步步为营—中国企业“走出去”跨境数据合规要点与步骤

大数据自然环境下，规模性和繁杂的跨境数据信息流动变成 常态，它也是当今国家、地域间现行政策博弈更为繁杂的行业之一，这使在我国“走向世界”公司遭遇着风险性很大的经营环境。跨境数据信息流动网络舆论监督世界各国法律复杂多变，“走向世界”公司解决世界各国数据信息跨境约束性要求存有风险性。

一、海外个人信息保护行业的法律特性

2018 年5 月，欧盟国家颁布了《通用数据保护条例》(General Data Protection Regulation，GDPR)。该规章在欧洲地区国家和地域的应用领域极其普遍。2018 年6 月，美公司国的佛罗里达州(下称“美国加州的”)施行了《加州消费者隐私法案》(CCPA)。众多著名的互联网公司(如Google、Facebook 等)坐落于美国加州的，因而该法在国外的实行促使CCPA 能够对比欧盟国家的GDPR。以欧盟国家和英国的个人信息保护行业法律特性为例子，深入分析以下：1、欧盟国家个人信息保护行业法律特性的主要表现欧盟国家法律的特性是：统一标准执行欧盟国家智能化单一销售市场发展战略，以个人信息保护标准化正确引导全世界复建个人信息保护标准管理体系。主要表现为：(1)执行欧盟国家智能化单一销售市场发展战略，去除欧盟国家地区数据信息随意流动阻碍。因为数据信息流动能产生经济发展权益，那麼显而易见限定跨境数据信息流动会大幅度提升经济发展成本费[1]，因此在欧盟国家內部总体上推动数据信息在充足保护国中间随意流动;(2)根据“无偏性评定”明确数据信息跨境随意流动授权管理国家，营销推广欧盟国家个人信息保护法律的全世界知名度。仅有在国家、地域、领域或国际经济组织能保证充足维护水准时，数据信息能够在不用欧盟国家附加准许和受权的状况下向其传送[2]。截止到2019年8月，这类授权管理的国家和地域早已有13个，日本、韩已经与欧盟国家交涉当中，印尼也被考虑到列入交涉议程安排[3];(3)在遵循适度保障体系的前提条件下，给予多元化多层面的本人数据信息跨境流动方法。在欠缺无偏性评定和国家权力组织中间法律法规约束;协约[4]的状况下，欧盟国家更为非欧盟国家公司给予了遵循适度保障体系标准下的数据转移体制，包含限制性企业标准[5]，选用欧洲委员会根据的规范个人信息保护条文[6]，会员国管控政府根据并经欧洲委员会准许的规范个人信息保护条文[7]，研究会、不一样种类操纵者、解决者机构撰写并经准许的行为规范[8]，准许的验证体制[9]及其第三国操纵者或解决者的服务承诺[10]等。这种体制为在欧盟国家搜集解决本人数据信息的公司给予了可挑选的数据信息跨境流动方法

2、英国个人信息保护行业法律特性的主要表现英国法律的特性是：以维护保养产业链核心竞争力为中心思想，搭建跨境数据信息流动与限定现行政策。主要表现为：(1)运用信息内容通信产业链和数字贸易全世界领跑优点，在与世界各国新一轮磋商上都认为将“数据信息跨境随意流动”列入协议书条文，以消除很多国家运用跨境数据信息流动设定的市场准入制度堡垒;(2)根据限定关键技术性数据信息出入口和特殊数据信息行业的外资注册，遏制战略竞争者发展趋势，保证英国在尖端科技的全世界领导干部影响力。(3)根据“挖机加长臂境外所管”扩张国内法境外可用的范畴，以达到新领域下美政府跨境读取数据信息的稽查必须 。充分考虑若沒有挖机加长臂境外地域管辖，跨国企业能够根据挑选将数据储存在他国的网络服务器上去阻拦该国政府部门对电子邮箱的要求，个人隐私保护将不依赖于传统式的司法部门监管确保，只是依靠民营企业的“商业服务管理决策”。从而，2018年3月28日，美国议会根据《澄清境外数据的合法使用法案》(Clarifying Lawful Overseas Use of Data Act，CLOUD法令[11]，告一段落“Microsoft vs. FBI”案中有关英国行政机关是不是有权利得到 美国企业储存在境外服务器中客户数据信息的异议，授予英国行政机关对美国企业“操纵”的数据信息，无论其在国外或是在海外都具有领土主权。根据可用“操纵者标准”，该法扩张了英国行政机关读取国外数据信息的权利，使英国的数据信息领土主权拓展至美国企业所属的全世界销售市场;与此同时取决于英国的全球经济与政冶强悍影响力及其与有关国家的协作，别的国家要读取储存在国外的数据信息，则务必根据英国“适格国外政府部门”的核查，需达到英国所设置的公民权利、法制和数据信息随意流动规范。

