中企出海过程中应对数据安全与隐私合规风险的策略分析

中企出海过程中应对数据安全与隐私合规风险的策略分析 中国移动研究院 2021 年 8 月 2 / 15 目录 一、全球数据安全及隐私合规领域的监管形势分析 .................. 3 1、各国纷纷加速在数据安全与隐私保护领域的立法进程 .......... 3 2、全球范围内对数据安全与隐私保护的监管力度持续加大 ........ 6 3、数据的跨域流动与本地化存储的要求并存 .................... 7 二、国有企业出海过程中面临的数据安全及隐私合规风险分析 ........ 9 1、企业对于东道国数据安全与隐私保护监管要求的理解和把握不足 9 2、数据跨境流通的规则呈现复杂化趋势，增加了企业选择海外业务节点的难度 ................................................. 10 3、企业海外业务的数据安全及合规管控未成体系化，成为业务发展的掣肘 ..................................................... 12 三、应对策略建议 ............................................ 13 1、构建合理、完善的数据安全和隐私合规管理体系 ............. 13 2、及时跟踪海外监管动态的变化，加强对外规深入研判 ......... 14 3、妥善、审慎地进行海外业务节点的选择和部署 ............... 15 3 / 15 移动互联网、云计算、大数据和人工智能等新一代的信息技术催生全球经济步入数据经济发展时代。数据要素作为数字经济时代关键性的生产要素和重要的战略性资产，越来越受到各国政府的关注和重视。各国政府大多倾向于通过宏观政策和国家立法促进本国数字经济和数字贸易的发展，跨境的数据流动成为必然的发展趋势。与此同时，出于对国家安全和国家利益的考量，各国政府也普遍加强了在数据安全和隐私合规领域的监管和执法 力度，这无疑给我国企业“出海”带来了更多挑战和考验。“走出去”的中资企业需要制定系统、完善的应对策略，积极应对企业在国际化业务拓展中可能面临的数据安全和隐私合规风险。 一、全球数据安全及隐私合规领域的监管形势分析 1、各国纷纷加速在数据安全与隐私保护领域的立法进程 随着数字经济的高速发展，各国对于数据安全问题的重视程度不断提高。受 2018 年开始实施的欧盟《通用数据保护条例》的影响，个人隐私的保护已引起了各国政府和民众的高度重视。近几年，世界范围内众多国家都通过颁布政策法规、加强监督执法，提升数据安全的治理能力，应对日益严峻的数据安全威胁。截至 2018 年底，全球已有近 120 个国家和独立的司法管辖区采用了全面的数据保护或隐私法律来保护个人数据，另有近 40 个国家和司法管辖区存在有待批准的此类法案或倡议1。 以欧盟为例，《通用数据保护条例》（GDPR）自 2018 年 5 月 1 数据来源：毕马威国际 4 / 15 在欧盟成员国内正式生效实施，然而该条例的影响已经实际拓展到了欧盟境外的企业。GDPR 采用了类似于此前美国长臂管辖的法律模式，将执法边界延伸到了所有收集欧盟公民信息的企业，对互联网产业相对发达的中美两国企业影响尤甚，已经成为全球很多国家和地区进行个人数据保护立法时所参考的对象。此后，欧盟又在数据治理领域通过了《非个人数据自由流动条例》，致力于推动非个人数据在欧盟境内的自由流动。欧盟各国在本国国内也大多建立起了面向政府、企业、个人等多元参与主体的数据治理法规体系，构建出全方位、多维度的数据治理体系。 聚焦国内，在《中华人民共和国网络安全法》于 2017 年 6月开始实施以来，我国又相继于 2019 年发布了《个人信息出境安全评估办法（征求意见稿）》、《数据安全管理办法（征求意见稿）》，于 2020 年发布了《个人信息安全规范》、于 2021 年发布了《中华人民共和国数据安全法》等数据安全及隐私保护领域的专门性立法，在提升数据安全治理水平的同时，进一步与国际监管形势接轨。 表 1 部分国家在数据安全与隐私保护领域出台的法律法规 国别 法规名称 中国 1. Cybersecurity Law 2017—《网络安全法》 2. Measures for the Security Assessment for Cross-border Transfer of Personal Information (Exposure Draft) 2019 —《个人信息出境安全评估办法》征求意见稿 3. Personal Information Security Specification 2020 一《个人信息安全规范》 4. Data Security Law 2021 —《数据安全法》 欧洲 1. The EU General Data Protection Regulation (GDPR) 一《通用数据保护规范》 5 / 15 国别 法规名称 2. Regulation on the Free Flow of Non-personal Data 2018 一《非个人数据自由流动条例》 3. Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) – version adopted after public consultation —《关于 GDPR 的地域适用范围指南(第三条)》 4. Guidelines on Personal Data and Electronic Communications in EU Institutions 2020 —《欧盟机构个人数据和电子通信指南》 美国 1. Health Insurance Portability and Accountability Act 1996 (HIPPA) 一《健康保险隐私及责任法案》 2. Children 's Online Privacy Protection Act 1998 —《儿童在线隐私保护法》 3. Dodd-Frank Wall Street Reform and Consumer Protection Act 2010 —《多德一弗兰克华尔街改革和消费者保护法》 4.National Security and Personal Data Protection Act of 2019 —《国家安全与个人数据保护法》 加拿大 1. Privacy Act 1983 —《隐私法》 2. Personal Information Protection and Electronic Documents Act 2001 —《个人信息保护和电子文件法》 3. Digital Charter 2019—《数字宪章》 日本 1. Act on the Protection of Personal Informat