一、全球数据安全及隐私合规领域的监管形势分析
(一)各国纷纷加速在数据安全与隐私保护领域的立法进程
随着数字经济的高速发展,各国对于数据安全问题的重视程度不断提高。受2018年开始实施的欧盟《通用数据保护条例》影响,个人隐私的保护已引起各国政府和民众的高度重视。近几年,众多国家通过颁布政策法规、加强监督执法,提升数据安全的治理能力,应对日益严峻的数据安全威胁。截至2018年底,全球已有近120个国家和独立的司法管辖区采用了全面的数据保护或隐私法律来保护个人数据,另有近40个国家和司法管辖区存在有待批准的此类法案或倡议。
以欧盟为例,《通用数据保护条例》(GDPR)自2018年5月在欧盟成员国内正式生效实施,该条例的影响已实际拓展到欧盟境外的企业。GDPR采用了类似于此前美国长臂管辖的法律模式,将执法边界延伸到了所有收集欧盟公民信息的企业,对互联网产业相对发达的中美两国影响尤甚,已成为其他国家和地区在个人数据保护立法时所参考的对象。此后,欧盟又在数据治理领域通过了《非个人数据自由流动条例》,致力于推动非个人数据在欧盟境内的自由流动。
聚焦国内,自《中华人民共和国网络安全法》于2017年6月开始实施以来,我国又相继于2019年发布了《个人信息出境安全评估办法(征求意见稿)》、《数据安全管理办法(征求意见稿)》,于2020年发布了《个人信息安全规范》,于2021年发布了《中华人民共和国数据安全法》等数据安全及隐私保护领域的专门性立法,在提升数据安全治理水平的同时,进一步与国际监管形势接轨。
(二)全球范围内对数据安全与隐私保护的监管力度持续加大
据统计,2020年全球公开范围内报告了3932起安全泄露事件,泄露的记录数量达到370亿条,远高于2019年的151亿条 。数据安全问题俨然成为了困扰各国政府、企业和个人用户的棘手问题。为应对这一严峻形势,各国政府在完善数据安全立法的同时,也加大了在相关领域的监督管理和司法执行力度。具体来看:
一方面,部分国家建立健全了数据安全保护机构。通过完善数据安全监管执法机构设置,提升执法效率,加强数据安全保护治理。美国商务部成立了提供联邦数据服务的咨询委员会,以加强对联邦数据隐私的保护;德国成立国家网络安全机构,负责发起网络安全创新项目,研究打击网络威胁,以加强德国的“数据主权”;巴西总统签署法令批准建立国家个人数据保护局,旨在制定相关规则,推进企业开展数据安全风险评估,并促进数据保护的国际合作;韩国成立个人信息保护委员会,负责个人信息保护与监管执法工作。
另一方面,各国的监管机构认识到在互联网的运营模式下,仅依靠企业自律和“柔性”监管,已无法有效落实对个人信息安全的保障。于是各国的监管机构纷纷以数据安全法律为依据,加大了对企业违规行为的惩处力度。2018年10月,Facebook因“剑桥分析”公司泄露个人信息丑闻,受到美国联邦贸易委员会 50亿美元的罚款。这相当于Facebook年收入的9%,远高于欧洲《通用数据保护条例》规定的罚款金额不超过企业全球年营业收入4%的上限。2019年1月,谷歌由于未向Android用户提供足够清晰透明的信息而违反数据隐私保护相关规定,被欧盟处以5000万欧元的罚款。中国企业在“走出去”的过程中也未能独善其身,同样因触犯相关的合规风险收到巨额罚单。2017年2月,乐视旗下子公司、智能电视品牌Vizio受到美国联邦贸易委员会和新泽西州的联合指控,称其在用户不知情的情况下收集电视用户观看数据,并与第三方共享。最终,Vizio同意删除2016年3月1日前收集的所有数据,按照规定执行数据隐私计划,且此后每两年接受一次评估审核,并赔偿220万美元。
(三)数据的跨域流动与本地化存储的要求并存
跨境数据流动是数字经济和数字贸易的基础。从全球范围来看,各国政府整体倾向于通过宏观政策助推数据的跨境流动,促进本国数字经济与数字贸易的发展:
一是美、日等国积极推动跨境数据流动规则的制定,旨在扮演规则的决策者和引领者。2019年9月,美日签署的贸易协定中提到,“确保各领域数据无障碍跨境传输”以及“禁止对金融业在内的机构提出数据本地化要求”。
