说起数据跨境传输,我以前总觉得这离普通企业很远。直到去年帮朋友公司处理了一单跨国业务,才发现这个问题几乎是每家有海外客户的企业都会踩的坑。朋友公司是做跨境电商SaaS的,客户在欧洲、东南亚都有分布,业务量不大,但涉及的用户数据种类还挺多——姓名、邮箱、订单记录、物流信息,看上去都是很常规的数据吧?结果合规顾问一来,直接说你们这传输链路里有一半数据没有做合规评估。
数据跨境传输这件事,核心就四个字:出境合规。不是说你数据出国了才叫跨境,而是只要数据被境外的主体访问、存储、处理,无论技术上是在境内还是境外服务器,都算跨境传输。这个定义弹性很大,所以第一步要做对的是搞清楚你的数据到底去了哪里。很多企业以为数据放在阿里云国内节点就没问题,但团队成员在国外出差用手机登录系统、海外分公司通过VPN访问总部数据库,这些场景其实都已经构成了跨境传输。
目前国内关于数据跨境传输的法律框架,主要包括网络安全法、数据安全法和个人信息保护法这三部大法。个人信息保护法第三十八条到第四十三条专门讲了个人信息出境的规则,数据安全法也有关于重要数据出境的条款。简单说,你要把个人的信息传到境外,要么通过国家网信办组织的安全评估,要么做标准合同备案,要么通过专业机构的认证。三种路径适用不同的场景,不是你想选哪个就选哪个。
判断走哪条路的关键是数据量和数据类型。按照当前的监管要求,处理个人信息达到一百万人以上、或者累计向境外提供十万人以上个人信息的,基本要走安全评估这条路。处理量没那么大的企业,可以选择签署标准合同,但标准合同也不是签了就完事,你得有对应的组织措施和技术措施,确保接收方能按合同约定保护数据。还有一种路径是认证,目前主要是通过数据保护能力认证,这条路用得相对少一些,但对于某些特定行业来说也是可行的。
实际操作中,我建议企业先从数据梳理开始。很多企业对自己的数据资产其实没搞清楚,哪些是个人信息,哪些是敏感个人信息,哪些是重要数据,这些类别划分不清楚,后续的合规路径就无从谈起。建议成立一个跨部门的小组,IT、法务、业务侧都要参与,把数据流动的全链路画出来——从采集、存储、使用到传输、删除,每个环节的数据流向和访问权限都要标注清楚。这个工作看着繁琐,但做好了后面所有合规动作都有基础。
还有一个容易被忽略的点是合同和供应商管理。很多企业用的是第三方SaaS工具,这些工具的数据存储节点可能在境外,但采购合同里没有体现数据跨境条款。建议在采购时就把数据处理协议签好,明确数据存储位置、数据访问权限、发生数据泄露时谁负责通知用户。特别是使用境外软件服务的公司,比如用海外版CRM、海外版协同工具,这些工具的服务器大多在境外,已经构成了数据跨境的事实。
从实操角度,跨境传输的合规要点可以归纳为几条:第一,搞清楚数据出境的事实路径;第二,对照监管要求确定适用哪条合规路径;第三,做好数据分类分级,不能一刀切;第四,准备好法律文书,包括数据出境合同、数据保护影响评估报告;第五,建立持续监测机制,数据量变化、业务模式变化都要及时调整合规策略。这里特别想强调第二点,数据保护影响评估是做所有跨境传输的标准动作,不是可选的。无论你走哪条路径,都得先做评估,评估报告要留档备查。
朋友公司花了一个多月的时间把整个数据链路梳理了一遍,从用户注册到订单完成到售后跟进,每一处涉及数据出境的场景都画了流程图。最后发现真正需要走安全评估的场景其实只有两个,大部分场景通过标准合同就能覆盖。合规顾问帮他们准备了两套标准合同,分别针对东南亚和欧洲的合作伙伴,合同里明确约定了数据使用范围、保留期限、删除机制和审计权利。整个流程走完,虽然前期花了些功夫,但后续的业务拓展就顺畅多了,客户问起数据保护的事也能拿出实实在在的文档。
数据跨境传输不会因为你没留意就不发生。企业的业务边界在扩展,数据的流动也在扩展,提前把合规基础打好,等业务真的做大了才不会手忙脚乱。说到底,数据跨境合规不是限制业务,而是给业务出海系上安全带。
