数据跨境合规治理实践（2021）-新基建专题-中国投资协会新基建投资专业委员会-

欢迎光临！

热门新闻

第二届中国县域经济投资高峰论坛在北京胜利召开第二届中国县域经济投资高峰论坛在北京胜利召开共谋双招双引新思路构建经济发展新格局中国投资协会新基建投资专业委员会第一届三次理事会议暨成立三周年庆典在北京举行王宜峰在第一届三次理事会议作工作报告（实录全文）新基建与智能制造论坛盛大举办

图片新闻

第二届中国县域经济投资高峰论坛在北京胜利召开	第二届中国县域经济投资高峰论坛在北京胜利召开
共谋双招双引新思路构建经济发展新格局	中国投资协会新基建投资专业委员会第一届三次理事会议暨成立三周年庆典在北京举行
王宜峰在第一届三次理事会议作工作报告（实录全文）	新基建与智能制造论坛盛大举办
数实融合开启未来——“新基建”助力阜宁、射阳两县实体经济高质量发展	中国投资协会召开新闻发布会介绍第二届中国县域经济投资高峰论坛有关情况
中铁十一局集团有限公司（2020年入会）	中国铁建大桥工程局集团有限公司（2020年入会）

首页 >> 新闻中心 >> 新基建专题

数据跨境合规治理实践（2021）

发布时间：2021-12-14 10:29:42 已经被浏览：625175次来源：德勤Deloitte

❑ 导读

近年来，数据跨境流动支撑了跨国贸易中商品、服务、人才、资本等几乎所有贸易的流动，已成为推动全球经济增长的必要力量。

全文共计2861字，预计阅读时间8分钟

来源 | 德勤Deloitte

随着全球各国数字产业及大数据、云计算技术的迅猛发展，数据流动将对全球经济产生更深远的影响，由此产生的数据红利与数据安全之间的矛盾也将深刻影响着未来数字经济的走向。为了平衡这两者之间的矛盾，抢占新一轮经济竞争制高点，各国纷纷建立、完善数据跨境流动的相关国内规则，并积极推动、参与国际规则的制定。

聚焦我国，随着《数据安全法》、《个人信息保护法》的最终颁布施行、《数据安全出境评估办法》（征求意见稿）、《网络数据安全管理条例》（征求意见稿）、《网络安全审查办法》（征求意见稿）对于执行细节制定工作的稳步推进，我国已建立了数据出境的基本合规框架，为数字经济的发展奠定了最坚实的基础。该框架一方面采纳了国际通行的数据跨境流动原则及制度，将我国的数据出境合规规则积极地融入到全球数据跨境流动的规则体系中去；同时，其展现的创新性安全审查审批制度、安全与发展的平衡之道，也为全球的数据跨境流动体系做出了“中国贡献”。

在这样的国际及国内环境背景下，为了清晰界定数据跨境相关概念，在错综复杂的数据跨境合规体系中精准提炼出中国企业面对的数据跨境合规要求，进而探讨风险可控、成本可控、可落地、可执行的合规思路，并切实赋能国内企业数据跨境合规的治理工作，德勤携手中兴通讯联合发布《数据跨境合规治理实践》白皮书。

当前各界对数据跨境界定仍存在差异，尚未形成统一认知。通常将其理解为“数据从一法域被转移至另一法域的行为”或“跨越国界对存储在计算机中的机器可读数据进行处理”。

以“境外实体接触”为标准，数据跨境主要包括三类：

第一类：数据跨越国界的传输、转移行为；

第二类：尽管数据尚未跨越国界，但能够被境外的主体进行访问；

第三类：数据跨越国界采集，直接从位于另一法域的数据主体处采集数据至处理方所在地。

资料来源：德勤分析与研究

全球各国家、国际组织制定的数据跨境规则模式往往与数据安全政策偏好相关联。现有规则大体分为两类：

限制性规范，常见为一国家或地区针对重要数据或个人信息进行出境限制，以维护数据安全或数据主权，即数据安全偏好型。
推动性规范，常见为双边、多边或国际组织，为推进数据跨境安全有序地跨境流动，制定双/多边国际协定或条约框架，以促进数据红利最大化发展，即数据红利偏好型。

对企业而言，限制性和推动性规范均具有现实意义，限制性规范因占据主导地位将成为企业关注的重点。一方面，根据限制性规范要求，严格实施合规治理及管控运行，最大限度规避违规风险；一方面，在合规管控运行前提下，充分利用推动性规则弹性空间，降低企业跨境管控压力和成本。

资料来源：德勤分析与研究

企业必须迎接数据跨境合规的挑战，一方面，了解内部数据跨境现状和外部监管规则，了解企业数据跨境合规管控重点，另一方面，以风险为导向，建立完善企业数据跨境合规管控机制，搭建立足自身、内外联动、成本效益并举、灵活可持续的数据跨境合规体系。

数据跨境合规治理思路主要包括：明确管控数据对象、摸查关键情形场景、识别外部合规需求、开展数据跨境风险评估、数据跨境风险治理以及重要数据合规延展。

在合规运行的前提下，充分利用数据跨境流动的国际规则，将极大降低企业的跨境运维成本。通过对全球50多个国家和地区的跨境规则进行研究，研究发现全球数据跨境规则的主要逻辑结构如下：

第一层级—基本跨境模式

数据跨境模式通常分为不允许出境、满足条件出境、自由出境三类，其中“满足条件出境”为多数模式，也是下列监管应对的重点和前提；

第二层级—跨境核心要求

数据保护法令往往在跨境章节的首段列明数据跨境的核心要求，包括同意、同等/充分性保护和批准/评估。各法域的核心要求为其中的一项或者两项的组合；

第三层级—充分性保障措施

保障条件是针对同等保护作为核心条件的国家而言的，部分国家规定了具体的条件，例如：标准协议、集团内部规则等；部分国家未规定具体条件，企业可以采用最佳实践做法，以自证满足充分性保障要求；

第四层级—克减条件

即在满足某些条件的情况下，可以不履行同等的保障条件，即对保障条件的克减。但有些国家并未规定克减条件，如中国。

不同国家/地区的数据跨境合规管控强度不同，致使企业面临的执行难度、合规风险存在差异。根据规则逻辑进行国家风险等级划分至关重要：

针对部分国家，如埃及、俄罗斯，仅能传输到充分性认定的国家或需要监管机构的批准才能出境，又如赞比亚，必须就其标准协议获取监管机构注册，即必须通过监管机构参与才能达成合规条件，合规难度较高；另外一部分国家规定了多样化的出境合规保障条件，其中包括了不需要监管机构参与、企业可以自由裁量选用的方式，合规难度相对较低；相同风险等级国家对应的合规措施大体相同。

因此，对全球重点国家的数据跨境转移要求划分成高中低风险，依据风险的高低即合规措施模式对各国家/地区进行归类分级，并给每一等级的国家适配统一的合规措施，最终形成包含合规措施的数据跨境传输风险矩阵：严格管控（三级）、适度管控（二级）、宽松管控（一级）。