2022年5月14日（周六）晚，上海賽博網(wǎng)絡(luò)安全產(chǎn)業(yè)創(chuàng)新研究院聯(lián)合安永(中國(guó))企業(yè)咨詢有限公司主辦「數(shù)安周享會(huì) · Cyber Talk」第四期直播活動(dòng)。本期以“數(shù)據(jù)跨境場(chǎng)景下的流通與安全”為主題，重點(diǎn)探討了隨著全球數(shù)據(jù)流動(dòng)趨勢(shì)凸顯、企業(yè)跨境業(yè)務(wù)開(kāi)展，如何同時(shí)保障跨境數(shù)據(jù)的流通與安全合規(guī)？基于政策要求、監(jiān)管趨勢(shì)、行業(yè)最佳實(shí)踐，企業(yè)如何就數(shù)據(jù)跨境典型場(chǎng)景開(kāi)展數(shù)據(jù)安全合規(guī)工作？

施建俊指出，數(shù)據(jù)跨境不是一次性活動(dòng)，而是要深入到企業(yè)日常的風(fēng)險(xiǎn)管理活動(dòng)中，持續(xù)開(kāi)展以確保企業(yè)合規(guī)的事項(xiàng)。基于數(shù)據(jù)跨境方面的咨詢及實(shí)踐經(jīng)驗(yàn)，施建俊重點(diǎn)分享了在數(shù)據(jù)跨境場(chǎng)景中企業(yè)所面臨的挑戰(zhàn)、企業(yè)數(shù)據(jù)跨境管理關(guān)鍵控制措施以及如何建立持續(xù)的管控框架。

01

數(shù)據(jù)跨境管理問(wèn)題

近年來(lái)，中國(guó)及國(guó)際上其他主要經(jīng)濟(jì)體針對(duì)數(shù)據(jù)跨境流動(dòng)問(wèn)題的監(jiān)管都趨于嚴(yán)格。而數(shù)據(jù)跨境管理的本質(zhì)是要保證數(shù)據(jù)在有序可控的情況下流通，而不是要把數(shù)據(jù)完全隔斷。

因此，如何在數(shù)據(jù)跨境場(chǎng)景中保證數(shù)據(jù)流通的有序可控，是每個(gè)企業(yè)都要面臨的一個(gè)挑戰(zhàn)。

按照法律要求，每個(gè)向境外傳輸數(shù)據(jù)的企業(yè)都要關(guān)注數(shù)據(jù)跨境問(wèn)題，尤其是以下幾類企業(yè)，需要引起高度重視：

有在海外上市計(jì)劃或已在海外上市的企業(yè)，特別是在美國(guó)上市的企業(yè)；

向境外提供個(gè)人信息的企業(yè)（尤其是提供大量個(gè)人信息的企業(yè)）；

涉及重要數(shù)據(jù)出境的企業(yè)（尤其是關(guān)乎國(guó)計(jì)民生行業(yè)的企業(yè)），如涉及地理、自然資源、基因、生物特征、宏觀統(tǒng)計(jì)數(shù)據(jù)、網(wǎng)絡(luò)信息系統(tǒng)缺陷、人群導(dǎo)航位置、大型設(shè)備目標(biāo)和位置等數(shù)據(jù)；

關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者，如互聯(lián)網(wǎng)平臺(tái)、云計(jì)算平臺(tái)、大數(shù)據(jù)平臺(tái)、國(guó)防科工、大型裝備、化工、食品藥品科研生產(chǎn)企業(yè)等；

對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全、網(wǎng)絡(luò)安全和數(shù)據(jù)安全有重要影響的網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者，如核心網(wǎng)絡(luò)設(shè)備、重要通信產(chǎn)品、高性能計(jì)算機(jī)和服務(wù)器、大容量存儲(chǔ)設(shè)備、大型數(shù)據(jù)庫(kù)和應(yīng)用軟件、網(wǎng)絡(luò)安全設(shè)備、云計(jì)算服務(wù)。

02

企業(yè)數(shù)據(jù)跨境傳輸面臨的主要挑戰(zhàn)

企業(yè)在數(shù)據(jù)跨境傳輸過(guò)程中會(huì)面臨很多困境，以下六方面問(wèn)題相對(duì)突出：

1. 監(jiān)管復(fù)雜性：對(duì)于企業(yè)來(lái)說(shuō)，了解復(fù)雜的、動(dòng)態(tài)發(fā)展的、相互影響的國(guó)際監(jiān)管格局以及跨境數(shù)據(jù)管理規(guī)則是一項(xiàng)嚴(yán)峻的挑戰(zhàn)。

