数据安全怎么做——数据跨境的思考

前言

本文基于自己对国内外数据跨境安全的学习，并针对中国在美国存在业务的企业，如何满足合规要求，自己的一些学习和思考过程，分享给大家。

近两年是数据安全合规的大年，全球相继以数据安全为基础，发布了多项法案或行政法令，这使存在跨国业务的企业，面对业务合规的压力越来越大。

今天的分享也是鉴于自己去年经历了美国合规层面对数据跨境场景中的问题和处置思路，场景主要是中美数据合规、和如何规避数据跨境出现的合规风险。背景 1、事件

a、国内方面：

国内对于国外公司的安全审查也是相对严格，2017 年 6 月 1 日，网络安全法正式实施，相关政策法规也日渐明朗和完善，很多国外的大公司相继在国内建立单独的公司或数据中心，用以管理中国国内的数据，并满足国内的法规要求。典型案例：苹果公司投资 10 亿美元在贵州省贵安新区建设 iCloud 数据中心，亚马逊在宁夏中卫建立全球第 10 个数据中心等，目的都是把国内的数据存储在中国境内，满足我国合规要求，保证我国用户数据隐私及安全性。

b、国际方面：

2019 年 6 月 25 日，美国参议院外交委员会将华为列为美国和其盟邦的国家安全威胁。

2020 年 6 月 30 日，印度政府周一（6 月 29 日）晚间以国家安全为由，宣布禁用 59 项中国应用软件。

2020 年 09 月 02 日，印度政府再禁 118 款中国应用程序。

2020 年 11 月 26 日，印度再禁 43 款中国应用程序。

2020 年 8 月 9 日，美国要开展净网行动。2、合规要求

合规层面本次只体现国内和美国的相关合规要求进行对比说明（此处个人不是很专业，只罗列个人认为比较关键的要求）

a、国内

• 网络安全法

第 37 条：关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。

• 数据安全管理办法（征求意见稿）

在中华人民共和国境内利用网络开展数据收集、存储、传输、处理、使用等活动（以下简称数据活动），以及数据安全的保护和监督管理要求。

第二十八条 网络运营者发布、共享、交易或向境外提供重要数据前，应当评估可能带来的安全风险，并报经行业主管监管部门同意；行业主管监管部门不明确的，应经省级网信部门批准。

• 数据出境安全评估指南（草案）

数据出境安全评估首先评估数据出境目的；数据出境目的不具有合法性、正当性和必要性，不得出境。在此基础上评估数据出境安全风险，将数据出境及再转移后被泄露、损毁、篡改、滥用等风险有效地降至最低限度。具体流程如图：

• 《数据安全法（草案）》

第二十三条 国家对与履行国际义务和维护国家安全相关的 属于管制物项的数据依法实施出口管制。

• 《个人信息和重要数据出境安全评估办法（征求意见稿）》

第七条网络运营者应在数据出境前，自行组织对数据出境进行安全评估，并对评估结果负责。

第九条出境数据存在以下情况之一的，网络运营者应报请行业主管或监管部门组织安全评估：

（一）含有或累计含有 50 万人以上的个人信息；

（二）数据量超过 1000GB；

（三）包含核设施、化学生物、国防军工、人口健康等领域数据，大型工程活动、海洋环境以及敏感地理信息数据等；

（四）包含关键信息基础设施的系统漏洞、安全防护等网络安全信息；（五）关键信息基础设施运营者向境外提供个人信息和重要数据；

（六）其他可能影响国家安全和社会公共利益，行业主管或监管部门认为应该评估。

行业主管或监管部门不明确的，由国家网信部门组织评估。

• 《个人信息出境安全评估办法（征求意见稿）》

第三条 个人信息出境前，网络运营者应当向所在地省级网信部门申报个人信息出境安全评估。

向不同的接收者提供个人信息应当分别申报安全评估，向同一接收者多次或连续提供个人信息无需多次评估。

每 2 年或者个人信息出境目的、类型和境外保存时间发生变化时应当重新评估。

《个人信息保护法（草案）》

整个第三章全部是对于个人信息跨境传输的要求，关键点如下：

个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当至少具备下列一项条件:

