的責(zé)任分別有詳細(xì)的規(guī)定；而中國個保法沒有區(qū)分個人信息處理過程中控制者與處理者角色，統(tǒng)一稱為“個人信息處理者”，并規(guī)定個人信息處理者共同處理個人信息將承擔(dān)連帶責(zé)任。規(guī)則變動，規(guī)則要求多層次、多類型、不斷演進(jìn)全球規(guī)則層次多樣。全球尚未形成統(tǒng)一的數(shù)據(jù)跨境治理框架，各國家/地區(qū)受國家安全、數(shù)據(jù)主權(quán)、人權(quán)保護(hù)、地緣政治、貿(mào)易模式等因素影響，制定了側(cè)重點不同、各個層次的數(shù)據(jù)跨境規(guī)則，數(shù)據(jù)治理和數(shù)據(jù)跨境流動政策具有很大差異，并積極尋求擴大各自數(shù)據(jù)生態(tài)系統(tǒng)，企業(yè)數(shù)據(jù)跨境規(guī)則研究和遵從難度顯著增加。不同法域規(guī)則沖突。企業(yè)在開展數(shù)據(jù)跨境流動活動時，需要同時考慮數(shù)據(jù)輸出地和輸入地的數(shù)據(jù)跨境規(guī)則，但不同法域數(shù)據(jù)跨境規(guī)則的不同，對企業(yè)“雙向合規(guī)”帶來困難；由于長臂管轄等因素，同一法域的數(shù)據(jù)處理行為也可能需要滿足多法域規(guī)則，存在法律沖突隱患，對企業(yè)數(shù)據(jù)跨境合規(guī)應(yīng)對和治理能力提出考驗。參考示例：數(shù)據(jù)的處理必須具備合法基礎(chǔ)，但各法域的數(shù)據(jù)處理的合法基礎(chǔ)不盡相同。在我國境內(nèi)處理歐洲公民的數(shù)據(jù)，需要同時滿足個保法及GDPR的要求。我國個保法為避免擴大解釋，未將“數(shù)據(jù)主體利益”及“控制者合法利益”兩個邊界較模糊的合法基礎(chǔ)納入條款范圍。若以“合法利益”為基礎(chǔ)在中國境內(nèi)進(jìn)行進(jìn)行數(shù)據(jù)處理，則可能因失去法律承認(rèn)的合法基礎(chǔ)而違規(guī)。規(guī)則動態(tài)發(fā)展變化。自歐洲GDPR正式發(fā)布以來，隱私和數(shù)據(jù)保護(hù)的立法和更新浪潮在全球范圍內(nèi)迅速蔓延；各國家/地區(qū)對數(shù)據(jù)保護(hù)的重要性形成了普遍認(rèn)知，基于公民權(quán)益、國家安全、數(shù)據(jù)主權(quán)等多重考量的數(shù)據(jù)跨境規(guī)則呈現(xiàn)明確化、具體化的特征，使企業(yè)數(shù)據(jù)跨境合規(guī)體系的設(shè)計、執(zhí)行和維護(hù)成本進(jìn)一步加大。參考示例：GDPR第15條對隱私儀表盤提出了要求：“數(shù)據(jù)控制者不得使用任何的技術(shù)手段阻止用戶行使訪問權(quán)，在可能的情況下，數(shù)據(jù)控制者應(yīng)該給予數(shù)據(jù)主體遠(yuǎn)程訪問其數(shù)據(jù)的權(quán)利，特別是提供在線服務(wù)的訪問工具，例如隱私儀表