隨著全球各國數字產業及大數據、云計算技術的迅猛發展，數據流動將對全球經濟產生更深遠的影響，由此產生的數據紅利與數據安全之間的矛盾也將深刻影響著未來數字經濟的走向。為了平衡這兩者之間的矛盾，搶占新一輪經濟競爭制高點，各國紛紛建立、完善數據跨境流動的相關國內規則，并積極推動、參與國際規則的制定。

　　聚焦我國，隨著《數據安全法》、《個人信息保護法》的最終頒布施行、《數據安全出境評估辦法》（征求意見稿）、《網絡數據安全管理條例》（征求意見稿）、《網絡安全審查辦法》（征求意見稿）對于執行細節制定工作的穩步推進，我國已建立了數據出境的基本合規框架，為數字經濟的發展奠定了最堅實的基礎。該框架一方面采納了國際通行的數據跨境流動原則及制度，將我國的數據出境合規規則積極地融入到全球數據跨境流動的規則體系中去；同時，其展現的創新性安全審查審批制度、安全與發展的平衡之道，也為全球的數據跨境流動體系做出了“中國貢獻”。

　　在這樣的國際及國內環境背景下，為了清晰界定數據跨境相關概念，在錯綜復雜的數據跨境合規體系中精準提煉出中國企業面對的數據跨境合規要求，進而探討風險可控、成本可控、可落地、可執行的合規思路，并切實賦能國內企業數據跨境合規的治理工作，德勤攜手中興通訊聯合發布《數據跨境合規治理實踐》白皮書。

　　當前各界對數據跨境界定仍存在差異，尚未形成統一認知。通常將其理解為“數據從一法域被轉移至另一法域的行為”或“跨越國界對存儲在計算機中的機器可讀數據進行處理”。

　　以“境外實體接觸”為標準，數據跨境主要包括三類：

• 第一類：數據跨越國界的傳輸、轉移行為；

• 第二類：盡管數據尚未跨越國界，但能夠被境外的主體進行訪問；

• 第三類：數據跨越國界采集，直接從位于另一法域的數據主體處采集數據至處理方所在地。

資料來源：德勤分析與研究

　　全球各國家、國際組織制定的數據跨境規則模式往往與數據安全政策偏好相關聯。現有規則大體分為兩類：

• 限制性規范，常見為一國家或地區針對重要數據或個人信息進行出境限制，以維護數據安全或數據主權，即數據安全偏好型。

• 推動性規范，常見為雙邊、多邊或國際組織，為推進數據跨境安全有序地跨境流動，制定雙/多邊國際協定或條約框架，以促進數據紅利最大化發展，即數據紅利偏好型。

　　對企業而言，限制性和推動性規范均具有現實意義，限制性規范因占據主導地位將成為企業關注的重點。一方面，根據限制性規范要求，嚴格實施合規治理及管控運行，最大限度規避違規風險；一方面，在合規管控運行前提下，充分利用推動性規則彈性空間，降低企業跨境管控壓力和成本。

資料來源：德勤分析與研究

　　企業必須迎接數據跨境合規的挑戰，一方面，了解內部數據跨境現狀和外部監管規則，了解企業數據跨境合規管控重點，另一方面，以風險為導向，建立完善企業數據跨境合規管控機制，搭建立足自身、內外聯動、成本效益并舉、靈活可持續的數據跨境合規體系。

　　數據跨境合規治理思路主要包括：明確管控數據對象、摸查關鍵情形場景、識別外部合規需求、開展數據跨境風險評估、數據跨境風險治理以及重要數據合規延展。

　　在合規運行的前提下，充分利用數據跨境流動的國際規則，將極大降低企業的跨境運維成本。通過對全球50多個國家和地區的跨境規則進行研究，研究發現全球數據跨境規則的主要邏輯結構如下：

　　第一層級—基本跨境模式

　　數據跨境模式通常分為不允許出境、滿足條件出境、自由出境三類，其中“滿足條件出境”為多數模式，也是下列監管應對的重點和前提；

　　第二層級—跨境核心要求

　　數據保護法令往往在跨境章節的首段列明數據跨境的核心要求，包括同意、同等/充分性保護和批準/評估。各法域的核心要求為其中的一項或者兩項的組合；

　　第三層級—充分性保障措施

　　保障條件是針對同等保護作為核心條件的國家而言的，部分國家規定了具體的條件，例如：標準協議、集團內部規則等；部分國家未規定具體條件，企業可以采用最佳實踐做法，以自證滿足充分性保障要求；

　　第四層級—克減條件

　　即在滿足某些條件的情況下，可以不履行同等的保障條件，即對保障條件的克減。但有些國家并未規定克減條件，如中國。

　　不同國家/地區的數據跨境合規管控強度不同，致使企業面臨的執行難度、合規風險存在差異。根據規則邏輯進行國家風險等級劃分至關重要：

　　針對部分國家，如埃及、俄羅斯，僅能傳輸到充分性認定的國家或需要監管機構的批準才能出境，又如贊比亞，必須就其標準協議獲取監管機構注冊，即必須通過監管機構參與才能達成合規條件，合規難度較高；另外一部分國家規定了多樣化的出境合規保障條件，其中包括了不需要監管機構參與、企業可以自由裁量選用的方式，合規難度相對較低；相同風險等級國家對應的合規措施大體相同。

　　因此，對全球重點國家的數據跨境轉移要求劃分成高中低風險，依據風險的高低即合規措施模式對各國家/地區進行歸類分級，并給每一等級的國家適配統一的合規措施，最終形成包含合規措施的數據跨境傳輸風險矩陣：嚴格管控（三級）、適度管控（二級）、寬松管控（一級）。

　　針對企業面臨的數據多樣、跨境數據的法律屬性識別與分類困難、規則動態多變等痛點，確定適用于各類場景的管控要點至關重要。

　　對于企業，合規管控全景大體包括兩部分：

　　一、針對全業務活動的合規管控基線，基于對各法域跨境規則分類、整理而形成基線（如下表）；

　　二、針對特殊場景中的管控側重點，設置特殊的管控要點。

　　企業基于數據跨境風險評估結論，結合監管要求和同業先進實踐，從制度流程設計與業務單位落地執行兩個層面，制定數據跨境風險治理方案，主要包括以下兩方面：

　　風險控制與治理：針對風險評估結論，制定風險治理方案并進行優先級排期，優先處置影響重大、高緊迫度的風險，緩釋影響中小、低緊迫度的風險，適配可落地的技術和組織措施，包括對各業務執行問題的糾正，以及對現有合規管控基線的優化；

　　成果內化與長效運維：堅持合規與業務發展相結合、體系完善與落地執行相結合的治理原則，制定可落地、可推廣、可持續的數據跨境風險管控和合規治理規則、指引、方法和工具，逐步完善的數據跨境風險治理體系。

具體內容如下