【安永洞察】通过“网络安全审查”事件看企业数据跨境传输风险与应对

7月伊始，国家互联网信息办公室发布通报，为防范国家数据安全风险，维护国家安全，保障公共利益，依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》，网络安全审查办公室按照《网络安全审查办法》，对若干应用软件实施网络安全审查。为配合网络安全审查工作，防范风险扩大，审查期间相关应用软件停止新用户注册。此通报一出，引起社会广泛关注。

早在今年年初，国家发布了《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》，其中“网络安全”一词出现了14次，“数据安全”被5次提到。显然，“数据安全”已成为继“网络安全”之后，国家未来发展关注的重要领域。“网络安全审查”工作的开展，体现出国家对数据安全与数据跨境传输的强监管意志。

对于跨国企业和拟在国外上市的企业来说，如何控制企业数据跨境传输的风险值得深思。

本文，安永将就中国关于数据跨境传输的法律法规、企业数据跨境传输的挑战和应对、针对数据跨境传输风险的应对框架以及安永的价值，为企业进行梳理和助力。

中国关于安全审查与数据跨境传输法律法规的概述

《中华人民共和国国家安全法》强调了对影响或者可能影响国家安全的网络信息技术产品和服务进行国家安全审查。

《中华人民共和国网络安全法》对需要进行国家安全审查、安全评估的情况进行明确定义。

《中华人民共和国数据安全法》进一步强调对影响或者可能影响国家安全的数据处理活动进行国家安全审查。对重要数据的出境安全管理也提出了明确要求。

《中华人民共和国个人信息保护法》在个人信息跨境提供的规则中制定了个人信息跨境传输管理的明确规定。对法律的适用性也进行了详细规范。

《个人信息出境安全评估办法（征求意见稿）》强调个人信息出境可能影响国家安全、损害公共利益，或者难以有效保障个人信息安全的，不得出境。对网络运营者与个人信息接收者签订的合同或者其他有法律效力的文件的具体内容进行详细要求。

《网络安全审查办法（修订草案征求意见稿）》重点强调了企业在国外上市可能带来的国家安全风险，对需要进行网络安全审查的情形进行了进一步细化。

《关于依法从严打击证券违法活动的意见》对加强中概股监管，尽快完善数据安全、跨境数据流动管理等方面提出了意见。

纵观国家法律法规制定的发展，我国对网络安全、数据安全、个人信息保护的管理越发重视，对数据跨境，特别是个人信息相关数据跨境可能产生的国家安全风险也越发关注，可见未来数据跨境传输将成为监管关注的重要方向。

企业数据跨境传输挑战和应对

面对国家日益严格的监管趋势，企业特别是存在数据跨境传输需求的企业将会面对哪些挑战？又如何应对呢？下面将从三个方面简述企业数据跨境传输面临的挑战以及应对之道。

1哪些企业将会面对挑战？

1）有在海外上市计划或已在海外上市的企业，特别是在美国上市的企业；

2）向境外提供个人信息的企业；

3）涉及重要数据出境的企业，如涉及地理、自然资源、基因、生物特征、宏观统计数据、网络信息系统缺陷、人群导航位置、大型设备目标和位置等数据；

4）关键信息基础设施运营者，如互联网平台、云计算平台、大数据平台、国防科工、大型装备、化工、食品药品科研生产企业等；

5）为关键信息基础设施运营者提供网络产品和服务的运营者，如核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务。

2企业数据跨境传输将会面对哪些挑战？

1）监管的复杂性

对于企业来说了解复杂的、动态发展的、相互影响的国际监管格局以及跨境数据管理规则是一项严峻的挑战。

2）治理的困难性

对于企业来说，为隔离跨境数据传输风险，建设跨境数据治理框架，分配数据本地化所有权是一项不小的挑战。

3）数据跨境传输技术障碍

根据不同地区的监管要求、数据敏感度和数据使用情况，需要为数据传输、访问、同意监控、数据跟踪以及跨技术栈的存储等方面建立不同的技术控制措施，同时还需要具备报告和监测的能力，对合规性进行持续审查。

