摘要：我们正处于互联网革命向信息革命过渡的关键时期，大数据和与之相关的产业可能带来国际政治和经济重心的重新洗牌，再加上2020年新型冠状病毒大流行所带来的国际秩序的不确定因素，大数据企业需要时刻关注其业务涉及国家和地区的数据隐私安全法律法规的出台对其相关业务的影响，制定数据合规框架，并将其上升到公司战略高度。 [1]

关键词：数据保护；合规框架

数字经济与大数据企业跨境数据合规专栏之——

大数据企业数据跨境之合规框架

邹杨¹      齐佳音^2*

(1：尼尔森市场研究公司，上海 200001；上海对外经贸大学 ，上海200336

2：通讯作者，上海对外经贸大学 人工智能与变革管理研究院 ，上海200336）

2018年5月25日，作为世界第一大经济体的欧盟出台了《通用数据保护条例》（General Data Protection Regulation，简称GDPR）。该条例在欧洲国家和地区的适用范围极为广泛。

2018年6月，世界第二大经济体美国的加利福尼亚州颁布了《加州消费者隐私法（又称CCPA）》。诸多知名的互联网企业如谷歌、Facebook等位于加州，因此该法在美国的推行使得CCPA可以对标欧盟的GDPR。

我国作为世界第三大，同时也是唯一的发展中国家经济体，制定的《个人信息保护法（草案）》已于2020年10月21日发布，《数据安全法（草案）》已于2020年8月16日完成了公众意见的征求。这两部中国法律的严格程度也是对标欧盟的GDPR，从立法水平上确保中国治理下的中国企业符合个人信息保护和数据安全的要求，为中国企业的跨境业务提供法理支持。

因此，处于政策变化中的大数据企业，需要时刻关注其业务涉及国家和地区的数据隐私安全法律法规的出台对其相关业务的影响，从公司战略高度给予足够的重视，制定数据合规框架，并定时进行合规性自检，以确保其数据处理和传输与所有要求的法律法规相符合。

1.      大数据企业数据处理合规框架

大数据企业整体部署其用户数据、信息处理政策，应包括但不仅限于从以下几个方面考量。提供多种语言版本使大数据企业全球员工可以遵照执行，也是十分之必要的：

一、     为了应对日渐趋严的数据跨境转移壁垒和审查要求，大数据企业可考虑在提出数据本地化要求的经济体部署独立的物理数据中心/物理服务器，在一定程度上避免产生数据跨境问题。

二、     采用欧盟标准合同条款（Standard Contractual Clause）作为公司合同拟定的模板。采用标准合同条款的跨境转移数据不需要监管机关的个案审批。

三、     成立由法务部门、信息安全部门、隐私合规部门和业务部门成员组成的数据合规委员会。数据合规委员会须定期研究业务所涉及国家和地区的数据安全立法，整体规划并实时更新面向用户的相关协议文本（如隐私声明/隐私政策），在数据获取、存储和处理业务过程中获取完整的使用、共享、转移用户数据和信息的授权。保留隐私政策的更新记录，并在隐私政策更新时，有途径通知用户，重新获取用户的同意。

四、     梳理企业所有涉及业务需要处理的用户数据和信息，按照隐私等级进行分类，根据不同的隐私等级制定相应级别的数据加密规则，并根据员工的工作职责和需求设立不同的数据访问权限。梳理企业业务涉及的用户数据，如下DI (Data Inventory) 清单流可以作为评估参考：

表1-1DI (Data Inventory) 清单流（草拟）

梳理完成用户数据之后，企业需要根据隐私等级对个人数据加以分类，针对不同隐私等级的数据采取不同的加密策略。建议的等级分类依据如下：

1)  按照重要性和隐私的敏感性进行分类；

2)  如果数据丢失、不当披露或处理不当，对企业和/或其客户和业务合作伙伴导致的风险大小；

3)  企业未遵守适用法律和/或合同义务导致的违法后果；

4)  对企业品牌和声誉的损害程度。

分级还需要参照两个原则：是否能被识别并定位到用户个人；用户愿意分享的程度和范围。其中“低”级别的个人数据不能被识别并定位到个人；“中”级别的个人数据可以被识别并定位到个人或者涉及到用户通常不愿与他人分享的信息；“高”级别的个人数据可以被识别并定位到个人，并且属于用户非常隐私的不与公众、机构、他人分享的信息。大数据企业应尽量避免收集“高”级别的个人数据，可对业务范围进行明确的定义，例如，不从事和政治、宗教、执法或涉执法活动、军事或涉军事活动、移民事务、非法行为(例如：恐怖袭击、使用违禁药物、无证贩酒、制假贩假等)、种族问题、性行为或性取向、生育权或生育健康等领域相关的业务。

五、     遵守个人数据和信息处理的必要性和有限性原则。遵守个人数据和信息处理的透明性规则。在开展业务或提供服务时，若涉及处理个人信息的，企业应承诺遵循最小权限原则，不处理与所开展业务或提供服务无关的用户个人信息。企业在收集个人信息前，应告知数据主体收集数据的内容、处理方式、存储期限、是否分享给三方等基础信息，并获得消费者的明示同意。

六、     建立完善的数据保护规则和体系，规范数据主体修改或删除个人数据、撤销同意或授权的途径，以及企业内部的数据修改、删除操作机制。

七、     聘任数据保护官DPO（Data Protection Officer，最好在欧盟聘任数据保护官以适应目前监管最严的GDPR要求），尽可能在每个国家或地区聘任专人负责当地的个人数据和信息保护事务，参与具体的业务设计和评估，降低数据安全和隐私安全方面的违法风险。

2.      适用于大数据企业对其供应商提出的数据合规基线

作为数据控制方的职责之一，大数据企业应当对自己的下游供应商就用户数据的处理相关流程和实际操作情况提出要求，并进行审计。建议的供应商数据保护合规基线：

1)  供应商必须签署数据处理协议DPA（Data Processing Agreement），要求供应商做数据合规自检。

2)  供应商须组建数据合规团队，任命数据安全责任人，对数据安全团队有明确的职责和考核指标。

3)  供应商须针对处理大数据企业数据的场景（包括其子处理者负责处理的数据），做DI分析。

4)  供应商涉及收集用户数据时，须提供隐私政策，遵循个人数据的最小化收集，并按照约定的目的使用用户数据。

5)  供应商需提供数据删除方案，满足数据删除期限的要求。

6)  供应商须向大数据企业报告子处理者清单，并按照大数据企业对供应商的数据处理要求管理其子处理者。

7)  未经允许，供应商不得向第三方或子处理者披露大数据企业的用户数据。

8)  供应商须和子处理者签署DPA（须含背靠背的大数据企业对供应商的数据处理协议要求）。

9)  涉及数据跨境转移的供应商，须签署跨境转移协议，并满足当地的数据跨境法律规定。

10) 供应商需保证数据的安全性和完整性，留存完整的数据处理记录。

11) 供应商须发布并履行数据泄露响应机制。一旦发生数据泄露事故，供应商应及时通告大数据企业，并配合大数据企业处理数据泄露事故。

12) 供应商须建立数据访问机制，接触大数据企业用户数据的供应商员工须签署“数据保护承诺函”，供应商须对员工进行数据隐私安全的例行培训和考核。

3.       结语

完善的数据保护合规机制对于企业来说，意味着企业需要投入人力、财力和物力，将数据保护的政策、执行和审查，渗透到每一个业务流程控制点，这是一个相当浩大而繁复的工程。企业需做好充分的内外部环境因素分析，综合考量，选择并践行适合自身的数据合规框架。