面对巨额罚款，企业数据跨境怎么做才合规？

编者按：本文来自微信公众号“索骥合规”（ID:gh_2c7979aa193d），索骥合规网授权发布。

数字经济如火如荼发展之际，数据跨境成为不少企业发展海外市场面临的问题。企业数据跨境流动，可能会带来数据安全和隐私保护问题，甚至可能会引起国家安全风险。

近年来，中国企业因跨境数据违规行为被处罚的事件屡见不鲜，滴滴被罚80.26亿元，TikTok被多国罚款，甚至可能被美国禁用。

各国高度重视数据流动的凸显问题，纷纷出台法律法规，对跨境数据流动进行监管。

企业数据合规是保障信息安全的第一道防线。由于在数据跨境过程中所涉数据类型的多样化，运用场景的多元化，企业合规认知实践能力层次不齐等多方面原因，跨境数据合规成为困扰企业的难点。

在面对数据跨境时，企业怎么做才能合规，规避风险？我们来探讨一下。

一、数据跨境被关注，它们触犯了哪些红线？

随着数字贸易的快速发展，数据跨境流动越来越频繁，面临数据合规问题的“出海”企业也越来越多。从TikTok、滴滴、微软遭遇的数据跨境问题来看，数据合规已经成为企业发展海外市场的“必选项”。

01 涉数据保护等问题，TikTok在多国被罚、在美可能被禁用

2020年，TikTok在韩国被罚1.86亿韩元，因对儿童数据处理不当。

2020年7月22日，白宫曾以国家安全为由强制TikTok出售股权给微软，后因我国更新“禁止出口技术目录”，明确限制出口“基于数据分析的个性化信息推送服务技术”，被字节拒绝，制裁不成反被诉。

在2020年8月6日，特朗普政府宣布对 TikTok进行封杀，理由是 TikTok危及美国的国家安全与对外政策。

2023年1月，法国对 TikTok 处以500万欧元罚款，因违反 cookies 规定。

近期，美国国会众议院外交事务委员会通过《威慑美国技术对手法案》，该法案将授权美国总统拜登在全美全面禁用TikTok。

美国当地时间3月23日上午10时，TikTok首席执行官周受资出席美国国会众议院能源和商务委员会听证会，回应来自美方议员“国家安全”等方面的问题。

2023年4月，英国对TikTok处以1270万英镑（约合1.1亿元人民币）的罚款，因该应用在多个方面违反了数据保护法，包括未经父母同意就使用了13岁以下儿童的个人数据。

02 关乎数据安全、隐私等问题，被处罚80.26亿元

滴滴在美上市不到一年就退市了。

2022年7月21日，国家互联网信息办公室依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规，对滴滴全球股份有限公司处人民币80.26亿元罚款，对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。

图片来源：中国网信网

经查明，滴滴公司共存在16项违法事实，归纳起来主要是8个方面。

一是违法收集用户手机相册中的截图信息1196.39万条；

二是过度收集用户剪切板信息、应用列表信息83.23亿条；

三是过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条；

四是过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置（经纬度）信息1.67亿条；

五是过度收集司机学历信息14.29万条，以明文形式存储司机身份证号信息5780.26万条；

六是在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条；

七是在乘客使用顺风车服务时频繁索取无关的“电话权限”；

八是未准确、清晰说明用户设备信息等19项个人信息处理目的。

此前，网络安全审查还发现，滴滴公司存在严重影响国家安全的数据处理活动，以及拒不履行监管部门的明确要求，阳奉阴违、恶意逃避监管等其他违法违规问题。滴滴公司违法违规运营给国家关键信息基础设施安全和数据安全带来严重安全风险隐患。因涉及国家安全，依法不公开。

03 微软中国office数据跨境处理引担忧

最近，很多中国用户在登录微软Office、Windows等产品账户时，会出现数据传输提醒：“你的数据将在你所在国家或地区之外进行处理。”引起很多人担忧，我们的信息是否在裸奔？

 图片来源：计算机微软软件

3月9日，微软中国表示微软始终严格遵守个人隐私保护与数据安全等方面的各项法律法规。微软提供的所有产品与服务以及跨境数据管理，都严格遵从法律法规。

据《财经》报道，记者以Microsoft Office 365用户的身份咨询了一名微软技术支持中心的客服人员。对方表示，如果用户订阅的是国际版Office 365，可能会出现此数据传输提醒的情况。

