上海2023年5月11日 /美通社/ -- 普華永道今日在中國多個城市同步發(fā)布《數(shù)據跨境合規(guī)白皮書》。該白皮書由普華永道與奇安信科技集團股份有限公司(簡稱奇安信)聯(lián)合撰寫�,通過系統(tǒng)梳理全球及中國數(shù)據合規(guī)安全趨勢與法規(guī)��,分析典型數(shù)據跨境場景的風險和挑戰(zhàn)��,深度解讀結合不同行業(yè)典型場景下數(shù)據跨境合規(guī)應對之道���,以期為企業(yè)數(shù)據合規(guī)和安全保障提供有力借鑒。
普華永道全球跨境服務中國主管合伙人黃耀和表示:"隨著中國企業(yè)面向全球的業(yè)務拓展以及跨國企業(yè)在中國業(yè)務的深入��,業(yè)務出海����、數(shù)據出境以及數(shù)據回流等剛性需求不斷增長,數(shù)據跨境流動已成為社會創(chuàng)新經濟增長的重要引擎�。目前全球數(shù)據跨境合規(guī)問題仍處于探索階段,還需要進一步的深入研究與探討��。很高興能夠與奇安信合作共同發(fā)布這一白皮書�����,從雙方各自深耕領域的資源和優(yōu)勢出發(fā)�,提出我們的最新思考與解析,為數(shù)據跨境合規(guī)建言獻策����,為中國數(shù)字化發(fā)展貢獻專業(yè)力量�。"
近年來���,全球范圍逐步建立健全對數(shù)據跨境活動的管控和監(jiān)管力度�����,數(shù)據合規(guī)制度數(shù)量增長���、管轄范圍逐步擴大的趨勢明顯。但我國企業(yè)參與全球數(shù)據跨境流動也面臨內部數(shù)據合規(guī)管理體系不完善���、國內國外合規(guī)風險加大�、合規(guī)激勵機制不健全等挑戰(zhàn)�����。如何保障企業(yè)在履行數(shù)據合規(guī)義務的同時�,規(guī)避其中的數(shù)據流通風險,是業(yè)內共同關注的話題�����。普華永道網絡安全和隱私服務中國內地主管合伙人李睿表示:"數(shù)據跨境合規(guī)既是數(shù)字企業(yè)應當履行的社會責任����,也是打造企業(yè)核心競爭力�����、開拓海外市場的重要保障�。隨著《網絡安全法》���、《數(shù)據安全法》、《個人信息保護法》的相繼落地實施�����,我國網絡安全與數(shù)據保護領域基本法律框架已形成�����。我們認為未來數(shù)據法規(guī)整改和內容細化�、對數(shù)據進行分級分類、分行業(yè)管理將成為主要趨勢����。"
白皮書指出,在全球化背景下�,企業(yè)數(shù)據跨境傳輸可能面臨法律合規(guī)和監(jiān)管風險��、網絡安全風險���、操作風險、業(yè)務連續(xù)性風險等����,并建議從幾方面入手來應對:梳理數(shù)據跨境場景,掌握跨境整體情況����、加強數(shù)據安全整體防護能力、建立數(shù)據安全管理的組織和資源保障體系���。實施持續(xù)的合規(guī)監(jiān)測��、跟蹤與改進�����。針對數(shù)據跨境合規(guī)與個人信息及隱私保護合規(guī)進行建立培訓機制���。
白皮書中對一些重點行業(yè)的數(shù)據出境場景進行了解析,識別具備行業(yè)特點的出境合規(guī)風險并提出了應對建議。從數(shù)據跨境的典型行業(yè)細分來看��,金融行業(yè)中主要存在外部數(shù)據跨境場景和數(shù)據公開出境兩大類場景����。對于外部數(shù)據跨境場景,建議加強與外部組織的合同約定�����,明確雙方跨境數(shù)據安全責任��,通過技術手段進行跨境數(shù)據安全管控�,清晰掌握業(yè)務數(shù)據、重要數(shù)據�、個人信息等敏感數(shù)據跨境流動詳情�。對于數(shù)據公開出境場景,建議完善數(shù)據公開安全管控����,通過數(shù)據安全治理識別存在數(shù)據跨境的人、業(yè)務��、數(shù)據��,建立數(shù)據跨境流動保障機制和審查機制�����,對出境數(shù)據、途徑����、行為進行實時檢測和管控。金融行業(yè)數(shù)據跨境合規(guī)的關鍵應對舉措主要包括:從總體上完善內部的數(shù)據合規(guī)體系�、加強出境數(shù)據安全性管控和跨境數(shù)據流轉監(jiān)控、制定數(shù)據跨境安全事件應急預案等�。
