加強(qiáng)企業(yè)數(shù)據(jù)出境安全合規(guī)能力建設(shè)

數(shù)據(jù)已成為與土地、勞動(dòng)力、資本、技術(shù)并列的生產(chǎn)要素，價(jià)值日益凸顯，隨著經(jīng)濟(jì)全球化和國(guó)際貿(mào)易的發(fā)展，數(shù)據(jù)跨境流動(dòng)已成為數(shù)字經(jīng)濟(jì)發(fā)展的重要推動(dòng)力。其中，數(shù)據(jù)出境對(duì)國(guó)家安全、社會(huì)公共利益、企業(yè)合法權(quán)益和個(gè)人隱私的威脅逐漸引起各方關(guān)注。為此，我國(guó)不斷完善數(shù)據(jù)出境相關(guān)法律法規(guī)框架，對(duì)企業(yè)數(shù)據(jù)出境提出安全合規(guī)要求。本文從管理制度、組織架構(gòu)、人員能力、技術(shù)工具等方面探討企業(yè)如何建設(shè)數(shù)據(jù)出境安全合規(guī)能力，以滿足相關(guān)監(jiān)管要求，確保企業(yè)數(shù)據(jù)出境相關(guān)業(yè)務(wù)安全、合規(guī)、可持續(xù)，助力數(shù)字經(jīng)濟(jì)健康發(fā)展。

我國(guó)數(shù)據(jù)出境相關(guān)監(jiān)管要求

2017年以來(lái)，國(guó)家陸續(xù)施行了《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》，明確了我國(guó)數(shù)據(jù)出境合規(guī)路徑，為加強(qiáng)數(shù)據(jù)出境合規(guī)管理，促進(jìn)數(shù)據(jù)跨境安全有序自由流動(dòng)提供頂層法律依據(jù)?！稊?shù)據(jù)出境安全評(píng)估辦法》《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動(dòng)規(guī)定》等規(guī)章及配套的《數(shù)據(jù)出境安全評(píng)估申報(bào)指南（第二版）》和《個(gè)人信息出境標(biāo)準(zhǔn)合同備案指南（第二版）》則進(jìn)一步明確數(shù)據(jù)出境具體要求，指導(dǎo)數(shù)據(jù)處理者落實(shí)合規(guī)要求和責(zé)任義務(wù)，嚴(yán)格規(guī)范數(shù)據(jù)出境活動(dòng)?！痘浉郯拇鬄硡^(qū)（內(nèi)地、香港）個(gè)人信息跨境流動(dòng)標(biāo)準(zhǔn)合同實(shí)施指引》的出臺(tái)進(jìn)一步便利了粵港澳大灣區(qū)內(nèi)地和香港之間個(gè)人信息跨境安全有序流動(dòng)。

企業(yè)數(shù)據(jù)出境安全合規(guī)能力建設(shè)

為滿足相關(guān)法律法規(guī)關(guān)于數(shù)據(jù)出境的安全合規(guī)要求，企業(yè)可從管理制度、組織架構(gòu)、人員能力、技術(shù)工具等方面建設(shè)全面的數(shù)據(jù)出境安全合規(guī)能力。

一是數(shù)據(jù)出境安全合規(guī)管理制度建設(shè)。

開(kāi)展數(shù)據(jù)出境的企業(yè)需建立網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個(gè)人信息保護(hù)等方面管理制度，并在此基礎(chǔ)上，針對(duì)性提出數(shù)據(jù)出境管理要求，使得數(shù)據(jù)出境安全合規(guī)管理在企業(yè)內(nèi)部做到有據(jù)可依，便于指導(dǎo)企業(yè)落實(shí)相關(guān)要求、開(kāi)展審計(jì)、滿足監(jiān)管要求等。數(shù)據(jù)出境管理要求需包括定期梳理出境數(shù)據(jù)中包含的數(shù)據(jù)類型、數(shù)據(jù)量，明確出境數(shù)據(jù)處理活動(dòng)的目的、方式、范圍須滿足正當(dāng)性、合法性和必要性，根據(jù)相關(guān)法律法規(guī)要求選擇合適的數(shù)據(jù)出境合規(guī)路徑，根據(jù)企業(yè)實(shí)際情況建立數(shù)據(jù)出境安全合規(guī)管理組織架構(gòu)體系、提升相關(guān)工作人員數(shù)據(jù)出境安全合規(guī)能力、部署數(shù)據(jù)出境安全合規(guī)技術(shù)工具等。需要注意的是，數(shù)據(jù)出境是持續(xù)性的活動(dòng)，相關(guān)管理制度中需明確出境數(shù)據(jù)持續(xù)監(jiān)測(cè)要求，根據(jù)數(shù)據(jù)出境實(shí)際情況，及時(shí)申報(bào)數(shù)據(jù)出境安全評(píng)估、訂立個(gè)人信息出境標(biāo)準(zhǔn)合同、通過(guò)個(gè)人信息保護(hù)認(rèn)證或重新申報(bào)評(píng)估、重新開(kāi)展個(gè)人信息保護(hù)影響評(píng)估，補(bǔ)充或者重新訂立標(biāo)準(zhǔn)合同等。

