【安永洞察】数据跨境困局的破局之道

数据跨境传输之中国法规环境概览

整体法规环境解读

回顾往昔

许多跨国企业在过往搭建信息系统架构时都倾向于把系统分散在世界各地域以此实现其跨国业务的布局与全球配置。然而，这样的布局模式已经日渐难以与中国的法律法规环境趋同——尤其体现在《网络安全法》和《中华人民共和国数据安全法》发布之后。

展望未来

在数据跨境传输领域，中国的法规体系日渐完善，随之而来的是监管部门的监管力度日益增强；基于此，经过对相关法规与行业相关案例经验的探索，我们呈现如下两点观察：

► 数据跨境传输是否能获得监管机构批准不只取决于数据本身，在此之外，还需要对其他相关因素做出分析（例如：数据跨境传输的目的；对数据发送方和接收方的安全性分析以及企业本身已经采取的相关控制措施）

► 数据跨境传输合规性的达成并不是一蹴而就的结果，而是一个持续性的、日益渐进的过程；在与监管机构沟通与交流中，要注重强调数据跨境传输的合法性与必要性（例如：为了满足境外监管报备需要；为了满足必要的商业活动的需求；这样会大大提高数据跨境传输得到监管部门批复的可能性）

长按并识别二维码

阅读中文版完整报告

长按并识别二维码

阅读英文版完整报告

数据跨境传输安全评估

在向监管部门对数据跨境传输进行申请时，进行安全评估是一项必不可少的议题，作为企业本身，需要关注以下因素：

数据跨境传输的合法性和必要性

► 合法性主要包括：

 不违背相关法律法规

 遵守中国政府及其他国家和地区签署的数据跨境传输条约和协议

 已获得个人信息主体的授权同意，但危及公民生命和财产安全的紧急情况除外

 传输信息不属于国家网络安全和信息化部门、公安部门、安全部门及其他依法禁止出境的有关部门的管辖范围内

► 必要性主要包括：

 为了满足网络运营商在合法业务范围内从事正常业务活动所必需

 为了履行合同义务所必需

 为了履行我国法律义务的要求

 为了满足司法协助所需

 其他为了维护网络空间，国家安全和社会公共利益的需要

风险可控性

► 数据跨境传输应评估其风险，并在数据传输之前全面考虑数据元素本身的安全性和发生安全事件的可能性

► 在涉及个人信息/重要数据时，其风险评估的关键点包括但不限于数据类型、数据敏感性、数据数量和相应的对数据进行处理的技术手段

主要法规发布时间一览

2016年11月7日《网络安全法》

2017年5月27日《信息安全技术数据

出境安全评估指南（草案）》第一稿

2017年8月25日《信息安全技术数据

出境安全评估指南（草案）》第二稿

2019年6月13日《个人信息和重要数据

出境安全评估办法（征求意见稿）》

2021年4月26日《个人信息保护法

（草案）》第二稿

2021年6月10日《中华人民共和国数据

安全法》11月7日《网络安全法》

企业面临的挑战及安永的助力与赋能

企业面临的挑战

对法规的精准诠释

中国的法律法规需要给予各行业指导性意见，基于此，形成了“以原则为导向”而不是以详尽的规则为基础的法规体系；在这样的生态环境下，很多法规都没有被明确地解释并伴随着隐性规则；从而，对法规的精准理解是跨国企业进行经营活动的必要前提。

对行业实践可用性的解读

除法规外，对本地同行业跨国企业实践经验的认知和运用也是达成数据跨境传输合规性的重要一环；了解同行业友商的经验“是什么”、“为什么”，并能够基于企业自身的特性来决定选择性的借鉴并发展行业可用的经验，从而为企业的下一步决策提供有效的支持。

对本地化实践和全球性规范的碰撞时的客观立场与判断

跨国企业进行全球性战略部署时经常面临不同地域的本地化实践与其母公司的全球性规范准则的并行与冲突；鉴于此，跨国企业需要独立的第三方站在客观的视角上为其提供专业的意见和建议。

对各种数据跨境传输场景的全面分析

跨国企业日常经营中的很多数据跨境传输场景往往涉及到不同部门的合作，然而，不同职能部门的人员可能缺乏对整个数据跨境传输的业务场景以及其相关的IT架构的全盘理解；因此，企业需要拥有对不同数据跨境传输的业务场景以及IT架构进行全面分析的能力。

安永助力

安永倾力为企业提供如下服务：

► 解析数据跨境传输的具体场景

► 协助企业与监管部门沟通

► 以外包的方式将数据的跨境风险/成本转移给第三方

► 建立健全补偿控制以加强数据传输的安全性

► 分析数据跨境传输试点地区优惠政策，给出数据中心选址建议，节约企业成本

法律法规分析

► 对数据跨境传输/个人隐私保护相关法律法规进行全面的纵深解析

数据跨境传输场景界定

► 组织与企业内部相关人员的访谈，确定具体数据跨境传输的场景

深度分析及数据跨境传输安全评估

► 对进行数据跨境传输的发送方和接收方进行安全评估

► 对数据跨境传输的目的性进行安全评估（为了满足境外监管报备需要；为了满足必要的商业活动的需求）

► 其他补偿性控制措施和行业实践（政治和法律环境，数据处理流程，数据访问管理及其他相关控制措施，并根据行业实践提供建议）

监管部门沟通

► 制定与监管部门沟通的策略，协助企业进行后续沟通

安永赋能

潜在安全风险  和  违规概率

降低

提升

数据安全与合规性

欢迎联系我们。

忻怡

亚太区金融科技及创新首席合伙人

大中华区金融服务首席合伙人

+86 21 2228 3286 | +86 185 2107 0722

effie.xin@cn.ey.com

冯哲

网络与安全咨询服务合伙人

安永（中国）企业咨询有限公司

wilson.z.feng@cn.ey.com

代亚思

网络与安全咨询服务高级顾问

安永（中国）企业咨询有限公司

ya.si.dai@cn.ey.com

周超瑜

网络与安全咨询服务高级顾问

安永（中国）企业咨询有限公司

alex.cy.zhou@cn.ey.com

本文是为提供一般信息的用途所撰写，并非旨在成为可依赖的会计、税务、法律或其他专业意见。请向您的顾问获取具体意见。

如欲转载本文，务必原文转载，不得修改，且标注转载来源为：安永中国海外投资业务部官方微信公众号。如需修改内容，需要获得安永的书面确认。