二零二二年八月,一家在深圳上市的大数据服务企业接到了国家网信部门的网络安全审查通知。调查的起因是企业在东南亚某国设立的技术研发中心,将国内核心算法和用户行为分析模型的完整源代码存储在了当地租用的一台云服务器上,并且在日常的开发和测试过程中,研发人员在该服务器上直接处理了部分国内客户的原始数据。
按照我国数据安全法和个人信息保护法的规定,关键信息基础设施运营者在中国境内运营中收集和产生的个人信息和重要数据,应当在境内存储。确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。此外,掌握大量个人信息和重要数据的企业在境外设立分支机构时,数据跨境流动的合规要求也需要提前做好评估和审批。
这家企业在东南亚设立研发中心的初衷是好的——利用当地的人才优势和相对较低的研发成本来加快产品迭代速度。研发中心的负责人是公司的一位技术副总裁,他在当地招聘了二十多名本地工程师,组建了一支完整的算法优化团队。为了让本地团队能够快速上手,他将在深圳总部的核心算法代码库完整迁移到了当地服务器上,同时开通了国内客户数据的分批访问权限,供本地团队做算法适配和优化测试。
但问题在于,公司在设立境外研发中心时,法务部门没有同步跟上,没有对当地的数据保护法律环境做专项调研,也没有向国家网信部门提交数据出境安全评估申请。按照我国相关法规的规定,重要数据的出境需要经过安全评估,而这家企业传输的算法代码中包含了用户画像模型,该模型本身就涉及大量个人信息的处理逻辑,属于数据出境安全评估的管理范围。
国家安全审查部门在调查中还发现,企业境外研发中心的服务器安全防护等级与国内存在明显差距。当地服务器的访问权限管理比较松散,二十多名本地工程师均拥有代码库的全部读写权限,没有执行最小权限原则。更严重的是,当地数据中心的一名运维人员利用职务便利,将部分算法代码拷贝到了个人设备上,虽然案件在本地警方介入后得到了控制,但代码是否被进一步扩散已经无法确认。
企业在接受审查期间被迫暂停了境外研发中心的全部业务活动,深圳总部的管理层和法务团队花了近三个月的时间来处理数据回传和服务器清理工作。根据网信部门的整改要求,企业需要将所有境外服务器中存储的源代码和客户数据全部删除,并在国内建立独立的研发测试环境,境外团队只能通过加密隧道访问测试环境中经过脱敏处理的数据。企业为此额外支出了一笔不小的费用用于搭建安全的数据传输和访问控制体系。
这起事件给所有"走出去"的科技企业敲响了警钟。在全球化布局的过程中,数据合规绝对不是一项锦上添花的工作,而是企业开展境外业务的前提条件。企业在任何一个国家或地区设立分支机构或技术中心,都应当提前做好数据保护法律的合规评估。数据安全法、个人信息保护法和关键信息基础设施安全保护条例共同构成了中国数据出境的合规框架,任何企图绕过这些框架进行数据跨境传输的行为,都可能给企业带来严重的法律后果。
北京企密安在为有境外业务需求的企业提供数据合规咨询服务时,通常会建议企业建立一套完整的"数据跨境安全评估自查清单"。清单内容包括:需要出境的数数据类型有哪些、出境目的和场景是什么、接收方的安全保护能力如何、是否经过了必要的安全评估或备案、数据出境后的存储期限和处理方式是否明确。企业法务部门和安全部门应当定期对照这份清单做自查,并及时向监管部门报告数据跨境活动的情况。数据出境不是不可以做,但必须在法律框架内做、做在前面、做明白。