(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;

(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;

(三)与境外接收方订立合同,约定双方的权利和义务,并监督其个人信息处理活动达到本法规定的个人信息保护标准；

(四)法律、行政法规或者国家网信部门规定的其他条件。

关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。

b、美国

• CFIUS（美国外资投资委员会）

2018 年美国外资安全审查改革首次明确关注 TID U.S. business，即 Technology（关键技术）、Infrastructure（关键基础设施）和 Data（敏感个人数据），具体为具有以下条件的任何美国业务：

（1）生产，设计，测试，制造，制造或开发一项或多项关键技术；

（2）附录 A 列出了 28 个关键基础设施类别和功能

（3）直接或间接维护或收集美国公民的敏感个人数据。

关于这三个领域的一系列业务，即使外国人不会获得对美国业务的“控制权”，CFIUS 仍有权审查外国人的任何“担保投资”。

CFIUS 对落入这三个领域的个人或企业去收购的话，即使是很小的股份，不涉及到控制的也会审查，控制性投资和非控制性投资都会进行审查。比如近几年中国对美投资中有几个因为数据安全被否决的案例：蚂蚁金服在收购 MoneyGram 未完成的时候已经被 CFIUS 否决了，还有 2020 年比较火的要求字节跳动从 Tiktok 中剥离，其实也是在 CFIUS 的审查之下，提出的要求。并且，在美公司企业自身是否接受过中国国有产业投资基金的投资，也是他们否决的关键因素之一。

• CCPA

CCPA 是迄今为止美国最高的数据保护标准，旨在强有力地保障个人的个人数据，适用于收集、使用或共享消费者数据的企业，无论这些信息是在线还是离线获得，并使用 NIST CIS 框架为企业数据安全建设提出要求和指引。详细可参考另一篇文章《数据安全怎么做：合规篇之 CCPA》。

• COPPA

对在线收集 13 岁以下儿童个人信息的行为。它详细介绍了网站运营商必须包括的隐私政策，何时以及如何获得父母或监护人同意，以及应尽的责任，运营商必须保护儿童的隐私和安全，包括限制向 13 岁以下的儿童销售。

该规则涵盖的运营商必须：

发布清晰，全面的在线隐私政策，描述其从儿童网上收集的个人信息的信息做法；

在从儿童在线收集儿童个人信息之前，应直接通知父母并获得可验证的父母同意，但有例外情况；

让父母选择同意运营商收集和内部使用孩子的信息，但禁止运营商向第三方披露该信息（除非网站或服务不可或缺的信息披露，在这种情况下，必须明确告知父母）;

向父母提供访问其孩子的个人信息的权限，以查看和/或删除该信息；

给父母机会防止进一步使用或在线收集孩子的个人信息；

维护他们从儿童那里收集的信息的机密性，安全性和完整性，包括采取合理步骤仅将这些信息发布给能够维护其机密性和安全性的各方；

保留从儿童网上收集的个人信息的时间仅达到实现收集目的所必需的时间，并采用合理的措施删除该信息，以防止他人未经授权访问或使用该信息；不得以儿童提供比参加该活动合理必要的更多信息为条件来限制儿童参与在线活动。

• 净网

强调 Clean Carrier、Clean Store、Clean Apps、Clean Cloud、Clean Cable、Clean Path。从不同维度，极大地限制了中国企业在美业务的开展，并随时存在业务被关停和应用被下架等风险。

c、总结

其实在看中美对外资安全审查的过程中，对待数据的处理方式还是比较相像的，都是从国家安全层面看数据安全问题，强调“数据主权”完整和独立，这也是企业业务在长期可持续开展的决定性条件。跨境数据

以下将通过实际场景举例，跟大家分享自己对数据跨境场景中的想法和思考。1、场景

国内公司，系统部署在国内，主要用户群体都在国内，业务已扩展到美国，存在美国公民 PII 信息，国内敏感数据不出境，无国内数据跨境风险，如何满足美国合规要求。2、目标

