数据跨境安全合规趋势、评估过程、申报及结果分析

数据安全是数字经济发展的底板，明确数据跨境安全合规措施，是保护个人信息、防范化解 企业数据跨境安全风险、促进数字经济健康发展的重要保障。

1.数据跨境传输—合规趋势与解读

全球数据安全合规趋势与解读

随着互联网迅速发展带来的数据增长，各国更加关注对数据的合法利用。 自欧盟推出《一般数据保护条例》（GDPR）以来，已有100多个国家或地 区颁布或提出了数据保护或隐私保护法。目前，全球数据跨境流动和数据 监管未形成较为统一框架，在各国国情、国家安全、隐私保护、产业能力等 多元因素的复杂影响下，跨境数据流动监管制度较为差异化。 由于各国家和地区间立法驱动因素、国情和地区特性不同，其立法侧重点 及发展趋势也有所差异，以欧盟和亚太经济合作组织为代表的地区性立法 以保护个人数据为出发点，推动地区间数据流通，同时在监管和执法程序 上更加标准化和透明化；以美国为代表的国家在合规立法中更看重数据自 由流动带来的经济效益，在奉行整体宽松政策的同时，为特殊行业提供不 同的法律依据，例如金融、医疗、电子通信、基础设施等行业；以俄罗斯为 代表的国家在合规立法方面受政治因素影响较大，更关注以安全为核心的 国内治理，对数据跨境流动施行严格管控，形成“内外双严”的数据安全 发展态势。

中国数据安全合规趋势与解读

在全球的立法潮流中，中国也在过去的几年中加快了对于数据保护的各类立法。2016年11月7日通过的《中华人 民共和国网络安全法》是我国在网络空间治理领域的第一部基本大法，首次在法律上对数据跨境流动进行了阐 述，第37条规定：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据 应当在境内存储，因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行 安全评估；法律、行政法规另有规定的，依照其规定。”此条款也被认为是对于中国数据跨境流动规则的确立，即 “本地存储，出境评估”。 2021年，我国又接连颁布了《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》两部法律，进一 步补充和完善了数据流动规则。2022年9月1日，由国家互联网信息办公室（后简称“网信办”）发布的《数据出境 安全评估办法》（后简称《办法》）正式实施，将三部法律的原则要求进行了明确，界定了数据出境的适用范围， 并对安全评估和申报工作给出了详细的实施程序。2024年3月22日，网信办发布《促进和规范数据跨境流动规 定》（后简称《新规》），对现有数据跨境制度的实施和衔接作出了进一步明确。

在《办法》施行一年有余之计，许多头部企业已经积极开展安全评估并向监管机构递交了数据出境申报材料，涉 及互联网、零售、医药、金融、汽车、民航、制造等诸多行业。在已经收到监管机构评估结果的案例中，某些企业 的部分出境场景或部分数据项因缺乏充分的出境必要性，未能获批，对于这部分数据及系统进行本地化将成为 下一阶段整改工作的重中之重。 值得注意的是，为进一步规范和促进数据依法有序自由流动，网信办于2024年3月22日发布的《新规》从不同层 面释放了有利于数据跨境流动的积极信号，例如：明确了可豁免数据出境合规监管的场景、提高了数据出境安全 评估申报和标准合同备案的适用门槛、提出了在自由贸易试验区施行出境数据“负面清单”制度的规则，等等。

2.数据跨境传输—评估整体过程

目前，我国数据出境管理的三种机制：数据出境安全评估、个人信息保护认证和个人信息出境标准合同，均已进 入落地实施阶段。其中，本白皮书着重关注的数据出境安全评估的路径程序可以归类为六个阶段，分别为差距分 析、整改、自评估、申报、评估、以及持续合规。

阶段一 ：差距分析。通过访谈相关人员了解公司数据流转，审阅公司制度、 授权同意文件、隐私政策、合同等文件，并对公司业务流 程、相关系统进行梳理。以及，结合相关经验从而设计 有效的检查点和控制点，发现差距并进行风险评估。

阶段二： 整改。根据《新规》和《办法》要求识别自身是否适用数据出 境安全评估，并完成自评估等合规工作。

阶段三 ：自评估。数据出境安全评估工作本着属地申报原则，由数据处理 者向其所在地省级网信办提交申报材料。各地网信办在 收到申报材料后，在5个工作日内完成申报材料的完备性 查验（即形式审查）。国家网信办自收到省级网信办提 交的申报材料之日起7个工作日内，确定是否受理并书面 通知数据处理者。国家网信办受理后，将统一开展数据 出境安全评估工作，开展实质审查并出具结论，完成数 据出境安全评估。

