m o b u c . 5 h t i g 数据跨境合规治理实践 白皮书 2021 序言 数字经济正加快驱动产业融合变革，拓宽和提升经济发展空间。 数据流动在数字经济发展中发挥着重要作用，数据要素的市场化配置 上升为各国宏观战略考量。为了平衡“数据安全”与“数据红利”， 建构和凝聚数字经济优势，主要国家和地区纷纷推进、强化数据跨境 内部规则的完善，积极推动、参与数据跨境国际规则的制定，形成了 不同的数据跨境流动合规规制圈。 m o 全球数据跨境流动规则框架下，没有企业可以回避数据跨境流动 c . 5 规则的深刻影响。企业应高度重视数据跨境流动管控形势和发展态 势，在全球业务和经营活动中应主动进行合规遵从，对冲和降低风险 b u 和不确定性压力，并将数据跨境风险控制机制化、常态化。 h t i g 古语有云：“万物得其本者生，百事得其道者成。”“以风险为 导向”的合规治理思想是迎接数据跨境规则挑战的重要方法。确保商 业可持续，合规管控与效益追求并重，一方面在制定完善跨境治理方 案的基础上完成系统性合规整改，主动降低外部风险；另一方面利用 已有的企业统一合规框架基线，以及双边、多边国际包容性规则降低 投入和运营成本。数字文明新时代下，共同探索、相互借鉴数据跨境 合规治理实践，通过持续和务实的合规建设，有助于优化企业数据合 规体系、共建产业数字合作格局。 申楠 主编：高瑞鑫、申燕茹、方圆、何智聪、王晨、刘天雅、杨宇鑫、徐敏、肖腾飞、黄惠娥、Marco、Alberto 参编：周宇心、王志宇、丁沛、魏安迪、梅傲婷、宋伟强、陈立生、文华龙、赵智海、李琳、池逸飞、惠兆 帅、曲绅维、龙浩、陈威特、陈正伟、林苏明、胡志强、邓园园、岳艳红、鲁可兴、林峻、张亮、张 哲、杨柳 m o h t i g b u c . 5 数据跨境合规治理实践白皮书（2021） 目录 一、 全球数据跨境规则现状及发展趋势 ............................................. - 1 1.1 数据跨境规则现状 .......................................................... 1.1.1 主要国家规则多为限制性规范 ............................................ 1.1.2 国际组织机制多为推动性规范 ............................................ 1.1.3 中国具有差异化和多层次特征 ............................................ 1.2 数据跨境发展趋势 .......................................................... 1.2.1 数据分级分类管理成为主流 .............................................. 1.2.2 探索促进统一数据跨境规范 .............................................. 1.2.3 数据主权管辖博弈冲击持续 .............................................. 1.3 数据跨境类型 .............................................................. 1.4 数据本地化模式 ............................................................ - 1 2 2 2 3 3 3 3 3 4 - m o 二、 企业数据跨境典型场景及管控要点 ............................................. - 5 2.1 数据跨境合规主要痛点难点 .................................................. 2.1.1 数据多样，跨境数据的法律属性识别与分类困难 ............................ 2.1.2 场景复杂，数据跨境的路径、角色及责任识别困难 .......................... 2.1.3 规则变动，规则要求多层次、多类型、不断演进 ............................ 2.2 数据跨境典型场景管控要点 .................................................. 2.2.1 数据跨境合规典型场景 .................................................. 2.2.2 数据跨境合规要点 ...................................................... c . 5 b u - 5 5 6 6 7 7 8 - 三、 企业数据跨境合规治理思路与良好实践 ......................................... - 9 - h t i g 3.1 数据跨境合规治理路径 ...................................................... - 9 3.2 数据跨境合规治理实践 ..................................................... - 10 3.2.1 明确管控数据对象 ..................................................... - 10 3.2.2 摸查关键情形场景 ..................................................... - 11 3.2.3 识别外部合规要点 ..................................................... - 12 3.2.4 组织合规风险评估 ..................................................... - 13 3.2.5 开展合规风险治理 ..................................................... - 15 3.2.6 重要数据合规延展 ..................................................... - 18 - 附录 ........................................................................... - 19 附件一：全球主要数据跨境限制模式 ............................................. 附件二：国际组织数据跨境流动框架 ............................................. 附件三：中国数据跨境相关法律规定 ............................................. 附件四：中国特殊行业数据跨境要求 ............................................. 附件五：全球数据跨境法律法规清单 ............................................. 附件六：全球数据跨境管控要求清单 ............................................. 附件七：全球主要监管机构联系方式 ............................................. 附件八：欧洲数据跨境管控机制范式 ............................................. 附件九：数据跨境司法执法舆情案例 ............................................. - 19 20 21 23 24 26 28 30 31 - 参考文献 ....................................................................... - 19 - 数据跨境合规治理实践白皮书 （2021） 一、全球数据跨境规则现状及发展趋势 1.1 数据跨境规则现状 数据跨境规则模式往往与数据安全政策偏好相关联。现有规则大体分为两类： 限制性规范，常见为一国家或地区针对重要数据或个人信息进行出境限制，以维护数据安 全或数据主权，即数据安全偏好型。 m o 推动性规范，常见为双边、多边或国际组织，为推进数据跨境安全有序地跨境流动，制定 双/多边国际协定或条约框架，以促进数据红利最大化发展，即数据红利偏好型。 c . 5 对数据主体而言，限制性规范中涉及的数据类型一般为个人信息、重要数据或特殊行业的 敏感数据；推动型规范中并未对数据性质作显著区分。 对企业而言，限制性和推动性规范均具有现实意义，限制性规范因占据主导地位将成为企 b u 业关注的重点。一方面，根据限制性规范要求，严格实施合规治理及管控运行，最大限度规避 违规风险；一方面，在合规管控运行前提下，充分利用推动性规则弹性空间，降低企业跨境管 控压力和成本。 h t i g 注：基于“非强制”、“仅约束缔约方”特性，推进性规则多不具备普遍约束力。 -1- 1.1.1 主要国家规则多为限制性规范 限制性规范，即一国家/地区的数据出境规则，根据当地法律体系、历史传统、风险偏好 的区别而呈现出不同严苛程度。目前，尚无国家完全禁止数据出境，或者对数据出境完全不加 限制，大部分国家/地区集中分布于中段。 中段形式大体表现为：国家安全与数字红利并举，促进数字经济发展的同时寻求本地化， 如印度、俄罗斯；市场自由与数字规则并重，提倡数据跨境自由流动的同时规定多样化的数据 出境机制，如欧盟、新加坡。 参考附件：《全球主要数据跨境限制模式》 1.1.2 国际组织机制多为推动性规范 m o c . 5 b u 国际组织积极制定数据跨境流动规则框架，推动数据在国家/地区间有序流动，以期减少数 据跨境流动摩擦，最大限度地发挥数字作用。其中，经济合作与发展组织（OECD）、亚洲太平 h t i g 洋经济合作组织（APEC）等国际组织确立了若干数据跨境流动的原则，建立了若干具有代表性 的框架