保证业务的前提下，满足美国本地监管和中美数据合规要求，规避数据跨境而产生风险。3、问题 &思考

合规：中美关于数据的合规要求是什么？如何落地？哪些是关键指标？

行业：行业最佳实践案例和是什么，与我司的共性是什么？我司与它的差距是什么？

系统：业务系统应该如何部署，如何拆分才能满足中美的数据管理要求？

数据：数据如何存储、使用和管理，才能满足中美的数据管理要求？4、原则

• 数据最小化获取只获取隐私协议中明确提及的数据。

• 本地化管控包含人员本地化招聘、系统本地化部署和数据本地化存储，此处是满足合规和监管要求，实现可信的目的。

• 适当的安全防护环境、人员、系统和数据等都要进行适当的安全防护，如满足 ccpa 中的 nist 的 cis 框架，逐项满足，规避因安全问题引发的合规风险。

• 出境前安全审查强合规要求。

5、方案

面对于美国合规，其实解决方案并不复杂，要基于业务，选择对业务影响最小和业务可接受的解决方案。主要方向是：将国内的所有技术和管理措施等在美国相同落实和拉齐，然后依据美国合规及业务特殊性进行定制化改造，如敏感数据发现基于业务和合规要求进行变更，增加境外数据管理规定等等，相同功能的三方安全防护产品，改采购美国本地企业产品等。

以下基于自己亲身经历并完成的落地方案，从四个方向的思路分享，供参考（只罗列个人认为的关键点）：

方向一、在美国的业务完全独立（思路类似一企两制）

• 在美国独立成立公司并招聘本地运维人员，国内总部进行宏观管理

• 基于美国本地公司提供的云环境或 IDC 部署系统，与国内网络物理隔离

• 系统强满足 CCPA、COPPA 和美国当地监管要求

• 采购美国本地的企业产品，用以背书

方向二、在美国的系统完全独立

• 将涉及到美国 PII 信息的系统或功能模块从整体的系统中剥离，独立形成一套系统

• 基于美国本地公司提供的云环境部署系统

• 至少存在一个美国 CDN 企业专线，完成跨国数据传输

• 美国合规要求的敏感数据如需进入国内，采取缓存的方式，且定期即时清理

• 增加业务场景多样化，除了 app 端，建议存在 pc 端版本和 h5 页面版本等，规避 app 被下架的风险

• 系统强满足 CCPA、COPPA 和美国当地监管要求

• 采购美国本地的企业产品，用以背书

方向三、在美国的数据完全独立

• 美国本地的敏感数据获取和存储，依托于第三方公司完成，公司只提供能力和平台，接口层获取认证的结果数据即可，不接触敏感信息

方向四、放弃美国合规要求的隐私数据

• 对美籍用户或员工的合规明确要求的隐私数据进行全面匿名化处理

• 或清退美籍用户或员工，并删除相关数据

总结：

上述思路不仅适用于中国企业在美业务的开展，亦适合在欧洲（GDPR）、日本等地的业务开展。6、敏感数据

为了便于对敏感信息的了解，我整理了 ccpa、gdpr 等合规要求中对敏感数据的提及，总结如下，建议企业至少关注以下数据：

7、认证

面对合规，我们需要深刻地解读，并通过技术和管理等手段进行落地，以帮助企业规避合规风险，那如何判断和验证企业切实满足了合规要求呢，这就不提到不同合规要求对应的认证了，面对美国合规要求，可以通过过认证方式，进行合规背书，如 Coppa 和 ISO/IEC 27701 等，同时，相关认证对公司也有 PR 的效果。

推荐阅读：「网络安全自学篇」黑客攻防和实战编程看这篇就够了（内含实战）

总结

随着企业业务的全球化发展，企业面临的各国数据安全合规要求不尽相同，合规的日益趋严让企业压力不断增加，数据安全合规已经不再是企业建设到一定阶段，便可自然满足的事情，而是需要通过制定一系列的企业战略目标和计划，业务随合规而不断调整，方能实现的事情，这对每个企业都是比较大的挑战。但这其实是好事，数据的价值越来越大， 合规的本质是为个人、企业和国家提供保障，并且国家通过合规手段带动企业数据安全建设，会整个数据安全发展更加高效和快