安永咨询合伙人施建俊：企业在数据跨境中的挑战和应对

2022年5月14日（周六）晚，上海赛博网络安全产业创新研究院联合安永(中国)企业咨询有限公司主办「数安周享会 · Cyber Talk」第四期直播活动。本期以“数据跨境场景下的流通与安全”为主题，重点探讨了随着全球数据流动趋势凸显、企业跨境业务开展，如何同时保障跨境数据的流通与安全合规？基于政策要求、监管趋势、行业最佳实践，企业如何就数据跨境典型场景开展数据安全合规工作？

施建俊指出，数据跨境不是一次性活动，而是要深入到企业日常的风险管理活动中，持续开展以确保企业合规的事项。基于数据跨境方面的咨询及实践经验，施建俊重点分享了在数据跨境场景中企业所面临的挑战、企业数据跨境管理关键控制措施以及如何建立持续的管控框架。

01

数据跨境管理问题

近年来，中国及国际上其他主要经济体针对数据跨境流动问题的监管都趋于严格。而数据跨境管理的本质是要保证数据在有序可控的情况下流通，而不是要把数据完全隔断。

因此，如何在数据跨境场景中保证数据流通的有序可控，是每个企业都要面临的一个挑战。

按照法律要求，每个向境外传输数据的企业都要关注数据跨境问题，尤其是以下几类企业，需要引起高度重视：

有在海外上市计划或已在海外上市的企业，特别是在美国上市的企业；

向境外提供个人信息的企业（尤其是提供大量个人信息的企业）；

涉及重要数据出境的企业（尤其是关乎国计民生行业的企业），如涉及地理、自然资源、基因、生物特征、宏观统计数据、网络信息系统缺陷、人群导航位置、大型设备目标和位置等数据；

关键信息基础设施运营者，如互联网平台、云计算平台、大数据平台、国防科工、大型装备、化工、食品药品科研生产企业等；

对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务提供者，如核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务。

02

企业数据跨境传输面临的主要挑战

企业在数据跨境传输过程中会面临很多困境，以下六方面问题相对突出：

1. 监管复杂性：对于企业来说，了解复杂的、动态发展的、相互影响的国际监管格局以及跨境数据管理规则是一项严峻的挑战。

不仅是中国，每个国家对数据跨境传输都有相关要求。有的国家要求出境之前要评估，有的国家要求出境之前在本国先要落地，且具体的要求还存在细微的差别。对于企业本身来说，由于全球的治理架构不同，数据所有权到底是归总公司统一管理还是由各地的分支机构掌握管辖权？目前，部分企业的治理架构可能本身就存在问题。

2. 第三方供应商管理问题：为符合全球数据传输和数据本地化的要求，企业需改进或重新制定对第三方供应商进行认证、审查和重新认证的管理流程。

在实际处理过程中，企业所委托的第三方可能存在“把其数据放在他国进行处理或者离岸处理”的情形，这也会触发出境场景，企业需要关注这方面的风险。

3．治理的困难性：对于企业来说，为隔离跨境数据传输风险，建设跨境数据治理框架、分配数据本地化所有权同样是一项不小的挑战。

4. 管理措施及时更新的问题：面对跨境数据传输和数据本地化在个人信息保护和技术流程方面的变化，企业及时地更新调整管理控制措施是一项艰难的挑战。

应用场景对技术平台相关管理流程影响较大。出境评估可能是针对某一时刻的场景，一但这些场景有所变化，企业是否能够联动的把相应的管理流程、系统架构、数据管控方式等进行同步处理？这对于企业（尤其是对大型公司）来说有很大的挑战。

5. 如何突破数据跨境传输技术障碍：对于企业来说，根据不同地区的监管要求、数据敏感度和数据使用情况，为数据传输、访问、同意监控、数据跟踪以及跨技术栈的存储等方面建立不同的技术控制措施，同时还要具备报告和监测的能力，对合规性进行持续评估。

6. 如何保持数据的一致性：当管辖权发生变更，企业无法再采用审查、测试、报告、落实管理制度的方式，保持跨境数据在处理、储存和销毁方面的一致性。企业如何保持数据的一致性是一项巨大的挑战。

最后两项是技术性问题。在进行数据跨境传输时，企业是否能够按照《数据安全法》、《个人信息保护法》等相关法律法规要求，对数据实施足够的安全管控措施，如传输的加密、访问控制的限制、统一的监控系统、存储等？企业是否能够达到各国关于数据跨境传输的安全要求？如果企业的数据必须在不同的司法管辖区或国家存很多份，对集中化应用来说，怎么保证数据之间的一致性、处理的一致性，这给整个系统架构的设计带来很大的挑战。

03

企业数据跨境管理关键控制措施

针对数据跨境传输过程中可能遇到一些问题，其应对措施有很多。

4项关键控制措施：

1）检测/发现：数据分类分级

► 绘制数据流转图以理解数据的传输区域

► 通过自然语言处理（NLP）、人工智能（AI）等工具/技术进行内容扫描来检测敏感数据，并对数据进行分类分级

► 建立内部沟通平台，扫描可能是MNPI（非公开资料）的关键字

数据分类分级里除了制定相关标准、框架，还可以引入自然语言处理（NLP），人工智能（AI）等方法，帮助企业对数据进行自动化或半自动化的分类分级处置。

2）数据防泄漏策略

对包含敏感信息的文档和电子邮件采取合适的数据丢失防护强制措施，例如阻止发送、阻止共享、警告最终用户或实施审计活动

数据防泄露策略可以用作数据出境当中的监控。可以利用DLP手段进行跨境方面的管控。

3）加密，去标志化，匿名化

保护敏感信息的同时，也需要保持其在恰当时候的可用性：

取证

风险管理报告

合规

数据分析

在数据出境前，利用先进的技术手段，尤其是在个人信息方面，对数据进行去标志化、匿名化处理，包括广义的使用一些隐私计算技术。在这一过程中，需要保持其在取证、风险管理报告、合规、数据分析时的可用性，两者之间要进行一个平衡。

