论跨国公司数据如何温和走入那国际海-数智化转型网szhzxw.cn

数字化转型网企业出海将关注品牌出海，全球化战略，合规与风控，供应链管理，数据保护与隐私安全，知识产权，税务，海外团队建设，海外运营，人力资源管理，组织管理等企业出海、全球化相关全产业链相关环节。点击图片或扫描图片二维码，加入数字化转型网企业出海研习社：

在全球化发展趋势与数据要素作用日渐凸显的时代连接处，紧跟资本、劳动力、技术等传统要素走出去的发展传统，数据要素的流动属性决定了其走出去是不可阻挡之大势，跨国公司的不同国域实体间为了共享资源、分享知识、分配责任，数据跨境几乎是一件必然会发生的事情。数据出境，走出去的不仅是数据，更有融合在数据本体后的信息价值，走出去是每个实体公司面临的发展机遇，其中也充斥着重重挑战，这条出海航路上最重要的风险便体现为数据跨境安全风险，企业可跨境，数据出海不可跨界，跨国公司如何致胜数据出海新时代，跨国公司数据如何温和走入那国际海，避免踏入数据跨境流动的雷区，是每一家跨国公司应当积极应对的，虽难必行。数字化转型网www.szhzxw.cn

一、数据跨境合规的现实挑战

由于国际环境的复杂性、跨境场景下合规责任主体众多、多国多法域下合规规则竞合等综合因素，跨国公司数据出海面临的合规挑战主要体现在以下几个方面：

一是，企业在开展数据跨境流动活动时，鉴于不同法域数据跨境规则的不同，往往附加企业“多边合规”义务，即既要考虑数据输出地国家的数据出境合规规则，也要考虑输入地的数据跨境规则。

二是，由于当前各国针对数据跨境的管理普遍采长臂管辖政策，同一数据处理行为可能需要满足多国多法域规则，存在因法律冲突引发多边矛盾的风险隐患；比如在欧盟GDPR法域中，对个人信息出境的数据种类和跨境场景划分为四类，分别适用不同的跨境合规要求，与中国法域下的数据出境场景和相匹配的合规要求并不完全吻合对接，可能会导致同一种业务场景中，在不同法域中需要适用不同的合规要求，增加企业数据出境合规难度。数字化转型网www.szhzxw.cn

三是，各国跨境规则尚处在动态发展变化的过程之中，企业需要跟踪其业务所涉及的不同国家、不同行业的制度发展、政策变化以及执行落地要求等，无疑增加了企业数据跨境规则研究和落地的难度。

二、中国法律对数据跨境的路径选择规制

我国在数据出境规则的设置上，摒弃了美国极具迷惑性的看似彻底的无限自由的“数据自由流动”与“贸易自由流动”的捆绑设置，秉持包容与限制并存，开放与管制兼容的“双轨并行”数据出境中国方案，一是立足《个人信息保护法》规定，旨在为个人信息跨境流动提供多种合规途径，有利于保护个人信息主体私权利；二是立足《数据安全法》和《网络安全法》的规定，旨在维护国家安全、公共利益等公共利益保护，基于不同权益的保护，中国数据跨境规则体现出分层管理的差异化特征，包括存储本地化要求以及数据跨境提供时的合规义务，具体而言：数字化转型网www.szhzxw.cn

特殊行业的数据本地化存储合规要求：如我国《征信业管理条例》要求对征信信息的整理、保存和加工应当在中国境内进行；《人口健康信息管理办法（试行）》第十条设置了绝对的数据本地化存储规则，明确不得将人口健康信息在境外的服务器中存储，不得托管、租赁在境外的服务器；《网络预约出租汽车经营服务管理暂行办法》规定网约车平台公司所采集的个人信息和生成的业务数据，应当在中国内地存储和使用。

关键信息基础设施运营者数据出境合规要求：对于特定行业的特定类型数据，明确本地化要求，如一般情形下关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当本地化存储，特殊情形下，关键信息基础设施运营者因业务需要，确需向境外提供重要数据和个人信息的，应按相应办法进行安全评估后，方能决定是否可以向境外提供。关键信息基础设施本地化存储要求最早出自于2017年06月01日正式实施的《网络安全法》，在《网络安全法》实施之前，苹果中国内地的iCloud数据中心由境外的爱尔兰公司Apple Distribution International实际运营，《网络安全法》正式实施后，倒逼Apple在中国境内设立数据中心，完成数据本地化存储安全要求。

重要数据出境处理规则：重要数据出境的处理规则采单一合规路径，即必须申报出境安全评估，通过国家网信部门组织的安全评估。同时需要满足《数安法》等法规针对重要数据处理者的相关义务，主要有：1）明确数据安全负责人和管理机构，落实数据安全保护责任；2）定期开展风险评估，并向有关主管部门报送风险评估报告。数字化转型网www.szhzxw.cn