不僅是中國(guó)，每個(gè)國(guó)家對(duì)數(shù)據(jù)跨境傳輸都有相關(guān)要求。有的國(guó)家要求出境之前要評(píng)估，有的國(guó)家要求出境之前在本國(guó)先要落地，且具體的要求還存在細(xì)微的差別。對(duì)于企業(yè)本身來(lái)說(shuō)，由于全球的治理架構(gòu)不同，數(shù)據(jù)所有權(quán)到底是歸總公司統(tǒng)一管理還是由各地的分支機(jī)構(gòu)掌握管轄權(quán)？目前，部分企業(yè)的治理架構(gòu)可能本身就存在問(wèn)題。

2. 第三方供應(yīng)商管理問(wèn)題：為符合全球數(shù)據(jù)傳輸和數(shù)據(jù)本地化的要求，企業(yè)需改進(jìn)或重新制定對(duì)第三方供應(yīng)商進(jìn)行認(rèn)證、審查和重新認(rèn)證的管理流程。

在實(shí)際處理過(guò)程中，企業(yè)所委托的第三方可能存在“把其數(shù)據(jù)放在他國(guó)進(jìn)行處理或者離岸處理”的情形，這也會(huì)觸發(fā)出境場(chǎng)景，企業(yè)需要關(guān)注這方面的風(fēng)險(xiǎn)。

3．治理的困難性：對(duì)于企業(yè)來(lái)說(shuō)，為隔離跨境數(shù)據(jù)傳輸風(fēng)險(xiǎn)，建設(shè)跨境數(shù)據(jù)治理框架、分配數(shù)據(jù)本地化所有權(quán)同樣是一項(xiàng)不小的挑戰(zhàn)。

4. 管理措施及時(shí)更新的問(wèn)題：面對(duì)跨境數(shù)據(jù)傳輸和數(shù)據(jù)本地化在個(gè)人信息保護(hù)和技術(shù)流程方面的變化，企業(yè)及時(shí)地更新調(diào)整管理控制措施是一項(xiàng)艱難的挑戰(zhàn)。

應(yīng)用場(chǎng)景對(duì)技術(shù)平臺(tái)相關(guān)管理流程影響較大。出境評(píng)估可能是針對(duì)某一時(shí)刻的場(chǎng)景，一但這些場(chǎng)景有所變化，企業(yè)是否能夠聯(lián)動(dòng)的把相應(yīng)的管理流程、系統(tǒng)架構(gòu)、數(shù)據(jù)管控方式等進(jìn)行同步處理？這對(duì)于企業(yè)（尤其是對(duì)大型公司）來(lái)說(shuō)有很大的挑戰(zhàn)。

5. 如何突破數(shù)據(jù)跨境傳輸技術(shù)障礙：對(duì)于企業(yè)來(lái)說(shuō)，根據(jù)不同地區(qū)的監(jiān)管要求、數(shù)據(jù)敏感度和數(shù)據(jù)使用情況，為數(shù)據(jù)傳輸、訪問(wèn)、同意監(jiān)控、數(shù)據(jù)跟蹤以及跨技術(shù)棧的存儲(chǔ)等方面建立不同的技術(shù)控制措施，同時(shí)還要具備報(bào)告和監(jiān)測(cè)的能力，對(duì)合規(guī)性進(jìn)行持續(xù)評(píng)估。

6. 如何保持?jǐn)?shù)據(jù)的一致性：當(dāng)管轄權(quán)發(fā)生變更，企業(yè)無(wú)法再采用審查、測(cè)試、報(bào)告、落實(shí)管理制度的方式，保持跨境數(shù)據(jù)在處理、儲(chǔ)存和銷(xiāo)毀方面的一致性。企業(yè)如何保持?jǐn)?shù)據(jù)的一致性是一項(xiàng)巨大的挑戰(zhàn)。

最后兩項(xiàng)是技術(shù)性問(wèn)題。在進(jìn)行數(shù)據(jù)跨境傳輸時(shí)，企業(yè)是否能夠按照《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》等相關(guān)法律法規(guī)要求，對(duì)數(shù)據(jù)實(shí)施足夠的安全管控措施，如傳輸?shù)募用堋⒃L問(wèn)控制的限制、統(tǒng)一的監(jiān)控系統(tǒng)、存儲(chǔ)等？企業(yè)是否能夠達(dá)到各國(guó)關(guān)于數(shù)據(jù)跨境傳輸?shù)陌踩螅咳绻髽I(yè)的數(shù)據(jù)必須在不同的司法管轄區(qū)或國(guó)家存很多份，對(duì)集中化應(yīng)用來(lái)說(shuō)，怎么保證數(shù)據(jù)之間的一致性、處理的一致性，這給整個(gè)系統(tǒng)架構(gòu)的設(shè)計(jì)帶來(lái)很大的挑戰(zhàn)。

