构建适合企业自身的数据合规机制

近期，数据立法动作频频，国家网信办密集发布《数据安全管理办法（征求意见稿）》《个人信息出境安全评估办法（征求意见稿）》《儿童个人信息网络保护规定》等，《个人信息保护法》《数据安全法》也被提上立法日程，行政执法频繁，数据公司的刑事案件日益严峻，数据监管愈加严格。

在日前举办的企业如何应对日益严峻的数据合规挑战研讨会上，中伦律师事务所合伙人陈际红介绍说，我国数据保护行政执法常态化、频密化，侵犯公民个人信息犯罪案件数量迅速上升，刑事风险如达摩克利斯之剑。

基于数据保护的重要性，国内外数据监管日趋加强。陈际红表示，在GDPR（《通用数据保护条例》）实施一年来，数据监管机构频频发出罚单，谷歌更是被CNIL处以高达5000万欧元的罚款。在美国，抖音国际版TikTok也因儿童个人信息保护问题在美国被罚款570万美元。2018年3月，美国CLOUD Act生效，该法案采取“数据控制者”标准，打破了原有的“服务器标准”，扩张了美国执法机构调取不在美国境内存储数据的范围，加大了美国执法机构全球获取数据的能力。2018年8月，特朗普签署生效的《外国投资风险审查现代化法案》，增强了对外国投资的审查力度，对涉及网络安全、大数据及个人隐私、金融业及影响美国科技领先地位的交易将加强审查。

陈际红说，不少“一带一路”沿线国家和地区已经或正在制定数据保护法律。比如，根据俄罗斯法律，互联网信息传播组织者、运营商都需要对数据进行本地化存储和处理。对于数据出境，俄罗斯要求数据接收国家必须拥有同等的保护水平，否则必须具备数据主体的书面同意、履行合同必要等法定事由才可以进行。

“如何构建有效的数据合规体系、控制数据风险并协同商业应用，对企业来说是一大挑战。中国一直是经济全球化的践行者和受益者，中企与域外的关联因素已经非常广泛。考虑到全球各国的数据立法此起彼伏，且很多具有域外管辖的长臂效果，中国不得不密切关注域外数据立法对企业的影响。”陈际红认为，中国企业如果把业务扩展到境外，需要提前了解当地政策及法律法规，避免受到监管机构的处罚。

陈际红对企业应对数据合规提出了建议，包括厘清数据监管的范围、设立数据合规组织机构、完善数据合规业务流程、构建数据合规制度体系、融入设计隐私的理念思路等。

陈际红认为，数据合规是一项系统性工具，企业应从组织、流程、制度、培训等多方面下手，构建适合企业自身的数据合规机制。中国企业在国际化进程中，要综合考虑不同国家/区域的网络安全和数据保护法律制度，以设计有效的全球IT设施架构，构建合法的全球数据处理机制。