烽火研报

【亚马逊云科技&普华永道】2023合规及跨境数据传输联合白皮书

烽火研报阅读 528

随着全球数字经济规模持续增长,数据作为重要的生产要素,在生产生活各个环节的重要作用正日益显现,数据流动和处理活动安全受到越来越多的关注。世界范围内,对数据跨境活动的管控和监管逐步健全,目前,世界各国针对数据跨境流动密集出台了相关的法律法规,主要国家和地区的监管执行力度增强,数据合规制度数量增长、管辖范围逐步扩大的趋势明显,是进行跨国商业活动的企业必须重视的课题。此外,数据跨境可能会因个人信息、重要数据、商业数据等引发用户数据易被泄露、滥用等问题,导致的企业名誉受损、利益受损、被通报批评处罚或罚款,还可能会给企业带来技术管理、资产管理和组织管理等问题

【亚马逊云科技&普华永道】2023合规及跨境数据传输联合白皮书

——随着全球数字经济规模的持续增长,数据作为重要生产要素,在生产生活各个环节的重要作用正日益显现,数据流动的安全性受到越来越多的关注。全球范围内,对数据跨境活动的管控和监管正在逐步健全;目前,各国针对数据跨境流动密集出台了相关的法律法规,主要国家和地区的监管执行力度增强,数据合规制度数量增长、管辖范围逐步扩大的趋势明显,也让数据跨境传输合规成为了进行跨国商业活动的企业需要格外重视的课题。此外,数据跨境会加剧个人信息、重要数据和商业数据泄露及滥用的风险,导致企业的名誉和利益受损,还可能会给企业带来技术管理、资产管理和组织管理等问题。


|数据跨境传输一评估整体过程


目前,我国数据出境管理的三种机制:数据出境安全评估、个人信息保护认证和个人信息出境标准合同,均已进入落地实施阶段。其中,着重关注的数据出境安全评估的路径程序可以归类为六个阶段,分别为差距分析、整改、自评估、申报、评估、以及持续合规。


a.阶段一|差距分析


通过访谈相关人员了解公司数据流转,审阅公司制度、授权同意文件、隐私政策、合同等文件,并对公司业务流程、相关系统进行梳理。以及,结合相关经验从而设计有效的检查点和控制点,发现差距并进行风险评估。


b.阶段二|整改


以差距分析结果为基础,法规要求为导向、对公司风险策略及成本、业界趋势等提出合理的整改建议。


c.阶段三|评估


数据出境安全评估工作本着属地申报原则,由数据处理者向其所在地省级网信办提交申报材料。各地网信办在收到申报材料后,在5个工作日内完成申报材料的完备性查验(即形式审查)。国家网信部门受理后,一般将在45个工作日内完成数据出境安全评估,统一开展数据出境安全评估工作,开展实质审查并出具结论。


|数据跨境传输-申报解读


所有要向境外提供在我国境内(不包括港澳台地区)收集与产生的重要数据以及个人信息的企业与网络运营者都必须按照办法要求,进行安全评估。


具体来说,企业开展数据出境安全评估工作的第一步是准确识别数据出境场景,也是至关重要的步骤。其次,在明确自身数据出境场景的情况下,企业需要进一步评估出境场景是否达到数据出境安全评估的申报门槛。办法对于哪些情况需要向网信部门申报评估给出了一些量化标准:


1)处理100万人以上的个人信息。


2)自上年1月1日累计向境外提供10万人个人信息或者1万人敏感个人信息。


|数据本地化路径选择和常见场景


尽管数据本地化在概念层面,是将数据的存储位置和数据处理的过程从某国家或地区转移到另一物理位置,但落实到具体的应用系统,其技术选择和实现路径则五花八门。目标系统的本地化方案可以被归纳为几种“原型方案”,以便进行分组讨论,降低复杂程度和沟通成本;从成本由低至高排序可以简单分为维持现状,流程变更,本地数据留存,系统迁移到成本最高的境内系统重建。不同的方案所对应的实施成本和剩余风险需要在做决策时予以充分考虑。


基于以上的维度,以企业内部两类最常见的应用场景为例,对其客户关系管理场景以及人力资源管理场景在本地化过程中需考虑的重点事项进行深入讨论分析:


在本地化过程中,大量的客户个人信息甚至敏感个人信息被收集和处理,因此,该场景中较为典型的客户关系管理系统(CRM)也往往成为企业内部存储个人信息数量最多的系统,自然也是跨境申报的主要系统,此类系统的特点包括:·可收集、关联和分析所有相关客户数据,包括联系人信息、与企业销售代表的互动信息、历史购买记录、服务请求、资产和报价/提议等。


企业销售人员可访问这些数据,并了解触点的最新动态,并据此创建完整的客户档案,进而建立牢固的客户关系。


|人力资源管理场景


作为企业管理的一个通用场景,员工个人信息的出境也是广大跨国企业无法绕过的问题。在已获得批复的跨境申报案例中,监管机构对于员工个人信息的出境采取了相对包容的态度,但对于应聘者的个人信息以及员工的部分敏感个人信息采取了更严格的立场。对于企业而言,需考虑对该场景中现有较为典型的人力资源管理系统(HRMS)进行必要的改造,以满足监管要求,此类系统的特点包括:涵盖人事管理、能力素质模型、绩效管理、考勤管理、薪酬管理、招聘管理、培训管理、查询报表等功能的一体化整合应用系统,也是企业内部处理员工个人信息的主要系统。


虽然数据本地化可以缓解数据跨境所带来的一些风险,但考虑到本地化的时间及成本问题,无论从短期或长期趋势所看,企业仍需在现下时间点,对在持续进行的数据出境的活动的风险进行的分析把控,并积极探索其各类可行的解决方案。


上一篇

【清华大学】2023社区基金助力基层社会治理的路径和模式研究报告

2023-11-21
下一篇

2023折叠屏巿场趋势洞察白皮书-高效安全移动影像

2023-11-21

最新报告

热门报告