(中央社訊息服務20230113 15:10:47)中國大陸於2022年7月公布,並於同年9月1日正式實施了「數據出境安全評估辦法」,企業在辦法實施前就存在的跨境資料傳輸活動,若有不符合辦法規範的部分,須於2023年3月1日前完成改善。「數據出境安全評估辦法」是以事前評估及持續監督的方式進行,規範企業在中國大陸境內的跨境資料傳輸行為,須事先向中國大陸網信部門申報資料跨境傳輸的安全評估,在評估通過後,企業才可以合規的進行資料跨境傳輸行為。企業若違反「數據出境安全評估辦法」將遭受暫停業務執行及其他與違規情節相符之罰則。
為協助企業了解「數據出境安全評估辦法」內涵與因應方式,資誠企業管理顧問公司日前舉辦「中國大陸數據出境評估對台灣金融機構資料治理之影響」研討會, 解析此辦法對中國大陸台資金融機構可能受到的影響,探討企業應如何應用資料治理,因應日趨嚴苛的資料保護規範,並分享企業在中國大陸申報數據出境安全評估的經驗。
了解及分析跨國資料保護法令差異,調整服務與使用條款以符合資料保護規範 普華商務法律事務所金融產業服務合夥律師李裕勳表示,整體而言,「數據出境安全評估辦法」共包括四大架構:須評估的數據類型、數據出境風險自評估、申報數據安全評估及重新申報評估。李裕勳首先在研討會上透過該四大架構對「數據出境安全評估辦法」進行解析,並進一步提出企業在中國大陸端及台灣端的因應之道。
李裕勳提到,由於台灣對於資料收集規範是以保護隱私為主,與中國大陸亦重視國家安全及社會利益的立法精神有所差異,故建議企業若有將中國大陸境內所蒐集數據傳送到台灣的需求時,宜從上述辦法的立法精神事先評估該數據傳送需求的合法性、正當性及必要性,並針對兩國的資料保護相關法令進行差異分析,以了解企業為跨國數據傳輸所預計簽訂的服務與使用條款中是否須新增或調整相關條款,俾符合中國大陸的數據出境規範。
使用資料治理的策略,回應資料安全規範 資誠企業管理顧問公司金融產業服務協理黃奎傑分別以風管、法遵、資訊、業管、財會、數金、人事及行政單位業務內容,提醒在中國大陸境內的台資金融機構在無法進行資料跨境傳輸時,潛在的業務影響範圍,並實際探討在風險加權性資產計算、大額轉帳和評估洗錢、客戶於中國大陸境內刷卡消費及中國大陸境內員工薪資獎酬四個情境下,實際會受到影響的面向,建議企業應使用資料治理的策略,回應將面臨的衝擊。
持續關注法規發展與扎實資料治理能力,回應法規多頭化、嚴格化及細緻化的趨勢 目前中國大陸對於金融機構的資料安全監管規範是朝向多頭監管、嚴格化及細緻化發展。因推行數位化轉型政策,中國大陸對於資料安全,在一般法規、產業特定法規及國家標準的主管單位都訂立了相關規範。隨著各項規範的相繼實施,監管力道越趨嚴格,在資料保護的具體辦法上,也產生更為細緻要求。以金融業資料安全而言,主要是受網信部門及金融監管部門管轄,在資料跨境傳輸行為規範上,相關部門均有相應要求,從企業角度,應滿足多個監管部門的要求。在中國大陸境內的外資金融機構,除須持續關注相關法規的頒布外,還須具備扎實的資料治理能力,以作為合規的及業務發展的基礎。
分析業務流程與法規要求差異,制定合規資料安全方案,完善金融資料安全管控體系 在「數據跨境安全評估申報指南」中,企業所需申報的內容是十分繁瑣的,企業可從梳理在中國大陸的資料跨境傳輸情境開始,識別資料出境情境,依據現有監管要求,展開資料出境安全風險評估,識別與處置相關風險,建立健全的資料跨境傳輸管理規章制度與安全技術防護體系,以進行資料出境相關申報工作。
重新檢視與更新企業內部資料治理的組織、制度及流程以符合資料安全法規趨勢 資誠企業管理顧問公司金融產業服務董事陳念平表示,目前中國大陸已實施了「數據出境安全評估辦法」,規範企業資料跨境傳輸行為,未來可能還會有其他國家的資料保護規範頒布與實施,建議企業可重新檢視企業內部資料治理的組織、制度及流程,評估是否需要更新或調整,以回應日趨嚴格與繁瑣的資料保護規範。