上海2023年(nian)5月11日 /美通(tong)社(she)/ -- 普華永道(dao)今日在(zai)中(zhong)國多個(ge)城市同步發布《數(shu)據(ju)(ju�����)跨境合規(gui)白皮書》。該白皮書由普華永道(dao)與(yu)奇安信科技集(ji�������)團股(gu)份有(you)限公司(si)(簡稱奇安信)聯(lian)合撰寫,通(tong)過系統梳理全球及中(zhong)國數(shu)據(ju)(ju)合規(gui)安全趨(qu)勢與(yu)法規(gui),分(fen)析典(dian)(dian)型數(shu)據(ju)(ju)跨境場(chang)(chang)景(jing)的風險(xian)和(he)挑戰,深度解讀結(jie)合不(bu)同行業典(dian)(dian)型場(chang)(chang)景(jing)下數(shu)據(ju)(ju)跨境合規(gui)應對之(zhi)道(dao),以(yi)期為(wei)企業數(shu)據(ju)(ju)合規(gui)和(he)安全保障提(ti)供有(you)力(li)借鑒。
普華永道全球跨境服務中國主管合伙人黃耀和表示:"隨著中(zhong)國企業(ye)(ye)(ye)面向全(quan)球的(de)(de)(de)業(ye)(ye)(ye)務拓展(zhan)(zhan)以及跨國企業(ye)(ye)(ye)在中(zhong)國業(ye)(ye)(ye)務的(de)(de)(de)深入(ru),業(ye)(ye)(ye)務出海、數(shu)據出境以及數(shu)據回(hui)流等剛性需(xu)求不(bu)斷增(zeng)長(chang),數(shu)據跨境流動已成為社(she)會創(chuang)新(xin)(xin)經濟增(zeng)長(chang)的(de)(de)(de)重(zhong)要(yao)引擎。目前全(quan)球數(shu)據跨境合規問題仍(reng)處于(yu)探索階段,還需(xu)要(yao)進一(yi)(yi)步的(de)(de)(de)深入(ru)研究與(yu)探討。很(hen)高興能夠與(yu)奇安(an)信合作共同發布這一(yi)(yi)白皮書(shu),從雙方(fang)各自深耕領域的(de)(de)(de)資源(yuan)和優勢出發,提出我�����們的(de)(de)(de)最新(xin)(xin)思考與(yu)解析,為數(shu)據跨境合規建(jian)言獻策,為中(zhong)國數(shu)字化發展(zhan)(zhan)貢(gong)獻專業(ye)(ye)(ye)力(li)量。"
近年來,全球范圍逐步建立健全對數據跨境活動的管控和監管力度,數據合規制度數量增長、管轄范圍逐步擴大的趨勢明顯。但我國企業參與全球數據跨境流動也面臨內部數據合規管理體系不完善、國內國外合規風險加大、合規激勵機制不健全等挑戰。如何保障企業在履行數據合規義務的同時,規避其中的數據流通風險,是業內共同關注的話題。普華永道網絡安全和隱私服務中國內地主管合伙人李睿表示:"數(shu)據(ju)(ju)跨境(jing)合規既是數(shu)字企業(ye)應(ying)當履行的社會(hui)責任(ren),也是打造企業(ye)核(he)心競爭(zheng)力、開拓海外市(shi)場的重要(yao)保(bao)(bao)障。隨著《網絡(luo)安(an)(an)全(quan)(quan)(quan)法(fa)》、《數(shu)據(ju)(ju)安(an)(an)全(quan)(quan)(quan)法(fa)》、《個(ge)人信(xin)息保(bao)(bao)護(hu)法(fa)》的相繼落地實施,我國網絡(luo)安(an)(an)全(���������quan)(quan)(quan)與數(shu)據(ju)(ju)保(bao)(bao)護(hu)領域基本法(fa)律框架(jia)已形成。我們(men)認為(wei)未來數(shu)據(ju)(ju)法(fa)規整改和(he)內容細化、對(dui)數(shu)據(ju)(ju)進行分級分類(lei)、分行業(ye)管理將成為(wei)主要(yao)趨勢(shi)。"
白皮(pi)書指出(chu),在全球化背景(jing)下,企業(ye)數據跨境(jing)傳輸可能面(mian)臨法律合(he)規和(he)監管風(feng)(feng)險、網絡安全風(feng)(feng)險、操作風(feng)(feng)險、業(ye)務連(lian)續性風(feng)(feng)險等,并建議(yi)從幾方面(mian)入手來應(ying)對:梳理數據跨境�������(jing)場景(jing),掌握跨境(jing)整體(ti)情況、加強(qiang)數據安全整體(ti)防護(hu)能力(li)、建立數據安全管理的組織和(he)資源保(bao)障體(ti)系。實施持續的合(he)規監測、跟蹤與(yu)改進(jin)。針對數據跨境(jing)合(he)規與(yu)個人信息及隱私保(bao)護(hu)合(he)規進(jin)行建立培訓機制。