數(shù)據(jù)出境安全合規(guī)管理制度的建設(shè)需要分層設(shè)計(jì)，一般可分為四級(jí)制度文件，同一級(jí)制度文件互為補(bǔ)充、邏輯清晰，需覆蓋數(shù)據(jù)出境安全合規(guī)管理各個(gè)方面；不同級(jí)制度文件顆粒度不同，下一級(jí)文件是對(duì)上一級(jí)制度文件的細(xì)化和落實(shí)。通常情況下，一級(jí)文件體現(xiàn)數(shù)據(jù)出境安全合規(guī)總體管理要求，包含方針、策略、基本原則等。二級(jí)文件是落實(shí)總體管理要求的制度和辦法，通常包含出境數(shù)據(jù)全生命周期和通用性的安全合規(guī)管理要求。三級(jí)文件為落實(shí)出境數(shù)據(jù)全生命周期和通用性安全合規(guī)管理制度和辦法的操作指南、規(guī)范、作業(yè)指導(dǎo)書及配套模板文件等。四級(jí)文件是具體落實(shí)數(shù)據(jù)出境安全合規(guī)管理制度過(guò)程中產(chǎn)生的相應(yīng)計(jì)劃、報(bào)告、日志文件和工作記錄等。

二是數(shù)據(jù)出境安全合規(guī)組織架構(gòu)建設(shè)。

開(kāi)展數(shù)據(jù)出境活動(dòng)的企業(yè)須根據(jù)相關(guān)法律法規(guī)和本企業(yè)管理制度實(shí)際，建立適應(yīng)自身需求的數(shù)據(jù)出境安全合規(guī)組織架構(gòu)，管理本企業(yè)數(shù)據(jù)出境活動(dòng)，落實(shí)相關(guān)法律法規(guī)和管理制度要求。

數(shù)據(jù)出境安全合規(guī)組織架構(gòu)的建設(shè)通常分層設(shè)計(jì)，根據(jù)職能分工，可分為決策層、管理層、執(zhí)行層、監(jiān)督層。企業(yè)在實(shí)際執(zhí)行過(guò)程中，可在已有的網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個(gè)人信息保護(hù)組織架構(gòu)基礎(chǔ)上，賦予現(xiàn)有部門或團(tuán)隊(duì)數(shù)據(jù)出境安全合規(guī)工作職能。同時(shí)，數(shù)據(jù)出境安全合規(guī)管理通常涉及網(wǎng)絡(luò)與數(shù)據(jù)安全部門、信息化建設(shè)與運(yùn)維部門、業(yè)務(wù)部門、法務(wù)或合規(guī)部門、公共事務(wù)管理部門等多個(gè)部門，需要在設(shè)計(jì)組織架構(gòu)時(shí)就做好多部門聯(lián)合參與的統(tǒng)籌和協(xié)調(diào)工作。具體而言，決策層是數(shù)據(jù)出境安全合規(guī)管理工作的決策機(jī)構(gòu)，通常由企業(yè)高層領(lǐng)導(dǎo)擔(dān)任，決定企業(yè)數(shù)據(jù)出境相關(guān)業(yè)務(wù)的發(fā)展策略，統(tǒng)籌安全與發(fā)展。管理層是數(shù)據(jù)出境安全合規(guī)管理組織架構(gòu)的第二層，落實(shí)決策層制定的策略，提出數(shù)據(jù)出境具體工作方案，平衡好業(yè)務(wù)發(fā)展和數(shù)據(jù)出境安全合規(guī)管理。執(zhí)行層配合管理層，聚焦具體的數(shù)據(jù)出境業(yè)務(wù)場(chǎng)景，落實(shí)具體的業(yè)務(wù)流程和安全合規(guī)管理要求。監(jiān)督層則定期監(jiān)督審核管理層、執(zhí)行層落實(shí)數(shù)據(jù)出境相關(guān)管理要求的情況，并向決策層匯報(bào)。

