来源:中国贸易报 作者:本报记者 钱颜 2019-12-09 09:22:59
近日,美国国会共和党参议员,参议院司法委员会犯罪、恐怖主义与国土安全小组主席向参议院提交提案——《2019国家安全与个人数据保护法》,再次引发了各方关于数据保护、跨境传输等方面话题的热议。
“尽管目前《提案》仅处于提交参议院的阶段,在其正式通过生效前,还至少需要参议院通过、众议院通过并最终由总统签署,但《提案》基于安全目的的规则设置凸显了数据主权的理念,值得所有企业警惕,并提前布局做出应对方案。”金杜律师事务所合伙人宁宣凤表示。
为阻止用户数据向中国和其他可能威胁美国国家安全的国家传输,《提案》界定了特别关注国家和特别关注科技公司。《提案》对涉及coc及ctc的用户数据(其中用户包含拥有美国国籍、持有美国护照的公民,以及拥有居民身份的自然人)收集、使用、存储和传输进行了重点关注,也相应提出了一些通用要求。
金杜律师事务所合伙人吴涵介绍说,常见的全球数据管理体系有以下三种,一是单极中心化体系,即构建全球单个巨型数据中心及单一控制主体,以最大化数据融合效应并降低成本。主要优势是利于数据价值的有效开发,利于建立统一的管控和安全措施,节约对接和交互成本;二是多极区域化体系,根据需求,分别构建多个区域数据中心和控制主体。主要优势是特定区域内数据流通顺畅,部分形成数据融合效应,一定程度上协调不同司法辖区的法定义务;三是分散本地化体系,分散程度最高的本地化数据中心和控制主体方案,相对纯粹的本地化,主要优势是有效避免数据跨境限制,分散履行当地法定义务,数据实时性强,对业务支持弹性大等。
在数据主权的浪潮下构建全球数据管理体系,宁宣凤建议各类企业均应当采取更为审慎和主动的态度回顾自身业务,并相应及时采取细致和全面的应对措施。
首先,为确保全球数据管理体系的构建思路具有坚实、可靠的事实基础,企业需要对自身业务中的数据需求、技术需求和合规要求进行完整明确、层次清晰的事实梳理:全面盘点自身业务开展过程及所形成的数据管理体系中可能涉及的数据类型,并合理进行分类分级;审视各类业务场景中的数据需求和合规要求,评估相关法律风险,尤其是针对存在数据跨境、产品/服务跨境、业务主体跨境等情况的业务场景;基于事实梳理的情况,建立并不断完善网络安全与数据合规体系,以公开、透明、经得起检验的合规措施自证。
其次,对于不同类型、规模、行业的企业而言,在前述通用的应对思路基础上,需要进一步根据自身情况相应进行更具针对性的策略选择。
对于大型跨国企业而言,由于自身可能直接落入到各司法辖区有关本地化和跨境限制等规则的义务主体范围中,因此此类企业还应着重强调不同司法辖区业务之间的业务关联性和数据融合、打通的必要性,为后续决策提供基础;在风险评估和决策阶段,此类企业需要重点、优先、及时解决顶层架构问题,合理决策,确定数据管理体系的构建方向;以银行金融业为例,对于业务特性中天然具有跨境基因的行业,从总部层面务必应对全球发展情况进行统筹规划,可以考虑核心业务系统采用单极体系节约成本,部分边缘系统和数据本地化部署提升访问效率和避免过度的数据跨境传输等。
对于其他类型的企业(例如本地化企业)而言,一方面可能因未达到特定的监管标准而不受本地化规则或跨境限制的影响;另一方面,这些企业也同样可能因与大型跨国企业建立合作关系等原因受到目前立法潮流的影响。为此,即便自身业务并不明确落入本地化、跨境限制等规则之中,企业也需要在合理开展数据盘点和业务盘点的基础上,构建对外提供产品、服务过程中的合规风险管控防火墙,例如业务协议的完善与更新、与合作方之间的数据权益明确分配等。
最后,从外部影响的反馈上看,企业应紧跟立法和执法趋势,根据实际情况调整应对策略;同时,对于可能产生重大影响的立法思路和草案,通过立法意见、听证会、公开媒体等多种可行渠道表达来自于企业的意见,以争取更为有利的规则趋势。