白皮書中對(dui)一(yi)些重點(dian)行(xing)業(ye)的數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)出(chu)境(jing)(jing)(jing)(jing)場景(jing)進行(xing)了(le)解析,識別具備行(xing)業(ye)特點(dian)的出(chu)境(jing)(jing)(jing)(jing)合規風險并(bing)提出(chu)了(le)應對(dui)建(jian)議(yi)。從(cong)數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)跨(kua)(kua)境(jing)(jing)(jing)(jing)的典(dian)型(xing)行(xing)業(ye)細分(fen)來看,金融行(xing)業(ye)中主(zhu)要(yao)存(cun)在外部(bu)數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)跨(kua)(kua)境(jing)(jing)(jing)(jing)場景(jing)和數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)公(gong)開(kai)出(chu)境(jing)(jing)(jing)(jing)兩大類場景(jing)。對(dui)于外部(bu)數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)跨(kua)(kua)境(jing)(jing)(jing)(jing)場景(jing),建(jian)議(yi)加(jia)強與外部(bu)組織的合同(tong)約定,明確雙方跨(kua)(kua)境(jing)(jing)(jing)(jing)數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)安全(quan)(quan)責任,通(tong)過(guo)技(ji)術(shu)手段進行(xing)跨(kua)(kua)境(jing)(jing)(jing)(jing)數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)安全(quan)(quan)管(guan)控,清晰掌握(wo)業(ye)務數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)、重要(yao)數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)、個人信息等敏感數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)跨(kua)(kua)境(jing)(jing)(jing)(jing)流(liu)動(dong)詳情(qing)。對(dui)于數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)公(gong)開(kai)出(chu)境(jing)(jing)(jing)(jing)場景(jing),建(jian)議(yi)完(wan)善(shan)數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)公(gong)開(kai)安全(quan)(quan)管(guan)控,通(tong)過(guo)數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)安全(quan)(quan)治(zhi)理(li)識別存(cun)在數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)跨(kua)(kua)境(jing)(jing)(jing)(jing)的人、業(ye)務、數(shu)(shu)(shu)(shu)(shu)據(ju)(ju),建(jian)立數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)跨(kua)(kua)境(jing)(jing)(jing)(jing)流(liu)動(dong)保障(zhang)機(ji)制(zhi)(zhi)和審查(cha)機(ji)制(zhi)(zhi),對(dui)出(chu)境(jing)(jing)(jing)(jing)數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)、途徑(jing)、行(xing)為進行(xing)實(shi)時檢測和管(guan)控。金融行(xing)業(ye)數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)跨(kua)(kua)境(jing)(jing)(jing)(jing)合規的關鍵應對(dui)舉措主(zhu)要(yao)包(bao)括:從(cong)總體(ti)上(shang)完(wan)善(shan)內(nei)部(bu)的數(shu)(shu)(shu)(shu)(��������shu)據(ju)(ju)合規體(ti)系、加(jia)強出(chu)境(jing)(jing)(jing)(jing)數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)安全(quan)(quan)性管(guan)控和跨(kua)(kua)境(jing)(jing)(jing)(jing)數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)流(liu)轉監控、制(zhi)(zhi)定數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)跨(kua)(kua)境(jing)(jing)(jing)(jing)安全(quan)(quan)事(shi)件應急預案等。