03

企業(yè)數(shù)據(jù)跨境管理關(guān)鍵控制措施

針對(duì)數(shù)據(jù)跨境傳輸過(guò)程中可能遇到一些問(wèn)題，其應(yīng)對(duì)措施有很多。

4項(xiàng)關(guān)鍵控制措施：

1）檢測(cè)/發(fā)現(xiàn)：數(shù)據(jù)分類分級(jí)

??繪制數(shù)據(jù)流轉(zhuǎn)圖以理解數(shù)據(jù)的傳輸區(qū)域

??通過(guò)自然語(yǔ)言處理（NLP）、人工智能（AI）等工具/技術(shù)進(jìn)行內(nèi)容掃描來(lái)檢測(cè)敏感數(shù)據(jù)，并對(duì)數(shù)據(jù)進(jìn)行分類分級(jí)

??建立內(nèi)部溝通平臺(tái)，掃描可能是MNPI（非公開(kāi)資料）的關(guān)鍵字

數(shù)據(jù)分類分級(jí)里除了制定相關(guān)標(biāo)準(zhǔn)、框架，還可以引入自然語(yǔ)言處理（NLP），人工智能（AI）等方法，幫助企業(yè)對(duì)數(shù)據(jù)進(jìn)行自動(dòng)化或半自動(dòng)化的分類分級(jí)處置。

2）數(shù)據(jù)防泄漏策略

對(duì)包含敏感信息的文檔和電子郵件采取合適的數(shù)據(jù)丟失防護(hù)強(qiáng)制措施，例如阻止發(fā)送、阻止共享、警告最終用戶或?qū)嵤徲?jì)活動(dòng)

數(shù)據(jù)防泄露策略可以用作數(shù)據(jù)出境當(dāng)中的監(jiān)控。可以利用DLP手段進(jìn)行跨境方面的管控。

3）加密，去標(biāo)志化，匿名化

保護(hù)敏感信息的同時(shí)，也需要保持其在恰當(dāng)時(shí)候的可用性：

取證

風(fēng)險(xiǎn)管理報(bào)告

合規(guī)

數(shù)據(jù)分析

在數(shù)據(jù)出境前，利用先進(jìn)的技術(shù)手段，尤其是在個(gè)人信息方面，對(duì)數(shù)據(jù)進(jìn)行去標(biāo)志化、匿名化處理，包括廣義的使用一些隱私計(jì)算技術(shù)。在這一過(guò)程中，需要保持其在取證、風(fēng)險(xiǎn)管理報(bào)告、合規(guī)、數(shù)據(jù)分析時(shí)的可用性，兩者之間要進(jìn)行一個(gè)平衡。

4）數(shù)據(jù)免疫（對(duì)于數(shù)據(jù)本身的免疫）

????在數(shù)據(jù)源（創(chuàng)建時(shí)）應(yīng)用基于分類的安全控制措施來(lái)確保：

最小化數(shù)據(jù)暴露時(shí)間

提供上下文確保數(shù)據(jù)分類是正確的

減少網(wǎng)絡(luò)安全漏洞

跨境傳輸?shù)臄?shù)據(jù)盡量最小化，越少越好。在數(shù)據(jù)分類分級(jí)過(guò)程中，提供一些上下文來(lái)確保數(shù)據(jù)分類分級(jí)盡量準(zhǔn)確。傳輸過(guò)程中應(yīng)用一些技術(shù)措施，防止系統(tǒng)當(dāng)中出現(xiàn)漏洞，造成數(shù)據(jù)意外泄露。

04

數(shù)據(jù)跨境傳輸管理框架

今年，國(guó)家出臺(tái)了數(shù)據(jù)跨境管理的法規(guī)體系、配套評(píng)估標(biāo)準(zhǔn)以及認(rèn)證機(jī)制。企業(yè)怎樣才能做好數(shù)據(jù)跨境工作？可以分三步來(lái)進(jìn)行：

