普华永道网络安全和隐私服务中国内地主管合伙人李睿:数据跨境合

　　5月11日，普华永道联合奇安信发布《数据跨境合规白皮书》显示，在全球化背景下，企业数据跨境传输可能面临法律合规和监管风险、网络安全风险、操作风险、业务连续性风险等，并建议从几方面入手来应对：梳理数据跨境场景，掌握跨境整体情况、加强数据安全整体防护能力、建立数据安全管理的组织和资源保障体系。实施持续的合规监测、跟踪与改进。

　　普华永道全球跨境服务中国主管合伙人黄耀和表示：“随着中国企业面向全球的业务拓展以及跨国企业在中国业务的深入，业务出海、数据出境以及数据回流等刚性需求不断增长，数据跨境流动已成为社会创新经济增长的重要引擎。目前全球数据跨境合规问题仍处于探索阶段，还需要进一步的深入研究与探讨。”

　　普华永道网络安全和隐私服务中国内地主管合伙人李睿表示：“数据跨境合规既是数字企业应当履行的社会责任，也是打造企业核心竞争力、开拓海外市场的重要保障。随着《网络安全法》、《数据安全法》、《个人信息保护法》的相继落地实施，我国网络安全与数据保护领域基本法律框架已形成。我们认为未来数据法规整改和内容细化、对数据进行分级分类、分行业管理将成为主要趋势。”

　　白皮书中对一些重点行业的数据出境场景进行了解析，识别具备行业特点的出境合规风险并提出了应对建议。从数据跨境的典型行业细分来看，金融行业中主要存在外部数据跨境场景和数据公开出境两大类场景。对于外部数据跨境场景，建议加强与外部组织的合同约定，明确双方跨境数据安全责任，通过技术手段进行跨境数据安全管控，清晰掌握业务数据、重要数据、个人信息等敏感数据跨境流动详情。对于数据公开出境场景，建议完善数据公开安全管控，通过数据安全治理识别存在数据跨境的人、业务、数据，建立数据跨境流动保障机制和审查机制，对出境数据、途径、行为进行实时检测和管控。金融行业数据跨境合规的关键应对举措主要包括：从总体上完善内部的数据合规体系、加强出境数据安全性管控和跨境数据流转监控、制定数据跨境安全事件应急预案等。

　　针对智能硬件领域，白皮书以中国企业向欧洲出海为前提，介绍了企业主要面临在欧洲市场向中国总部进行数据跨境传输的风险以及GDPR合规的挑战。基于典型业务场景的数据流转过程与全球数据跨境是智能硬件行业中存在的两大典型跨境场景。企业自我风险评估、根据GDPR的相关规定任命数据保护专员（DPO）、基于不同产品条线及业务场景，建立从产品前端到IT系统架构的风险管理体系以及新产品的GDPR合规管理等是智能硬件行业应对数据跨境合规的主要关键举措。

　　对于基于车联网行业的数据跨境，白皮书以海外企业在中国运营为前提，阐释了汽车企业面临的数据跨境风险以及中国网络安全、个人信息保护及汽车行业合规的挑战。随着车联网“人、车、平台”的建设，车联网行业可分为移动终端、车机端和车联网平台（TSP）三个场景，其中车联网平台（TSP）的数据出境场景尤其复杂。结合车联网行业的监管要求和业务特点，白皮书建议企业应从强化风险应对能力、合规运营能力和产品合规能力三个维度出发，建立健全风险管理的制度设计、组织建设、机制运转和产品设计，从而全面提升企业风险承受能力。

　　在企业内部管理的数据跨境合规方面，白皮书指出企业需关注数据来源的合法性，需对内部的数据安全进行管理，制定覆盖全数据生命周期的安全管理制度，以及企业数据的使用与处理应当采取合法、正当的方式。

　　针对以上风险和挑战，普华永道网络安全和隐私服务中国内地主管合伙人李睿建议：第一，企业要以适用法规为指导、行业敏感数据和个人信息为基础，盘点数据资产；结合自身业务确定数据统计口径和标准；梳理数据出境具体场景。第二，根据梳理情况确认数据出境适用的合规路径，尽快制定数据出境合规方案并组建团队或委托第三方展开数据合规工作。第三，建立企业数据出境管理制度和常态化合规流程，做到定人、定岗、定责。第四，判断数据出境安全合规的风险和紧迫性，制定有针对性的整改方案，并按规定时间（如有）完成整改。第五，对于在限期内难以完成整改的数据出境业务，应当评估不同执行方案的可行性，避免合规风险对业务连续性造成影响。最后，企业应积极与监管部门保持沟通，持续关注中国和国际的相关立法，建立整合的数据合规体系和动态合规机制，从而实现企业在不同地域的数据跨境合规流动。

　　普华永道中国企业融资北区主管合伙人陈志坚表示：“无论是对于在中国开展业务的跨国企业、还是即将或已经开始全球化的中国企业，都建议应建立一套专门的应对管理体系，以在开展跨境业务时能更好地履行数据合规义务，规避数据流动风险。例如制定跨境数据安全合规准则及基线、建立数据出境常态化风险监控体系、加强对数据接收方的审查与监督等。