二、我国企业资料跨境合规管理架构搭建

中国公司必须 時刻关心其业务流程所涉及到国家和地域的数据信息个人隐私安全性相关法律法规的颁布及对其有关业务流程的危害，从企业战略高宽比给与充足的高度重视，制订数据信息合规管理架构，并按时开展合规自查，以保证其数据处理方法和传送与所规定的相关法律法规相一致。中国公司总体布署其客户数据信息、信息资源管理现行政策，应包含但不但仅限于从下列好多个层面考虑：

1、创建数据信息本土化

为了更好地解决日日趋严的数据信息跨境迁移堡垒和核查规定，中国公司可考虑到明确提出数据信息本土化规定的物理学大数据中心/ 物理服务器，在一定水平上能够防止造成数据信息跨境难题。

2、选用规范合同文本

选用欧盟标准合同文本(Standard Contractual Clause)做为企业合同拟定的模版。选用规范合同文本的跨境迁移数据信息不用管控行政机关的案例审核。

3、创建企业内部数据信息合规管理联合会

创立由法律事务部单位、网络信息安全单位、个人隐私合规管理单位和各个部门组员构成的数据信息合规管理联合会。数据信息合规管理联合会须按时科学研究业务流程所涉及到国家和地域的网络信息安全法律，总体规划并自动更新以用户为中心的有关协议书文字(如个人隐私申明/ 隐私政策)，在数据获取、储存和解决业务流程全过程中获得详细的应用、共享资源、迁移客户数据信息和信息内容的受权。保存隐私政策的升级纪录，并在隐私政策升级时，根据一定方式通告客户，再次获得客户的允许。

4、数据信息合规管理构思

第一步：整理公司全部涉及到业务流程必须 解决的客户数据信息和信息内容，依照个人隐私级别开展归类，依据不一样的个人隐私级别制订相对应等级的数据库加密标准，并依据职工的工作岗位职责和要求开设不一样的数据信息访问限制。

第二步：参考企业资料“数据信息明细”(Data Inventory)，制订合乎企业资料合规管理的管理体系，以下几点能够做为评定参照：

第三步：整理完客户数据信息以后，公司必须 依据个人隐私级别对本人数据信息多方面归类，对于不一样个人隐私级别的数据信息采用不一样的数据加密对策。提议的等级划分根据以下：

第四步：遵循本人数据信息和信息资源管理的重要性和制约性标准及其透光性标准，实际以下：

第五步：创建健全的个人信息保护标准和管理体系，标准数据信息行为主体改动或删掉本人数据信息、撤消允许或受权的方式，及其企业内部的数据信息改动、删掉实际操作体制。

总的来说，商业服务随意标准及其数据信息流动针对社会经济的极大使用价值必须 数据信息随意跨境，殊不知因为互联网自身具备易损性，数据信息接收国(出口国)的法律法规网络舆论监督、社会现状不可控性，假如欠缺法律法规约束机制，数据信息跨境后轻则侵害私人信息，企业、公司遭到经济损失;重则泄漏国家密秘、搅乱公共秩序乃至威协政党。因而，聘用技术专业的刑事辩护律师参加实际的业务流程设计方案和评定，减少网络信息安全和个人隐私安全性层面的违反规定风险性，针对确保“走向世界”公司的合规管理实际意义不能小看。