針對(dui)智(zhi)能(neng)硬(ying)件領(ling)域,白皮(pi)書以(yi)(yi)中國企(qi)(qi)業(ye)(ye)向歐(ou)洲出海(hai)為前提,介紹了企(qi)(qi)業(ye)(ye)主(zhu)要面臨(lin)在歐(ou)洲市(shi)場(chang)(chang)向中國總部進行(xing)數(shu)據(ju)(ju)(ju)(ju)跨(kua)(kua)境傳輸的(de)風險以(yi)(yi)及GDPR������合(he)規(gui)(gui)的(de)挑戰。基(ji)于(yu)(yu)典型(xing)業(ye)(ye)務(wu)場(chang)(chang)景的(de)數(shu)據(ju)(ju)(ju)(ju)流(liu)轉(zhuan)過程與全球數(shu)據(ju)(ju)(ju)(ju)跨(kua)(kua�����)境是智(zhi)能(neng)硬(ying)件行(xing)業(ye)(ye)中存在的(de)兩(liang)大典型(xing)跨(kua)(kua)境場(chang)(chang)景。企(qi)(qi)業(ye)(ye)自我風險評估(gu)、根(gen)據(ju)(ju)(ju)(ju)GDPR的(de)相(xiang)關規(gui)(gui)定任命數(shu)據(ju)(ju)(ju)(ju)保護專員(DPO)、基(ji)于(yu)(yu)不同產(chan)品(pin)條線及業(ye)(ye)務(wu)場(chang)(chang)景,建立從(cong)產(chan)品(pin)前端到IT系(xi)統(tong)架構的(de)風險管理體系(xi)以(yi)(yi)及新產(chan)品(pin)的(de)GDPR合(he)規(gui)(gui)管理等是智(zhi)能(neng)硬(ying)件行(xing)業(ye)(ye)應對(dui)數(shu)據(ju)(ju)(ju)(ju)跨(kua)(kua)境合(he)規(gui)(gui)的(de)主(zhu)要關鍵舉措(cuo)。
對于基于車(che)(che)聯(lian)(lian)網(wang)行業(ye)(ye)的(de)數(shu)(shu)據(ju)跨境,白(bai)皮書(s����hu)以海(hai)外企(qi)業������(ye)(ye)在中(zhong)國(guo)(guo)運營(ying)為前提(ti),闡(chan)釋了汽車(che)(che)企(qi)業(ye)(ye)面(mian)(mian)臨的(de)數(shu)(shu)據(ju)跨境風險以及中(zhong)國(guo)(guo)網(wang)絡(luo)安全(quan)、個(ge)(ge)人(ren)信(xin)息保護及汽車(che)(che)行業(ye)(ye)合規(gui)的(de)挑戰。隨著車(che)(che)聯(lian)(lian)網(wang)"人(ren)、車(che)(che)、平臺"的(de)建設,車(che)(che)聯(lian)(lian)網(wang)行業(ye)(ye)可分為移動終端、車(che)(che)機端和(he)車(che)(che)聯(lian)(lian)網(wang)平臺(TSP)三(san)個(ge)(ge)場(chang)景,其(qi)中(zhong)車(che)(che)聯(lian)(lian)網(wang)平臺(TSP)的(de)數(shu)(shu)據(ju)出(chu)境場(chang)景尤其(qi)復雜(za)。結合車(che)(che)聯(lian)(lian)網(wang)行業(ye)(ye)的(de)監管(guan)要求和(he)業(ye)(ye)務特點,白(bai)皮書(shu)建議企(qi)業(ye)(ye)應(ying)從強化風險應(ying)對能(neng)力、合規(gui)運營(ying)能(neng)力和(he)產品合規(gui)能(neng)力三(san)個(ge)(ge)維(wei)度出(chu)發,建立(li)健全(quan)風險管(guan)理的(de)制(zhi)度設計、組織建設、機制(zhi)運轉和(he)產品設計,從而(er)全(quan)面(mian)(mian)提(ti)升(sheng)企(qi)業(ye)(ye)風險承(cheng)受能(neng)力。
在(zai)企業內�������部管理的(de)(de)數據(ju)跨境合規方面,白皮(pi)書指出企業需關注(zhu)數據(ju)來源的(de)(de)合法(fa)性(xing),需對內部的(de)(de)數據(ju)安全(quan)進(jin)行管理,制定覆(fu)蓋全(�����quan)數據(ju)生命周期的(de)(de)安全(quan)管理制度(du),以及企業數據(ju)的(de)(de)使用(yong)與處理應當采取(qu)合法(fa)、正當的(de)(de)方式。
