随着全球范围内数字经济的发展,各国之间数字贸易活动也日趋活跃,企业数据在各国之间跨境转移时的合规问题也成了跨国公司面临的一大难点。跨国企业数据合规治理工作有何特点和难点,又应当如何治理,下文内容将为您解析。
1. 跨国公司在中国开展数据合规工作的特点
① 跨国公司在中国部分的数据合规工作是根据全球已经基本形成的数据合规框架,然后进行中国部分的改造或增补。
② 跨国公司在中国部分的数据合规工作需要非常重视中国法律的特定要求。
③ 跨国公司在中国部分的数据合规工作需要和总部的法律部、数据合规部、 IT 部门紧密配合。
④ 跨国公司在中国部分的数据合规工作需要和总部进行工作交流,往往会涉及到语言问题。
2. 跨国公司在中国部分如何设置数据合规的部门以及人员选择
① 在设置数据合规部门方面,或是依托现有的部门,比如法律部、合规部,IT部或专门的安全部门,在这些部门里专门设一个岗位,比如数据合规经理或者隐私法务。又或是单独设立一个合规部门,如 DPO 。
② 在选择人员方面,或是选择法律出身的,或是选择具有IT背景的,或是选择商科出身的。
3. 跨国公司在中国部分与总部的权责划分
即使跨国公司已经有了全球的数据合规框架,但是仍然需要根据中国法律要求进行改造。跨国企业在中国部分的数据合规工作一般有两条线。
一条线是虚线,虚线是汇报给当地的管理层。
另一条线是直线,直线是汇报给全球。中国部分的主管领导或是先汇报给亚太区,再由亚太区汇报给全球,又或者是中国作为一个大区直接汇报给全球。
4. 跨国公司在中国开展数据合规工作的优先级划分
跨国公司在中国开展数据合规工作的优先级划分要遵循的基本原则就是按照中国的监管和执法的风险高低进行排序,现在主要是看监管的主要矛头对准哪里。
移动应用( APP 和小程序)应排至最高级,和个人发生交互的数据合规工作应排至较高级别,例如数据主体权利响应( Data Subject Request ),个保法出台后已经出现了个人行使其知情权和决定权的诉讼,以后这类争议也越来越多。
基本解决上述领域的合规问题后、APP合规了及个人权利响应机制走顺了之后,便可开展数据合规工作。
数据合规工作开展之前,需要进行比较全面的梳理,如:
① 数据盘点( data mapping )
② 制定规章制度(数据保护政策、个人信息保护政策、信息安全政策、应急预案、各种具体场景的规范和规程等等)
③ 设置组织机构(数据保护部门/工作组、数据保护负责人)
④ 制定个人信息处理规则(隐私政策、隐私声明)
⑤ 数据处理协议( DPA )
⑥ 个人信息保护影响评估
⑦ 进行数据本地化或数据出境工作
⑧ 在中国的移动应用(APP和小程序)的特殊合规问题
⑨ 员工个人信息保护工作
全面梳理之后,按照法律要求,逐项对标整改。对于法律没有要求或者仅有原则性要求,但缺乏后续实施细则的内容,持续紧密观察,例如数据出境、重要数据、 CII 的问题等。
5. 跨国公司的数据出境问题
跨国公司十分重视数据出境合规工作。跨国企业使用全球IT基础设施,如微软、 Workday ,将存储在境外的数据向全球分支机构进行共享使用,但这也涉及到数据出境合规义务的复杂性问题,跨国企需要权衡是否要进行数据迁徙、实现数据本地化以避免不必要的风险。
数据出境问题可细分为数据本地化存储和数据出境。数据本地化是解决特定主体、特定数据必须先存储在中国境内的问题。
而数据出境则先不考虑数据是否要本地化的问题。中国立法对于数据出境问题规定的较为模糊或是处于征求意见稿的阶段,变化较大,需要跨国公司进行法律义务的识别,并对是否进行数据出境进行预判。
6. 跨国公司开展数据合规工作所针对的对象
① 个人信息
② 数据安全法规定的重要数据
③ 特定领域的敏感信息,如人类遗传资源。
1. 跨国公司数据合规工作的共性问题
① 数据场景尽调问题( data mapping )。数据合规工作首先要进行数据摸底,了解企业收集哪些数据,这些数据用在哪些业务场景。
然后才能进行合规措施的制定。数据摸底工作受到很多现实条件的制约,如进行数据摸底问卷调查时,要进行收集信息的取舍问题,同时答卷的质量还要受到答卷人理解能力的制约,又或者受限于公司整体的数据治理水平。
② 我国数据立法处于早期阶段。我国立法对某些基本问题至今并没有明确的界定,如个人信息的边界、敏感个人信息的边界如何界定?
