出海大勢所趨|CDP集團再談企業數據出境安全合規思考

全球貿易發展已呈現出產業服務化、服務數據化的演進態勢，2019年起全球跨境數據流產生的GDP總值已超過跨境商品流。在世界範圍網絡空間安全論壇中，數據跨境已成為最重要的話題之一。

中國作為國際經濟和政治影響力大國，全球對於中國的數據跨境監管要求表現出了空前的關註。中國近年來高速發展的數據管理司法架構以及中國後續的監管執法，將直接對出海企業運營帶來直接的影響。

同時，全球因為數據跨境導致的監管案例層出不窮，其中不乏國內多個出海企業受到影響和處罰。全球數據跨境已不僅僅在監管層面，執法處罰的案例也逐年增多。已發生的監管事件提示著企業要謹慎思考如何針對不同國家特有的數據跨境法律製度資源建立特有的業務規則和模式。

跨境數據治理對出海企業的產業布局、產業鏈分配已產生重大影響，出海企業在數據合規方面面臨諸多問題：

► 數據出境監管規則正式落地，合法、正當、必要的合規路徑如何規劃?

► 從數據收集到員工數據管理使用如何實現雙向合規?

► GDPR在企業管理實操中如何落地，具體怎樣處理個人隱私信息?

對此，我們一起來看看業內安全專家們的洞察與建議：

Part.01

數據出境安全評估辦法解讀及GDPR典型判例分析

安永(中國)合夥人 施建俊：2022年7月7號網信辦所頒布的數據出現的安全評估管理辦法，是之前所頒布的網絡安全法、數據安全法、個人信息保護法裏面所提及的，針對關鍵信息基礎設施數據出境、重要數據出境、以及個人信息和個人敏感信息出境要求的一個重要承接。

法製9月1號生效之後，也給了企業半年的整改期，大家要利用好這個整改窗口，盤點企業數據出境的場景和業務需求。如果說已經出境了，是不是達到了法規提到的幾個門線值或數據類型，都是企業要特別關註的。

《數據出境安全評估辦法》裏安全評估的申報、受理、評估、反饋、整改再評估等相關的作業流程已表述的非常清晰。甚至一些配套的更細致具體的工作模板，配套的登記註冊的系統也會進行發布，便於企業開展這方面的工作。

在數據安全中，員工數據是企業非常重要的一個數據類別，國外的企業觀念和中國企業不太一樣，大多數的中企在談到個人信息保護時，往往更加註重自己客戶數據的一些保護，尤其是收集到的To C的數據，會占用企業大部分的精力。事實上員工的數據同樣重要，比如歐美對自己員工數據的保護看得極端重要。

提醒大家註意一點，員工和客戶是不同的，客戶是可以隨時跟企業say no，但對於員工，是不大可能隨便對企業say no。也就是說雇主很有可能和員工並不在一個平等的位置上。

對於很多HR來說，在獲取的每一個員工信息的背後，都要有非常充足的業務場景支撐，僅僅建立在員工同意上是不夠的。在敏感信息的處理上，很有可能會在一些較真的場合被質疑。

去年歐洲有個案例，一家企業針對雇員的日常辦公行為進行了一些數據的采集，當然企業會拿出大套的法律文件，表示在采集過程肯定有各種各樣的彈窗，各種各樣的確認，但是員工說這些都是在入職之後強加的，事實上員工沒有任何的選擇權。後來在法院最後的判定中認為雇主沒有給員工充分的選擇權，因此敗訴賠了不少錢。

因此，每個HR都要特別註意，當采集員工數據時，企業和員工是否是在平等的位置上溝通，是否是在給員工充分選擇權的情況下，去獲得員工的同意。

Part.02 HR如何平衡人力資源管理與全球不同國家的安全合規要求

CDP集團首席運營官 侯菲律：「合規」已經成為中國企業出海的必修課。亞馬遜封號潮的殘酷洗禮以及海外國家監管政策的趨嚴，讓整個行業迅速告別野蠻生長，走進「合規化經營」的新時代。

