本文基于自己对国内外数据跨境安全的学习,并针对中国在美国存在业务的企业,如何满足合规要求,自己的一些学习和思考过程,分享给大家。
一、前言
近两年是数据安全合规的大年,全球相继以数据安全为基础,发布了多项法案或行政法令,这使存在跨国业务的企业,面对业务合规的压力越来越大。
今天的分享也是鉴于自己去年经历了美国合规层面对数据跨境场景中的问题和处置思路,场景主要是中美数据合规、和如何规避数据跨境出现的合规风险。
二、背景
1、事件
a、国内方面:
国内对于国外公司的安全审查也是相对严格,2017年6月1日,网络安全法正式实施,相关政策法规也日渐明朗和完善,很多国外的大公司相继在国内建立单独的公司或数据中心,用以管理中国国内的数据,并满足国内的法规要求。典型案例:苹果公司投资10亿美元在贵州省贵安新区建设iCloud数据中心,亚马逊在宁夏中卫建立全球第10个数据中心等,目的都是把国内的数据存储在中国境内,满足我国合规要求,保证我国用户数据隐私及安全性。
b、国际方面:
2019年6月25日,美国参议院外交委员会将华为列为美国和其盟邦的国家安全威胁。
2020年6月30日,印度政府周一(6月29日)晚间以国家安全为由,宣布禁用59项中国应用软件。
2020年09月02日,印度政府再禁118款中国应用程序。
2020年11月26日,印度再禁43款中国应用程序。
2020年8月9日,美国要开展净网行动。
2、合规要求
合规层面本次只体现国内和美国的相关合规要求进行对比说明(此处个人不是很专业,只罗列个人认为比较关键的要求)
a、国内
网络安全法
第37条:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。
数据安全管理办法(征求意见稿)
在中华人民共和国境内利用网络开展数据收集、存储、传输、处理、使用等活动(以下简称数据活动),以及数据安全的保护和监督管理要求。
第二十八条 网络运营者发布、共享、交易或向境外提供重要数据前,应当评估可能带来的安全风险,并报经行业主管监管部门同意;行业主管监管部门不明确的,应经省级网信部门批准。
数据出境安全评估指南(草案)
数据出境安全评估首先评估数据出境目的;数据出境目的不具有合法性、正当性和必要性,不得出境。在此基础上评估数据出境安全风险,将数据出境及再转移后被泄露、损毁、篡改、滥用等风险有效地降至最低限度。具体流程如图:
《数据安全法(草案)》(详细解读可参考《数据安全怎么做:数据安全法(草案)解读》)
第二十三条 国家对与履行国际义务和维护国家安全相关的 属于管制物项的数据依法实施出口管制。
《个人信息和重要数据出境安全评估办法(征求意见稿)》
第七条网络运营者应在数据出境前,自行组织对数据出境进行安全评估,并对评估结果负责。
第九条出境数据存在以下情况之一的,网络运营者应报请行业主管或监管部门组织安全评估:
(一)含有或累计含有50万人以上的个人信息;
(二)数据量超过1000GB;
(三)包含核设施、化学生物、国防军工、人口健康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等;
(四)包含关键信息基础设施的系统漏洞、安全防护等网络安全信息;
(五)关键信息基础设施运营者向境外提供个人信息和重要数据;
(六)其他可能影响国家安全和社会公共利益,行业主管或监管部门认为应该评估。
行业主管或监管部门不明确的,由国家网信部门组织评估。
《个人信息出境安全评估办法(征求意见稿)》
第三条 个人信息出境前,网络运营者应当向所在地省级网信部门申报个人信息出境安全评估。
向不同的接收者提供个人信息应当分别申报安全评估,向同一接收者多次或连续提供个人信息无需多次评估。
每2年或者个人信息出境目的、类型和境外保存时间发生变化时应当重新评估。
《个人信息保护法(草案)》(详细解读可参考《数据安全怎么做:个人信息保护法解读》)
整个第三章全部是对于个人信息跨境传输的要求,关键点如下:
个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当至少具备下列一项条件:
(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(三)与境外接收方订立合同,约定双方的权利和义务,并监督其个人信息处理活动达到本法规定的个人信息保护标准;
(四)法律、行政法规或者国家网信部门规定的其他条件。
关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。
b、美国
CFIUS(美国外资投资委员会)
2018年美国外资安全审查改革首次明确关注TID U.S. business,即Technology(关键技术)、Infrastructure(关键基础设施)和Data(敏感个人数据),具体为具有以下条件的任何美国业务:
(1)生产,设计,测试,制造,制造或开发一项或多项关键技术;
(2)附录A列出了28个关键基础设施类别和功能
(3)直接或间接维护或收集美国公民的敏感个人数据。
关于这三个领域的一系列业务,即使外国人不会获得对美国业务的“控制权”,CFIUS仍有权审查外国人的任何“担保投资”。
CFIUS对落入这三个领域的个人或企业去收购的话,即使是很小的股份,不涉及到控制的也会审查,控制性投资和非控制性投资都会进行审查。比如近几年中国对美投资中有几个因为数据安全被否决的案例:蚂蚁金服在收购MoneyGram未完成的时候已经被CFIUS否决了,还有2020年比较火的要求字节跳动从Tiktok中剥离,其实也是在CFIUS的审查之下,提出的要求。并且,在美公司企业自身是否接受过中国国有产业投资基金的投资,也是他们否决的关键因素之一。
CCPA
CCPA是迄今为止美国最高的数据保护标准,旨在强有力的保障个人的个人数据,适用于收集、使用或共享消费者数据的企业,无论这些信息是在线还是离线获得,并使用NIST CIS框架为企业数据安全建设提出要求和指引。详细可参考另一篇文章《数据安全怎么做:合规篇之CCPA》。
COPPA
对在线收集13岁以下儿童个人信息的行为。它详细介绍了网站运营商必须包括的隐私政策,何时以及如何获得父母或监护人同意,以及应尽的责任,运营商必须保护儿童的隐私和安全,包括限制向13岁以下的儿童销售。
该规则涵盖的运营商必须:
发布清晰,全面的在线隐私政策,描述其从儿童网上收集的个人信息的信息做法;
在从儿童在线收集儿童个人信息之前,应直接通知父母并获得可验证的父母同意,但有例外情况;
让父母选择同意运营商收集和内部使用孩子的信息,但禁止运营商向第三方披露该信息(除非网站或服务不可或缺的信息披露,在这种情况下,必须明确告知父母);
向父母提供访问其孩子的个人信息的权限,以查看和/或删除该信息;
给父母机会防止进一步使用或在线收集孩子的个人信息;
维护他们从儿童那里收集的信息的机密性,安全性和完整性,包括采取合理步骤仅将这些信息发布给能够维护其机密性和安全性的各方;
保留从儿童网上收集的个人信息的时间仅达到实现收集目的所必需的时间,并采用合理的措施删除该信息,以防止他人未经授权访问或使用该信息;不得以儿童提供比参加该活动合理必要的更多信息为条件来限制儿童参与在线活动。
净网
强调Clean Carrier、Clean Store、Clean Apps、Clean Cloud、Clean Cable、Clean Path。从不同维度,极大的限制了中国企业在美业务的开展,并随时存在业务被关停和应用被下架等风险。
c、总结
其实在看中美对外资安全审查的过程中,对待数据的处理方式还是比较相像的,都是从国家安全层面看数据安全问题,强调“数据主权”完整和独立,这也是企业业务在长期可持续开展的决定性条件。
三、跨境数据治理
以下将通