隨著經濟全球化、數位化的深入發展,企業開展境外業務時面臨的資料跨境監管形勢日益嚴峻,資料跨境管控過程的痛點、難點,成為資料合規治理的熱點、焦點。
資料多樣,跨境資料的法律屬性識別與分類困難
資料體量大。大資料背景下,企業生產經營過程中產生的資料呈**式增長,且涉及資料 型別豐富多變。從資料主體角度,包括客戶資料、使用者資料、合作方資料、**商資料、內部員工資料等;從業務經營角度,包括產品資料、日常經營資料、研究\研發資料、內務管理資料等,極大增加了企業資料管理的難度和成本。
屬性識別難。關於個人資訊、重要資料等在監管定義上通常採用「概括式」的表達形式, 雖為企業提供了一定靈活度,也為企業對資料的法律屬性型別識別帶來了模糊性和不確定性;不同法域對個人資訊、重要資料等概念定義存在差異甚至衝突,對企業跨境資料的屬性識別和應用管控造成困難。
參考示例:在與歐盟的電訊運營商合作的國內手機廠商可能會碰到類似的資料合規困局,歐盟的電訊運營商會要求合作的中國手機製造商提供其手機裝置的識別符號如imei資訊,以保障網路運營商對裝置的使用,根據中國標準,裝置硬體識別符號屬於個人資訊,於是國內的手機製造商會要求歐盟運營商簽署資料處理協議;但歐盟運營商依據所在國法律,認為因整個業務流程中,運營商僅獲取了硬體識別符號,未能獲取其他任何資料,進而無法通過硬體識別符號識別到特定使用該硬體的使用者,不具備可識別性,不是個人資訊,於是拒絕簽署資料處理協議(dpa)。
載體拆分難。多種型別的非結構化資料,可能同時集合在同一載體或分散在不同載體中,難以拆分、合併和精準識別,如何按照資料**、內容、用途等進行資料分類梳理,成為企業資料跨境合規管控的實務難題。
參考示例:公司內部搭建的文件管理平台,儲存了內部包括專案業務資料、商務合同、財務單據等大量檔案,檔案中的業務資料如果標識了他國的交通路網、能源節點、敏感區域位置則可能涉及他國重要資料;商務合同中可能包含簽署雙方的法人代表個人資訊;財務金融單據中可能涉及敏感個人資訊等。但因為資料量大,且以非結構化的形式出現,難以對每類資料做精準識別。
場景複雜,資料跨境的路徑、角色及責任識別困難
企業業務場景多樣。隨著企業成長與發展,業務版圖和業務領域不斷擴充套件或變化,配套的內部支撐流程也隨之細化,各業務場景互動融合,業務資料隨之互動融合,加大了資料跨境路徑梳理和相關責任方識別的難度。
參考示例:某大型企業旗下存在多個業務板塊:金融業務板塊包括銀行、保險、**等;非金融業務板塊包括系統產品開發、**鏈管理、市場營銷等;同時還包括人力資源、財務管理、行政管理、法律合規、內控審計等內部支撐板塊,均涉及大量的資料處理活動。
資料流轉路徑複雜。數位化轉型背景下,企業的業務資料往往通過線上系統進行流轉處理,業務系統間資料存在交叉傳輸的情況;同時,出於成本、效率等多因素考慮,企業的系統伺服器通常集中部署、統一管理,導致在全球化業務開展過程中涉及頻繁、複雜的資料跨境流轉。
參考示例:某企業的系統伺服器集中部署於總部所在地、由總部統一運維管理,導致在開展境外業務過程中涉及大量資料跨境流轉場景,例如資料從境外分支機構傳輸至總部伺服器儲存,境外分支機構從總部伺服器調取資料,境外發分支機構直接訪問總部伺服器資料等。若多家境外分支機構納入資料跨境傳輸管控全景,各分支機構之間也可能通過總部伺服器相互調取/訪問資料。
角色法定含義不同。不同的資料處理角色承擔相應的責任和義務,準確識別企業在資料跨境場景下承擔的角色、清晰界定雙方責任和義務,對資料跨境合規管控非常重要;不同法域對資料處理角色的定義、相應責任與義務的規定不盡相同,複雜的資料流轉鏈條下,企業難以準確判斷自身角色、明確責任和義務,為企業資料跨境合規管控的力度決策帶來障礙。
參考示例:歐盟gdpr對個人資料的控制者與處理者的責任分別有詳細的規定;而中國個保法沒有區分個人資訊處理過程中控制者與處理者角色,統一稱為「個人資訊處理者」,並規定個人資訊處理者共同處理個人資訊將承擔連帶責任。
規則變動,規則要求多層次、多型別、不斷演進
全球規則層次多樣。全球尚未形成統一的資料跨境治理框架,各國家/地區受****、資料主權、人權保護、地緣政治、**模式等因素影響,制定了側重點不同、各個層次的資料跨境規則,資料治理和資料跨境流動政策具有很大差異,並積極尋求擴大各自資料生態系統,企業資料跨境規則研究和遵從難度顯著增加。
不同法域規則衝突。企業在開展資料跨境流動活動時,需要同時考慮資料輸出地和輸入地的資料跨境規則,但不同法域資料跨境規則的不同,對企業「雙向合規」帶來困難;由於長臂管轄等因素,同一法域的資料處理行為也可能需要滿足多法域規則,存在法律衝突隱患,對企業資料跨境合規應對和治理能力提出考驗。
參考示例:資料的處理必須具備合法基礎,但各法域的資料處理的合法基礎不盡相同。在我國境內處理歐洲公民的資料,需要同時滿足個保法及gdpr的要求。我國個保法為避免擴大解釋,未將「資料主體利益」及「控制者合法利益」兩個邊界較模糊的合法基礎納入條款範圍。若以「合法利益」為基礎在中國境內進行進行資料處理,則可能因失去法律承認的合法基礎而違規。
互聯互通社群
企業資料庫合規的最佳實踐
這篇文章來自tt安全。值得一看。文章寫到 pci dss當前對於資料庫要求有下述明確的控制措施 對訪問任意資料庫的所有使用者進行認證。所有使用者訪問任何資料庫時,使用者的查詢和操作 例如移動 拷貝和刪除 只能通過程式設計性事務 例如儲存過程 資料庫和應用的配置設定為只限於給dba 資料庫管理員 的直...
企業資料庫合規的最佳實踐
這篇文章來自tt安全。值得一看。文章寫到 pci dss當前對於資料庫要求有下述明確的控制措施 對訪問任意資料庫的所有使用者進行認證。所有使用者訪問任何資料庫時,使用者的查詢和操作 例如移動 拷貝和刪除 只能通過程式設計性事務 例如儲存過程 資料庫和應用的配置設定為只限於給dba 資料庫管理員 的直...
積極報送資料,輕易貸踐行合規運營
2018 年 10 月,由國家計算機網路應急技術處理協調中心開發的國家網際網路金融風險分析技術平台 p2p網貸風險專項整治資料報送系統 正式上線,要求各地網貸機構抓緊接入系統,並開展相關資料填報工作。據了解,輕易貸平台在 2018 年 10 月即接到相關部門通知,並在第一時間完成了p2p網貸風險專項...