阶段四： 申报。以差距分析结果为基础，法规要求为导向、对公司风险 策略及成本、业界趋势等提出合理的整改建议。

阶段五： 评估。完成自评估 等合规工作之 后，数 据 运营者 依照《新 规》和《办法》在数据出境前做好风险自评后，并向相 关部门提交相关材料。

阶段六 ：持续合规。在通过安全评估后，企业仍需要对数据出境进行持续的 评估监管。

3.数据跨境传输—申报解读

申报门槛

所有要向境外提供在我国境内（不包括港澳台地 区）收 集与产生的重要数据以 及个人信息的企业 与网 络运营者 都 必须 按 照《新 规 》和《 办法 》要 求，进行安全评估。 具体来说，企业开展数据出境安全评估工作的第 一步是准确识别数据出境场景，也是至关重要的 步骤。其次，在明确自身数据出境场景的情况下， 企业需要进一步评估出境场景是否达到数据出境 安全评估的申报门槛。《新规》对于哪些情况需要 向网信部门申报评估给出了一些量化标准： 1）自当年1月1日起累计向境外提供100万人以上个 人信息（不含敏感个人信息），或 2）自当年1月1日起累计向境外提供1万人以上敏感 个人信息。

申报重点

《办法》明确要求所有数据处理者需要在向境外提 供数据之前开展数据风险的自评估，因此风险自评 估成为了一项法律要求。该工作需要企业全面筛查 数据出境的场景和情形，并深入评估数据出境的风 险。关于其风险的评估将围绕数据处理者和境外接 收方两个方面进行展开：

安全技术能力要求

在各项评估项中，数据全生命周期安全防护体系尤为重要，企业应考虑网络安全防护能力、监控异常能力、保障 数据跨境日志的完整性、保存数据跨境业务系统日志、建立数据全生命周期防护机制和应急处置能力。

4.数据跨境传输—评估结果分析

在国内的数据跨境传输的监管逐步趋严，相关法规和指南密集出台的大背景下，数据跨境传输的申报和备案工 作也在进行有序地开展。也随着相关部门逐步下发决定，一些企业的某些数据会面临不被准予出境的情况。

数据本地化趋势概览

由于某些数据面临禁止出境，数据本地化也以及逐渐成为不可绕开的话题。如果把数据出境安全评估比作一场 竞赛的上半场，那本地化就是这场竞赛的下半场，企业在下半场更需打起精神，准备好充足的资源，迎接一场 “持久战”的考验。 数据本地化是一项复杂的系统工程，它以数据为核心，以系统为载体，是对企业 IT 治理和运营能力的一次考验。 对于大部分跨国企业而言，经典的 IT 管理模式是高度集中化的，由集团总部在境外统一提供 IT 基础设施服务， 并统一托管主要应用系统，供不同国家的业务团队共享使用。这种模式从运营效率和成本节约的角度符合跨国 企业的利益，但却不可避免的造成了数据的高度集中以及从中国境内向境外集团总部的单向流动。而本地化势 必对这一既有模式造成颠覆，并且不同程度的本地化对业务的影响程度也不尽相同。

尤其考虑到一些跨国企业在业务上须与境外总部保持必要的连通性和联动性，并也有着较为复杂的汇报机制， 本地化的进程会对此类企业现有的业务流程和人员组织架构产生一定影响。公司不仅要考虑如何通过一些系统 及业务流程方面的快速整改以满足合规要求，也要从长远的角度考虑如何构建一个符合本地化要求的本地业务 流程并配备或调整组织架构以实现业务目标。

数据本地化路径选择和常见场景

尽管数据本地化在概念层面，是将数据的存储位置和数据处理的过程从某国家或地区转移到另一物理位置，但 落实到具体的应用系统，其技术选择和实现路径则五花八门。目标系统的本地化方案可以被归纳为几种“原型方 案”，以便进行分组讨论，降低复杂程度和沟通成本；从成本由低至高排序可以简单分为维持现状，流程变更， 本地数据留存，系统迁移到成本最高的境内系统重建。不同的方案所对应的实施成本和剩余风险需要在做决策 时予以充分考虑。 基于以上的维度，以企业内部两类最常见的应用场景为例，对其客户关系管理场景以及人力资源管理场景在本 地化过程中需考虑的重点事项进行深入讨论分析：

（一）客户关系管理场景 在本地化过程中，大量的客户个人信息甚至敏感个人信息被收集和处理，因此，该场景中较为典型的客户关系管 理系统（Customer Relationship Management, CRM）也往往成为企业内部存储个人信息数量最多的系统，自 然也是跨境申报的主要系统，此类系统的特点包括： • 可收集、关联和分析所有相关客户数据，包括联系人信息、与企业销售代表的互动信息、历史购买记录、服务请 求、资产和报价/提议等。 • 企业销售人员可访问这些数据，并了解触点的最新动态，并据此创建完整的客户档案，进而建立牢固的客户关系。

（二）人力资源管理场景 作为企业管理的一个通用场景，员工个人信息的出境也是广大跨国企业无法绕过的问题。在已获得批复的跨境 申报案例中，监管机构对于员工个人信息的出境采取了相对包容的态度，但对于应聘者的个人信息以及员工的部 分敏感个人信息采取了更严格的立场。对于企业而言，需考虑对该场景中现有较为典型的人力资源管理系统 (Human Resource Management system, HRMS)进行必要的改造，以满足监管要求，此类系统的特点包括： • 涵盖人事管理、能力素质模型、绩效管理、考勤管理、薪酬管理、招聘管理、培训管理、查询报表等功能的一体 化整合应用系统，也是企业内部处理员工个人信息的主要系统。