安永法证合伙人邵震宇:解析跨境数据合规
移动支付网 2024/1/12 14:45:19

1月10日,由移动支付网、出海记主办的“2024跨境数字金融产业合规与共生大会”在深圳举办,安永法证及诚信合规服务合伙人邵震宇出席,分享了跨境数据合规需要企业关注的问题。

邵震宇指出,近些年,各个国家发布了多个数据相关的法律法规,在国际上形成新的监管趋势。作为跨境金融服务从业机构,不仅需要了解我国的相关政策要求,也应该了解所服务的其他国家的法律法规变化,以及对企业展业的影响。目前,跨境数据合规成本是企业面临最大的问题之一,也是需要重点考虑的因素。

数据出境面临三个方面合规挑战

目前,全球数据隐私保护面临三个方面的挑战:

一是遵守不断发展变化的法律法规。随着与数据相关的法律体系的不断完善,企业面临的首要挑战是来自国际监管环境的变化,包括适应全球不断发展变化的法律法规、“当地”法律法规。

二是高昂合规成本带来的经济压力。包括不合规成本支出,即支付因违规带来的高额罚款,以及企业在数据合规与隐私保护工作上投入更多预算,例如组建数据安全团队、配备专职隐私保护人员及合规法务人员、应用隐私计算等技术、采购第三方合规风险评估服务等。

三是复杂的管理挑战及涌现的安全威胁。第三方数据处理者因供应链攻击或数据安全合规能力不足而产生的风险,正在对企业造成直接影响。供应链攻击会造成企业核心数据、重要数据泄露,让企业防不胜防。同时,在数据流转过程中,第三方的网络安全防护能力以及数据安全保障能力也在对企业带来巨大的管理挑战。另一方面,在数据日益频繁的流通利用过程中,也存在企业数据暴露、泄露以及数据出境风险等诸多隐患。

目前,全球多个国家都设立了相应的监管要求。

在数据保护方面,2021年8月20日,第十三届全国人民代表大会常务委员会第三十次会议通过《中华人民共和国个人信息保护法》(下称“《个保法》”),该法案于2021年11月1日正式生效。

《个保法》发布之后,收集用户个人数据时,必须得到该用户的同意;产品、系统和流程在开发过程中必须考虑隐私设计概念;数据流映射和隐私影响评估成为组织的强制性要求。

2022年5月19日,国家互联网信息办公室2022年第10次室务会议审议通过《数据出境安全评估办法》,该办法于2022年9月1日起施行。该管理办法为了规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动而制定的办法。

《数据出境安全评估办法》评估重点包括:

1、数据出境的目的、范围、方式等的合法性、正当性、必要性;

2、境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求;

3、出境数据的规模、范围、种类、敏感程度,出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险;

4、数据安全和个人信息权益是否能够得到充分有效保障;

5、数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务;

6、遵守中国法律、行政法规、部门规章情况;

7、国家网信部门认为需要评估的其他事项。

此外,欧盟、美国、日本、印度等国家或地区均设立了相关法案。在具体的业务过程中,跨境金融行业需要同样关注数据合规跨境的问题。

跨境金融行业的隐私合规关注重点

邵震宇从多个方面介绍了跨境金融行业相关企业在隐私合规应该关注的重点。

个人信息收集要保障合法性。个人信息收集原则是最小化原则,以前很多金融机构是能要多少要多少,这对其深入分析客户背景及交易行为是有益处的,但同时也是双刃剑,获取的数据越多、需要要管理及保护的内容就越多。从信息隐私保护角度来看提倡“最小化”原则,包括收集个人信息民事同意,保存时间最小化,去标识处理,敏感信息存储,数据展示时的信息保护限制(是否允许截图、查看完整卡号需要生物识别等),技术共享与转让,信息公开披露等问题。

数据出境要关注降低或消除数据需求,非必要不出境。必须出境的情况下,可考虑个人信息匿名化,跨境数据权限最小化。

个人信息保护方面,个人信息匿名化。可以考虑设置不同数据权限,A部门其工作当中需要客户姓名,但不需要用客户年龄,身份证件只是帮助他进行初步识别判定是不是同一个人,则不需要获取全部真实的身份证号,对于工作非必要的数据字段可以通过技术手段进行加密或者隐藏。B部门不需要用客户全名,姓名变成王**,要用到身份证、及出生年份开展校验。针对这些实际使用数据的区别,A、B两个部门在数据访问等方面有所区别,可以基于此进行主动防控并设置频繁查询预警机制。

管理及组织方面,企业要成立数据安全工作领导小组(决策层),数据安全工作领导小组授权管理层开展和管理合规管理工作。执行层面需要专业团队,进行风险防范设计、系统测试、日常运维。参与层即员工,员工在终端使用系统时需要接受合规培训,知道如何正确使用数据。在这个过程中,决策层、管理层、执行层、参与层各司其职,将数据合规贯彻到日常工作中。


展开全文
相关阅读
资讯查询取消