【VK技术分享】数据安全怎么做——数据跨境的思考

前

言

本文基于自己对国内外数据跨境安全的学习，并针对中国在美国存在业务的企业，如何满足合规要求，自己的一些学习和思考过程，分享给大家。

近两年是数据安全合规的大年，全球相继以数据安全为基础，发布了多项法案或行政法令，这使存在跨国业务的企业，面对业务合规的压力越来越大。

今天的分享也是鉴于自己去年经历了美国合规层面对数据跨境场景中的问题和处置思路，场景主要是中美数据合规、和如何规避数据跨境出现的合规风险。

背

景

1、事件

a、国内方面：

国内对于国外公司的安全审查也是相对严格，2017年6月1日，网络安全法正式实施，相关政策法规也日渐明朗和完善，很多国外的大公司相继在国内建立单独的公司或数据中心，用以管理中国国内的数据，并满足国内的法规要求。典型案例：苹果公司投资10亿美元在贵州省贵安新区建设iCloud数据中心，亚马逊在宁夏中卫建立全球第10个数据中心等，目的都是把国内的数据存储在中国境内，满足我国合规要求，保证我国用户数据隐私及安全性。

b、国际方面：

2019年6月25日，美国参议院外交委员会将华为列为美国和其盟邦的国家安全威胁。

2020年6月30日，印度政府周一（6月29日）晚间以国家安全为由，宣布禁用59项中国应用软件。

2020年09月02日，印度政府再禁118款中国应用程序。

2020年11月26日，印度再禁43款中国应用程序。

2020年8月9日，美国要开展净网行动。

2、合规要求

合规层面本次只体现国内和美国的相关合规要求进行对比说明（此处个人不是很专业，只罗列个人认为比较关键的要求）

a、国内

• 网络安全法

第37条：关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。

• 数据安全管理办法（征求意见稿）

在中华人民共和国境内利用网络开展数据收集、存储、传输、处理、使用等活动（以下简称数据活动），以及数据安全的保护和监督管理要求。

第二十八条 网络运营者发布、共享、交易或向境外提供重要数据前，应当评估可能带来的安全风险，并报经行业主管监管部门同意；行业主管监管部门不明确的，应经省级网信部门批准。

• 数据出境安全评估指南（草案）

数据出境安全评估首先评估数据出境目的；数据出境目的不具有合法性、正当性和必要性，不得出境。在此基础上评估数据出境安全风险，将数据出境及再转移后被泄露、损毁、篡改、滥用等风险有效地降至最低限度。具体流程如图：

• 《数据安全法（草案）》

第二十三条 国家对与履行国际义务和维护国家安全相关的 属于管制物项的数据依法实施出口管制。

• 《个人信息和重要数据出境安全评估办法（征求意见稿）》

第七条网络运营者应在数据出境前，自行组织对数据出境进行安全评估，并对评估结果负责。

第九条出境数据存在以下情况之一的，网络运营者应报请行业主管或监管部门组织安全评估：

（一）含有或累计含有50万人以上的个人信息；

（二）数据量超过1000GB；

（三）包含核设施、化学生物、国防军工、人口健康等领域数据，大型工程活动、海洋环境以及敏感地理信息数据等；

（四）包含关键信息基础设施的系统漏洞、安全防护等网络安全信息；（五）关键信息基础设施运营者向境外提供个人信息和重要数据；

（六）其他可能影响国家安全和社会公共利益，行业主管或监管部门认为应该评估。

行业主管或监管部门不明确的，由国家网信部门组织评估。

• 《个人信息出境安全评估办法（征求意见稿）》

第三条 个人信息出境前，网络运营者应当向所在地省级网信部门申报个人信息出境安全评估。

向不同的接收者提供个人信息应当分别申报安全评估，向同一接收者多次或连续提供个人信息无需多次评估。

每2年或者个人信息出境目的、类型和境外保存时间发生变化时应当重新评估。

《个人信息保护法（草案）》

整个第三章全部是对于个人信息跨境传输的要求，关键点如下：

个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当至少具备下列一项条件:

(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;

(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;

(三)与境外接收方订立合同,约定双方的权利和义务,并监督其个人信息处理活动达到本法规定的个人信息保护标准；

(四)法律、行政法规或者国家网信部门规定的其他条件。

关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。

b、美国

• CFIUS（美国外资投资委员会）

2018年美国外资安全审查改革首次明确关注TID U.S. business，即Technology（关键技术）、Infrastructure（关键基础设施）和Data（敏感个人数据），具体为具有以下条件的任何美国业务：

