全球網絡空間已成為繼陸、海、空、天后,重要的第五空間。全球化時代背景下,各主要國家和地區持續加強網絡安全監管、隱私保護立法及數據流動限制,正在重構企業未來數據大合規的生態新格局。
6月27日晚8點,普華永道中國網絡安全與隱私保護服務合伙人黃思維,普華永道中國稅務及商務咨詢部公司及監管服務總監范思漪深度解讀網絡安全新格局下,在華經營的跨國企業,以及“走出去”的中國企業,如何認清風險,形成有效的應對策略。本次活動在普華永道視頻號、《中國企業報》中企視訊全程直播,更多信息及視頻回放,請登錄普華永道中國官網“轉型力共創會”頁面。
“三駕馬車”構建第五空間新格局 大量在華外經營的跨國企業扎根中國,并且持續擴大經營,在新形勢下,他們將面臨哪些網絡安全與數據合規、隱私保護的新挑戰?黃思維梳理了國內目前網絡安全與隱私保護的監管環境。他指出當前有三部國家層面的法律出臺,這“三駕馬車”分別是《網絡安全法》《數據安全法》和《個人信息保護法》,意味著國家在網絡安全隱私保護領域的頂層設計已基本完成和定型。
在法律環境下,企業常見的違規場景和違規后果,相應也較為明確。黃思維指出,違規場景主要包括:因未采取必要安全措施而發生網絡安全事故;未履行等級保護定級、備案、測評義務;違規收集、使用個人信息;違規跨境傳輸受限數據;用戶發布信息內容管理不到位。企業一旦違規,輕則被約談、警告、罰款,嚴重的還可能被吊銷營業執照,甚至產品被下架,損害品牌形象,造成客戶流失。面對全新挑戰,需要建立一套比較完備的合規機制,黃思維分享了如何應對的一些新思路。
另一方面,中國的企業,尤其是互聯網企業,正在走出國門。在拓展世界市場時,他們將面臨何種網絡安全的全球新格局?黃思維強調,隱私保護、數據合規已成為一股全球潮流,而在各個國家紛紛立法限制數據流動的同時,還有另外一股潮流,是不同國家和地區間的合作框架對數據流動的促進和鼓勵。他分析,這兩股趨勢實際并不矛盾,國家立法是對數字主權的確認,而合作框架形成的是內部信任機制。因此,企業需要厘清出海目的地的環境,同時利用數據流動機制,為自己創造最好的營商條件。
守護數據出境“生命線” 伴隨企業出海,也帶來如何確保數據出境安全合規的新問題。范思漪指出,消費類的電子商務企業、健康醫療行業和汽車行業正在成為比較常見的涉及數據出境場景的行業。這些行業隱藏著哪些重要數據?銷售數據、客戶訂單、消費行為分析報告,臨床實驗數據、醫療記錄、人類遺傳信息,自動駕駛軟硬件數據以及車輛外部數據,行車人相關個人信息、人臉和語音數據等,都是常見的被跨境傳輸的數據,其中部分數據可能涉及敏感個人信息或構成重要數據。她強調,哪些數據需要備案(例如網安備案、科技部備案)才能出境、哪些數據需要處理后方能出境、哪些數據不能出境,都需要做進一步的具體分析。
不以規矩不成方圓,范思漪將數據出境的基本合規步驟梳理為五個方面:第一步出境數據分析時,首先要厘清是系統或者非系統傳輸數據,是否包含重要數據、核心數據、敏感個人信息。第二,中國境內數據傳輸企業是否為關鍵信息基礎設施運營者,或是處理個人信息達到國家網信部門規定數量的非關鍵信息運營者。第三,確定數據存儲及本地化策略,確需出境的數據是否能夠合法跨境傳輸,確定跨境傳輸機制。第四,遵守合規要求,取得數據主體許可(如適用),備妥傳輸文件,包括但不限于協議、批準、自評、接收方的數據保護評估、信息泄露預案。第五,遵守數據接收方所在國家數據跨境傳輸法律(如GDPR的要求)。
普華永道數字化平臺助力個人信息保護合規管理 通常情況下,企業進行合規評估,往往使用傳統的辦公軟件,依賴人工審閱和判斷,因而存在效率低、執行不統一、質量難以保障等問題。黃思維介紹,普華永道針對相關痛點,開發了PrivacyReady隱私合規數字化方案,幫助企業實現自動化風險管理和業務合規評估,在新格局下,把握機遇,應對全新挑戰。
中企網微博
中企網微信