二是跨境数据流动规则的制定倾向于向数据安全化、领域全面化、内容谨慎化和合作全球化方向发展。出于对国民信息隐私安全的审慎考量,新加坡、欧盟等地在数据跨境流动条例中制定了合作国家的选择标准,对合作国家的数据保护水平提出了一定要求。此外,日本、美国、欧盟、英国等诸多国家之间签订多个双边、多边协定,协同合作、共同推动数据跨境流动。
三是多边国际组织积极参与到跨境数据流动规则的研究与探索中。APEC部分成员国提出建立跨境隐私保护规则(CBPR)体系,使各参与经济体之间在尊重隐私基础上实现数据跨境流动。联合国、OECD、G20等国际组织从国际视角出发,通过调研报告、发展指南等形式对数据跨境流动的全球发展提供发展框架、思路和建议。
在数据要素全球流通的大环境下,出于保护本国数据、维护国家安全及促进国家发展的目的,部分国家及区域也在推动关键领域数据存储的“本地化”:
一是各国不断加深对数据价值的认可程度,数据本地化理念受到越来越多国家的关注和重视。美国、俄罗斯、澳大利亚、中国和印度等国早已在数据本国化存储方面提出要求。印度在2018年发布的《印度电子商务国家政策框架草案》中表明印度将会逐步推进数据本地化政策,增强本国数据存储能力,实现数据价值的本地化。我国《网络安全法》规定,关键信息基础设施的运营者在我国境内收集和产生的个人信息和数据应当在境内存储。因业务需要,确需向境外提供的,应进行安全评估。
二是部分国家收紧了对跨国科技企业向其所在国传输用户数据的监管。如印度政府在数字支付、电子商务等关键领域推进个人数据本地化立法。美国在2019年出台的《外国投资风险审查现代化法》中明确将涉及收集、存储美国公民敏感个人数据的企业纳入重点审查范围,严格限制外国企业收集美国公民数据。
二、国有企业出海过程中面临的数据安全及隐私合规风险分析
风险1:企业对于东道国数据安全与隐私保护监管要求的理解和把握不足
世界范围内,各国政府对于数据安全与隐私保护的监管呈现收紧态势。由于部分国家海外审查标准不明确、程序透明度不足、政府享有广泛的裁量权等原因,企业容易因信息不对称而陷入合规“盲区”,引致合规风险。
一方面,数据安全领域的“长臂管辖权”增加了“出海”企业把握海外法律法规适用范围的难度。比如美国、欧盟、印度等国颁布的数据保护法律就具有域外效力,即适用范围不仅包括在当地设立实体的企业,也包括设立在境外但向当地可识别数据主体提供服务的企业。部分企业对于适用范围把握不准确,会误以为未在当地设立法律实体,便不受相关法律条款约束。
另一方面,“出海”企业对不同国家间“数据安全和隐私合规”的监管差异认知不到位,对相关法律体系的理解不准确,会增加企业的合规风险。欧盟的《通用数据保护条例》发布较早,内容较为完善,在发布后便成为各国制定数据安全相关法律法规的参考蓝本。尽管众多国家为与国际数据合规实践接轨,在顶层架构和基本原则上积极向《通用数据保护条例》靠近,但在授权同意机制、个人数据分类、数据主体权利请求响应等领域,各国法规的“定制化”特点较为突出。“出海”企业对每个业务驻在国的相关法律均需进行细致研读,稍有不慎便会触及合规“红线”。如2019年2月,字节跳动旗下的TikTok便因违反美国《儿童在线隐私保护法案》而支付了570万美元的和解金 。
风险2:数据跨境流通的规则呈现复杂化趋势,增加了企业选择海外业务节点的难度
随着数据要素作为基础性生产要素的重要性不断提升,各国对于数据安全的审查力度也在不断加强。美国、俄罗斯、德国等国在依托立法明确数据本地化存储要求的同时,也对数据的跨境流动设立了极高的门槛。各国在何种类型的数据禁止出境,何种类型的数据在满足约束条件可出境的同时仍需本地化存储等问题上,存在着较大差异,极大地增加了“出海”企业海外业务节点部署的难度。以美、欧、日三个国家和地区为例:
美国的数据跨境流动与限制政策以维护自身的数字话语权和深化“长臂管辖”为核心。2016年至今,美国严格限制涉及重大科学技术及基础领域的技术数据和敏感数据的跨境转移,并通过“长臂管辖权”和庞大的情报网络确保法规的施行。2018年,美国议会通过《云法案》,打破了以往的“服务器标准”,实行“数据控制者”标准,允许政府跨境调取数据。