处理一定规模的个人信息合规要求：需要履行申报出境安全评估，通过国家网信部门组织的安全评估。而对于一般个人信息出境的处理活动，则仅需要履行标准合同备案、个人信息保护安全认证等合规措施。

三、合规实践操作指南

根据我国“事前评估、事中整改、事后问责，全流程动态监管”的合规体系要求，数据出境合规实践主要包括事前合规评估（包括自评估以及出境前个人信息保护影响评估）、事中合规执行以及事后合规审计等。

出境前评估数字化转型网www.szhzxw.cn

（1）典型数据出境业务场景评估识别：

境外上市场景：境内企业在境外上市，IPO过程中向境外投行、会计师事务所、律师事务所、证券服务机构及境外监管机构披露数据的；

境外并购场景：境内企业并购境外目标企业过程中，向境外投行、会计师事务所、律师事务所、证券服务机构及境外监管机构披露数据的；

内部管理场景：总部位于境外的跨国公司，出于总部对各散落的分支机构有集中管理的客观需要，境外总部公司可能收集分散于全国各地（其中包括中国）的相互关联实体的信息，包括供应商信息、供应商对接人的个人信息、人事管理信息、财务管理信息以及档案管理信息等，其中涉及到的关键数据可能包括员工姓名、电话、身份证号码、个人账户、纳税信息、教育背景、家庭情况等员工个人信息，以及境内公司的管理制度、合同文本、履约过程材料等数据信息；数字化转型网www.szhzxw.cn

业务活动场景：在具体业务活动中的业务数据跨境需求，视具体开展业务和所处行业而有所区别。通常发生于品牌推广、市场营销、远程维护等具体场景中，可能收集访问的数据类别包括IP地址、呼叫记录、电话号码、IMSI、潜在客户及合作伙伴的联系方式等。其中不乏很多信息为敏感个人信息范畴。

（2）出境数据类别的识别：

对所处理的数据对象进行识别，是个人信息数据还是重要数据，属于一般个人信息数据还是敏感个人信息数据，这就要求建立企业数据清单，根据数据分类分级机制梳理本单位数据资产状况，涉及到重要数据的识别问题，当前重要数据的识别仍然存在定义模糊、主观因素影响大、标准不统一等问题，建议可以参考《信息安全技术重要数据识别指南》、《重要数据识别指南》等标准文件，其中罗列了天然气、煤炭、石化、电力、国防军工等26个行业的重要数据，并就重要数据的特征以及识别的基本程序进行了规定和说明。

（3）处理数据的规模统计：

要求企业需要保持动态监测，一旦落入合规门槛，便要调整相应的合规路径，满足相应的合规监管要求。自此，前三个问题的确定将决定数据出境所适用的具体监管要求和相应的合规义务，即选择何种具体的出境合规路径：1）通过网信部门组织的安全评估；2）按照网信部门的规定经专业机构进行个人信息保护认证；3）按照网信部门制定的标准合同与境外接收方订立合同。数字化转型网www.szhzxw.cn

事中合规执行

（1）满足《个保法》关于处理个人信息的其他基础要求：

1）履行对个人信息主体的告知、同意义务；

2）数据出境的合法性、正当性、必要性的评估；

3）境外政策、法律法规对个人信息处理行为的影响评估；

4）发生个人信息安全事件后的补救措施；

5）个人信息主体的权益保障渠道是否通畅；

6）保障境外接收方处理个人信息的活动达到《个保法》要求的保护标准及其保障能力；

7）对等措施：如果信息接收国家和地区在个人信息保护方面对我国采取歧视性的禁止、限制或其他类似措施，我国可以根据实际情况对该国家或者地区采取对等的禁止、限制或其他类似措施；

8）协助境外司法执行：对于存储在我国境内的个人信息，唯有获得我国主管机关的批准，才能向外国司法或执法机构提供；数字化转型网www.szhzxw.cn

（2）满足不同行业的特殊监管要求：

企业需要结合自身所在行业，梳理特定领域的相应要求，比如《汽车数据安全管理若干规定》便对汽车重要数据及相应的出境要求进行了具体的规定。《工业和信息化领域数据安全管理办法（试行）》就工信领域的重要数据及核心数据的治理进行了具体的规制。

（3）完成向监管机构的合同备案或者申报安全评估等，并且需要关注监管部门的反馈结果，如需整改，需要完成整改后才能执行数据出境行为。数字化转型网www.szhzxw.cn

事后合规审计

数据出境后，开展数据出境合规审计工作，时刻关注监管部门的政策动态，根据监管部门的要求评估自身数据出境行为，并进行整改、差距修正，实时动态监测数据出境处理的规模、种类、目的等要素，在以上要素发生变化时，需要根据监管要求，重新履行合同备案或者安全评估申报工作。