1、企業(yè)要規(guī)劃戰(zhàn)略。

弄清楚什么數(shù)據(jù)要出境？去哪里？為什么要出境？是否要出去這么多？通過(guò)什么渠道出去？出去之后是否有管控措施？第三方是否還會(huì)進(jìn)一步處理這些數(shù)據(jù)？企業(yè)首先要弄清楚全盤(pán)現(xiàn)狀，制定促進(jìn)管理的戰(zhàn)略。

2、將監(jiān)管要求逐步融入戰(zhàn)略，選擇合適的管控框架、技術(shù)手段等。

企業(yè)要了解其會(huì)面臨哪些監(jiān)管方面的問(wèn)題？本國(guó)有哪些相關(guān)要求？其他地方有無(wú)類似要求，包括有無(wú)數(shù)據(jù)保護(hù)與本地化、網(wǎng)絡(luò)安全管理、第三方管理等相關(guān)要求？然后，企業(yè)需要將相關(guān)要求進(jìn)行融合，再梳理出監(jiān)管的期望并抽取出共性要求。主要的監(jiān)管期望包括監(jiān)管批準(zhǔn)，傳輸協(xié)議，對(duì)數(shù)據(jù)發(fā)送方、接收方或數(shù)據(jù)使用進(jìn)行安全評(píng)估。接下來(lái)，企業(yè)可以設(shè)計(jì)相應(yīng)的風(fēng)險(xiǎn)緩解措施。具體如下：

區(qū)域化服務(wù)供應(yīng)商：為了避免數(shù)據(jù)流動(dòng)復(fù)雜，企業(yè)可以委托當(dāng)?shù)胤?wù)商進(jìn)行本地化處理，從而避免數(shù)據(jù)的流動(dòng)；

數(shù)據(jù)匿名化：在數(shù)據(jù)流動(dòng)過(guò)程中，按照要求進(jìn)行數(shù)據(jù)的匿名化處理，或利用隱私計(jì)算等技術(shù)，避免數(shù)據(jù)的流通。

數(shù)據(jù)傳輸映射：企業(yè)要搞清楚數(shù)據(jù)傳輸過(guò)程中的映射關(guān)系。數(shù)據(jù)是怎么傳的？通過(guò)什么鏈路？通過(guò)什么樣的技術(shù)手段？全鏈路的控制是怎樣的？

數(shù)據(jù)庫(kù)鏡像：針對(duì)有本地化要求的司法區(qū)域，在數(shù)據(jù)跨境傳輸時(shí)，需同步有一個(gè)數(shù)據(jù)鏡像或是備份存在當(dāng)?shù)兀瑥亩ＷC本地化要求。

針對(duì)這些措施，企業(yè)需要點(diǎn)對(duì)點(diǎn)地針對(duì)相關(guān)要求設(shè)計(jì)相應(yīng)措施。

3、將戰(zhàn)略目標(biāo)進(jìn)行優(yōu)化、量化，使其能夠持續(xù)的監(jiān)控。

企業(yè)需要考慮建立一個(gè)更加常態(tài)化的風(fēng)險(xiǎn)管理體系，或者把數(shù)據(jù)跨境工作納入到企業(yè)整體的風(fēng)險(xiǎn)管理體系中，把其作為一項(xiàng)關(guān)鍵風(fēng)險(xiǎn)來(lái)處理。

首先，企業(yè)要梳理清楚需要遵守哪些相關(guān)法律法規(guī)。然后把常見(jiàn)的監(jiān)管要求抽取出來(lái)，如合法性，公平性和透明度、目的限制、數(shù)據(jù)最小化、準(zhǔn)確性、存儲(chǔ)限制/留存、完整性和機(jī)密性、問(wèn)責(zé)制。企業(yè)要對(duì)數(shù)據(jù)在各地的存儲(chǔ)要求、刪除要求等進(jìn)行充分梳理。不同類型的數(shù)據(jù)，其存儲(chǔ)要求、留存要求并不相同。

在中國(guó)，對(duì)于不同類型的數(shù)據(jù)，因其涉及到不同的保存期限、保存形式，常見(jiàn)的法律法規(guī)、政策文件有30多份。如果涉及多個(gè)國(guó)家，情況會(huì)更加復(fù)雜。這些都會(huì)作為設(shè)計(jì)整個(gè)數(shù)據(jù)跨境和數(shù)據(jù)保護(hù)的基本框架。在這一情況下，企業(yè)可以搭建自己的管控體系。

企業(yè)在開(kāi)展數(shù)據(jù)保護(hù)、尤其是數(shù)據(jù)跨境合規(guī)保護(hù)時(shí)，需重點(diǎn)考慮8個(gè)管控領(lǐng)域：

