解析数据本地化的挑战与应对
企业会计准则及应用指南系列
解析数据本地化的挑战与应对
自2022年下半年以来,我国对数据跨境传输的监管逐步趋严,相关法规和指南密集出台,与此相关的申报和备案工作也在如火如荼的开展。就目前所观察到的监管趋势来看,企业的某些数据因出境的必要性不充分,可能面临不被准予出境的情况,而本地化就成了绕不开的话题。如果把数据出境安全评估比作一场竞赛的上半场,那本地化就是这场竞赛的下半场,企业在下半场更需打起精神,准备好充足的资源,迎接一场“持久战”的考验。
数据跨境监管趋势
伴随着跨国企业在全球的业务拓展,其产生和收集的各类数据(包括个人数据、经营数据及生产数据等)在不同国家和地区间进行流动的行为,即构成了数据跨境传输。国家间的数据流动对于促进数字创新、提高经济效率和增进社会福祉起到了积极作用,但也因其对于国家安全以及国际竞争的战略性意义,使之成为立法与合规监管的焦点。
在数据跨境的立法发展过程中,世界各国针对数据跨境流动密集出台了相关的法律法规。以欧盟为代表,《一般数据保护条例》(GDPR)对个人信息的跨境流动作出了严格的限制并给出了具体的合法流动规则。美国则奉行相对宽松的数据跨境流动政策,在联邦层面并未明确对数据跨境流动进行限制,但与欧盟立法偏重个人数据权利保护不同,美国数据跨境法规与贸易政策深度绑定,对重要或关键部门或领域的数据跨境流动进行分散但严格的管控,同时通过立法赋予国内执法机构对境外数据进行长臂管辖的权力。
在全球的立法潮流中,中国也在过去的几年中加快了对于数据保护的各类立法。2016年11月7日通过的《中华人民共和国网络安全法》是我国在网络空间治理领域的第一部基本大法,首次在法律上对数据跨境流动进行了阐述,第37条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储,因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”此条款也被认为是对于中国数据跨境流动规则的确立,即“本地存储,出境评估。”
2021年,我国又接连颁布了《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》两部法律,进一步补充和完善了数据流动规则。2022年9月1日,由国家互联网信息办公室发布的《数据出境安全评估办法》(后简称《办法》)正式实施,将三部法律的原则要求进行了明确,界定了数据出境的适用范围,并对安全评估和申报工作给出了详细的实施程序。
数据跨境传输常见方式
<< 左右滑动查看更多
>>
在《办法》施行将满一年之计,许多头部企业已经积极开展安全评估并向监管机构递交了数据出境申报材料,涉及互联网、零售、医药、金融、汽车、民航、制造等诸多行业。在已经收到监管机构评估结果的案例中,某些企业的部分出境场景或部分数据项因缺乏充分的出境必要性,未能获批,对于这部分数据及系统进行本地化将成为下一阶段整改工作的重中之重。
数据本地化
数据本地化是一项复杂的系统工程,它以数据为核心,以系统为载体,是对企业IT治理和运营能力的一次考验。对于大部分跨国企业而言,经典的IT管理模式是高度集中化的,由集团总部在境外统一提供IT基础设施服务,并统一托管主要应用系统,供不同国家的业务团队共享使用。这种模式从运营效率和成本节约的角度符合跨国企业的利益,但却不可避免地造成了数据的高度集中以及从中国境内向境外集团总部的单向流动。而本地化势必对这一既有模式造成颠覆,并且不同程度的本地化对业务的影响程度也不尽相同:
考虑到跨国企业在业务上须与境外总部保持必要的连通性和联动性,并拥有较为复杂的汇报机制,本地化的进程会对现有的业务流程和人员组织架构产生一定的影响。公司不仅要考虑如何通过一些系统及业务流程方面的快速整改以满足合规要求,也要从长远的角度考虑如何构建一个符合本地化要求的本地业务流程并配备或调整组织架构以实现业务目标。
数据本地化虽然是一个由合规触发的新课题,但对于企业而言也不失为一次IT治理模式转型的机遇,如果实施成功,将为本地业务运营提供更好的支撑:
