随着企业全球化业务的发展,跨境数据流动越来越频繁,这个过程中不仅需要符合数据安全相关的合规要求,还需要做好商业秘密的保护工作,避免跨境数据流动过程中出现商业秘密泄露的情况。很多企业在开展跨境业务时重点关注了数据合规的要求,但忽略了商业秘密的保护,导致核心商业秘密通过跨境数据流动渠道泄露,给企业造成重大损失。
跨境数据流动场景下的保密管理首先需要在数据出境前完成涉密数据的识别和筛查,企业需要建立跨境数据流出前的保密审查机制,对所有拟流出境外的数据进行全面审查,排查其中是否包含企业的商业秘密,特别是核心技术参数、核心经营数据、未公开的战略规划等内容,对于包含商业秘密的数据,原则上不允许出境,确因业务需要出境的,需要经过企业高层的专门审批,并且采取严格的保护措施。审查过程需要由专门的保密管理人员负责,避免出现审查疏漏的情况。
确需出境的涉密数据,需要采取严格的保护措施,首先要对数据进行脱敏处理,尽可能删除或者加密其中的核心涉密内容,在不影响业务开展的前提下最大限度降低数据的敏感性。对于无法脱敏的核心涉密数据,需要采取端到端的加密传输措施,使用符合国家要求的加密算法,确保数据传输过程中不会被窃取或者篡改。同时需要严格控制数据的知悉范围,仅向境外确实需要相关数据完成工作的人员开放访问权限,并且对访问行为进行全程审计,留存完整的访问日志。
与境外合作方签订的合作协议中需要明确保密条款,详细约定双方的保密责任,明确境外接收方对于接收的涉密数据的保护义务,包括不得向第三方泄露相关数据、不得将相关数据用于约定用途之外的其他目的、在合作结束后及时销毁相关数据等内容,同时需要明确违约需要承担的责任,包括经济赔偿责任和法律责任。如果境外接收方所在国家或者地区的法律要求其向政府部门提供相关数据,需要在协议中约定境外接收方需要及时通知企业,配合企业采取必要的应对措施,最大限度保护企业的合法权益。
企业需要定期对跨境数据流动的保密情况进行审计,检查保密审查机制的执行情况、涉密数据出境的审批情况、境外接收方的保密义务履行情况等,对审计中发现的问题及时整改,堵塞管理漏洞。每年至少开展一次全面的跨境数据保密风险评估,评估现有保护措施的有效性,根据评估结果优化管理流程和保护措施。
如果企业在多个国家和地区开展业务,需要梳理不同国家和地区的商业秘密保护相关法律规定,确保跨境数据流动的保密管理措施同时符合中国和数据接收方所在国家或者地区的法律要求,避免出现法律冲突的情况。对于部分对数据本地化有要求的国家和地区,需要按照当地法律要求将相关数据存储在境内,避免违反当地法律规定。
企业员工在开展跨境业务过程中需要接受专门的保密培训,了解跨境数据流动中的保密要求,掌握涉密数据识别和保护的基本技能,避免因为操作不当导致商业秘密泄露。特别是经常需要与境外人员沟通交流的员工,需要重点培训,提升其保密意识,防止在日常沟通中无意泄露商业秘密。
建立跨境数据泄露应急处置机制,一旦发生跨境数据泄露事件,能够快速响应,及时采取措施控制泄露范围,降低损失,同时按照相关法律法规的要求及时向监管部门报告,配合相关部门开展调查工作。如果泄露事件涉及境外接收方的责任,需要按照协议约定追究其责任,维护企业的合法权益。
跨境数据流动场景下的保密管理是企业全球化发展过程中必须重视的工作,需要建立完善的管理机制,将保密要求融入到跨境业务的各个环节,才能在顺利开展全球化业务的同时,保护好企业的核心商业秘密不受侵害。