三是數(shù)據(jù)出境安全合規(guī)人員能力建設(shè)。

數(shù)據(jù)出境安全合規(guī)管理制度的落實(shí)和數(shù)據(jù)出境安全合規(guī)組織架構(gòu)的建設(shè)，關(guān)鍵在“人”。開(kāi)展數(shù)據(jù)出境活動(dòng)的企業(yè)需根據(jù)本企業(yè)相關(guān)管理制度要求，定期或不定期組織數(shù)據(jù)出境安全合規(guī)培訓(xùn)或考核，使各崗位工作人員可以充分勝任本崗位工作。對(duì)于全體工作人員，可從數(shù)據(jù)出境安全合規(guī)意識(shí)、相關(guān)法律法規(guī)要求和企業(yè)管理制度等方面開(kāi)展培訓(xùn)宣貫，使其具備基本的數(shù)據(jù)出境安全合規(guī)意識(shí)，工作中不踩紅線、不越底線。對(duì)于數(shù)據(jù)出境安全合規(guī)組織架構(gòu)中各崗位工作人員，可進(jìn)一步從標(biāo)準(zhǔn)規(guī)范、技能培訓(xùn)、安全合規(guī)審計(jì)等方面開(kāi)展培訓(xùn)及考核，使其具備與工作職責(zé)相匹配的工作能力。例如，決策層人員應(yīng)具備制定企業(yè)的數(shù)據(jù)出境安全合規(guī)戰(zhàn)略目標(biāo)和任務(wù)，統(tǒng)籌、規(guī)劃相關(guān)工作，對(duì)數(shù)據(jù)出境安全合規(guī)重大事項(xiàng)進(jìn)行協(xié)調(diào)以及統(tǒng)籌決策等能力；管理層人員應(yīng)具備組織制定數(shù)據(jù)出境安全合規(guī)管理策略、規(guī)劃、制度和規(guī)范，控制數(shù)據(jù)出境安全合規(guī)風(fēng)險(xiǎn)等能力；執(zhí)行層人員應(yīng)具備數(shù)據(jù)出境事前、事中、事后安全合規(guī)風(fēng)險(xiǎn)監(jiān)測(cè)和處置的安全技能；監(jiān)督層人員應(yīng)具備對(duì)數(shù)據(jù)出境安全合規(guī)制度執(zhí)行、技術(shù)措施、風(fēng)險(xiǎn)及事件處置的有效性的審計(jì)能力。

四是數(shù)據(jù)出境安全合規(guī)技術(shù)工具建設(shè)。

“技管結(jié)合”可以進(jìn)一步提升企業(yè)數(shù)據(jù)出境安全合規(guī)管理能力和效率。開(kāi)展數(shù)據(jù)出境活動(dòng)的企業(yè)可根據(jù)需要建立數(shù)據(jù)出境管理平臺(tái)或部署數(shù)據(jù)出境監(jiān)測(cè)工具，相關(guān)工具或平臺(tái)需具備出境數(shù)據(jù)資產(chǎn)管理、接口API監(jiān)測(cè)、數(shù)據(jù)脫敏、數(shù)據(jù)出境流轉(zhuǎn)監(jiān)控、數(shù)據(jù)出境安全審計(jì)、數(shù)據(jù)出境風(fēng)險(xiǎn)監(jiān)測(cè)、出境數(shù)據(jù)全生命周期管理和安全合規(guī)管理等功能，實(shí)現(xiàn)數(shù)據(jù)出境安全合規(guī)可視化、可落地，風(fēng)險(xiǎn)預(yù)警等能力，以便能及時(shí)監(jiān)測(cè)數(shù)據(jù)出境情況，發(fā)現(xiàn)和處理存在的安全隱患，根據(jù)出境數(shù)據(jù)情況及時(shí)調(diào)整數(shù)據(jù)出境安全評(píng)估或個(gè)人信息出境標(biāo)準(zhǔn)合同備案等合規(guī)手續(xù)，防止敏感數(shù)據(jù)泄露、避免觸發(fā)不同國(guó)家、地區(qū)的數(shù)據(jù)跨境管理規(guī)定，保障業(yè)務(wù)安全。

企業(yè)數(shù)據(jù)跨境流動(dòng)在促進(jìn)全球數(shù)字經(jīng)濟(jì)發(fā)展的同時(shí)，也面臨著數(shù)據(jù)安全、個(gè)人信息保護(hù)、監(jiān)管合規(guī)等方面的挑戰(zhàn)，企業(yè)須建立完善的數(shù)據(jù)出境安全合規(guī)能力，以滿足我國(guó)數(shù)據(jù)出境相關(guān)監(jiān)管要求，應(yīng)對(duì)數(shù)據(jù)出境安全問(wèn)題，保障業(yè)務(wù)更好開(kāi)展，助力數(shù)字經(jīng)濟(jì)健康發(fā)展。同時(shí)，隨著經(jīng)濟(jì)全球化的發(fā)展，我國(guó)出海企業(yè)越來(lái)越多，隨之而來(lái)的是出海企業(yè)將數(shù)據(jù)從業(yè)務(wù)運(yùn)營(yíng)所在地出境到中國(guó)，這類企業(yè)也應(yīng)關(guān)注業(yè)務(wù)運(yùn)營(yíng)所在國(guó)家和地區(qū)以及相關(guān)國(guó)際組織中的數(shù)據(jù)出境安全合規(guī)管理規(guī)定，建設(shè)數(shù)據(jù)出境安全合規(guī)能力，及時(shí)響應(yīng)相關(guān)監(jiān)管要求。

責(zé)任編輯：陳希琳