（1）生产，设计，测试，制造，制造或开发一项或多项关键技术；

（2）附录A列出了28个关键基础设施类别和功能

（3）直接或间接维护或收集美国公民的敏感个人数据。

关于这三个领域的一系列业务，即使外国人不会获得对美国业务的“控制权”，CFIUS仍有权审查外国人的任何“担保投资”。

CFIUS对落入这三个领域的个人或企业去收购的话，即使是很小的股份，不涉及到控制的也会审查，控制性投资和非控制性投资都会进行审查。比如近几年中国对美投资中有几个因为数据安全被否决的案例：蚂蚁金服在收购MoneyGram未完成的时候已经被CFIUS否决了，还有2020年比较火的要求字节跳动从Tiktok中剥离，其实也是在CFIUS的审查之下，提出的要求。并且，在美公司企业自身是否接受过中国国有产业投资基金的投资，也是他们否决的关键因素之一。

• CCPA

CCPA是迄今为止美国最高的数据保护标准，旨在强有力的保障个人的个人数据，适用于收集、使用或共享消费者数据的企业，无论这些信息是在线还是离线获得，并使用NIST CIS框架为企业数据安全建设提出要求和指引。详细可参考另一篇文章《数据安全怎么做：合规篇之CCPA》。

• COPPA

对在线收集13岁以下儿童个人信息的行为。它详细介绍了网站运营商必须包括的隐私政策，何时以及如何获得父母或监护人同意，以及应尽的责任，运营商必须保护儿童的隐私和安全，包括限制向13岁以下的儿童销售。

该规则涵盖的运营商必须：

发布清晰，全面的在线隐私政策，描述其从儿童网上收集的个人信息的信息做法；

在从儿童在线收集儿童个人信息之前，应直接通知父母并获得可验证的父母同意，但有例外情况；

让父母选择同意运营商收集和内部使用孩子的信息，但禁止运营商向第三方披露该信息（除非网站或服务不可或缺的信息披露，在这种情况下，必须明确告知父母）;

向父母提供访问其孩子的个人信息的权限，以查看和/或删除该信息；

给父母机会防止进一步使用或在线收集孩子的个人信息；

维护他们从儿童那里收集的信息的机密性，安全性和完整性，包括采取合理步骤仅将这些信息发布给能够维护其机密性和安全性的各方；

保留从儿童网上收集的个人信息的时间仅达到实现收集目的所必需的时间，并采用合理的措施删除该信息，以防止他人未经授权访问或使用该信息；不得以儿童提供比参加该活动合理必要的更多信息为条件来限制儿童参与在线活动。

• 净网

强调Clean Carrier、Clean Store、Clean Apps、Clean Cloud、Clean Cable、Clean Path。从不同维度，极大的限制了中国企业在美业务的开展，并随时存在业务被关停和应用被下架等风险。

c、总结

其实在看中美对外资安全审查的过程中，对待数据的处理方式还是比较相像的，都是从国家安全层面看数据安全问题，强调“数据主权”完整和独立，这也是企业业务在长期可持续开展的决定性条件。

跨

境

数

据

以下将通过实际场景举例，跟大家分享自己对数据跨境场景中的想法和思考。

**1、**场景

国内公司，系统部署在国内，主要用户群体都在国内，业务已扩展到美国，存在美国公民PII信息，国内敏感数据不出境，无国内数据跨境风险，如何满足美国合规要求。

2**、**目标

保证业务的前提下，满足美国本地监管和中美数据合规要求，规避数据跨境而产生风险。

3**、**问题&思考

合规：中美关于数据的合规要求是什么？如何落地？哪些是关键指标？

行业：行业最佳实践案例和是什么，与我司的共性是什么？我司与它的差距是什么？

系统：业务系统应该如何部署，如何拆分才能满足中美的数据管理要求？

数据：数据如何存储、使用和管理，才能满足中美的数据管理要求？

**4、**原则

• 数据最小化获取

  只获取隐私协议中明确提及的数据。

• 本地化管控

  包含人员本地化招聘、系统本地化部署和数据本地化存储，此处是满足合规和监管要求，实现可信的目的。

• 适当的安全防护

  环境、人员、系统和数据等都要进行适当的安全防护，如满足ccpa中的nist的cis框架，逐项满足，规避因安全问题引发的合规风险。

• 出境前安全审查

  强合规要求。

5**、**方案

面对于美国合规，其实解决方案并不复杂，要基于业务，选择对业务影响最小和业务可接受的解决方案。主要方向是：将国内的所有技术和管理措施等在美国相同落实和拉齐，然后依据美国合规及业务特殊性进行定制化改造，如敏感数据发现基于业务和合规要求进行变更，增加境外数据管理规定等等，相同功能的三方安全防护产品，改采购美国本地企业产品等。

