中企出海过程中应对数据安全与隐私合规风险的策略分析 中国移动研究院 2021年8月 2 / 15 目录 一、全球数据安全及隐私合规领域的监管形势分析 .................. 3 1、各国纷纷加速在数据安全与隐私保护领域的立法进程 .......... 3 2、全球范围内对数据安全与隐私保护的监管力度持续加大 ........ 6 3、数据的跨域流动与本地化存储的要求并存 .................... 7 二、国有企业出海过程中面临的数据安全及隐私合规风险分析 ........ 9 1、企业对于东道国数据安全与隐私保护监管要求的理解和把握不足 9 2、数据跨境流通的规则呈现复杂化趋势，增加了企业选择海外业务节点的难度 ................................................. 10 3、企业海外业务的数据安全及合规管控未成体系化，成为业务发展的掣肘 ..................................................... 12 三、应对策略建议 ............................................ 13 1、构建合理、完善的数据安全和隐私合规管理体系 ............. 13 2、及时跟踪海外监管动态的变化，加强对外规深入研判 ......... 14 3、妥善、审慎地进行海外业务节点的选择和部署 ............... 15 3 / 15 移动互联网、云计算、大数据和人工智能等新一代的信息技术催生全球经济步入数据经济发展时代。数据要素作为数字经济时代关键性的生产要素和重要的战略性资产，越来越受到各国政府的关注和重视。各国政府大多倾向于通过宏观政策和国家立法促进本国数字经济和数字贸易的发展，跨境的数据流动成为必然的发展趋势。与此同时，出于对国家安全和国家利益的考量，各国政府也普遍加强了在数据安全和隐私合规领域的监管和执法 力度，这无疑给我国企业“出海”带来了更多挑战和考验。“走出去”的中资企业需要制定系统、完善的应对策略，积极应对企业在国际化业务拓展中可能面临的数据安全和隐私合规风险。 一、全球数据安全及隐私合规领域的监管形势分析 1、各国纷纷加速在数据安全与隐私保护领域的立法进程 随着数字经济的高速发展，各国对于数据安全问题的重视程度不断提高。受2018年开始实施的欧盟《通用数据保护条例》的影响，个人隐私的保护已引起了各国政府和民众的高度重视。近几年，世界范围内众多国家都通过颁布政策法规、加强监督执法，提升数据安全的治理能力，应对日益严峻的数据安全威胁。截至2018年底，全球已有近120个国家和独立的司法管辖区采用了全面的数据保护或隐私法律来保护个人数据，另有近40个国家和司法管辖区存在有待批准的此类法案或倡议1。 以欧盟为例，《通用数据保护条例》（GDPR）自2018年5月 1 数据来源：毕马威国际 4 / 15 在欧盟成员国内正式生效实施，然而该条例的影响已经实际拓展到了欧盟境外的企业。GDPR采用了类似于此前美国长臂管辖的法律模式，将执法边界延伸到了所有收集欧盟公民信息的企业，对互联网产业相对发达的中美两国企业影响尤甚，已经成为全球很多国家和地区进行个人数据保护立法时所参考的对象。此后，欧盟又在数据治理领域通过了《非个人数据自由流动条例》，致力于推动非个人数据在欧盟境内的自由流动。欧盟各国在本国国内也大多建立起了面向政府、企业、个人等多元参与主体的数据治理法规体系，构建出全方位、多维度的数据治理体系。 聚焦国内，在《中华人民共和国网络安全法》于2017年6月开始实施以来，我国又相继于2019年发布了《个人信息出境安全评估办法（征求意见稿）》、《数据安全管理办法（征求意见稿）》，于2020年发布了《个人信息安全规范》、于2021年发布了《中华人民共和国数据安全法》等数据安全及隐私保护领域的专门性立法，在提升数据安全治理水平的同时，进一步与国际监管形势接轨。 表1 部分国家在数据安全与隐私保护领域出台的法律法规 国别 法规名称 中国 1. Cybersecurity Law 2017—《网络安全法》 2. Measures for the Security Assessment for Cross-border Transfer of Personal Information (Exposure Draft) 2019 —《个人信息出境安全评估办法》征求意见稿 3. Personal Information Security Specification 2020 一《个人信息安全规范》 4. Data Security Law 2021 —《数据安全法》 欧洲 1. The EU General Data Protection Regulation (GDPR) 一《通用数据保护规范》 5 / 15 国别 法规名称 2. Regulation on the Free Flow of Non-personal Data 2018 一《非个人数据自由流动条例》 3. Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) – version adopted after public consultation —《关于GDPR的地域适用范围指南(第三条)》 4. Guidelines on Personal Data and Electronic Communications in EU Institutions 2020 —《欧盟机构个人数据和电子通信指南》 美国 1. Health Insurance Portability and Accountability Act 1996 (HIPPA) 一《健康保险隐私及责任法案》 2. Children 's Online Privacy Protection Act 1998 —《儿童在线隐私保护法》 3. Dodd-Frank Wall Street Reform and Consumer Protection Act 2010 —《多德一弗兰克华尔街改革和消费者保护法》 4.National Security and Personal Data Protection Act of 2019 —《国家安全与个人数据保护法》 加拿大 1. Privacy Act 1983 —《隐私法》 2. Personal Information Protection and Electronic Documents Act 2001 —《个人信息保护和电子文件法》 3. Digital Charter 2019—《数字宪章》 日本 1. Act on the Protection of Personal Information 2003 一《个人信息保护法》 2. Basic policy on personal information protection 2016 一《个人信息保护基本方针》 3. The Amendment Act of the Act on the Protection of Personal Information —《个人信息保护法》修正提案 印度 1. Information Technology Act 2011 一《信息技术法案》 2. National Cyber Security Strategy 2013一《国家网络安全策略》 3. Personal Data Protection Bill 2019一《个人数据保护法》 俄罗斯 1. Pesonal Data Act 2015—《个人数据法》 2. Russian Federal Theology of Information Security 2016 —《俄罗斯联邦信息安全学说》 3. Law on the Security of Critical Information Infrastructure of the Russian Federation (Draft) 2018—《俄罗斯重要信息基础设施安全法》草案 4. Biosafety Law 2019—《生物安全法》 新加坡 1. Personal Data Protection (Amendment) Bill 2020 —《个人数据保护法(修订)草案》 2. The Revised Guidance Guide of Personal Data Protection Act 2019 —《个人数据保护法案》 澳大利亚 1. Privacy Act 1988—《隐私法案》 2. Competition and Consumer Act 2010 —《竞争和消费者法》 3. Consumer Data Right 2019—《消费者数据权利法案》 6 / 15 2、全球范围内对数据安全与隐私保护的监管力度持续加大 据统计，2020年全球公开范围内报告了3932起安全泄露事件，泄露的记录数量达到370亿条，远高于2019年的151亿条2。数据安全问题俨然成为了困扰各国政府、企业和个人用户的棘手问题。为应对这一严峻形势，各国政府在完善数据安全立法的同时，也加大了在数据安全和隐私合规领域的监督管理和司法执行力度。具体来看： 一方面，部分国家建立健全了数据安全保护机构。通过完善数据安全监管执法机构设置，提升执法效率，加强数据安全保护治理。美国商务部成立了提供联邦数据服务的咨询委员会，以加强对联邦数据隐私的保护；德国成立国家网络安全机构，负责发起网络安全创新项目、研究打击网络威胁，以加强德国的“数据主权”；巴西总统签署法令批准建立国家个人数据保护局，旨在制定相关规则，推进企业开展数据安全风险评估、调查违法违规行为，并促进数据保护的国际合作；韩国成立个人信息保护委员会，负责个人信息保护与监管执法工作。 另一方面，各国的监管机构认识到在互联网的运营模式下，仅依靠企业自律和“柔性”监管，已无法有效落实对个人信息安全的保障。于是各国的监管机构纷纷以数据安全立法为依据，加大了对企业违规行为的惩处力度。2018年10月，Facebook因“剑桥分析”公司泄露个人信息丑闻，受到美国联邦贸易委员会350 2 数据来源：互联网安全内参 3 Federal Trade Commission，在美国负责执行多种反托拉斯和保护消费者法律的联邦机构。 7 / 15 亿美元的罚款。这相当于Facebook年收入的9%，远高于欧洲《通用数据保护条例》规定的罚款金额不超过企业全球年度营业收入4%的上限。2019年1月，谷歌由于未向Android用户提供足够清晰透明的信息而违反数据隐私保护相关规定，被欧盟处于以5000万欧元的罚款。中国企业在“走出去”的过程中也未能独善其身，同样因触犯了相关的合规风险收到了巨额罚单。2017年2月，乐视旗下子公司、智能电视品牌Vizio受到美国联邦贸易委员会和新泽西州的联合指控，称其智能电视在用户不知情的情况下收集电视用户观看数据，并与第三方共享。最终，Vizio同意删除2016年3月1日前收集的所有数据，按照规定执行数据隐私计划，且此后每两年接受一次评估审核，并赔偿220万美元。 3、数据的跨域流动与本地化存储的要求并存 跨境数据流动是数字经济和数字贸易的基础。从全球范围内来看，各国政府整体倾向于通过宏观政策助推数据的跨境流动，促进本国数据经济与数字贸易的发展： 一是美、日等国积极推动跨境数据流动规则的制定