南方財經全媒體記者 吳立洋 21世紀經濟報道記者 張雅婷 王俊 尤為 鄭雪 實習生譚硯文 上海、廣州、北京報道

隨著數字化成為我國社會發展中不可或缺的一部分，數據已被我國政府視為保障國家主權、對國家安全和經濟發展具有重大影響的一項重要資產。監管部門對數據跨境傳輸的合規情況亦越發關注。

2022年7月，國家互聯網信息辦公室正式發布《數據出境安全評估辦法》（下稱《評估辦法》），并于同年9月施行，且要求不符合規定的數據出境活動于6個月內完成整改。截至今年3月，《評估辦法》施行已達半年，企業落實政策要求、進行合規整改的實際成效如何將迎來初考。

為了解當下境內企業數據跨境的現狀與困境，探討如何建設更為安全高效的數據跨境傳輸渠道與監管機制，由環球律師事務所與南方財經全媒體集團合規科技研究院組成的聯合研究團隊結合問卷調查、深度訪談、案例分析等多種研究方法，對我國企業進行數據跨境傳輸和安全評估的實踐情況進行了調查。

在梳理當前涉及數據跨境法律法規的基礎上，研究團隊就調研結果中的典型問題進行了分析，并結合當前政府管理部門披露的公開數據與案例，最終撰寫完成《數據跨境現狀調查與分析報告——基礎問題與十個痛點的解決》（以下簡稱《報告》），希望為政策制定、執行和產業實踐提供參考。

在《報告》的下篇，研究團隊面向21家涉及數據跨境企業進行了問卷調查，并就其中的焦點話題對其中的9家企業進行了更為細致深入的訪談，了解其在進行數據跨境傳輸合規中遇到的困難和處理困難的實踐經驗，以對當前我國企業的數據出境情況進行切片細描，旨在反映當前數據跨境中企業、行業、監管存在的典型問題，推動社會共同關注，行成合力加以解決。

安全保障機制如何選擇

《報告》調查結果顯示，在實踐中，企業作為數據跨境傳輸活動中的出境方往往面臨缺乏安全保護機制或難以決策選擇何種安全保護機制的難題。

當前，企業在進行數據跨境時通常存在三種路徑可以選擇，即出境安全評估、認證和標準合同。雖然《個人信息保護法》第三十八條要求個人信息處理者任選其一方式，但其實在選擇順序上需要先評估是否需要申報出境安全評估，不適用時才能考慮適用出境標準合同的機制。

原因在于，《評估辦法》第四條指出，向境外提供重要數據等四種情形下的數據處理者，應當申報數據出境安全評估。

在部分企業看來，法律法規中作為出境安全評估合規門檻的“100萬個人信息” ，存在數量標準偏低的問題。一家零售行業的互聯網企業認為，對于部分行業而言，企業日常業務中很容易達到100萬，安全評估覆蓋范圍過大，其他兩種市場化合規路徑就沒有了空間：“而安全評估屬于事前許可，非常消耗合規資源?！?/p>

問卷則顯示，有近40%的企業對于劃分“重要數據感到困難”，33%的“不確定自己是否需要申報數據跨境安全評估”，這些因素都對企業選擇哪種數據出境的安全保障機制有重要影響。

作為最早一批聚焦出海業務的企業，匯量科技在訪談中表示，當下很多企業部門眾多，數據散落在各個部門中，一旦缺乏統一的管理，想要識別和評估所有數據就難以實現，盤點數據數量更是無從談起。

跨境路徑選擇流程示意圖

此外值得關注的是，如企業存在向境外跨境傳輸重要數據的情況，則僅能選擇申報數據出境安全評估作為唯一安全保護機制。參考《報告》上篇分析的內容，由于現行的法律法規對于重要數據的定義規范的較為模糊，企業在分辨采集數據是否為重要數據時往往缺乏較為明確的參考標準。

平衡合規與業務

在進行數據跨境的過程中，按照法律法規要求履行數據合規責任是企業應當遵守的基本義務，但在大部分企業還未具備較為成熟的數據合規經驗甚至數據處理經驗的背景下，如何在滿足合規要求的前提下盡可能降低合規成本，維持業務運行，是當前企業最為關注的話題之一。

以數據安全評估為例，從問卷調查結果來看，76%的受訪企業都進行了數據出境安全評估。但成本高、耗時長和缺乏系統指導是受訪企業談及處境安全評估時最長提及的詞語。某大型科技企業在訪談中表示，就自己正在經歷的出境安全評估來說，省級網信辦審查的顆粒度比自己預期高，且更嚴格，審核周期也比預想的時間長，且對報告形式要求高。

深圳數據交易所（以下簡稱“深數交”）在近年支撐推動了大灣區地區數據跨境的相關案例實踐。深數交在訪談中也表達了上述觀點，由于重要數據的識別標準模糊，一方面，數據處理者因未識別到重要數據，故未履行出境前置程序，但實際上出境數據可能涉及重要數據，存在合規義務未履行的風險。

另一方面，部分數據處理者所處理的數據雖安全級別較低，不屬于重要數據，但同樣由于重要數據識別標準模糊，數據處理者將無需進行安全評估的跨境數據事項向網信部門進行申報，造成了不必要的資源浪費及負擔加重。

此外，如何協調合規評估、審核、整改等流程與企業正常業務間的關系，也是企業關心的話題之一。問卷結果顯示，有近七成的受訪企業都表示在相關工作中面臨著“公司業務和合規要求間存在沖突，難以短時間內調和”的困難，有超過30%的企業存在“對所需履行的申報義務及流程認識不夠完整，存在漏報、少報等情況”。