以下基于自己亲身经历并完成的落地方案，从四个方向的思路分享，供参考（只罗列个人认为的关键点）：

方向一、在美国的业务完全独立（思路类似一企两制）

• 在美国独立成立公司并招聘本地运维人员，国内总部进行宏观管理

• 基于美国本地公司提供的云环境或IDC部署系统，与国内网络物理隔离

• 系统强满足CCPA、COPPA和美国当地监管要求

• 采购美国本地的企业产品，用以背书

方向二、在美国的系统完全独立

• 将涉及到美国PII信息的系统或功能模块从整体的系统中剥离，独立形成一套系统

• 基于美国本地公司提供的云环境部署系统

• 至少存在一个美国CDN企业专线，完成跨国数据传输

• 美国合规要求的敏感数据如需进入国内，采取缓存的方式，且定期即时清理

• 增加业务场景多样化，除了app端，建议存在pc端版本和h5页面版本等，规避app被下架的风险

• 系统强满足CCPA、COPPA和美国当地监管要求

• 采购美国本地的企业产品，用以背书

方向三、在美国的数据完全独立

• 美国本地的敏感数据获取和存储，依托于第三方公司完成，公司只提供能力和平台，接口层获取认证的结果数据即可，不接触敏感信息

方向四、放弃美国合规要求的隐私数据

• 对美籍用户或员工的合规明确要求的隐私数据进行全面匿名化处理

• 或清退美籍用户或员工，并删除相关数据

总结：

上述思路不仅适用于中国企业在美业务的开展，亦适合在欧洲（GDPR）、日本等地的业务开展。

**6、**敏感数据

为了便于对敏感信息的了解，我整理了ccpa、gdpr等合规要求中对敏感数据的提及，总结如下，建议企业至少关注以下数据：

序号

敏感信息类别

1

音频、电子、视觉、热量、嗅觉或类似信息

2

银行帐号

3

生物特征信息

4

商业信息（例如，购买的产品或服务，或其他购买或消费历史或趋势）

5

信用卡号

6

借记卡号

7

驾驶执照号码/州ID

8

教育

9

电子网络活动（例如，浏览历史记录，非公开电子邮件，消息或聊天通信）

10

电子邮件地址

11

就业状态

12

就业经历

13

地理位置数据

14

健康保险信息

15

标识符（例如名称或别名）

16

保险单号

17

医疗信息

18

在线标识符（例如IP地址）

19

其他财务信息

20

护照号码

21

身体特征

22

邮寄地址

23

签名

24

社会保险号

25

电话号码

26

交易信息

**7、**认证

面对合规，我们需要深刻的解读，并通过技术和管理等手段进行落地，以帮助企业规避合规风险，那如何判断和验证企业切实满足了合规要求呢，这就不提到不同合规要求对应的认证了，面对美国合规要求，可以通过过认证方式，进行合规背书，如Coppa和ISO/IEC 27701等，同时，相关认证对公司也有PR的效果。

总

结

随着企业业务的全球化发展，企业面临的各国数据安全合规要求不尽相同，合规的日益趋严让企业压力不断增加，数据安全合规已经不在是企业建设到一定阶段，便可自然满足的事情，而是需要通过制定一系列的企业战略目标和计划，业务随合规而不断调整，方能实现的事情，这对每个企业都是比较大的挑战。但这其实是好事，数据的价值越来越大， 合规的本质是为个人、企业和国家提供保障，并且国家通过合规手段带动企业数据安全建设，会整个数据安全发展更加高效和快速。

这是【VK技术分享】的第14期

后续我们将持续输出优秀的技术文章

如果您有任何希望交流讨论问题

欢迎在文末或后台进行留言

我们期待与您的技术交流和思想碰撞

END