針對以上風險和挑戰,普華永道網絡安全和隱私服務中國內地主管合伙人李睿建(jian)議:第(di)(di)一,企業(ye)要以(yi)適(shi)用法規����(gui)(gui)為指(zhi)導、行(xing)業(ye)敏感數(shu)據(ju)(ju)(ju)(ju)和(he)個人(ren)(ren)信息為基(ji)礎(chu),盤點數(shu)據(ju)(ju)(ju)(ju)資產(chan);結合(he)(he)(he)自身業(ye)務(wu)確定(ding)數(shu)據(ju)(ju)(ju)(ju)統計口徑和(he)標準;梳(shu)理數(shu)據(ju)(ju)(ju)(ju)出(chu)(chu)境(jing)(jing)具體場(chang)景。第(di)(di)二,根(gen)據(ju)(ju)(ju)(ju)梳(shu)理情況確認(ren)數(shu)據(ju)(ju)(ju)(ju)出(chu)(chu)境(jing)(jing)適(shi)用的(de)(de)合(he)(he)(he)規(gui)(gui)路徑,盡(jin)快制(zhi)定(ding)數(shu)據(ju)(ju)(ju)(ju)出(chu)(chu)境(jing)(jing)合(he)(he)(he)規(gui)(gui)方(fang)案并組(zu)建(jian)團隊或委托(tuo)第(di)(di)三方(fang)展開數(shu)據(ju)(ju)(ju)(ju)合(he)(he)(he)規(gui)(gui)工作(zuo)。第(di)(di)三,建(jian)立企業(ye)數(shu)據(ju)(ju)(ju)(ju)出(chu)(chu)境(jing)(jing)管理制(zhi)度和(he)常態(tai)化合(he)(he)(he)規(gui)(gui)流(liu)程,做到定(ding)人(ren)(ren)、定(ding)崗、定(ding)責。第(di)(di)四,判斷數(shu)據(ju)(ju)(ju)(ju)出(chu)(chu)境(jing)(jing)安全合(he)(he)(he)規(gui)(gui)的(de)(de)風險和(he)緊迫(po)性(xing),制(zhi)定(ding)有(you)針對(dui)性(xing)的(de)(de)整改(gai)方(fang)案,并按規(gui)(gui)定(ding)時間(如有(you))完成整改(gai)。第(di)(di)五(wu),對(dui)于在限期(qi)內難以(yi)完成整改(gai)的(de)(de)數(���������shu)據(ju)(ju)(ju)(ju)出(chu)(chu)境(jing)(jing)業(ye)務(wu),應當評估(gu)不(bu)同執(zhi)行(xing)方(fang)案的(de)(de)可行(xing)性(xing),避免合(he)(he)(he)規(gui)(gui)風險對(dui)業(ye)務(wu)連續性(xing)造成影(ying)響。最后,企業(ye)應積極與監管部門保持(chi)(chi)溝(gou)通(tong),持(chi)(chi)續關注中國(guo)和(he)國(guo)際(ji)的(de)(de)相(xiang)關立法,建(jian)立整合(he)(he)(he)的(de)(de)數(shu)據(ju)(ju)(ju)(ju)合(he)(he)(he)規(gui)(gui)體系(xi)和(he)動態(tai)合(he)(he)(he)規(gui)(gui)機制(zhi),從而(er)實現(xian)企業(ye)在不(bu)同地域的(de)(de)數(shu)據(ju)(ju)(ju)(ju)跨境(jing)(jing)合(he)(he)(he)規(gui)(gui)流(liu)動。
普華永道中國數據洞察、云轉型及數據安全合規合伙人李揚表(biao)示:"無(wu)論是對(dui)于在(zai)中(zhong)國開(kai)展(zhan)業(ye)務(wu)的(de)(de)(de)(de)跨(kua)國企(qi)業(ye)、還(huan)是即將(jiang)或(huo)已經(jing)開(kai)始全球化(hua)的(de)(de)(de)(de)中(zhong)國企(qi)業(ye),都建(jian)議應建(jian)立(li)一(yi)(yi)套專門的(de)(de)(de)(de)應對(dui)管(guan)理體系,以(yi)在(zai)開(kai)展(zhan)跨(kua)境(jing)業(ye)務(wu)時能更好地履(lv)行(xing)數(shu)(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju������)合(he)規義務(wu),規避數(shu)(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)流動(dong)風(feng)險(xian)。例如制定(ding)跨(kua)境(jing)數(shu)(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)安全合(he)規準則及基線、建(jian)立(li)數(shu)(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)出境(jing)常態化(hua)風(feng)險(xian)監(jian)控體系、加強對(dui)數(shu)(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)接收(shou)方的(de)(de)(de)(de)審查與(yu)監(jian)督等。我們期待著未來繼續與(yu)業(ye)內同仁開(kai)展(zhan)深度交流與(yu)合(he)作,一(yi)(yi)同助推數(shu)(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)跨(kua)境(jing)合(he)規前進的(de)(de)(de)(de)步伐,協助政企(qi)數(shu)(shu)(shu)(shu)(shu)(shu)字(zi)化(hua)改(gai)革,為‘數(shu)(shu)(shu)(shu)(shu)(shu)字(zi)中(zhong)國'的(de)(de)(de)(de)建(jian)設(she)盡綿薄之力。"
點擊此處瀏覽完整(zheng)報告:
