近年来，品牌加速全球化，跨境电商爆发式增长。据报道，截至12月5日，今年广州白云机场口岸跨境电商进出口交易额突破1000亿元人民币，同比大幅增长1.5倍，成为全国首个跨境电商业务迈进千亿元大关的空港口岸。

与此同时，大量的个人数据也在源源不断地跨境。当个人用户登录号国外网站平台，如亚马逊跨境购物或者在国外邮箱注册，个人信息就已经跨境了。如果我们双11购买了国外品牌的产品，因为其总部在国外，中间可能会有个人会员数据传至国外。

当然，数据跨境的场景并不限于以上。

11月1日《个人信息保护法》（以下简称“《个保法》”）正式施行，自此国内数字经济发展和治理迈入了崭新阶段。现在距离正式施行已经过去一段时间，法律的相关配套措施和垂直行业的监管规则相继出台，很多疑问有了明确答案。

在此背景下，上上签电子签约联合云安全联盟大中华区（简称“CSA GCR”）邀请了CSA大中华区专家、知名跨国企业安全与合规负责人赵锐，世辉律师事务所合伙人王新锐，业内知名专家马老师。

几位嘉宾分别从甲方企业安全合规、专业律师、云厂商角度全方位分享了“后续企业落地《个保法》，进行合规运营的思路和实践经验”。

1. 上上签电子签约：如何理解跨境数据，什么场景下会存在数据跨境？

赵锐：

数据跨境的场景非常多，个人用户去国外一些网站平台，如亚马逊跨境购物或者在国外的邮箱注册，这时个人信息就已经跨境。

像最近双11，如果我们购买了国外一些品牌，像化妆品，因为其总部在国外，中间可能会有个人会员数据传至国外。

此外，如果工作单位是外企或者跨国机构，其总部在国外，一些薪资福利等工作岗位信息也有可能会跨境。当然，国外如果能访问我们在国内一些平台上的信息，也有可能存在跨境。

马老师：

还有一些，像国内企业会在欧洲、北美、东南亚等地开辟市场，可能会将其APP直接在当地市场进行定位。

当国内公民同时使用产品时，也会存在数据跨境的场景。所以需要看海外公司是否有远程跨境业务。

另外看一些国内公司，是否同时担当着扩展海外市场的角色，如果在海外市场有数据化应用场景，也会存在数据跨境的场景和风险。

王新锐律师：

我从法律角度做些补充，监管在制定相关规则时并未专门就数据跨境本身进行定义。核心在于数据跨境的场景非常丰富。

大家注意“跨境”与“出境”是两个概念。

“跨境”有进有出，有进进出出。

有时涉及一些中国公司给东南亚的客户提供服务，数据可能先进入中华人民共和国境内，然后再出境，所以跨境是一个比较复杂的流程。

当前提数据跨境，我想大家更多关注的是出境问题。

关于“数据出境”就要考虑为什么要规制数据出境，显然我们认为当中存有特殊风险。

法律角度对“数据出境”的概念持相对宽泛的解释，其防止这种数据出境可能造成的风险，并给监管留有了一定的解释空间。

所以像典型的一些数据传输，以及从境外能够访问存储于境内的数据属于出境。

2. 上上签电子签约：王律师从专业角度给数据跨境，准确来说是数据出境的定义做了说明。再进一步，哪些数据可以跨境出境，哪些数据是被禁止的？

王新锐律师：

世界范围内关于数据出境或者跨境流动的规则更多是从反面进行限制。即哪些数据不能跨境流动，哪些需要本地化存储。

这时会涉及对本地化存储localization这个词不同的理解，有些是在境内存储，有些要在境内有备份，有些不能存储到境外，像健康医疗数据，金融类数据，网约车数据。

回到规则上讲，数据跨境、数据出境的核心是要对个人信息和重要数据的出境过程进行管控。

但管控当中又有差异：

个人信息相对而言是以出境、跨境流动为原则，《个保法》为其提供了几条路径，除单独同意外，有评估、认证、标准合同的方式，做完以后便可自由进行流动。

所以将来我们在个人信息正常出境的问题上，不会有太大的障碍。监管机构在后续的配套规则、落地方案中也考虑到了这些因素。

相对而言，重要数据出境更为复杂。

涉及重要数据，意味着这些数据一旦失控，会影响国家社会安全和个人权益。这些数据往往体量庞大且性质较为敏感，比如跟经济运行或整个社会重要的基础设施有关。

目前从出境规则看，重要数据受到了限制，在过程中要进行评估。

一方面当个人信息处理者处理个人信息达到一百万人时，这种情况哪怕出去一条信息也要进行备案。另外如果累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息也要进行评估。

图片来源：《数据出境安全评估办法（征求意见稿）》

尽管个人信息和重要数据出境受到了限制，两者中间的风险是不一样的。

因为重要数据更接近国家安全，可能会考虑国家安全的因素，所以未来重要数据如果出境，其必要性需要更高的论证。相对而言，个人信息有许多自然的流动场景，全世界范围内个人信息一直处于大量流动的状态中。一旦量非常大，有时会对其安全风险进行整体评估。

马老师：

我本人在零售行业，是To C业务。《个保法》、《数据安全法》、《网络安全法》对我们有非常好的指导作用。

在企业范围内，首先强调一点：在想清楚是否出境之前，一定要理清数据分类分级有没有做好，企业内部的数据词典是否足够指导每个业务部门。

对零售行业而言，从传统行业过渡到数字化时代就差一点：数据资产的管理。

数据资产的概念比较宽泛，什么是数据资产？

首先要根据数据字典做好分类分级，像房间一样，我们通常将更有价值的物品放入保险柜，有些会锁进抽屉。

完成分类以后，接下来需要考虑组织是否具备合理的审批流程，组织架构内部该由谁担当影响力角色，有权决定哪些数据可以出境。

现在大多数企业会想是不是很多数据无法出境了，像我们行业一般敏感信息比较少，但也不乏会有。比如化妆品行业会有不良反应，其中会结合一些医疗报告等，这类属于敏感信息。

在处理敏感信息的环节，企业收集信息后会按照不同类别对数据分类分级，在流转处理过程中对其进行加密传输。在流程方面，法务和安全人员要做好把关，但其前提是必须要了解业务。

