作者:知语
近年来,出海以及出海上市企业忽视数据安全和数据合规的风险逐渐显露。目前跨境电商行业中关键信息基础设施运营者的范围仍未落定,考虑到跨境企业在日常业务中涉及体量较大的个人(敏感)信息,仍然有可能被认定为关键信息基础设施运营者,相应地则可能需要履行个人数据本地化的义务。
随着国内的《网络安全法》与《数据安全法》的逐渐颁布、实施,代表着中国最高立法机构颁布了最重要的信息科技的相关法律,也就意味着所有的数据出境均需要进行安全评估。为了降低个人信息出境风险,出海企业应该参照《网络安全法》与《数据安全法》的相关规定框架进行内部自查,并建立完善的用户信息保护制度。然而在这两项法律颁布之后,却很少有统一的、综合的评估准则来支撑企业进行科学的出海评估,因此,具有数据出境需求的企业大多数都处于迷茫状态。与之相伴而来的,是一些需要数据出海的行业头部企业在出海后,由于数据不合规而面临着被中国政府暂停业务的现状,这样的企业,不仅仅业务受到了巨大的冲击,无论是在国内还是国外都承担着重大的法律风险。
数据出海企业的数据自我评估问题,一直是行业内很难突破的壁垒,由于国内外法律政策的不同和全球商业环境的不断变化,很难有一套标准的评估系统去左右这样的评估体系,然而就是在这样艰难的环境中,在业内以制定“数据合规”和“个人信息保护”闻名的朱凯律师打破僵局,与团队一起在这一项新的法律服务领域作出了一系列开创性的探索与研究,为企业带来及时服务的同时也为行业建立了标杆。
为数据出海企业独创自我评价系统,助力企业顺利出海
为了给所服务的数据出海企业一套科学、完整的数据评估体系,使得这些企业能够在国外实现数据合规,从而在国内外的业务都不受影响,朱凯律师带领团队独创了一套问卷式的自我评价系统,这套系统共有79个关于企业数据自我评估的单项问题,通过“数据出境的目的”、“发送方的保护能力”、“接收方的保护能力”以及“接收方政治法律环境”的四个不同维度,为所服务企业归纳、整理了各个不同来源的评估标准,从而保证了评估体系的全面与科学。
朱凯设计的这套评估体系的优势在于,客户对于自己的数据出海情况不再盲目,而是通过回答这些单项问题,系统内可以依据法律法规和最佳实践案例,给出客户数据出境的风险等级,从而让自己的数据更加合法合规。这一套评估体系的设计,也迅速帮助客户找出了自己当前数据的问题,从而让专业律师可以针对客户不同的情况对违规行为进行调整,从而避免客户遭受重大的法律合规风险。这套评估体系最终也在行业内部广泛运用并得到了普遍的肯定和认可。
深度研究国内外数据处理协议,实现数据出海的合法合规
业内数据出海的企业都知道,在很多场景下,数据传输是双向甚至多向的,既需要将数据从中国传输至境外,也需要从境外传至中国,那么在使用标准合同时可能需要同时使用对方的SCC作为数据处理协议,因为双方的标准合同都缺乏修改的空间,所以会导致不同数据处理协议的条款互相交织,甚至出现矛盾,这可能需要通过数据处理协议之外的主协议协调不同数据处理协议的关系。在此场景下,需要专业的法律人士对企业进行认证、完成安全评估才是数据合规传输的更优选择。
朱凯和团队在意识到了这一问题后,对于跨境企业需要的传输合规框架也日益清晰,他们设计的这一套评估体系对于企业如何根据自身情况,选择最合适的路径,完成数据本地化与跨境传输合规框架的搭建也有着非常科学的借鉴意义。
在朱凯等这样专业团队的努力下,我们期待着数据出境规则能够越来越清晰,冲破目前个人信息出境一团烟雾的窘境,让企业真正能够合法合规实现数据的出境。