怎么区分受托处理者和独立的个人信息处理者?因此实务中只能进行模糊判断。
数据合规框架体系即便已经建立起来了,但至于怎样落实,仍然是一个需要长期不断深化的工作。
③ 和境外数据合规部门协同工作,往往是领导和被领导的关系,所以境外领导对中国法律的理解和对中国数据合规部门工作的支持程度至关重要。
或是因为文化差异问题,或是因为公司决策流程较为复杂的问题,往往导致中国合规工作进展缓慢。
④ 全球性的应用系统在中国的应由难问题。比如很多企业用的是全球统一的招聘系统,需要有统一的隐私政策和用户同意交互界面设计。中国法律对此有单独同意的要求,个保法对于信息披露也有更高的要求(例如对境外接收方身份的披露),外国同事很难理解这些要求,需要较为严谨的论证和说服工作。
2. 开展数据合规工作的辅助工具
开展数据合规工作要尽可能的借助 IT 类的合规工具以节省时间。市场上的合规工具有三大类:
第一类是手动工具,如 word 的问卷, Excel 的表格,适用中小企业,不适用于大企业中复杂的数据传输场景。
第二类是半自动工具,如线上问卷,使得数据处理行为问卷流程可以自动化,但填写的内容还依赖于人的理解水平。
第三类是全自动工具,但也仍需人的配合。此类工具能够主动地在业务系统中抓取相关的数据。
在未来,数据合规工作的开展只会越来越依赖半自动化或全自动化工具,同时数据合规工作也会被纳入企业数据治理工作的一部分。理想工具可以具备以下条件:
① 便利性
② 高度容纳客户的自定义、具有可扩展性
③ 充分考虑各项法律风险点来设置模块和功能
④ 对中国特有风险的关注(隐私政策、 APP/SDK 检测,个人权利响应等)
3. 合规业务的分解和嵌入管理流程
合规业务可以按项目阶段进行分解,比如分解成最开始的数据分析工作,以及之后规章制度的建立,组织的建立工作,也可以按负责的角度进行分解。
公司的合规规范中需明确规定合规业务的管理流程,并由专业岗位的专业人员进行监督。
4. 跨国企业开展数据合规工作的步骤和流程
① 明确项目的国内外参与方以及内部参与方
② 制定详细的项目计划,分阶段、分流程
③ 进行数据尽调,建立合规组织机构,设置格式文本,组织合规培训,进行数据评估等
④ 根据客户需求,结构化输出交付物
⑤ 写结项报告,差距分析报告
1. 重视项目规划
2. 重视沟通。跨国企业的思维方式与中国本土企业的思维方式有很大区别。本土企业多是以结果为导向,但是跨国企业特别重视过程。
无论是外部律师给跨国企业服务,还是跨国企业在中国的同事向全球进行汇报,都要特别重视过程性汇报。同时还要重视中外同事之间的沟通交流。
3. 合规工作具有长期性。合规工作不是一蹴而就的,是长期的过程。
4. 赋予数据保护合规部门和合规专家应有的地位,最好有独立的合规部门或专家。
5. 可以将数据合规工作纳入业务部门的 KPI 考核机制。
6. 重视合规审计、自评估等动态合规工作,不能流于形式。
7. 进行长期的合规培训和教育工作,塑造合规文化。
跨国公司数据合规治理工作怎样开展?
作者:杨洪泉来源:iLaw合规

随着全球范围内数字经济的发展,各国之间数字贸易活动也日趋活跃,企业数据在各国之间跨境转移时的合规问题也成了跨国公司面临的一大难点。