数据本地化的好处
对于数据本地化,普华永道认为可通过以下五个步骤实现方案落地:
数据本地化方案实现
数据本地化路径选择和常见场景
尽管数据本地化在概念层面,是将数据的存储位置和数据处理的过程从某国家或地区转移到另一物理位置,但落实到具体的应用系统,其技术选择和实现路径则五花八门。普华永道建议企业将目标系统的本地化方案归纳为几种“原型方案”,这样便于对应用进行分组讨论,降低复杂度和沟通成本。以下是一些常见的“原型方案”,需要注意的是,不同的方案所对应的实施成本和剩余风险也是各不相同的,这点需要在做决策时予以充分考虑。
本地化原型方案
接下来,本文以企业内部两类最常见的应用系统为例,分析说明在本地化过程中须考虑的一些重点事项。
客户关系管理系统(Customer
Relationship Management, CRM)
CRM是企业与其客户联络的桥梁。CRM系统可收集、关联和分析所有相关客户数据,包括联系人信息、与企业销售代表的互动信息、历史购买记录、服务请求、资产和报价及提议等。企业销售人员可访问这些数据,并了解每个接触点的最新动态,并据此创建完整的客户档案,进而建立牢固的客户关系。在此过程中,大量的客户个人信息甚至敏感个人信息被收集和处理,因此,CRM系统也往往成为企业内部存储个人信息数量最多的系统,自然也是跨境申报的主要系统。目前,在已获得批复的跨境申报案例中,普华永道看到监管机构对于外部客户数据的出境采取了相对严格的立场,也就意味着企业对于以CRM为核心的收集处理客户个人信息的系统,需要优先考虑本地化。
CRM本地化的重点事项:
CRM本地化,或将中国市场的数据从全球应用实例中剥离,会对现有业务模式产生影响,在系统进行任何重大变更前,应对潜在影响进行充分评估,确保重大变更符合中国市场的长期业务战略。
CRM系统功能复杂、数据项繁多,不建议对合规要求作“一刀切”式的简单解读,而应逐个功能模块、逐个数据项的进行评估和整改,精准应对合规挑战。
CRM系统接口较多,上下游依赖关系复杂,在为CRM设计本地化方案的时候,应同步考虑其关联系统,评估变更后的数据流,避免因考虑不周而形成新的风险敞口或造成上下游系统的中断。
现阶段,国际上一些主流的CRM供应商正纷纷搭建中国境内的服务平台和应用生态,为其客户满足国内法规要求提供原厂支持。建议企业主动向CRM供应商问询并了解其本地化方案和时间表,利用供应商平台找到适合自身落地的最优路径,避免闭门造车。
人力资源管理系统(Human Resource Management
system,HRMS)
HRMS是一套涵盖人事管理、能力素质模型、绩效管理、考勤管理、薪酬管理、招聘管理、培训管理、查询报表等功能的一体化整合应用系统,是企业内部处理员工个人信息的主要系统。作为企业管理的一个通用场景,员工个人信息的出境也是广大跨国企业无法绕过的问题。目前,在已获得批复的跨境申报案例中,普华永道看到监管机构对于员工个人信息的出境采取了相对包容的态度,但对于应聘者的个人信息以及员工的部分敏感个人信息采取了更严格的立场。对于企业而言,需考虑对现有的HRMS进行必要的改造,以满足监管要求。
HRMS本地化的重点事项:
明确允许出境的数据项,对外传设置明确规则,以确保实际出境数据和允许出境数据保持一致,并留存传输日志。
对于禁止出境的员工数据项,考虑通过流程变更的方式对原有的数据采集和录入流程进行必要的改造。
对于应聘者的个人信息收集和处理,考虑境内的替代解决方案,并从原有的HRMS进行必要的剥离。
现阶段,一些国际主流的HRMS供应商尚未提供明确的本地化方案和时间表,而本土的HRMS供应商正在迅速崛起,从功能性和合规性方面都给出了颇有说服力的解决方案,企业可以从中国人才战略总体出发,通盘考虑切换到国内平台的可行性。
普华永道服务
普华永道专业团队为不同行业、不同规模的企业客户提供了数据跨境合规咨询,并致力于帮助客户制定本地化战略、搭建本地IT基础设施和应用系统,以实现长效合规。