|
|
在国内化配景的大趋向下,跟着企业出海业务的减少,数据跨境流动日趋频繁,企业关于处置入境数据的需要正在疾速攀升。对跨境数据的监管不妥容易给国度平安、公共利益和集体权利带来危险乃至侵害,因此世界各国正在不停推动和完美各种跨境数据监管措施。数据入境合规是企业出海必需面对的首要问题,那末在监管趋严的大配景下如何确保企业数据合规合法地入境?9月1日起片面施行的《数据入境平安评价方法》里详细提出了哪些法律要求?针对入境数据,企业该提前做好哪些筹备任务?
作为陪伴企业家一同生长的新经济媒体,36氪发动并上线了CEO锦囊系列流动,以直播方式,约请守业最火线的佳宾们分享他们是如何应答变动的。
第13期「CEO锦囊」聚焦企业主们十分关注的跨境数据平安与合规问题,本期直播由36氪营销产品经营部总监 余雯君掌管,【北京师范大学】互联网开展钻研院院长助理&博导、【中国互联网协会钻研核心】副主任 吴沈括、【德恒律师事务所】科技专委会担任人 王一楠以及【数风科技】开创人张帅作为连麦佳宾就《新规降临,企业出海如何做好跨境数据平安与合规?》话题展开了探讨。
第13期CEO锦囊中,佳宾们回答了下列问题:
Q1:《数据平安法》出台的配景是甚么?
Q2:《数据平安法》相较于其余国度的条文有何特殊性?
Q3:如何了解数据存在“软弱性”?
Q4:如何了解数据入境的”境”?如何判别企业的业务行动是不是属于“数据入境”?
Q5:《数据入境平安评价方法》9月1日起开始施行,哪些企业需求进行评价申报?
Q6:应申报而未申报,企业会见临怎么样的结果?
Q7:在数据入境平安评价中,企业该如何自评?
Q8:企业申报数据入境平安评价的后果有哪几类?
Q9:企业实际业务运转中发生的入境数据,应该存储在境内仍是境外?
Q10:在详细的业务场景下,若企业要发展“数据入境危险自评价”,详细的申报平安评价划分规范是甚么?
Q十一:从技术的角度看,企业入境数据维护最单薄的环节在哪些方面?
Q十二:如何高效力地做好企业入境数据平安与合规?
Q13:面对市面上泛滥的数据入境平安自评价解决计划,企业主该用甚么样的规范去选择“适合”的计划?
Q14:若企业拟赴海内上市,需求如何申报网络平安审查?申报中需求留意哪些问题?
Q15:《数据平安法》颁布之后,将来数据问题的开展趋向如何?
Q16:对于数据入境问题,有甚么对出海企业的倡议?
Q1:《数据平安法》出台的配景是甚么?【北京师范大学】互联网开展钻研院 院长助理&博导 吴沈括
数据平安问题由来已久,《数据平安法》出台的配景能够分为两个阶段:
《数据平安法》出台以前,人们关于数据平安的了解有多种角度,包罗技术角度、经济角度以及社会角度。在此过程当中,业内对《数据平安法》更可能是从数据平安技术层面的斟酌,特别是信息平安角度。《数据平安法》出台之后,数据平安的概念有了质的奔腾。明天法律层面所讲的数据平安是国度平安层面或者安身于国度平安的数据办理要求,这是了解《数据平安法》的中心标的目的。在撑持立法的过程当中,咱们已经对世界规模内一切的与数据平安相干的立法标准做了梳理。咱们发现目前在世界规模内,针对数据平安专门的立法只要中国有;到当初为止,《数据平安法》仍然是世界上第一部对于数据平安的专门立法。另外,咱们也发现全世界规模内超过66个国度出台了和数据平安相干的条文或法律规定,但这些国度设计的角度与中国纷歧样,有平安审查、常识产权、出口控制以及制裁等多个角度。
Q2:《数据平安法》相较于其余国度的条文有何特殊性?【北京师范大学】互联网开展钻研院 院长助理&博导 吴沈括
《数据平安法》对标了世界规模内超过 66 个国度的五种以上的立法技能,因此咱们也发现《数据平安法》有两个特殊性:
从强度下去讲,中国立法是世界上最严格的。抛开热点事情不谈,在立法层面,《数据平安法》实际上曾经划定了8条行动红线,即违反相干法规之后可能发生法律责任的首要边界。从企业的角度而言,真正拥有覆灭性意义或拥有极强的威慑性意义的不是罚款,而是资历处分,好比撤消营业执照、终止营业执照许可等。《数据平安法》采用双罚制。一方面查究相干责任人的责任,另外一方面查究企业自身的责任。那末在这类状况之下,无论是行政责任层面仍是在中国特有的刑事责任层面都强化了数据平安守法的责任强度。Q3:如何了解数据存在“软弱性”?数据泄漏,不仅是源于内部歹意的泄漏,还有得多是源于技术固有的软弱性。