此时业务部门是否认同，管理层能否做到自上而下支持我们的工作，该由谁审批或者同意，需要我们建立相关机制。

10月29日颁布《数据出境安全评估办法(征求意见稿)》之后，像一些敏感信息我们选择先不出境，对于个人信息而非个人敏感信息，我们先对前端一些重要系统进行梳理。我也会建议大家做PIA（Privacy Impact Assessment），类似于之前数据跨境合规指引相应的一些详细内容。

当下最好的方式是使用合规指引做一些自评估的工作，我们很多企业都会用类似Workday的系统，早在两年前我就向第三方企业提出是否能参与到我们的评估流程中，仅依靠甲方还不够。

另外还要看生态链当中一个非常重要的角色，消费者。如果他们不同意，也不能让数据出境。

目前我们内部有相关的算法和分析，可以知道有哪些客户群体已经同意跨境。但是一定要保证消费者的权益，了解消费者数据有哪些字段，哪些字段可以留下，哪些字段必须出去才能满足消费者的购物和消费体验以及与我们商务之间的对接。

同时连带着我们的处理者或者授权方，明确他们在远程是否跟我们保持同步做好了相应准备。

综合来看，需要考虑流程、人为运作、上下游生态链等几大维度。身为数据安全官，从某种意义上，我更偏向于保守。在决定出去之前，要先问清楚这几大模块有没有做好准备。

上上签电子签约：刚才马老师在解答过程中提及企业内部数据的使用保存可能涉及不同部门，如何通过制度流程管控不同部门的数据应用？

马老师：

在对数据分类分级时，此类数据应该给到谁，有多少量，里面包含什么字段，中间需要有相关级别的人员进行审批。

首先在此之前需要对大家进行持续教育，比如内部数据，每家企业是否有相应的负责人对相关数据进行处理，他们是否已经得到授权或者已经理解了授权本身的含义。

无论是业务部门还是供应商使用这些数据时，企业应对处理数据的每一步进行追踪，由相关负责人审批。从流程上看，足够的严谨性非常关键。

赵锐：

企业的安全合规部门、法务部门、风控部门在看到相应的法律法规，或者网信办的一些处罚出来之后，通常会非常紧张。

但是仅靠这几个部门还不够，我们主要还应向公司的管理层，像董事会、 CEO还有两个很重要的角色，CFO和COO施加自身的影响力。

为什么是COO？

因为日常业务运营关键KPI、OKR的考核压力都在COO身上，需要让COO关注这些法律法规。

同时让他了解竞争对手还有国内外的一些事件，设想如果我们跟其他企业一样没有做好，也会受到相应的处罚。

告知COO之后，首先他会有一定的触动，如果我们因为某些事件而中断业务，比如：超范围收集数据，没有管好其中的SDK和第三方一些SO文件等，APP会下架。

下架以后，轻则造成业务中断，重则像前段时间某大厂被罚款。

有些组织对于自身的合规情况有非常严格的要求，不能收到政府的罚单。如果受到外部监管的处罚，会被扣除KPI 、OKR以及对应的奖金。

在此背景下，管理层都会很紧张。但是我们不可能每次都依靠一些事件去告知，所以要基于一些业务场景进行梳理。

如何梳理比较好？

首先，需要整体进行数据治理。

像用户通过线上或线下的形式在我们平台进行注册，登录认证，过程中会收集姓名、手机号、家庭地址，甚至是银行卡、身份证信息。

我们会将原有的业务流、数据流进行梳理，明确以前收集的数据分别散落在哪些系统。有些可能是企业自己控制，有些是第三方提供的。这些可以分为三部分：

1. 前台部分：用户自己就可以操作；

2. 中台部分：例如业务部门，给客户发货需要提供相应的服务。HR部门，涉及员工考勤报销，出差旅游等；

3. 后台部分：像IT部门，做一些系统运维工作。

我们要评估以上几方的数据，通常前台的用户和中台业务部门希望看到这些数据。

但是后台的IT依照监管要求，会做脱敏处理，比如只能显示身份证、手机号、银行卡的前段和后段，中间标星号。

我们在管理层施展影响以后，还要让各业务部门知道“如果没有保护好这些数据，可能会受到前面那些事件的处罚。我们在人员、流程、技术等方面进一步做好数据安全保护。”

很多跨国企业使用Workday、Salesforce，按《个人信息保护法》员工数据是有合理理由跨境传输的。但对于客户数据，可以直接跨境传输吗？

这种情况下，《个保法》就数据处理给大家做了介绍，有两种方式：一是去标识，另一种是匿名化。

关于匿名化，我们不能将一些数据还原成先前的个人信息，我们可以用统计数据的形式，告知国外总部国内有多少客户，业务情况如何。

如果国外的系统对我们支持不够友好，国内的COO有向国外提出异议的权利。另外，国内CFO可以向国外管理层解释，如果国外要收集敏感数据，按照中国的法律法规，首先要确认是否合法、正当，如果没有经过评估就跨境传输，可能会受到处罚，最终影响经营业绩。

免责声明：市场有风险，选择需谨慎！此文仅供参考，不作买卖依据。