欧盟在欧盟内外部推行双重标准,“内部松、外部严”是其数据规制体系的重要特点。欧盟在内部成员国间积极推行数据的跨境自由流动,以构筑单一的数字市场为目标。GDPR在“欧洲数据自由流动倡议”框架下消除了非个人数据在储存和处理方面的地域限制,推动欧盟范围的数据资源自由流动。与之相对,对于欧盟境内数据向欧盟境外传输却施行了十分严格的管控,需要达成“充分性协议”,位于数据跨境自由流动白名单中的国家可获得充分性保护。
日本跨境数据规制的灵活性较强,整体来看跨境数据流动的限制性条件较少。目前,在数据跨域流通方面,日本只对涉及国家安全的敏感或关键数据进行监管;在数据本地化方面,日本政府要求涉及国家安全的数据必须实现本地化储存,但对其他数据不做额外限制;在数据隐私保护方面,2017年日本设立了“个人信息保护委员会”作为独立的第三方监管机构,制定向境外传输数据的规则和指南。
风险3:企业海外业务的数据安全及合规管控未成体系化,使业务发展受掣肘
整体来看,中资企业在“出海”过程中虽然关注了数据安全和隐私保护领域的合规管控,但多从单一的技术角度切入,未能构建涵盖运营管理、技术支撑、法律合规等的多层次、全方位的数据安全及合规管理体系,无法充分应对海外经营投资过程中关于数据分类分级、内部权限管控、安全漏洞防控等的监管需求。2014年7月,小米因擅自将用户个人资料上传至位于中国大陆的服务器,被新加坡和台湾地区的消费者投诉,受到当地监管部门的调查。
三、应对策略分析
策略1:构建合理、完善的数据安全和隐私合规管理体系
以《中华人民共和国数据安全法》和《企业境外经营合规管理指引》为参考和依据,结合企业自身的经营管理实际,搭建适合企业自身的数据安全和隐私合规管理体系。
制度层面,明确对应领域的合规管理内容,拟定涉及数据安全的协议和条款,并随着业务变化不断优化调整。此外,推进数据安全和隐私合规管理的制度化、流程化,着力健全合规管理框架,制定数据安全领域的合规管理制度及运行机制,培育员工关注数据安全与隐私保护的合规文化。
业务层面,每个境外业务单元需要充分了解业务驻在国的数据安全合规要求,向合规风险职能部门报备,在业务开展过程中平衡数据安全与业务发展需求,构建业务数据的各项配套保障措施。
IT支撑层面,企业需要系统梳理复杂系统架构和海量数据现状下的数据分布和流程运营情况。一是明确并标识具体的数据保护对象;二是推进数据加密等IT解决方案;三是在支撑业务、实现数据保护、保障系统性能间寻找最佳平衡点。
策略2:及时跟踪海外监管动态的变化,加强对外规深入研判
企业需要建立数据安全和隐私合规风险的监测与处置机制:
一是搭建全球数据合规监管库,依托技术手段监测、检索全球数据合规动态,并在获取信息后在最短时间内完成企业内部的信息解读及数据分发。
二是组建海外数据合规团队或派驻专职代表,及时跟进业务驻在国的立法、司法动态和行业监管事件,与驻在国监管机构保持良性沟通,深入了解、剖析其监管思路。
三是聘请专业的第三方机构对业务驻在国或是企业投资并购的目标企业开展尽职调查。重点关注涉及国家安全、敏感信息、用户隐私合规审查的相关风险,做好管理预案。
策略3:妥善、审慎地进行海外业务节点的选择和部署
企业在进行海外业务节点选择时需要妥善选择、审慎布局:
一是要重点关注业务驻在国当地是否有数据的本地化存储要求。企业在现行的数据安全与隐私合规体系正常运行的情况下,能否在目标市场实现经营合规,以实现降本及合规的双赢。此外,企业还应考虑业务驻在国当地是否具备税收优惠、交通便利、气候适宜、靠近国际监管机构等利好因素。
二是企业要考虑在海外的数据存储方式及供应商的选择。一般企业的数据存储方式有两种:租用服务器或是服务器托管,前者在操作上更加方便快捷,后者的安全性能则更强。企业在确定供应商时应按照当地数据监管要求制定供应商合规准入清单,保证引入的供应商可信、安全、合规。