跨国公司几种典型场景下的数据出海合规问题思考

跨国公司往往属于集团化发展和管理的模式，在集团化管理下，集团下各个不同的关联公司主体间必然面临不同的情况，包括业务类型、所处理的个人信息规模以及同一种类个人信息在不同行业中的敏感程度差异等，前述要素的差异将导致数据出境合规措施适用的差异，这将进一步导致跨国集团公司数据出海合规应对的复杂性和高风险性。具体表现有以下几个方面：

1）集团公司与子公司间的处理数据规模统计口径问题。

由于不同数据处理规模应该适用的出境合规路径截然不同，因而，出境合规的事前审查工作中非常重要的一块内容即为对拟出境数据的规模、范围、种类和敏感程度进行评估,然而，母公司和子公司间很难就单一数据确认为单一数据处理者，比如母公司A公司处理数据的规模已经达到法律规定的安全评估申报的条件，其集团下属子公司B公司只涉及少量的个人信息跨境传输，从B公司处理的数据规模来看，完全可以仅通过标准合同备案或者安全认证的路径实现合规要求，此种情形下，集团公司往往可以通过设立不同子公司的选择，将数据处理的规模分散于不同公司主体间，从而规避进行安全评估申报的强监管义务的履行，因此，实际的情形可能并非这么简单，B公司应当适用何种合规路径，取决于B公司对A公司管理的数据规模介入程度的深与浅，具体而言，如B公司与A公司共享同一集团的数据处理系统环境，导致A公司本地化存储的数据完全可能被B公司的境外接收方访问，则B公司根本无法独善其身，应当承担与A公司相同的安全评估申报义务。数字化转型网www.szhzxw.cn

2）合规义务履行的主体及方式确认问题。

前述第一种情形可以理解为，A公司与B公司在数据处理的全流程中处于同等地位，除非双方可以清晰地划分出，各自针对不同域的数据构成互不影响的、独立的数据处理者，否则双方需要履行同等数据出境合规义务，在此种情形中，履行安全评估申报义务或者标准合同备案义务的主体应当分别进行或是可以采便捷的合并进行方式，有待实务考察。考虑到安全评估申报的对象是国家网信部门，关联实体通过合并申报的方式具有可行性，而标准合同备案的对象考虑到为各省级网信部门，因此，如果各关联实体分属于不同省域的实体，那么自当分别签署合同并且分别备案，此种情形下，备案的标准合同可否采取由集团统一制定，各关联实体共同签署的模式，即向不同省网信办备案的实属同一份标准合同。由于无论适用何种出海合规路径，凡涉及到个人信息数据出境，就需要进行个人信息保护影响评估，因此个人信息保护影响评估可否适用同一份报告，有待实务界进一步验证。

3）相同的数据处理场景中，仅数据接收方不同的情形下，合规义务的履行方式。

即当面临同一个人信息处理者将个人信息传输至多个不同的境外接收方时，是否需要分别签署多份不同的标准合同，并分别进行备案的问题。欧盟的“对接条款”无疑为解决这个问题提供了思路，欧盟SCCs同意新的缔约方通过“对接条款”，便捷地加入已签署的SCCs，取代新加入的缔约方，均需重新再签署标准合同的方式，建议企业可以在面临实际出境业务时，仔细斟酌，并提前与监管部门积极沟通，确定符合监管要求的合规路径选择。数字化转型网www.szhzxw.cn

4）集团分公司能否成为适格签约主体的问题。

虽然绝大多数情况下，境内个人信息处理者与境外个人信息接收方分属于两个独立的法律实体，然而实践中，不排除存在数据在境内外同一个法律实体之间进行传输的情况，即境内A公司在境外设立分公司的情形，A公司向境外分公司传输数据，或者允许境外分公司访问境内存储的数据等数据出境情形。根据我国现有法律规定，分公司等分支机构虽然可以从事民事活动，但其属于非法人组织，分支机构的民事责任均由法人承担，因而，此类法人与分支机构之间签订的标准合同等文件体现的内部逻辑通常被认为是内部管理关系，而并不产生实质的法律效果。此前，铎伦律师参加个人信息保护司法路径研究调研活动，集团内部的数据传输并未让数据脱离集团的控制范围之外，风险相对可控，对于集团内部的数据流转，是不是可以建立一套独立的规则，有效发挥数据的集聚效益。考虑将此种情形扩大解释为个保法第二十二条“等原因”中的情形当中，在不改变原来的处理范围、处理目的的情况下，可否考虑不再需要重新同意，仅履行告知义务即可开展相应数据处理行为。

声明：本文来自网络，版权归作者所有。文章内容仅代表作者独立观点，不代表数字化转型网立场，转载目的在于传递更多信息。如有侵权，请联系我们。数字化转型网www.szhzxw.cn