数据跨境新规生效后首份现状调查报告发布准确辨别“重要数据”成企业合规难点

2023年03月02日 11:30 21世纪经济报道 21财经APP 吴立洋,张雅婷,王俊,尤为,郑雪,实习生谭砚文

在获得与分析上述一手企业调研资料的基础上，研究团队梳理了我国在数据跨境领域出台的法律法规和基础性技术、商业知识，结合当前政府管理部门披露的公开数据与案例，最终撰写完成《数据跨境现状调查与分析报告——基础问题与十个痛点的解决》。

南方财经全媒体集团记者吴立洋 21世纪经济报道记者张雅婷王俊尤为郑雪实习生谭砚文上海、广州、北京报道

“坦白说，处理数据出境安全评估、整改和申报的时间过长，难免会对业务开展造成影响。”

“境外接收方可能就是一个网店、经销商或者中小企业，技术能力和制度都缺乏保障，部分境外大企业还不愿意配合，评估数据接收方的数据安全保障能力困难重重。”

“由于重要数据等数据类型识别标准模糊，漏报数据未履行合规义务，或多报数据造成资源浪费的问题都可能存在，我们在划分数据时往往感觉无从下手。”

……

谈及进行数据跨境中存在的难点，面对研究者往往三缄其口的企业数据合规部门像是打开了话匣子，以上列出的种种问题也只是其在访谈中透露的冰山一角。

2022年7月，国家互联网信息办公室正式发布《数据出境安全评估办法》，并于同年9月施行，且要求不符合规定的数据出境活动于6个月内完成整改。截至今年3月，《评估办法》施行已达半年，企业落实政策要求、进行合规整改的实际成效如何将迎来初考。

企业数据出境迎大考合规难点突显

官方数据显示，自《评估办法》发布以来，各地数据跨境申报工作均在紧锣密鼓推进中：截至2月16日，上海市网信办接收正式申报材料量已超过110件；截至2月22日，北京市网信办已接受48家单位正式提交的申报材料，其中首都医科大学附属北京友谊医院与荷兰阿姆斯特丹大学医学中心合作研究项目成为全国首个数据合规出境案例……

此外，研究员在调研中还注意到，目前多地已在数据跨境领域就部分具体场景开展探索与创新，尤其是此前被列为展数据跨境传输安全管理试点的北京、上海、广州、深圳等地，均有具体产品或平台投入使用，丰富了数据跨境的渠道，为进一步开展合规工作积累了实践经验。

但由于在数据跨境过程中所涉数据类型的多样化，运用场景的多元化，企业合规认知实践能力层次不齐等多方面原因，数据分类分级、识别传输场景、盘点数据量、评估境外接收方等环节均不可避免地出现了困扰企业的难点问题，加大了企业完成数据出境安全评估的成本与难度。

例如，“难以准确识别重要数据”就是企业在调研过程中向研究团队反馈的最典型的合规问题之一。

根据《数据安全法》第二十一条及《数据出境安全评估办法》第十九条，重要数据指“一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据”。目前具体行业中，仅有汽车和基础电信两个领域在《汽车数据安全管理若干规定（试行）》《YD/T 3867-2021基础电信企业重要数据识别指南》对重要数据制定了进一步指引。

有企业表示，目前数据出境合规工作中企业对“重要数据”的定义和范围不够清晰，导致在出境数据自评估时不准确，最终只能不确定的都按照最严格的要求来处理。

本次调研显示，有近40%的企业对于划分“重要数据感到困难”， 33%的“不确定自己是否需要申报数据跨境安全评估”，这些因素都对企业选择哪种数据出境的安全保障机制有重要影响。

而个别环节的不明确可能对后续合规流程的规划产生持续影响，所谓的“最严格的要求”就包含了对安全保障机制和跨境传输路径等合规措施的选择。

当前，企业在进行数据跨境时通常存在三种路径可以选择，即出境安全评估、认证和标准合同。虽然《个人信息保护法》第三十八条要求个人信息处理者任选其一方式，但其实在选择顺序上需要先评估是否需要申报出境安全评估，不适用时才能考虑适用出境标准合同的机制。

原因在于，《评估办法》第四条指出，向境外提供重要数据等四种情形下的数据处理者，应当申报数据出境安全评估。因此在“按照最严格的要求处理”的思路指引下，企业往往会选择申报出境安全评估，而安全评估属于事前许可，合规资源消耗较大，在实践中不可避免地导致一部分原本无需申报的企业加大了时间和经济成本负担。

“问诊”20余家企业推动数据跨境降本增效

在这样的背景下，进一步明确数据跨境过程中的标准规范，创新合规形式，成为监管与产业共同关注的焦点问题。

去年12月，中共中央、国务院印发《关于构建数据基础制度更好发挥数据要素作用的意见》，其中第十一条提出“构建数据安全合规有序跨境流通机制”。要求“针对跨境电商、跨境支付、供应链管理、服务外包等典型应用场景，探索安全规范的数据跨境流动方式”；“统筹数据开发利用和数据安全保护，探索建立跨境数据分类分级管理机制”；“探索构建多渠道、便利化的数据跨境流动监管机制，健全多部门协调配合的数据跨境流动监管体系”。

为了解当下境内企业数据跨境的现状与困境，探讨如何建设更为安全高效的数据跨境传输渠道与监管机制，由环球律师事务所与南方财经全媒体集团合规科技研究院组成的联合研究团队向25家涉及数据跨境的企业或机构发放了调查问卷，以了解其在进行数据跨境实践中遇到的典型问题和主要关切。截至2023年2月22日，共回收来自互联网、制造业、金融等行业的问卷21份。

根据问卷调查所反映的共性问题，研究团队就数据跨境的细节和现有实践成果，与其中的9家企业及机构进行了访谈，以期对数据跨境实践中的难点与解决之道有更具深度与实操性的分析。

在获得与分析上述一手企业调研资料的基础上，研究团队梳理了我国在数据跨境领域出台的法律法规和基础性技术、商业知识，结合当前政府管理部门披露的公开数据与案例，最终撰写完成《数据跨境现状调查与分析报告——基础问题与十个痛点的解决》，希望为政策制定、执行和产业实践提供参考。