数据跨境合规治理实践（2021）

|(http://tgao.cbdio.com) (../../../)(../../../node_2782.htm) 2021 Deloitte2021-12-14 15:34:56 “” “”“” “” / 50 — “” — // — — / / ZTE中兴 Deloitte. 针对⼯业和信息化领域，我国《⼯业和信息化领域数据安全答理办法（试⾏》多提出先分类后分级，形成和维护数据分类清单：然后根掘效据遣到籍改、破坏、泄露或者⾮法获取、⾮法利⽤，对国家安全、公共利益或者个⼈、组织合法权益等造成的危害程度，将⼯业和电信数掘分为⼀般数掘、蛋要数据和核⼼数掘三级：并明确提出我国境内收集和产⽣的重要数据，应当依照法律、⾏政法规要求在境内存储，确需向境外提供的，应当依法依规进⾏数据出境安全评估，在确保安全的前提下进⾏数据出境，井加强对数据出境后的跟踪筆握。核⼼致据不得出境。 •其他法城相关规定 其他国家/地区暂未针对重要数据进⾏清浙定义，但针对特殊数据或特殊⾏业，均有不同程度的合规要求。对于企业来说，企业在⽇第运营过程中的⼀些商业数据，或致量有限的个⼈信惠通第不被祝为是重要致据。但针对⼀些特殊的⾏业如測绘、勘探、电信，⽇常运營过程中的商业数据可能被认定为重要数据。 3.2.2摸查关键情形场景 关键动作⼀：开展现状调研，识别数据跨境场景 企业对内部数据跨境场景进⾏识别，为合规差距分析和明确合规治理重点提供坚实的事实基砣。企业通常采⽤以下⼏种⽅法展开内部调研⼯作： •信息梁集和⼈员访谈：制定跨境要素识别表，通过下发信息采集装，调研跨境业务需求、数据保护现状和数据流转情况；•制度流程及法务⽂件市间：市核企业现有制度、流程、隐私通知书等相关⽂档，梳理合規現状；•实地⾛查观察：对現有跨境业务流程的执⾏情况进⾏实地⾛查观察，随机挑选或者针对企业关注的业务场景，从数据发出地朵集、跨境传输到孜据垵收国落地整个过程进⾏跟踪，了解传输道路各环节的控制措施和实际的执⾏情况。 关键动作⼆：清晰檢理路径，制定數据流转摸底⼯具 由于致据跨境流转情况复杂，需要采⽤⼯具表单和数据流转示意图的⽅式对数据踦塊情况进⾏记录和清浙梳理，可以通过枸建信息采集⼯具进⾏协助，例如： •枸建跨境场景识别表：根据业务单位填写的效据跨境场景识别要券装，梳理出敫据跨境流转情况，包括具体业务场景、涉及部⻔、⽂件形式、具体字段、数据来源地区、 3.2.6重要数据合规延展 ⽬前，各国家/地区对于重要数掘的定义和跨境規则较为校糊，监管执法情况存在诸多不确定性。 在数据识别⽅⾯，世界范围内对于重要效据的监管定义尚未统⼀且较为模糊，企业需结合当地法律及⾃身业务场景，对重要数掘进⾏场景化分析和识别，建⽴重要数掘清单井单独维护，同时坚持较为“保守”的重要致据定义原则，以应对监管执法的不确定性。 在外部规则⽅⾯，重要数据的跨境規则⼤体分为以下两种要求： 1）本地化存储及处理，原则上不允许向境外传输； 2）向境外传输需符合特定⽬的要求，并且经过严格的市批制度。 除上述要求外，对蛋要数掘路境的监管要求与个⼈信息⽆实质区别，如事先⻛险评估、安全性保險措施等。因此，对于重要致掘的跨境合规管控，可优先考感本地化部署的⽅式，从源头规避数据跨境合规⻛险；其次，严格评估重要数据跨境的必要性和合法性，如确禽进⾏重要数据跨境，应按规定进⾏监管报批报备，并做好組织层⾯和技术层⾯的安全保障措施：同时，企业应做好数据路境外部规則的排查、梳理及跟踪，以应对随时可能⾯临的重要数银合规⻛险。 附件九：数据跨境司法执法輿情案例 •⻄班⽛监管因违反数超法对Vodofone罰款815万欧元 2021年3⽉，⻄班⽛败据保护局，对算国电信公司天达串(Vodafono）及其殷务提供商多次违反GOPR和国家法律罚款815万改元，其中200万欧元的罚款归因于其服务提供商向不符合欧洲效据保护要求的国家进⾏个⼈数据国际传输。 •挪威数很保护部⻔对Fordo公司处以罚款，涉嫌向中国跨境传输图⽚数据 2021年5⽉，挪威数据保护局，决定对Ferde公司罚款500万椰威克期（约498.065欧元〉•根据调童显示，Forde公司因缺乏效据处理协议、在⼈⼯处理超过1200万张⻋牌图像之前没有进⾏⻛险评估、同时涉嫌在2017年⾄2019年期间向中国进⾏缺乏适当法律依据的数掘转移，违反GOPR第28条第三款、第32条、第44条⽽招致罚款。 •⽇本个⼈信息保护委员会对LINE中国⼦公司访问⽇本⽤户数据进⾏调查 2021年3⽉，⽇本个⼈信思保护委员会对LineCorp.进⾏调查，该消息应⽤程序提供商的⽇本⽤户效很被⼀家中国⼦公司访问，该中国⼦公司的⼯程师能够看到2018年8⽉⾄2021年2⽉期间存储在⽇本的⽤户个⼈信息，委员会于要求Line提交事件报告之后进⾏现场检查，调查⼈员根据个⼈信,息保护法访问了Line及共⺟公司ZHoldingsCorp.<4689>,表示检查“旨在准确判断是否道守法律”，Line对附属公司的监餐及其对致据的访问。Line公司表示已终⽌其在中国的对话系统的开发、维护和运营。 •法国CNIL按照GOPR规定对Goo8l。开出5000万欧元罚单 2019年1⽉，⾕敢(Googl。）被法国监管机构国家信息与⾃由委员会（CNIL)处以5000万欢元巨额罚款，缘由是⾕歐未能履⾏《通⽤数据保护条例》（GDPR）规定的义务，其中包括⾕歇在路境效据运蓄过程中建反了G0PR规则中的透明度要求及信思告知义务。  (http://www.cbdio.com/node_2563.htm) 2020“”(http://www.cbdio.com/node_12921.htm)2020“”(http://www.cbdio.com/node_12920.htm)(http://www.cbdio.com/node_5141.htm)(http://www.cbdio.com/node_8557.htm)(http://www.cbdio.com/node_3928.htm)(http://www.cbdio.com/node_7503.htm)(http://www.cbdio.com/node_9260.htm) 2022 (https://mp.ofweek.com/digitaleconomy/a356714554327) (http://www.cbdio.com/node_2569.htm)  (http://www.cbdio.com/BigData/2023-08/04/content_6174530.htm) (http://www.cbdio.com/BigData/2023-08/04/content_6174530.htm) 2025100...(http://www.cbdio.com/BigData/2023-08/04/content_6174530.htm)  (http://www.cbdio.com/node_2569.htm) (http://www.cbdio.com/node_2577.htm) (http://www.cbdio.com/node_12178.htm)(http://www.cbdio.com/node_12178.htm) (http://www.cbdio.com/node_2807.htm)(http://www.cbdio.com/node_2807.htm) (http://www.cbdio.com/node_4106.htm)(http://www.cbdio.com/node_4106.htm) (http://www.cbdio.com/node_4631.htm)(http://www.cbdio.com/node_4631.htm)(http://www.cbdio.com/node_2577.htm) (http://www.cbdio.com/node_3510.htm) (http://www.cbdio.com/BigData/2020-06/18/content_6157359.htm) AI(http://www.cbdio.com/BigData/2020-06/18/content_6157359.htm) AIAI...(http://www.cbdio.com/BigData/2020-06/18/content_6157359.htm) (http://www.cbdio.com/BigData/2020-02/07/content_6154463.htm) 65“”(http://www.cbdio.com/BigData/2020-02/07/content_6154463.htm) 24...(http://www.cbdio.com/BigData/2020-02/07/content_6154463.htm) (http://www.cbdio.com/BigData/2019-08/15/content_6150419.htm) “100”(http://www.cbdio.com/BigData/2019-08/15/content_6150419.htm) 8142019“100”...(http://www.cbdio.com/BigData/2019-08/15/content_6150419.htm) (http://www.cbdio.com/node_3510.htm) (http://www.cbdio.com/about/about.html)(http://www.cbdio.com/BigData/2021-12/21/content_4007528.htm)(http://www.cbdio.com/BigData/2021-12/21/content_3754582.htm)(http://www.cbdio.com/BigData/2021-12/21/content_3816214.htm)(http://www.cbdio.com/BigData/2021-12/21/content_3816658.htm)|||| (http://www.cbdio.com/BigData/2021-12/21/content_3433625.htm)(http://www.cbdio.com/)(http://www.gywb.cn)(http://www.chinadatavalley.com/ch/index.shtml)(http://tech.cnr.cn/)(http://news.ikanchai.com/)(http://mycaijing.com.cn/)(http://tech.huanqiu.com/)(http://www.gzw.net/)(http://www.gysjw.gov.cn/)(http://www.iimedia.cn/)(http://www.databanker.cn/)...(http://www.cbdio.com/BigData/2021-12/21/content_3433625.htm) Copyright © 2014-2017 Cbdio, All Rights ReservedICP13002985-3(http://beian.miit.gov.cn/)