加強企業數據出境安全合規能力建設

數據已成為與土地、勞動力、資本、技術并列的生產要素，價值日益凸顯，隨著經濟全球化和國際貿易的發展，數據跨境流動已成為數字經濟發展的重要推動力。其中，數據出境對國家安全、社會公共利益、企業合法權益和個人隱私的威脅逐漸引起各方關注。為此，我國不斷完善數據出境相關法律法規框架，對企業數據出境提出安全合規要求。本文從管理制度、組織架構、人員能力、技術工具等方面探討企業如何建設數據出境安全合規能力，以滿足相關監管要求，確保企業數據出境相關業務安全、合規、可持續，助力數字經濟健康發展。

我國數據出境相關監管要求

2017年以來，國家陸續施行了《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》，明確了我國數據出境合規路徑，為加強數據出境合規管理，促進數據跨境安全有序自由流動提供頂層法律依據。《數據出境安全評估辦法》《個人信息出境標準合同辦法》《促進和規范數據跨境流動規定》等規章及配套的《數據出境安全評估申報指南（第二版）》和《個人信息出境標準合同備案指南（第二版）》則進一步明確數據出境具體要求，指導數據處理者落實合規要求和責任義務，嚴格規范數據出境活動。《粵港澳大灣區（內地、香港）個人信息跨境流動標準合同實施指引》的出臺進一步便利了粵港澳大灣區內地和香港之間個人信息跨境安全有序流動。

企業數據出境安全合規能力建設

為滿足相關法律法規關于數據出境的安全合規要求，企業可從管理制度、組織架構、人員能力、技術工具等方面建設全面的數據出境安全合規能力。

一是數據出境安全合規管理制度建設。

開展數據出境的企業需建立網絡安全、數據安全、個人信息保護等方面管理制度，并在此基礎上，針對性提出數據出境管理要求，使得數據出境安全合規管理在企業內部做到有據可依，便于指導企業落實相關要求、開展審計、滿足監管要求等。數據出境管理要求需包括定期梳理出境數據中包含的數據類型、數據量，明確出境數據處理活動的目的、方式、范圍須滿足正當性、合法性和必要性，根據相關法律法規要求選擇合適的數據出境合規路徑，根據企業實際情況建立數據出境安全合規管理組織架構體系、提升相關工作人員數據出境安全合規能力、部署數據出境安全合規技術工具等。需要注意的是，數據出境是持續性的活動，相關管理制度中需明確出境數據持續監測要求，根據數據出境實際情況，及時申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證或重新申報評估、重新開展個人信息保護影響評估，補充或者重新訂立標準合同等。

數據出境安全合規管理制度的建設需要分層設計，一般可分為四級制度文件，同一級制度文件互為補充、邏輯清晰，需覆蓋數據出境安全合規管理各個方面；不同級制度文件顆粒度不同，下一級文件是對上一級制度文件的細化和落實。通常情況下，一級文件體現數據出境安全合規總體管理要求，包含方針、策略、基本原則等。二級文件是落實總體管理要求的制度和辦法，通常包含出境數據全生命周期和通用性的安全合規管理要求。三級文件為落實出境數據全生命周期和通用性安全合規管理制度和辦法的操作指南、規范、作業指導書及配套模板文件等。四級文件是具體落實數據出境安全合規管理制度過程中產生的相應計劃、報告、日志文件和工作記錄等。

二是數據出境安全合規組織架構建設。

開展數據出境活動的企業須根據相關法律法規和本企業管理制度實際，建立適應自身需求的數據出境安全合規組織架構，管理本企業數據出境活動，落實相關法律法規和管理制度要求。

數據出境安全合規組織架構的建設通常分層設計，根據職能分工，可分為決策層、管理層、執行層、監督層。企業在實際執行過程中，可在已有的網絡安全、數據安全、個人信息保護組織架構基礎上，賦予現有部門或團隊數據出境安全合規工作職能。同時，數據出境安全合規管理通常涉及網絡與數據安全部門、信息化建設與運維部門、業務部門、法務或合規部門、公共事務管理部門等多個部門，需要在設計組織架構時就做好多部門聯合參與的統籌和協調工作。具體而言，決策層是數據出境安全合規管理工作的決策機構，通常由企業高層領導擔任，決定企業數據出境相關業務的發展策略，統籌安全與發展。管理層是數據出境安全合規管理組織架構的第二層，落實決策層制定的策略，提出數據出境具體工作方案，平衡好業務發展和數據出境安全合規管理。執行層配合管理層，聚焦具體的數據出境業務場景，落實具體的業務流程和安全合規管理要求。監督層則定期監督審核管理層、執行層落實數據出境相關管理要求的情況，并向決策層匯報。

三是數據出境安全合規人員能力建設。

數據出境安全合規管理制度的落實和數據出境安全合規組織架構的建設，關鍵在“人”。開展數據出境活動的企業需根據本企業相關管理制度要求，定期或不定期組織數據出境安全合規培訓或考核，使各崗位工作人員可以充分勝任本崗位工作。對于全體工作人員，可從數據出境安全合規意識、相關法律法規要求和企業管理制度等方面開展培訓宣貫，使其具備基本的數據出境安全合規意識，工作中不踩紅線、不越底線。對于數據出境安全合規組織架構中各崗位工作人員，可進一步從標準規范、技能培訓、安全合規審計等方面開展培訓及考核，使其具備與工作職責相匹配的工作能力。例如，決策層人員應具備制定企業的數據出境安全合規戰略目標和任務，統籌、規劃相關工作，對數據出境安全合規重大事項進行協調以及統籌決策等能力；管理層人員應具備組織制定數據出境安全合規管理策略、規劃、制度和規范，控制數據出境安全合規風險等能力；執行層人員應具備數據出境事前、事中、事后安全合規風險監測和處置的安全技能；監督層人員應具備對數據出境安全合規制度執行、技術措施、風險及事件處置的有效性的審計能力。

四是數據出境安全合規技術工具建設。

“技管結合”可以進一步提升企業數據出境安全合規管理能力和效率。開展數據出境活動的企業可根據需要建立數據出境管理平臺或部署數據出境監測工具，相關工具或平臺需具備出境數據資產管理、接口API監測、數據脫敏、數據出境流轉監控、數據出境安全審計、數據出境風險監測、出境數據全生命周期管理和安全合規管理等功能，實現數據出境安全合規可視化、可落地，風險預警等能力，以便能及時監測數據出境情況，發現和處理存在的安全隱患，根據出境數據情況及時調整數據出境安全評估或個人信息出境標準合同備案等合規手續，防止敏感數據泄露、避免觸發不同國家、地區的數據跨境管理規定，保障業務安全。

企業數據跨境流動在促進全球數字經濟發展的同時，也面臨著數據安全、個人信息保護、監管合規等方面的挑戰，企業須建立完善的數據出境安全合規能力，以滿足我國數據出境相關監管要求，應對數據出境安全問題，保障業務更好開展，助力數字經濟健康發展。同時，隨著經濟全球化的發展，我國出海企業越來越多，隨之而來的是出海企業將數據從業務運營所在地出境到中國，這類企業也應關注業務運營所在國家和地區以及相關國際組織中的數據出境安全合規管理規定，建設數據出境安全合規能力，及時響應相關監管要求。

責任編輯：陳希琳