数据已成为与土地、劳动力、资本、技术并列的生产要素,价值日益凸显,随着经济全球化和国际贸易的发展,数据跨境流动已成为数字经济发展的重要推动力。其中,数据出境对国家安全、社会公共利益、企业合法权益和个人隐私的威胁逐渐引起各方关注。为此,我国不断完善数据出境相关法律法规框架,对企业数据出境提出安全合规要求。本文从管理制度、组织架构、人员能力、技术工具等方面探讨企业如何建设数据出境安全合规能力,以满足相关监管要求,确保企业数据出境相关业务安全、合规、可持续,助力数字经济健康发展。
我国数据出境相关监管要求
2017年以来,国家陆续施行了《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》,明确了我国数据出境合规路径,为加强数据出境合规管理,促进数据跨境安全有序自由流动提供顶层法律依据。《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》等规章及配套的《数据出境安全评估申报指南(第二版)》和《个人信息出境标准合同备案指南(第二版)》则进一步明确数据出境具体要求,指导数据处理者落实合规要求和责任义务,严格规范数据出境活动。《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》的出台进一步便利了粤港澳大湾区内地和香港之间个人信息跨境安全有序流动。
企业数据出境安全合规能力建设
为满足相关法律法规关于数据出境的安全合规要求,企业可从管理制度、组织架构、人员能力、技术工具等方面建设全面的数据出境安全合规能力。
一是数据出境安全合规管理制度建设。
开展数据出境的企业需建立网络安全、数据安全、个人信息保护等方面管理制度,并在此基础上,针对性提出数据出境管理要求,使得数据出境安全合规管理在企业内部做到有据可依,便于指导企业落实相关要求、开展审计、满足监管要求等。数据出境管理要求需包括定期梳理出境数据中包含的数据类型、数据量,明确出境数据处理活动的目的、方式、范围须满足正当性、合法性和必要性,根据相关法律法规要求选择合适的数据出境合规路径,根据企业实际情况建立数据出境安全合规管理组织架构体系、提升相关工作人员数据出境安全合规能力、部署数据出境安全合规技术工具等。需要注意的是,数据出境是持续性的活动,相关管理制度中需明确出境数据持续监测要求,根据数据出境实际情况,及时申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证或重新申报评估、重新开展个人信息保护影响评估,补充或者重新订立标准合同等。
数据出境安全合规管理制度的建设需要分层设计,一般可分为四级制度文件,同一级制度文件互为补充、逻辑清晰,需覆盖数据出境安全合规管理各个方面;不同级制度文件颗粒度不同,下一级文件是对上一级制度文件的细化和落实。通常情况下,一级文件体现数据出境安全合规总体管理要求,包含方针、策略、基本原则等。二级文件是落实总体管理要求的制度和办法,通常包含出境数据全生命周期和通用性的安全合规管理要求。三级文件为落实出境数据全生命周期和通用性安全合规管理制度和办法的操作指南、规范、作业指导书及配套模板文件等。四级文件是具体落实数据出境安全合规管理制度过程中产生的相应计划、报告、日志文件和工作记录等。
二是数据出境安全合规组织架构建设。
开展数据出境活动的企业须根据相关法律法规和本企业管理制度实际,建立适应自身需求的数据出境安全合规组织架构,管理本企业数据出境活动,落实相关法律法规和管理制度要求。
数据出境安全合规组织架构的建设通常分层设计,根据职能分工,可分为决策层、管理层、执行层、监督层。企业在实际执行过程中,可在已有的网络安全、数据安全、个人信息保护组织架构基础上,赋予现有部门或团队数据出境安全合规工作职能。同时,数据出境安全合规管理通常涉及网络与数据安全部门、信息化建设与运维部门、业务部门、法务或合规部门、公共事务管理部门等多个部门,需要在设计组织架构时就做好多部门联合参与的统筹和协调工作。具体而言,决策层是数据出境安全合规管理工作的决策机构,通常由企业高层领导担任,决定企业数据出境相关业务的发展策略,统筹安全与发展。管理层是数据出境安全合规管理组织架构的第二层,落实决策层制定的策略,提出数据出境具体工作方案,平衡好业务发展和数据出境安全合规管理。执行层配合管理层,聚焦具体的数据出境业务场景,落实具体的业务流程和安全合规管理要求。监督层则定期监督审核管理层、执行层落实数据出境相关管理要求的情况,并向决策层汇报。
三是数据出境安全合规人员能力建设。
数据出境安全合规管理制度的落实和数据出境安全合规组织架构的建设,关键在“人”。开展数据出境活动的企业需根据本企业相关管理制度要求,定期或不定期组织数据出境安全合规培训或考核,使各岗位工作人员可以充分胜任本岗位工作。对于全体工作人员,可从数据出境安全合规意识、相关法律法规要求和企业管理制度等方面开展培训宣贯,使其具备基本的数据出境安全合规意识,工作中不踩红线、不越底线。对于数据出境安全合规组织架构中各岗位工作人员,可进一步从标准规范、技能培训、安全合规审计等方面开展培训及考核,使其具备与工作职责相匹配的工作能力。例如,决策层人员应具备制定企业的数据出境安全合规战略目标和任务,统筹、规划相关工作,对数据出境安全合规重大事项进行协调以及统筹决策等能力;管理层人员应具备组织制定数据出境安全合规管理策略、规划、制度和规范,控制数据出境安全合规风险等能力;执行层人员应具备数据出境事前、事中、事后安全合规风险监测和处置的安全技能;监督层人员应具备对数据出境安全合规制度执行、技术措施、风险及事件处置的有效性的审计能力。
四是数据出境安全合规技术工具建设。
“技管结合”可以进一步提升企业数据出境安全合规管理能力和效率。开展数据出境活动的企业可根据需要建立数据出境管理平台或部署数据出境监测工具,相关工具或平台需具备出境数据资产管理、接口API监测、数据脱敏、数据出境流转监控、数据出境安全审计、数据出境风险监测、出境数据全生命周期管理和安全合规管理等功能,实现数据出境安全合规可视化、可落地,风险预警等能力,以便能及时监测数据出境情况,发现和处理存在的安全隐患,根据出境数据情况及时调整数据出境安全评估或个人信息出境标准合同备案等合规手续,防止敏感数据泄露、避免触发不同国家、地区的数据跨境管理规定,保障业务安全。
企业数据跨境流动在促进全球数字经济发展的同时,也面临着数据安全、个人信息保护、监管合规等方面的挑战,企业须建立完善的数据出境安全合规能力,以满足我国数据出境相关监管要求,应对数据出境安全问题,保障业务更好开展,助力数字经济健康发展。同时,随着经济全球化的发展,我国出海企业越来越多,随之而来的是出海企业将数据从业务运营所在地出境到中国,这类企业也应关注业务运营所在国家和地区以及相关国际组织中的数据出境安全合规管理规定,建设数据出境安全合规能力,及时响应相关监管要求。
工业和信息化部电子第五研究所 杨学武
责任编辑:陈希琳