对于数据的“软弱性”有一个经典的故事:美国前太平洋舰队司令曾说世界上只要两种零碎,一种是曾经被攻破的零碎,另外一种是曾经被攻破,但你不知道它被攻破的零碎。
所以数字环境必定有它的“软弱性”,它不成防止地存在包罗数据泄漏在内的各种不测状况,就比如没有一个单位或企业可以彻底做到零碎无破绽。数字零碎、数字生态的“软弱性”是无奈防止的,只是咱们能够有事前的轨制支配机制设计、人员配置、措施配置来最大限制地升高缓和解可能带来的危害。
Q4:如何了解数据入境的”境”?如何判别企业的业务行动是不是属于“数据入境”?【北京师范大学】互联网开展钻研院 院长助理&博导 吴沈括
了解数据入境需求从多个档次斟酌,我从目前世界规模内的规定角度和目前监管的根本立场角度了解该问题。
从中国法的语词含意下去说,“境”是指中国疆域。需求特别留意的是中国大陆到港澳台地域的也视为入境。甚么叫“入境”?整体来看它是一个拜候规范,这外面需求留意入境问题这个概念实际上有一个变迁的进程。
该概念最后首先来自于欧洲,在欧洲概念中,入境实际上就是跨境传输问题,即发送端、接纳端这两个办事器分别处于两个国境以内。但是跟着数据方式的变动,特别是国内地缘政治的变动,各国对入境的概念愈来愈多地融入法律和技术之外的其余含意,包罗政治含意。因此要静态地对待入境问题,不要以为它是一个固定的概念,咱们也很难指望有一个固定不变的对于入境的机制。这也是为何咱们在相干的法律规定傍边,对入境实际上保存了一定的弹性。
在当下这个历史阶段,咱们所议论的入境既包罗物理意义上的传输,也包罗逻辑上的拜候问题,即信息的获得。
数据入境问题,首先波及到国度平安问题,这是一个首要的价值判别维度;其次数据入境问题又显著遭到国内情势的影响,是一个敏感的话题;最初当初人们将关注点次要集中在数据入境的正面,而波及到数据跨境,实际上包罗两种情景:一是数据门路;二是数据过境。
对于门路和过境的问题,这一点特别是在中国企业跨国协作中很首要,但企业外部可能除了高层级办理人员外,其余人员对数据跨境的全貌掌握不全,无论是单个的法务部仍是合规部其实都没有彻底掌握。另外在繁杂的商业生态中,企业也纷歧定可以留意到数据曾经入境了。
Q5:《数据入境平安评价方法》9月1日起开始施行,哪些企业需求进行评价申报?【德恒律师事务所】科技专委会担任人 王一楠
这个问题其实是对于平安评价合用的规模问题,对应《数据入境平安评价方法》中的第四条明白了四种该当申报数据入境平安评价的情景:
一是数据处置者向境外提供首要数据。
二是症结信息根底设施经营者和处置100万人以上集体信息的数据处置者向境外提供集体信息。
三是自上年1月1日起累计向境外提供10万人集体信息或者1万人敏感集体信息的数据处置者向境外提供集体信息。
四是国度网信部门规则的其余需求申报数据入境平安评价的情景。
针对这四种情景我进行解读:首先企业要先查看本人是不是向境外提供了数据;其次是企业需求查看本人向境外提供的数据类型,假如是首要数据天然就需求做平安评价。同时假如波及到集体信息则需求看是不是达到一定的门坎;最初是企业要关注详细入境的数据数量,也就是10万集体信息或者1万以上的敏感集体信息这两个门坎,要留意是自上一年度1月1日起累计。
Q6:应申报而未申报,企业会见临怎么样的结果?【德恒律师事务所】科技专委会担任人 王一楠
中国的数据平安维护的立法对比严格,但我想强调一点,在总体的数据合规法律要求的大条件下,数据入境是一个对比高危险的数据处置流动。因此《数据入境平安评价方法》明白数据处置者违反本方法规则的,要依照《网络平安法》、《数据平安法》、《集体信息维护法》等法律法规的规则处置;构成犯法的,依法查究刑事责任。落到实处的处分有开业整理、撤消营业执照、罚款等等。
