普华永道奇安信-数据跨境合规白皮书.pptx

1 全球及中国数据安全合规趋势 1.1 全球数据安全合规趋势 1.2 中国数据安全合规趋势 2 数据跨境法规解读 2.1 全球数据跨境法规 2.2 中国数据跨境法规 3 典型数据跨境场景的风险及应对 3.1 典型跨境场景 3.2 数据跨境带来的风险与挑战 3.3 典型跨境应对; 4 数据跨境合规应对 16 4.1 金融行业 17 4.2 科技互联网行业 — 以智能硬件为例 21 4.3 汽车行业 — 以车联网为例 26 4.4 企业内部管理场景 29;; PwC;; 1992-《俄罗斯联邦安全法》 1993.7-《国家秘密法》 1993.12-《俄罗斯联邦宪法》 2004.7-《商业秘密法》 2006-《信息、信息技术和信息保护法》 2006.7-《俄罗斯联邦个人数据法》 2008.9-《不使用自动化设备进行个人数据处理规定》 2012.11-《个人数据相关信息系统在处理个人数据过 程中的防护要求》; 1.2 中国数据安全合规趋势 数据合规管理制度日趋完善 随着《网络安全法》《数据安全法》《个人信息 保护法》的相继落地实施，我国网络安全与数据 保护领域基本法律框架形成，未来，数据法规整 改和内容细化将成为主要趋势。例如，针对数据 出境活动相关规范细则不断落地，《数据出境安 全评估办法》《数据出境安全评估申报指南》等 进一步细化《个人信息保护法》中提到的数据出 境安全评估路径的要求，《个人信息出境标准合 同办法》《个人信息跨境处理活动安全认证规范》 等法律法规则进一步细化《个人信息保护法》中 提及的合同备案及数据认证路径，数据出境的基 本合规框架亦已搭建完成。 数据分级分类管理趋势 《网络安全法》提出了数据分级分类保护制度， 数据可从个人维度、公共管理维度、信息传播维 度、组织经营维度和行业领域维度等进行分类， 不同数据涉及的法律风险和数据合规要求各有不 同；同时，根据对国家安全和公共利益等造成危 害的程度，对重要数据提出了严格的监管要求， 以此实现数据资源的精细化管理和保护。 分行业进行数据合规管理 监管机构针对不同行业发起???多项监管行动，个 别行业数据治理成为重点监督方向。例如，金融 领域发布了《征信业务管理办法》，国家市场监 督管理总局和国家标准化管理委员会也针对医疗 领域发布了推荐性国家标准GB/T39725-2020 《信息安全技术—健康医疗数据安全指南》，以 及汽车行业的《汽车数据安全管理若干规定 (试 行) 》等。; PwC; 该名单由欧盟委员会根据个人信息保护立法状况、 执法能力，是否存在有效的救济机制等做出综合 评估。截至目前，中国尚未获得欧盟“充分性认 定” ，国内企业暂时无法通过该等路径进行数据 跨境传输。此外，美国虽未获得充分性认定，但 与欧盟不断就数据跨境磋商并达成双边协定，并 根据《欧 美隐私盾协议》 ( EU-U.S. Privacy Shield) 取得类似“白名单”地位，后该协议在 Schrems II案中由欧盟法院宣告无效，但双方于 2022年3月25日就新的《跨大西洋数据隐私框架》 (Trans-Atlantic Data Privacy Framework) 达 成原则性一致，欧美数据跨境流动开启了新的可 能性。 2. 针对未获得“充分性认定”的国家和地区， 企业可采取以下任一由欧盟认可的充分保障 措施来进行跨境传输活动： (1) 通过公共当局之间有法律约束力和可执行 性的文书。 (2) 建立有约束力的公司规则，主要适用于集 团型跨国企业，即集团可以就集团内统一适用的 数据处理机制申请个人数据监管机构认可，获准 后个人数据可以从集团内的一个成员合法传输给 另一个成员。 (3) 与数据接收方签署欧盟委员会通过或批准 的标准合同条款，考虑到操作难度、成本等，该 措施实践中为多数企业采纳。此外，2021年6月 4日 ，欧盟委员会对合同条款进行了更新 ， 自 2022年12月27日起，双方需签署新版合同并根 据要求对境外接收方所在地的法律环境及数据保 护水平进行评估。 (4) 遵守行业协会拟定的并经欧盟委员会事先 认可的行为准则。 (5) 数据接收方的数据处理流程通过相关认证， 每三年需更新一次。; 4