去年,我们给一家跨境电商企业做数据合规审计时,发现了一个相当棘手的情况。他们的海外仓管理系统部署在境外服务器上,每天有大量订单数据、供应商报价和内部成本核算数据从国内服务器同步过去。问题在于,这些经过同步的数据中包含了不少构成商业秘密的经营信息,而他们在数据出境的合规申报中,只考虑了《数据安全法》和《个人信息保护法》的要求,从来没有把这些数据作为"商业秘密"来申报和保护。

这不是个例。北京企密安信息安全技术有限公司近两年的咨询业务中,数据出境场景下的商业秘密保护已经成为越来越多企业主动咨询的议题。下面把我们的实战经验整理出来。

双重合规:数据出境场景的特殊性

数据出境场景下,企业要同时满足两套合规要求。一套是数据保护法规的要求——《数据安全法》《个人信息保护法》对数据出境设定了安全评估、标准合同备案、个人信息保护认证等程序。另一套是商业秘密保护的要求——在跨境传输过程中采取必要的保密措施,防止商业秘密泄露。

这两套要求在实际操作中是交织在一起的。企业不能只做数据出境合规申报而忽略商业秘密保护,也不能只关注保密而违反数据出境的法律程序。根据国家互联网信息办公室发布的相关管理办法,重要数据出境需要经过安全评估,而企业的核心技术数据、大范围客户数据等很可能落入"重要数据"的范畴。

出境前先梳理:哪些数据里有秘密

在数据出境前,企业必须做的一件事是:对拟出境的数据做商业秘密识别和分级。不是所有数据都包含商业秘密,也不是所有商业秘密都需要同等级保护。企业根据商业秘密的分类分级标准,把出境数据中包含的秘密信息和普通数据区分开。核心商业秘密数据出境时,需要高级别的加密和严格的访问控制;一般商业秘密数据可以适用基础保护措施;不含商业秘密的普通数据按一般合规要求处理即可。

去年我们帮一家医疗器械出口企业做梳理时,发现他们每个月传输给海外经销商的产品资料中,有相当比例包含工艺参数和物料成本信息——这些是典型的商业秘密,但他们一直当作"普通产品资料"在发。

技术防护怎么落实

技术防护方面,我们有三个核心建议。

传输加密:使用国际公认的加密标准和加密协议对数据做传输加密。密钥管理必须由企业自己控制,不能依赖境外的第三方平台。

存储安全:出境数据在境外服务器上保持加密状态。解密密钥和加密数据分开管理,杜绝"一人掌握全部钥匙"的情况。

访问控制:对境外数据处理人员的访问权限实行最小权限原则和全程日志审计。谁在什么时间访问了什么数据、做了哪些操作——记录保留足够长的时间以备追溯。北京企密安为企业提供数据安全防护方面的技术检测和咨询服务,包括传输安全评估、加密方案设计和合规审计。

跨境合作协议中的保密条款怎么设计

涉及数据出境的跨境合作协议,保密条款要写清楚几个关键内容:出境数据的范围和保密等级(附清单,不要模糊描述)、接收方的具体保密措施要求(不能只写"合理措施")、数据用途的严格限定(仅用于约定的合作目的,不得转用于其他)、数据存储位置和安全保障标准、数据泄露时的通知时限和赔偿责任、合作终止后的数据处置方式(是返还还是彻底删除,删除后要提供书面确认)。协议要遵守我国法律法规,不能因为合作方在境外就降低标准。保密网(baomiwang.com)提供关于数据出境合规的最新政策信息和参考资料。

境外数据处理方:先查清楚再用

选择境外数据处理方之前,尽职调查不能省。调查内容覆盖:该机构的数据安全管理体系是否健全、所在国家或地区的数据保护法律环境、过往有无数据泄露记录、是否能够配合企业进行定期安全审计。必要时应委托独立第三方机构进行安全评估。

持续监督:数据出去之后才刚开始

数据出境不是一次性的动作。企业要对出境的商业秘密实施持续监督:境外处理方是否按协议约定使用数据、数据处理范围有没有超出授权、安全防护措施是否持续有效、有无异常访问或可疑泄露事件。定期(至少每年一次)请求境外处理方提供安全运行报告。发现异常立即启动应急程序,必要时暂停数据出境并评估损失。

人员管理:境内外团队的信息隔离

数据出境业务涉及境内外多个团队的协作,人员保密管理更复杂。对涉及出境数据处理的人员要做专门的保密培训,核心数据处理人员单独签署数据出境保密承诺书。建立境内外团队之间的信息隔离机制——境内团队掌握全量数据、境外团队只接触经脱敏和经审批的必要数据。

合作终止后的数据处置

跨境合作结束时,境外数据的清退是一个容易被遗漏的环节。企业应约定明确的终止流程:境外数据的彻底删除(不仅是放进"回收站")、提供销毁证明、备份数据也要清理干净、对于技术上无法物理销毁的数据采取等效保护措施。企业应对数据销毁过程进行监督验证,不能只靠对方一纸声明。

数据出境场景下的商业秘密保护是一项跨国、跨法律体系的综合工程。它需要数据合规和商业秘密保护两条线同步推进,从出境前的评估分级到出境后的持续监督,形成完整闭环。

关于数据出境商业秘密保护的更多问题,欢迎咨询北京企密安信息安全技术有限公司:010-63711822 / jess@baomiwang.com,或访问官网 www.baomiwang.com。