2022年7月21號，國家互聯網信息辦公室是依據網安法、處安法和個保法、行政處罰法等法律法規，對於某知名打車的企業處以高達80億元的罰款。表明了我國對於個人信息保護及數據安全相關法規的執法力度變得空前之高。

這件事也讓眾多企業意識到，在數據安全方面擁有一個專業的合作夥伴是多麽的重要。CDP集團作為人力資本管理的專家無論是支持中國企業的出海，還是支持企業的全球化及數人力資源的數字化，都會在不斷的叠代的過程當中，去增加相應的隱私相關的管控點。在面對人力資源管理的場景，比如HR所面對的可能是全球化的組織和全球化的員工，怎麽去平衡不同國家的相應的合規要求，同時又滿足相應的人力資源管理要求，是一個非常現實的問題。

從產品使用角度來看，CDP的產品用戶就是客戶企業的員工，他們打開APP或網頁之後會看到一些隱私保護的提醒，無論是相應的聲明知情以及勾選什麽信息安全確認書，首先是會有一個用戶感知，讓員工感受到企業是在保護其個人的隱私信息的。同時還有相應的日常監察機製，包括引入一些專業的合作夥伴來進行共同的評估和認證等。

在數據安全合規建設的過程當中，CDP建議我們的客戶企業，首先要把對員工個人信息保護的責任落實，和相應管理體系的建立。防止把所謂的合法依據淪為一個濫用員工數據的擋箭牌，同時也應該遵循透明度原則，及時製定相關的政策文件，用透明的製度來保障員工的每一個合法權益。

Part.03 企業如何建立數據跨境管理合規機製

亞馬遜雲科技高級安全合規專家 周盈：GDPR目前罰款金額最高的應該是英國航空公司數據泄露案，當時2.04億歐元。aws跟很多出海企業交流，總結出了一套企業隱私合規實踐框架：

全球130多個國家已經頒布了個人信息保護法，在分析這些法規之後，發現這些框架都很相似，基本上都有數據處理的原則、數據處理的合法性、數據的主體權利、數據跨境等這些內容。所以我們建議企業先以GDPR、CCPA的要求為基礎建立一套自己的隱私合規實踐框架。其中有三塊內容是在建設過程中要特別註意的：

定期做合規風險評估，比如找四大事務所做定期的評估;

建立隱私合規的管理組織;

製定並發布隱私管理的製度，1級到4級文檔都需要有。

企業在做隱私合規建設的時候，建議可以分三步走：

第一步是把用戶感知層面上相關的功能盡快上線，比如法務可以根據合同跟隱私條款，修改相應的內容，也可以出具隱私合規白皮書等;

第二步做好後臺能力的建設，後臺能力建設主要是分三塊，第一塊就是要建立一個類似於隱私控製中心，承載個人數據處理的平臺;

第三步是盡量要實現線上化，把這些用戶全力響應流程搬到線上，因為從用戶體驗來說，或者說從效率的角度來講，線上化是最便捷和高效的。

近兩年，因為國際形勢的變化，國內外對於中國企業出海的數據跨境監管變得特別的嚴。比如說前一陣子澳大利亞媒體曝出來對Tik Tok的數據跨境監管，還有之前日本的LINE公司，發現有中國員工訪問到存儲在日本的LINE用戶信息，媒體曝出來之後，LINE的高層是直接出面道歉的，後來公司做了整改，就是現在中國是不能訪問日本數據的。

這是數據跨境相關的一些監管事件，希望中國企業能夠多重視這方面，該有的流程還是要有。從技術的角度出發，我們是能夠去建立一個數據跨境監控機製的，比如大企業可以對所有的表、數據服務或者是copy的流轉等數據記錄下來，形成一個數據跨境地圖的項目，監管或對外部展示數據跨境的監控。