数据跨境合规主要痛点、难点

《数据跨境合规主要痛点、难点》由会员分享，可在线阅读，更多相关《数据跨境合规主要痛点、难点（4页珍藏版）》请在金锄头文库上搜索。

1、数据跨境合规主要痛点、难点导读:随着经济全球化、数字化的深入发展，企业开展境外业务时面临的数据 跨境监管形势日益严峻，数据跨境管控过程的痛点、难点，成为数据合规治 理的热点、焦点。数据多样，跨境数据的法律属性阴与分类困难数据体量大。大数据背景下，企业生产经营过程中产生的数据呈爆炸式 增长，且涉及数据 类型丰富多变。从数据主体角度，包括客户数据、用户 数据、合作方数据、供应商数据、内部员工数据等；从业务经营角度，包括 产品数据、日常经营数据、研究研发数据、内务管理数据等，极大增加了 企业数据管理的难度和成本。属性识别难。关于个人信息、重要数据等在监管定义上通常采用“概括 式”的表达形式， 虽为企

2、业提供了一定灵活度，也为企业对数据的法律属 性类型识别带来了模糊性和不确定性；不同法域对个人信息、重要数据等概 念定义存在差异甚至冲突，对企业跨境数据的属性识别和应用管控造成困 难。参考示例：在与欧盟的电讯运营商合作的国内手机厂商可能会碰到类 似的数据合规困局，欧盟的电讯运营商会要求合作的中国手机制造商提供 其手机设备的标识符如IMEI信息，以保障网络运营商对设备的使用，根据 中国标准，设备硬件标识符属于个人信息，于是国内的手机制造商会要求欧 盟运营商签署数据处理协议；但欧盟运营商依据所在国法律，认为因整个业 务流程中，运营商仅获取了硬件标识符，未能获取其他任何数据，进而无法 通过硬件标识符识

3、别到特定使用该硬件的用户，不具备可识别性，不是个人 信息，于是拒绝签署数据处理协议（DPA）。载体拆分难。多种类型的非结构化数据，可能同时集合在同一载体或分 散在不同载体中，难以拆分、合并和精准识别，如何按照数据来源、内容、 用途等进行数据分类梳理，成为企业数据跨境合规管控的实务难题。参考示例：公司内部搭建的文档管理平台，存储了内部包括项目业务资 料、商务合同、财务单据等大量文件，文件中的业务资料如果标识了他国的 交通路网、能源节点、敏感区域位置则可能涉及他国重要数据； 商务合同中 可能包含签署双方的法人代表个人信息；财务金融单据中可能涉及敏感个 人信息等。但因为数据量大，且以非结构化的形式出

4、现，难以对每类数据做 精准识别。场景复杂，数据跨境的路径、角色及责任识别困难企业业务场景多样。随着企业成长与发展，业务版图和业务领域不断扩 展或变化，配套的内部支撑流程也随之细化，各业务场景交互融合，业务数 据随之交互融合，加大了数据跨境路径梳理和相关责任方识别的难度。参考示例：某大型企业旗下存在多个业务板块：金融业务板块包括银行、 保险、证券等；非金融业务板块包括系统产品开发、供应链管理、市场营销 等；同时还包括人力资源、财务管理、行政管理、法律合规、内控审计等内 部支撑板块，均涉及大量的数据处理活动。数据流转路径复杂。数字化转型背景下，企业的业务数据往往通过线上 系统进行流转处理，业务系统

5、间数据存在交叉传输的情况；同时，出于成本、 效率等多因素考虑，企业的系统服务器通常集中部署、 统一管理，导致在全 球化业务开展过程中涉及频繁、复杂的数据跨境流转。参考示例：某企业的系统服务器集中部署于总部所在地、由总部统一运 维管理，导致在开展境外业务过程中涉及大量数据跨境流转场景， 例如数据 从境外分支机构传输至总部服务器存储，境外分支机构从总部服务器调取 数据，境外发分支机构直接访问总部服务器数据等。 若多家境外分支机构纳 入数据跨境传输管控全景，各分支机构之间也可能通过总部服务器相互调 取/访问数据。角色法定含义不同。不同的数据处理角色承担相应的责任和义务，准确 识别企业在数据跨境场景下

6、承担的角色、清晰界定双方责任和义务，对数据 跨境合规管控非常重要；不同法域对数据处理角色的定义、相应责任与义务 的规定不尽相同，复杂的数据流转链条下，企业难以准确判断自身角色、明 确责任和义务，为企业数据跨境合规管控的力度决策带来障碍。参考示例：欧盟GDPR对个人数据的控制者与处理者的责任分别有详细 的规定；而中国个保法没有区分个人信息处理过程中控制者与处理者角色， 统一称为“个人信息处理者”，并规定个人信息处理者共同处理个人信息将 承担连带责任。规则变动，规则要求多层次、多类型、不断演进全球规则层次多样。全球尚未形成统一的数据跨境治理框架，各国家 / 地区受国家安全、数据主权、人权保护、地缘

7、政治、贸易模式等因素影响， 制定了侧重点不同、各个层次的数据跨境规则，数据治理和数据跨境流动政 策具有很大差异，并积极寻求扩大各自数据生态系统，企业数据跨境规则研 究和遵从难度显著增加。不同法域规则冲突。企业在开展数据跨境流动活动时，需要同时考虑数 据输出地和输入地的数据跨境规则，但不同法域数据跨境规则的不同，对企 业“双向合规”带来困难；由于长臂管辖等因素，同一法域的数据处理行为 也可能需要满足多法域规则，存在法律冲突隐患，对企业数据跨境合规应对 和治理能力提出考验。参考示例：数据的处理必须具备合法基础，但各法域的数据处理的合法 基础不尽相同。在我国境内处理欧洲公民的数据，需要同时满足个保法

8、及 GDPR的要求。我国个保法为避免扩大解释，未将“数据主体利益”及“控 制者合法利益”两个边界较模糊的合法基础纳入条款范围。 若以“合法利益” 为基础在中国境内进行进行数据处理，则可能因失去法律承认的合法基础 而违规。规则动态发展变化。自欧洲GDPR正式发布以来，隐私和数据保护的立 法和更新浪潮在全球范围内迅速蔓延；各国家 /地区对数据保护的重要性形 成了普遍认知，基于公民权益、国家安全、数据主权等多重考量的数据跨境 规则呈现明确化、具体化的特征，使企业数据跨境合规体系的设计、执行和 维护成本进一步加大。参考示例：GDPR第15条对隐私仪表盘提出了要求：“数据控制者不得 使用任何的技术手段阻止用户行使访问权，在可能的情况下，数据控制者应 该给予数据主体远程访问其数据的权利，特别是提供在线服务的访问工具， 例如隐私仪表盘。”两年后，西班牙通过默认数据保护指南，对隐私仪 表盘提出了十分详尽的配置要求。即便其不具备强制执行的效力，也有着极 高的参考价值。西班牙作为欧盟成员国之一，率先在用户控制方面提出了要 求，将会影响到其他国家细化规则的进度，这将大大增加企业合规成本。