此外值得留意的是,《方法》第66条标明:任何组织和集体若发现企业存在守法行动,能够向网信部门举报。在实际业务操作过程当中,我也遇到过竞争对手或到职员工向网信部门举报企业的状况。
Q7:在数据入境平安评价中,企业该如何自评?【德恒律师事务所】科技专委会担任人 王一楠
企业若是有本人专业且有教训的团队,包罗法务、技术人员能够提供撑持的话,我以为企业能够进行入境前的数据平安自查。并且我以为因为企业外部部门需求给内部的专业机构提供材料引见,所以不论有无内部的专业反对,企业外部的各部门都需求提前做一些筹备任务。另外,企业在进行自评时,我倡议要加深对法规的了解,根据监管部门的要求进行筹备。
Q8:企业申报数据入境平安评价的后果有哪几类?【德恒律师事务所】科技专委会担任人 王一楠
我以为企业申报数据入境平安评价的后果与全部申报进程的顺序无关,申报的顺序次要有下列几个节点:
首先提交省级网信部门,企业要登录零碎注册,提供材料,省级网信部门能够从资料的方式进行方式审查。
假如资料不全,省级网信部门会通知企业进行增补。
增补齐备后,省级网信部门会上报国度网信部门,国度网信部门会对资料进行本质审查,审查后再抉择是不是受理。
国度网信部门受理后,如若发现企业提供的资料中内容不全会要求进行增补,最初会出具一个评价后果。
这类评价后果个别为两种:一种是经过,这类状况标明企业的数据能够自在地活动;另外一种是未经过,这类状况监管部门会让企业请求复评,我也倡议企业能够驾驭复评的时机,同监管部门进行沟通,争夺在复评傍边经过。
Q9:企业实际业务运转中发生的入境数据,应该存储在境内仍是境外?【数风科技】开创人 张帅
在企业实际业务运转中发生的入境数据,有的企业是存储在境内,有的企业则可能存储在境外。《集体信息维护法》第四十条规则达到国度网信部门规则数量的集体信息处置者应将集体信息存储再境内,然而这个规则数量目前没有发布,因此这个环节没有强迫要求。
另外一种状况是企业的业务既能够在境外实现,也能够在境内实现,但他选择了境外的办事商、供给商,所以企业将数据存储在境外。这类状况在平安评价时评价数据入境的须要性上会显得单薄一些。针对这种企业,我倡议假如数据没有须要入境,仍是存储在境内会更好一些。
Q10:在详细的业务场景下,若企业要发展“数据入境危险自评价”,详细的申报平安评价划分规范是甚么?【数风科技】开创人 张帅
在详细的业务场景下,详细的申报平安评价划分形式有两种:
第一种是相反的数据入境是为了达到不同的业务目的,那末需求离开来申报。
第二种是根据数据的接纳形式来划分。假如数据接纳方是不同的接纳方,需求拆离开申报。然而这其中有得多繁杂的场景,好比有些数据处置者,他的境外接纳方散布十分扩散,这类状况下网信部门尚无发布相对于应的规定,但我以为将来也许会对扩散的接纳方做批量申报或“打包”申报。
Q十一:从技术的角度看,企业入境数据维护最单薄的环节在哪些方面?【数风科技】开创人 张帅
最单薄的环节,我以为次要在三个方面:
数据收集环节:在收集环节,会产生企业适度收集或未受权搜集集体信息的状况。
存储环节:数据应该存储在境内仍是境外的问题、入境数据链路应该如何设计的问题。
替换环节:在该环节傍边一定要划分分明网络界限,假如泛起拜候调用或下载的状况,一定要将权限设置成最小规模。
Q十二:如何高效力地做好企业入境数据平安与合规?【数风科技】开创人 张帅
企业做数据入境的危险自评价时,既能够自行发展也能够拜托第三方机构。
在企业外面发展自评价,咱们有一个准则是片面性准则,就是一定要掩盖到企业一切的与入境相干的部门及分支机构。这外面包孕法务部门、风控部门、平安部门、IT部门以及业务部门等,但在实际交流的过程当中,咱们发现了一个问题是企业里可能没有人能够将企业的数据全貌梳理分明。因此在做自评价的时分,咱们需求联结一切跟入境数据和入境业务相干的部门及机构一同做自评价。
Q13:面对市面上泛滥的数据入境平安自评价解决计划,企业主该用甚么样的规范去选择“适合”的计划?【数风科技】开创人 张帅