4）数据免疫（对于数据本身的免疫）

►   在数据源（创建时）应用基于分类的安全控制措施来确保：

最小化数据暴露时间

提供上下文确保数据分类是正确的

减少网络安全漏洞

跨境传输的数据尽量最小化，越少越好。在数据分类分级过程中，提供一些上下文来确保数据分类分级尽量准确。传输过程中应用一些技术措施，防止系统当中出现漏洞，造成数据意外泄露。

04

数据跨境传输管理框架

今年，国家出台了数据跨境管理的法规体系、配套评估标准以及认证机制。企业怎样才能做好数据跨境工作？可以分三步来进行：

1、企业要规划战略。

弄清楚什么数据要出境？去哪里？为什么要出境？是否要出去这么多？通过什么渠道出去？出去之后是否有管控措施？第三方是否还会进一步处理这些数据？企业首先要弄清楚全盘现状，制定促进管理的战略。

2、将监管要求逐步融入战略，选择合适的管控框架、技术手段等。

企业要了解其会面临哪些监管方面的问题？本国有哪些相关要求？其他地方有无类似要求，包括有无数据保护与本地化、网络安全管理、第三方管理等相关要求？然后，企业需要将相关要求进行融合，再梳理出监管的期望并抽取出共性要求。主要的监管期望包括监管批准，传输协议，对数据发送方、接收方或数据使用进行安全评估。接下来，企业可以设计相应的风险缓解措施。具体如下：

区域化服务供应商：为了避免数据流动复杂，企业可以委托当地服务商进行本地化处理，从而避免数据的流动；

数据匿名化：在数据流动过程中，按照要求进行数据的匿名化处理，或利用隐私计算等技术，避免数据的流通。

数据传输映射：企业要搞清楚数据传输过程中的映射关系。数据是怎么传的？通过什么链路？通过什么样的技术手段？全链路的控制是怎样的？

数据库镜像：针对有本地化要求的司法区域，在数据跨境传输时，需同步有一个数据镜像或是备份存在当地，从而保证本地化要求。

针对这些措施，企业需要点对点地针对相关要求设计相应措施。

3、将战略目标进行优化、量化，使其能够持续的监控。

企业需要考虑建立一个更加常态化的风险管理体系，或者把数据跨境工作纳入到企业整体的风险管理体系中，把其作为一项关键风险来处理。

首先，企业要梳理清楚需要遵守哪些相关法律法规。然后把常见的监管要求抽取出来，如合法性，公平性和透明度、目的限制、数据最小化、准确性、存储限制/留存、完整性和机密性、问责制。企业要对数据在各地的存储要求、删除要求等进行充分梳理。不同类型的数据，其存储要求、留存要求并不相同。

在中国，对于不同类型的数据，因其涉及到不同的保存期限、保存形式，常见的法律法规、政策文件有30多份。如果涉及多个国家，情况会更加复杂。这些都会作为设计整个数据跨境和数据保护的基本框架。在这一情况下，企业可以搭建自己的管控体系。

企业在开展数据保护、尤其是数据跨境合规保护时，需重点考虑8个管控领域：

第一，关于数据安全和跨境方面的治理架构。这一架构包含企业层面整体的一个权责，怎么样分工？哪个岗位承担什么样的责任？基本的政策方针是什么样的？还包括对业务部门相关人员进行合规，风险，安全，IT等相关的教育培训。

第二，数据管理。包括企业到底哪些数据需要出境？收集了哪些数？这些数据是否进行了相关的维护管理，全生命周期的形态是怎样的？对数据的全生命周期有一个比较好的管理体系。

第三，变更管理。很多情况下，如果企业变更管理不够完善，场景一变，数据跨境评估的前期假设在系统变更后没有被很好的贯彻下去，导致系统刚建好时是合规的，用了一段时间后需要不停的升级，之后可能慢慢又变得不合规。

第四，第三方管理。企业自身不进行数据出境，但第三方将其数据进行出境或相关的处理，引发一些法律方面的纠纷。

第五，关于统一的隐私管理框架。在数据出境之前，需要征得数据主体的民事同意。企业还要考虑个人信息处理的重要活动记录，报告义务等。

第六，信息安全。在数据保护和跨境的情况下，尤其要关注数据的访问控制、权限管理，这牵涉到数据最小化使用问题。同时，包含信息安全事件，尤其是数据安全事件的报告流程和衔接机制。很多国家对于隐私，对于重要数据泄露等都要求企业有报告的义务，有报告的时效性。很多企业还有一些相关的计划，像灾备，业务连续性等。因此，在这个过程当中，企业和灾备、业务连续性等也要进行一个有效的衔接。或者说，在灾备和业务连续情况下，保证相关数据的合规。

第七，关于数据跨境传输的映射问题。有哪些场景，通过什么手段进行数据传输？需要做一个重要数据跨境活动的清册。这也是后面企业进行安全评估的基础性资料。

第八，关于数据留存和删除的一些要求和技术手段的实现。

在以上8个领域，企业针对其所面临的数据安全和跨境方面的风险，可以设计不同的管控要求。

此外，企业需要有一个持续的监督机制。越来越多的企业在其内审职能当中针对数据安全、个人信息保护以及数据跨境问题，设定相关的职能，定期根据法律法规的要求进行审计，确保企业整个体系符合相关法律法规和企业业务自身发展的要求。