4）第三方供应商管理问题

企业为符合全球数据传输和数据本地化的要求，需要制定、执行和监督第三方供应商的管理流程，包括供应商认证、审查和重新认证的流程。

5）及时调整管理措施

企业需要建立适当的控制措施，来应对跨境数据传输和数据本地化在个人信息保护和技术流程方面的变化。

6）保持数据的一致性

当管辖权发生变更，企业无法再采用审查、测试、报告、落实管理制度的方式，保持跨境数据在处理、储存和销毁方面的一致性。

3企业数据跨境传输如何应对？

面对这么多的挑战以及监管带来的压力，企业怎么才能快速、有效、从容的应对？

具体可参考以下步骤开展工作：

1）

制定数据出境计划，计划的内容包括但不限于：

数据出境目的、范围、类型、规模；涉及的信息系统；中转国家和地区（如存在）；数据接收方及其所在的国家或地区的基本情况；与接收方签订的合同或者其他具有法律效力的文件；安全控制措施等。为保护数据主体的利益，其中与接收方签订的合同部分，具体需要明确的内容可参考《个人信息出境安全评估办法》（征求意见稿），第十三条网络运营者与个人信息接收者签订的合同或者其他有法律效力的文件，应当明确：

• 个人信息出境的目的、类型、保存时限。

• 个人信息主体是合同中涉及个人信息主体权益的条款的受益人。

• 个人信息主体合法权益受到损害时，可以自行或者委托代理人向网络运营者或者接收者或者双方索赔，网络运营者或者接收者应当予以赔偿，除非证明没有责任。

• 接收者所在国家法律环境发生变化导致合同难以履行时，应当终止合同，或者重新进行安全评估。

• 合同的终止不能免除合同中涉及个人信息主体合法权益有关条款规定的网络运营者和接收者的责任和义务，除非接收者已经销毁了接收到的个人信息或作了匿名化处理。

• 双方约定的其他内容。

2）

评估数据出境计划的合法性和正当性

根据《网安法》第三十七条“因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。“企业可预先评估数据出境计划的合法性和正当性，如：评估企业内部的数据跨境传输情况，确定重要数据的种类、数据量、存储位置等；还可从目的性、合法性以及正当性方面分析当前数据收集、存储和使用的情况是否满足业务最低必要性。具体可参考《数据出境安全评估指南》（征求意见稿），如合法性的要求包括：

• 不属于法律法规明令禁止的；

• 符合我国政府与其他国家、地区签署的关于数据出境条约、协议的；

• 个人信息主体已授权同意的，危及公民生命财产安全的紧急情况除外；

• 不属于国家网信部门、公安部门、安全部门等有关部门依法认定不能出境的。

正当性的要求包括：

• 网络运营者在合法的经营范围内从事正常业务活动所必需的；

• 履行合同义务所必需的；

• 履行我国法律义务要求的；

• 司法协助需要的；

• 其他维护网络空间主权和国家安全、社会公共利益、保护公民合法利益需要的。

3）

二次评估数据出境计划

如数据出境计划不满足合法性、正当性的要求，或经评估后不满足风险可控的要求，企业可修正数据出境计划，或采用相关措施降低数据出境风险，可用于降低数据出境安全风险的措施包括但不限于：

• 精简出境数据内容；

• 使用技术措施处理数据降低敏感程度；

• 提升数据发送方安全保障能力；

• 限定数据接收方的处理活动；

• 更换数据保护水平更高的接收方；

• 选择政治法律环境保障能力较高地区的数据接收方等。

在进行相应调整后，可重新对数据出境进行安全风险评估。可参考《个人信息出境安全评估办法》（征求意见稿）结合企业实际情况，重点再评估：

• 个人信息出境的目的、类型、保存时限。

• 个人信息主体是合同中涉及个人信息主体权益的条款的受益人。

• 个人信息主体合法权益受到损害时，可以自行或者委托代理人向网络运营者或者接收者或者双方索赔，网络运营者或者接收者应当予以赔偿，除非证明没有责任。

• 接收者所在国家法律环境发生变化导致合同难以履行时，应当终止合同，或者重新进行安全评估。

• 合同的终止不能免除合同中涉及个人信息主体合法权益有关条款规定的网络运营者和接收者的责任和义务，除非接收者已经销毁了接收到的个人信息或作了匿名化处理等方面的计划。