数据维护的措施一定要与它所面临的危险相婚配。好比企业每一年入境的数据就几条,但在数据的入境上无论是存储仍是链接,都是用了许多装备和设计。所以在选择“适合”的计划时,首先要评价企业的危险有多高,而这个危险更多的来自于入境后的传输危险、数据接纳方利用数据的危险。单纯从技术下去说,我以为只需求找一个与危险相婚配的计划便可,不必适度配置。
Q14:若企业拟赴海内上市,需求如何申报网络平安审查?申报中需求留意哪些问题?【德恒律师事务所】科技专委会担任人 王一楠
首先咱们需求厘清两个概念——网络平安审查和数据入境平安评价。
网络平安审查是要求掌握100万用户集体信息去国外上市的企业必需进行网络平安审查。而数据入境平安评价则企业向境外提供首要数据和一定门坎前提的集体信息,需求向网信部门事先提供申报。
网络平安审查要求网络平台经营者,即掌握100万用户集体信息的经营者向国外的证券监管机构提交上市请求以前,需求进行申报网络平安审查。详细如何申报企业需求关注三点资料:
提交申报书。
提交可能影响国度平安的剖析讲演。
提交推销协定或签署的合同或上市筹备的资料。
Q15:《数据平安法》颁布之后,将来数据问题的开展趋向如何?【北京师范大学】互联网开展钻研院 院长助理&博导 吴沈括
我以为将来还有三大趋向:
第一,数据监管将会成为企业越发喜爱用的伎俩。在数字环境傍边,因为数字零碎自身的软弱性使得没有任何一个企业能够包管本人设备的零碎100%平安,因此数据监管将会是一大趋向。
第二,将来企业会重视数据资源。对数据资源的看重使得将来对数据的注重再也不只是数据合规问题和数据平安问题。
第三,在数据问题越发扩张的状况下,数据问题会同数字经济、数字政府和数字社会的治理结合在一同,使得企业去面对数据合规问题时具有更宽广的思绪。好比ESG和数据合规问题,过来咱们可能并无把二者结合起来对待,但当初咱们需求留意二者的融会问题。
【德恒律师事务所】科技专委会担任人 王一楠
国度出台《数据入境平安评价法》或者其余法规的目的在于更好地均衡平安与危险之间、平安与开展之间的瓜葛,只要将平安任务做好,能力包管将来继续更好地开展。以集体信息为例,假如国度不进行监管,老黎民关于集体信息和隐衷的泄漏危险天怒人怨,那企业将来可能就不会有用户了。
跟着国内瓜葛的多变、国度数据监管的疾速开展,将来对于数据监管也会不停更新,一样相干法律法规也会持续完美。
Q16:对于数据入境问题,有甚么对出海企业的倡议?【北京师范大学】互联网开展钻研院 院长助理&博导 吴沈括
对于出海企业的数据平安入境,我从企业出海的痛点问题倒推出三点倡议:
数据。目前出海企业的痛点问题之一是企业数据资产不清,数据业务不明,在这点上需求冲破。
监管。企业跟监管的沟通不敷,对话途径很少,所以监管基线不明。
产业链。在出海场景、跨境场景傍边,中国企业的产业链很强,然而尚无到产业链的顶端,所以咱们的发言权其实不大。
从以上三个痛点问题去做基本性的解决是我想给出海企业的一些倡议。
【德恒律师事务所】科技专委会担任人 王一楠
关于出海的企业我有三点倡议:
倡议企业注重数据入境的问题。由于数据入境属于高危险的数据处置行动。那甚么是数据处置?次要包罗采集、存储、使用、加工、传输、提供、地下等。数据入境在国内情势风波幻化的明天,会遭到国外政策的影响,面临得多未知的危险,因此一定要注重。
摸清家底,明确本人的数据入境类型、范围和目的。
数据平安与合规是一个零碎工程,需求综合法律、技术、办理等多方面的才能。这不单单是法务部门、IT部门或合规部门某一个部门就可以独自实现的,需求多部门合作。
以上就是第13期CEO锦囊的精髓内容,第14期的主题是《穿梭新周期,探访中国互联网新标的目的》,咱们约请了【华为云】中国区互联网行业CMO刘丽丽、【魔珐科技】开创人兼CEO柴金祥以及【一点资讯】CEO金治一同聊聊中国互联网行业的新增长门路。
假如你是企业主且对CEO锦囊系列直播流动感兴致想参预互动,欢送扫码添加创变者俱乐部小助手微信进行交流。
扫码添加创变者俱乐部小助手
采访丨余雯君 作者丨刘婧琼 实习生令倩对本文亦有奉献 |
|
中级会员