2023年跨国企业如何实现跨境数据传输合规化（上）

一、什么是数据跨境传输？

首先了解一个概念，什么是数据跨境传输？

数据跨境传输简单概括就是指信息通过互联网等网络媒介，在跨国企业之间进行传递和交换的过程。

有一则官方网站关于全球化数字化的数据统计：仅2019 年全球数据跨境流量旧达到 465.9 EB，预计到 2023 年将增长到 1.8 ZB。

必然，数据跨境传输也将面临着诸多挑战和风险：

• 安全风险：企业一定要保障数据的完整性、保密性、可用性不要受到损害。

• 数据跨境传输涉及多个网络环节和节点，可能遭受黑客攻击、恶意篡改/泄露/丢失等网络安全事件。

• 人员技术风险。很多跨国企业都忽略了这一点，其实具备一定的技术能力和管理能力，是很重要的关键。若跨国企业缺少相应的数据分类、审计等能力，或者在操作过程中出现设备损坏、系统故障、人为失误等情况，可能导致数据的损失、错误、延迟等问题。

• 法律合规与监管风险：不同国家或地区对数据的保护和管理有不同的法律法规和标准，例如欧盟的《通用数据保护条例》（GDPR）、中国的《网络安全法》、美国的《云法案》等。跨国企业在进行数据跨境传输时，如果没有遵守相关的法律法规，可能面临重大罚款、禁令等不同程度的法律后果。

• 业务连续性风险。如果数据跨境传输出现中断、中止、限制等情况，可能导致跨国企业的业务受到严重的影响，甚至造成重大的经济损失和声誉损失。

综上所述，数据跨境传输是跨国企业的必要需求，也是跨国企业的重大挑战。跨国企业如何实现数据跨境传输的合规化，是一个亟待解决的问题。

二、跨国企业的数据跨境场景有哪些？

数据跨境传输的场景可以根据不同的维度进行划分，例如：

• 数据类型：型数据类型又分为“个人数据”和“非个人数据”，“个人数据”指姓名、身份证号、地址、手机号、银行账号、邮箱、位置信息等能够识别到或者与特定的自然人相关联的数据。【非个人数据】指企业数据、公共数据等不能够识别或者与特定的自然人相关联的数据。

• 数据来源：同上，来源也分为“内部数据”和“外部数据”，内部数据指员工数据、产品数据、客户数据、财务数据等跨国企业自身产生或者收集的数据。“外部数据”指合作伙伴数据、竞争对手数据、供应商数据、行业数据、市场数据等跨国企业从其他机构或者个人获取的数据。注意，一般来说，【外部数据】更容易引发数据所有权、责任、许可权、等方面的纠纷，因此需要更加小心地进行数据跨境传输。

• 数据目的：目的分为“业务目的”和“非业务目的”，业务目的指提供服务、增强效率、开拓市场、优化流程等数据跨境传输是为了支持或者促进跨国企业的业务运行和发展。非业务目的指遵守法律法规、履行合同义务、响应政府要求、参与社会公益等数据跨境传输是为了满足其他的需求或者目标。一般来说，【非业务目的】的数据跨境传输更容易引起数据主体的不满和反对，因此需要更加合理地进行数据跨境传输。

• 数据流向：数据流向可以分为单向流动和双向流动，单向流动指数据只从一个国家或地区流向另一个国家或地区，例如数据的输出或者输入。双向流动指数据在多个国家或地区之间往返流动，例如数据的存储或者处理。一般来说，双向流动的数据涉及更多的网络环节和节点，也面临更多的网络安全和操作风险，因此需要更加稳定地进行数据跨境传输。

根据不同的数据跨境传输场景，跨国企业可以采用不同的方法和工具，开展数据跨境传输的风险评估。篇幅较长，下篇我们接着聊如何解决以上挑战与风险。