用户为了使用微软产品，只能同意点击下一步，不然就无法使用。那么，大量数据境外处理，是否存在数据安全风险？

二、企业数据跨境流动存在的风险和解决办法

为什么各国如此重视数据跨境问题？核心在于数据的安全问题。数据安全是国家主权和国家安全的重要部分，涉及国家经济安全、社会治理安全、文化安全、国防安全等各个方面。数据跨境流动安全因其高度敏感和复杂，更是成为最为核心的焦点问题。

一是企业把境内运营中产生的数据传输到境外存储，数据安全没有保障。

滴滴在软件使用过程中收集了大量国内公民的个人信息和重要交通信息数据。如果这些数据传输到境外，信息被泄露或是被利用，将会威胁到个人隐私泄露或是国家安全问题。

微软Office、Windows等产品，把用户的数据在境外进行处理和存储。这是否会造成个人用户数据的裸奔。如果国内微软用户使用群体过大，微软收集中国境内众多用户信息，并在境外进行数据存储和处理，这也给监管造成了一定难度。

二是企业的运营主体归属于境外，境外的机构、个人可以访问使用企业运营中产生的境内数据。

应用软件的用户数据库，不可避免涉及大量的个人信息乃至个人隐私。这些敏感数据不被境外机构、人员所知悉，也成为了数据出境合规的核心问题。

因此，苹果中国的数据处理，采用中国本地化数据处理，将中国苹果用户数据存储在中国境内，避免了数据出境的安全问题。

那么，面对数据跨境流动带来的安全问题，企业应该如何应对，才能有效避免损失？

一是数据出境要进行事前评估。

《数据出境评估办法》第5条规定，数据处理者在申报数据出境安全评估前，应当开展数据出境风险自评估，重点评估数据出境和境外接收方处理数据的目的、范围、方式，出境数据的规模、范围、种类、敏感程度，数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险等。

以滴滴被罚事件为例，滴滴国内用户信息、使用记录等大量数据都被企业所掌握。滴滴在赴美上市之前，并未评估企业所掌控国内信息数据对国内用户个人信息安全和国家安全造成的风险。

所以，企业数据出境要进行事前评估，要做好事前评估，把风险控制在最小范围内。

二是实现数据本地化存储，减少跨境流动风险。

数据本地化处理，可以把企业本地运营产生的数据信息在本地处理，减少跨境的不可控风险。数据异地处理，监管难度大，容易造成信息外泄，严重的可能会给国家安全造成一定的风险。

例如，美国苹果公司，在中国市场上的数据都要留在国内处理。从2019年2月28日起苹果中国iCloud服务将转由云上贵州负责运营，云上贵州公司将全面负责iCloud的运营服务，同时还会负责iCloud和中国用户之间的所有法律及财务管理。

三是企业要根据业务需求，制定本企业的数据跨境合规制度。

以TikTok为例，TikTok在全球化运营的过程中，业务需要跨境传播，就代表着其业务要受到不同国家地区法律法规的管制。在各国运营时，也要遵守所在国的法律法规。

在跨境数据流动中，企业需要掌握数据出境的流程与要求。在不同国家地区要求不同。可以根据实际业务情况，制定不同国家的合规运营制度，避免处罚造成经济损失。

四是紧跟政府监管措施，遵守相应制度。

数据跨境合规，是一个全球性待解决问题，规范数据跨境管理就是在维护国家数据主权。

近年来，国家不断加强对网络安全、数据安全、个人信息的保护力度，先后颁布了《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《网络安全审查办法》《数据出境安全评估办法》等法律法规。

同时，我国也在完善国内规则的基础上，积极参与建设数据跨境规则。

中国移动3月在京发布了《企业跨境数据流动安全合规白皮书（2023）》，为有“出海”需求的企业和社会组织提供相关知识和实操指导。

截至目前，已经有许多国家制定了有关数据跨境流动的法律法规，以维护国家安全和数据主权。跨境数据有风险，但这种风险并非不能规避。企业需制定与业务运营相适应的合规体系，有针对性的进行数据安全风险机制和应对策略，才能有效规避风险，避免经济损失。