图示：风险评估的流程，参考《数据出境安全评估指南》（征求意见稿）

4）

差距分析

进行差距分析，基于国家法律法规、标准要求比对当前企业的实际情况，确定整改措施的优先级；如《数据出境安全评估指南》（征求意见稿） 对数据发送方和接收方的安全能力进行差距分析；确定每种方案的初步风险评估结果，以确定补救措施的优先级。

5）

跨境数据传输管理机制的建立

在《网安法》和《数安法》中，均要求对数据施行分类分级保护，企业应根据法规的要求，建立健全的全流程数据安全管理制度。企业需要在此基础上结合差距分析结果，建立跨境数据传输的管理机制，同时在企业内部建立针对跨境数据传输管理的小组，明确管理小组的角色和责任，推动企业内部跨境数据传输的管理。

6）

采取补救措施，确保适当的可管理的技术保障措施的实施

根据差距分析结果，采取补救措施来修复差距并降低风险级别，由跨境数据传输管理小组牵头逐步开展整改工作，例如用户同意、数据去标识、数据加密、合同条款更新等。

7）

官方安全评估报告

根据企业实际情况向相关监管部门报备，提交相关评估报告。

以上就是企业面对数据跨境传输风险的挑战和应对之道。

针对数据跨境传输风险安永建议的应对框架

安永针对数据跨境传输风险考虑的“数据跨境传输应对框架”，旨在更好的帮助企业应对风险：

图示：数据跨境传输应对框架

安永的价值

安永提供多样化、定制化的网络与数据安全合规咨询服务，为企业的安全、合规保驾护航。

数据安全快速合规风险评估：

► 数据本地化与数据出境风险快速评估

► 网络安全法合规快速诊断

► 数据安全法合规快速诊断

► 个人信息保护合规快速诊断

► 安永网络安全风险整体快速评估

数据安全深度评估与建议：

► 信息资产与数据识别、数据处理活动、数据跨境场景清册

► 网络安全法深度评估与建设规划

► 个人信息与数据安全深度评估与规划

► 网络安全等级保护预评估

► 数据出境风险评估与建设规划

► 移动互联网应用（APP）个人信息保护合规专项检测

数据安全深化建设落地：

► 数据本地化/跨境管理与运营服务

► 数据安全合规管理体系建设与实施

► 个人信息保护管理体系建设与实施

► 安全托管运营服务（Cybersecurity Managed Service）

欢迎联系我们。

高轶峰

主管合伙人

大中华区网络安全与隐私保护咨询服务

安永（中国）企业咨询有限公司

+86 21 2228 6611

kelvin.gao@cn.ey.com

兰瑜

合伙人（华北）

大中华区网络安全与隐私保护咨询服务

安永（中国）企业咨询有限公司

+86 10 5815 3951

bruce.lan@cn.ey.com

施建俊

合伙人（华中）

大中华区网络安全与隐私保护咨询服务

安永（中国）企业咨询有限公司

+86 21 2228 7599

alex.shi@cn.ey.com

夏文婷

合伙人（华中）

大中华区网络安全与隐私保护咨询服务

安永（中国）企业咨询有限公司

+86 21 2228 3320

wendy.xia@cn.ey.com

胡立基

合伙人（华南）

大中华区网络安全与隐私保护咨询服务

安永（中国）企业咨询有限公司

+86 20 2881 2731

winson.woo@cn.ey.com

本文是为提供一般信息的用途所撰写，并非旨在成为可依赖的会计、税务、法律或其他专业意见。请向您的顾问获取具体意见。

如欲转载本文，务必原文转载，不得修改，且标注转载来源为：安永中国海外投资业务部官方微信公众号。如需修改内容，需要获得安永的书面确认。