第一，關(guān)于數(shù)據(jù)安全和跨境方面的治理架構(gòu)。這一架構(gòu)包含企業(yè)層面整體的一個(gè)權(quán)責(zé)，怎么樣分工？哪個(gè)崗位承擔(dān)什么樣的責(zé)任？基本的政策方針是什么樣的？還包括對(duì)業(yè)務(wù)部門(mén)相關(guān)人員進(jìn)行合規(guī)，風(fēng)險(xiǎn)，安全，IT等相關(guān)的教育培訓(xùn)。

第二，數(shù)據(jù)管理。包括企業(yè)到底哪些數(shù)據(jù)需要出境？收集了哪些數(shù)？這些數(shù)據(jù)是否進(jìn)行了相關(guān)的維護(hù)管理，全生命周期的形態(tài)是怎樣的？對(duì)數(shù)據(jù)的全生命周期有一個(gè)比較好的管理體系。

第三，變更管理。很多情況下，如果企業(yè)變更管理不夠完善，場(chǎng)景一變，數(shù)據(jù)跨境評(píng)估的前期假設(shè)在系統(tǒng)變更后沒(méi)有被很好的貫徹下去，導(dǎo)致系統(tǒng)剛建好時(shí)是合規(guī)的，用了一段時(shí)間后需要不停的升級(jí)，之后可能慢慢又變得不合規(guī)。

第四，第三方管理。企業(yè)自身不進(jìn)行數(shù)據(jù)出境，但第三方將其數(shù)據(jù)進(jìn)行出境或相關(guān)的處理，引發(fā)一些法律方面的糾紛。

第五，關(guān)于統(tǒng)一的隱私管理框架。在數(shù)據(jù)出境之前，需要征得數(shù)據(jù)主體的民事同意。企業(yè)還要考慮個(gè)人信息處理的重要活動(dòng)記錄，報(bào)告義務(wù)等。

第六，信息安全。在數(shù)據(jù)保護(hù)和跨境的情況下，尤其要關(guān)注數(shù)據(jù)的訪問(wèn)控制、權(quán)限管理，這牽涉到數(shù)據(jù)最小化使用問(wèn)題。同時(shí)，包含信息安全事件，尤其是數(shù)據(jù)安全事件的報(bào)告流程和銜接機(jī)制。很多國(guó)家對(duì)于隱私，對(duì)于重要數(shù)據(jù)泄露等都要求企業(yè)有報(bào)告的義務(wù)，有報(bào)告的時(shí)效性。很多企業(yè)還有一些相關(guān)的計(jì)劃，像災(zāi)備，業(yè)務(wù)連續(xù)性等。因此，在這個(gè)過(guò)程當(dāng)中，企業(yè)和災(zāi)備、業(yè)務(wù)連續(xù)性等也要進(jìn)行一個(gè)有效的銜接。或者說(shuō)，在災(zāi)備和業(yè)務(wù)連續(xù)情況下，保證相關(guān)數(shù)據(jù)的合規(guī)。

第七，關(guān)于數(shù)據(jù)跨境傳輸?shù)挠成鋯?wèn)題。有哪些場(chǎng)景，通過(guò)什么手段進(jìn)行數(shù)據(jù)傳輸？需要做一個(gè)重要數(shù)據(jù)跨境活動(dòng)的清冊(cè)。這也是后面企業(yè)進(jìn)行安全評(píng)估的基礎(chǔ)性資料。

第八，關(guān)于數(shù)據(jù)留存和刪除的一些要求和技術(shù)手段的實(shí)現(xiàn)。

在以上8個(gè)領(lǐng)域，企業(yè)針對(duì)其所面臨的數(shù)據(jù)安全和跨境方面的風(fēng)險(xiǎn)，可以設(shè)計(jì)不同的管控要求。

此外，企業(yè)需要有一個(gè)持續(xù)的監(jiān)督機(jī)制。越來(lái)越多的企業(yè)在其內(nèi)審職能當(dāng)中針對(duì)數(shù)據(jù)安全、個(gè)人信息保護(hù)以及數(shù)據(jù)跨境問(wèn)題，設(shè)定相關(guān)的職能，定期根據(jù)法律法規(guī)的要求進(jìn)行審計(jì)，確保企業(yè)整個(gè)體系符合相關(guān)法律法規(guī)和企業(yè)業(yè)務(wù)自身發(fā)展的要求。