《報告》指出，企業在落實數據跨境傳輸合規措施的過程中，可能會涉及法務、信息安全與安全運維、審計內控、人力資源等多個部門聯動。例如，法務部門通常負責識別企業在業務開展過程中的各種數據類型，梳理各種類型數據的傳輸鏈路，確定企業與合作伙伴、供應商等各方間的數據處理關系是委托還是共享，并簽署相應的合同或其他法律文件等；信息安全與安全運維部門通常負責制定出境安全操作流程，制定安全管理制度，建立出境數據記錄，制定數據出境安全事件應急預案等。

在實際開展合規工作過程中，需要針對各部門負責的領域做好對應義務措施的落實，并就數據出境合規的重要性對所有涉及部門，包括業務部門在內進行普及，以提升合規效率與配合的流暢度。

對此，《報告》建議，企業在開展數據跨境傳輸合規工作時建立特定部門（實踐中為法務部門牽頭居多）牽頭統籌協調，各相關部門聯動配合的工作機制，以法務部門或其聘請的第三方咨詢機構對法律法規和標準、指南的解讀及相關經驗作為合規工作的指引，確保數據出境各環節的合法合規。

考察境外主體與環境

《評估辦法》第五條提出，數據處理者在申報數據出境安全評估前，應當開展數據出境風險自評估，其中將境外接收方履行責任義務的管理和技術措施、能力等能否保障出境數據的安全列為重點評估事項。

此外，網信辦隨附發布的《數據出境安全評估申報指南（第一版）》中也將數據處理者及境外接收方的數據安全保障能力作為出境活動整體情況說明的重要部分 。由此可見，正確評估境外接收方的數據安全保障能力對企業完成數據出境合規至關重要，但在實踐中，對境外數據接收方的考察往往并沒有預想的簡單。

“實際上，我們面對的境外接收方可能就是網店、經銷商或者是一個中小企業，規模也比較小，沒有安全保障能力，或者它的安全保障沒有想象的那么復雜；至于境外的大企業可能就不愿配合，會問‘為什么這么多細節？’”一家大型互聯網公司在訪談中表示，境外數據接收方的態度和配合意愿也給合規工作帶來了不少阻礙。

也有企業提出，出境合規主要的難點之一在于如何清晰詳細地說明數據出境單位的數據出境安全風險以及如何保障風險可控，但這往往涉及較為機密的業務流程和繁瑣的溝通過程，需要數據出境單位與數據境外接收方的信任與配合才能完成，否則評估報告的真實性和完整性都難以保證。

問卷調查的結果亦顯示，目前77%的受訪企業仍主要是靠“在合同中進行約定的方式”來完成判定境外主體履行責任義務的管理和技術措施、能力等保障出境數據的安全，僅有6家企業有能力“派遣公司內部人員進行實地考察判斷其管理和安全防護能力”，有6家企業“要求對方自行就數據安全、合規進行評估并出具報告?！?/strong>

對此，《報告》建議企業在與境外主體溝通的過程中向其強調安全評估申報的重要性，即不完成評估將無法開展數據出境活動；境外材料的必要性，即境外材料是評估的重點對象；以及完成評估時間的緊迫性，即根據《數據出境安全評估辦法》第二十條規定，需進行安全評估的企業應在寬限期6個月內——2023年3月1日前完成整改。

此外，在向境外提供個人信息或其他數據前，作為個人信息保護影響評估（PIA）及數據出境安全評估的重要組成部分，企業需要評估境外接收方所在國家或區域的法律與政治環境，以判斷數據出境存在的安全風險。

深圳數交所指出，目前境外接收方的合規義務難核查是一個重要問題。根據現行有效的法律法規等規范文件，對于數據出境鏈路及數據接收方的數據安全保障能力均有相應的要求。

“但在實際業務開展中，域外法律識別、政策法規和安全環境評價、接收方數據安全保障能力、數據處理全流程過程等事項核查因為涉及域外核查，開展實地調研及核查存在一定難度及較高成本，企業落實存在一定困難?！?/p>

也有企業表示，部分境外接收方的法律與政治環境相對穩定，由每個企業都獨立進行評估可能會帶來大量的重復勞動，如果有相關監管部門或第三方機構形成一份成熟的法律與政治環境評估結果，將能夠大大增加合規效率。

“如果嚴格按照要求所有目的地都要評估的話，假設跨境貿易如果要和200個國家合作，那就要評估200個國、地區，這個工作量是非常大的?！?/p>

在綜合我國法律法規規定，參考域外經驗的基礎上，《報告》總結得出了境外接收方所在國家或區域的法律與政治環境的評估要點，包括：法律體系、國際承諾、落實機制、機構權力、個人信息主體救濟路徑、國際協定、境外接收方所在地在數據方面是否對中國采取歧視性的禁止、限制或其他類似措施等。

《報告》建議，由于境外接收方法律政治環境評估工作的專業要求較高，需要評估人員對當地的政治、法律、文化、社會等各方面具有充分的理解，因此在具體評估實踐中，企業可通過與境外接收方內部法務等相關部門進行合作，或聘請當地律師或其他跨國服務機構協助，以實現全面、深入的評估。

報告全文請點擊：《數據跨境現狀調查與分析報告——基礎問題與十個痛點的解決》

或掃描以下二維碼后臺留言獲取報告全文

【報告出品】斑馬數據合規研究中心

【報告撰寫】

環球律師事務所 孟潔 戴暢 王程 張楚淇 李晨瑜 田梓儀

南財合規科技研究院 吳立洋 王俊 張雅婷 尤一煒 鄭雪 譚硯文

【設計統籌】林軍明

【封面/排版】林潢 陳國麗

【校對】黃志明

2023年3月