針對智能硬件領域,白皮書以中國企業(yè)向歐洲出海為前提����,介紹了企業(yè)主要面臨在歐洲市場向中國總部進行數(shù)據跨境傳輸?shù)娘L險以及GDPR合規(guī)的挑戰(zhàn)?���;诘湫蜆I(yè)務場景的數(shù)據流轉過程與全球數(shù)據跨境是智能硬件行業(yè)中存在的兩大典型跨境場景。企業(yè)自我風險評估�����、根據GDPR的相關規(guī)定任命數(shù)據保護專員(DPO)����、基于不同產品條線及業(yè)務場景�����,建立從產品前端到IT系統(tǒng)架構的風險管理體系以及新產品的GDPR合規(guī)管理等是智能硬件行業(yè)應對數(shù)據跨境合規(guī)的主要關鍵舉措�。
對于基于車聯(lián)網行業(yè)的數(shù)據跨境�����,白皮書以海外企業(yè)在中國運營為前提���,闡釋了汽車企業(yè)面臨的數(shù)據跨境風險以及中國網絡安全���、個人信息保護及汽車行業(yè)合規(guī)的挑戰(zhàn)。隨著車聯(lián)網"人����、車��、平臺"的建設����,車聯(lián)網行業(yè)可分為移動終端、車機端和車聯(lián)網平臺(TSP)三個場景,其中車聯(lián)網平臺(TSP)的數(shù)據出境場景尤其復雜��。結合車聯(lián)網行業(yè)的監(jiān)管要求和業(yè)務特點�,白皮書建議企業(yè)應從強化風險應對能力、合規(guī)運營能力和產品合規(guī)能力三個維度出發(fā)���,建立健全風險管理的制度設計���、組織建設、機制運轉和產品設計��,從而全面提升企業(yè)風險承受能力��。
在企業(yè)內部管理的數(shù)據跨境合規(guī)方面�,白皮書指出企業(yè)需關注數(shù)據來源的合法性,需對內部的數(shù)據安全進行管理�����,制定覆蓋全數(shù)據生命周期的安全管理制度���,以及企業(yè)數(shù)據的使用與處理應當采取合法�、正當?shù)姆绞健?/p>
針對以上風險和挑戰(zhàn)�����,普華永道網絡安全和隱私服務中國內地主管合伙人李睿建議:第一,企業(yè)要以適用法規(guī)為指導�����、行業(yè)敏感數(shù)據和個人信息為基礎��,盤點數(shù)據資產�����;結合自身業(yè)務確定數(shù)據統(tǒng)計口徑和標準��;梳理數(shù)據出境具體場景����。第二,根據梳理情況確認數(shù)據出境適用的合規(guī)路徑����,盡快制定數(shù)據出境合規(guī)方案并組建團隊或委托第三方展開數(shù)據合規(guī)工作。第三����,建立企業(yè)數(shù)據出境管理制度和常態(tài)化合規(guī)流程,做到定人���、定崗���、定責。第四����,判斷數(shù)據出境安全合規(guī)的風險和緊迫性,制定有針對性的整改方案�����,并按規(guī)定時間(如有)完成整改�����。第五�,對于在限期內難以完成整改的數(shù)據出境業(yè)務,應當評估不同執(zhí)行方案的可行性��,避免合規(guī)風險對業(yè)務連續(xù)性造成影響�����。最后,企業(yè)應積極與監(jiān)管部門保持溝通��,持續(xù)關注中國和國際的相關立法����,建立整合的數(shù)據合規(guī)體系和動態(tài)合規(guī)機制,從而實現(xiàn)企業(yè)在不同地域的數(shù)據跨境合規(guī)流動���。
普華永道中國數(shù)據洞察��、云轉型及數(shù)據安全合規(guī)合伙人李揚表示:"無論是對于在中國開展業(yè)務的跨國企業(yè)�、還是即將或已經開始全球化的中國企業(yè)�����,都建議應建立一套專門的應對管理體系��,以在開展跨境業(yè)務時能更好地履行數(shù)據合規(guī)義務���,規(guī)避數(shù)據流動風險�����。例如制定跨境數(shù)據安全合規(guī)準則及基線���、建立數(shù)據出境常態(tài)化風險監(jiān)控體系、加強對數(shù)據接收方的審查與監(jiān)督等����。我們期待著未來繼續(xù)與業(yè)內同仁開展深度交流與合作,一同助推數(shù)據跨境合規(guī)前進的步伐��,協(xié)助政企數(shù)字化改革����,為‘數(shù)字中國'的建設盡綿薄之力。"
點擊此處瀏覽完整報告:https://www.pwccn.com/zh/services/issues-based/globalisation-services/publications/data-cross-border-compliance-white-paper-may2023.html
