在华跨国企业忙于应对数据出境合规

去年9月，中国政府实施了新规，给在华经营的企业六个月的时间，申请批准将一些本地产生的数据传输到境外。在中国与西方之间地缘政治紧张局势加剧之际，这是全面收紧数据安全努力的一部分。

这一新规促使企业纷纷抓紧梳理其数据处理方式的相关工作，这些工作通常成本高昂。北京网信办上周表示，已收到亚马逊(Amazon.com Inc., AMZN)、摩根大通(JPMorgan Chase & Co., JPM)、大众汽车(Volkswagen AG, VOW.XE)等48家外国和国内单位正式提交的申报材料。北京市网信办称，苹果公司(Apple Inc., AAPL)、西门子(Siemens AG)等140余家单位正在编写申报材料。

摩根大通不予置评，上述其他公司没有回应记者的置评请求。

随着科技业推动信息数据海量增长，过去六年里，中国政府已经建立起一个数据治理系统，以加强对信息管理方式的控制，特别是那些政府认为对国家安全至关重要的信息。法律专家说，这一监管制度增加了企业的合规成本，并正在推动更多跨国公司把数据存储在中国以及调整相关业务做法。

美中贸易全国委员会(U.S.-China Business Council)高级副会长马修(Matthew Margulies)说，“不可避免的是，这会迫使跨国企业将在中国上市的某些产品与它们的全球产品脱钩。”他说，“在某些情况下，由于数据环境太复杂、成本太高，企业不会把它们的部分最新技术带到中国。”

作为中国主要互联网监管机构的国家互联网信息办公室（简称：网信办）未回应置评请求。

根据去年9月起施行的上述办法，“关键信息基础设施运营者”必须通过网信办的安全审查，才能将用户的个人数据出境，这些运营者包括为电信、国防科工、能源和金融等行业处理数据的公司。

根据上述规则，处理100万人及以上个人信息的数据处理者以及自上年起累计向境外提供至少10 万人个人信息或者至少1 万人敏感个人信息的数据处理者应当申报这项安全评估。

鉴于相关规定的范围之广，许多行业整体上都会受到影响，无论是中资还是外资，比如航空公司和银行业，这些行业与海外同行分享客户的敏感数据，以运营国际航线以及开展跨境交易。

包括国际航空运输协会(International Air Transport Association)在内的一些行业协会和法律工作者认为，申报评估的门槛标准太低，对某些行业会造成繁重的报告负担。国际航空运输协会总部设在蒙特利尔。

国际航空运输协会发言人Albert Tjoeng说，较低的门槛标准意味着大多数乃至全部在中国运营的航空公司将需要进行安全评估并获得必要的批准，他称相关的合规工作繁重且耗时。

国际航空运输协会已呼吁中国监管机构延长这一截止期限并考虑航空业面临的具体挑战。该协会参与了相关政策的意见征询过程，且其部分建议似乎得到了采纳。

去年9月生效的这一规定未提到如果公司没有在本周三前申报评估会受到什么惩罚。

中国国际航空股份有限公司(Air China Ltd., 601111.SH, 简称﹕中国国航)的数据出境场景已获中国监管机构批准，该公司是最先获批的申请者之一。了解相关评估情况的人士说，通过优先评估并批准中国国航的申请，中国政府有意建立一种适用于该行业的模式，并释放信号，表明这项评估不会成为该行业不可逾越的障碍。

据了解相关公司情况的人士表示，其他一些旅行业运营商也已申报安全评估，比如国有的航空系统供应商中国民航信息网络股份有限公司(Travelsky Technology Ltd., 0696.HK, 简称﹕中国民航信息网络)、在线旅游平台携程集团有限公司(Trip.com Group Limited, 9961.HK, 简称：携程集团)以及阿里巴巴集团控股有限公司(Alibaba Group Holding Limited, 9988.HK, 简称：阿里巴巴)旗下的飞猪(Fliggy)。携程集团不予置评。阿里巴巴和飞猪未回应置评请求。

外资跨国公司在中国聘用大量员工。它们通常把员工相关数据储存在中国境外并允许从海外访问这些数据，因而也很可能受这项新规约束。

所谓的重要数据转移也需要得到政府批准，中国的监管机构尚未对此做出充分的定义。根据官方指示，这些数据可以包括人类遗传资源信息，以及公共基础设施和自然资源的数据，或者任何其他可能破坏国家安全的数据。不同行业的监管机构负责制定自己的规则。

例如，在卫生医学领域，中国的互联网监管机构接到一家中国医院和荷兰阿姆斯特丹大学医学中心之间的国际临床研究数据转移的申报，并予以批准。

随着车辆收集关于司机和乘客以及军方和政府位置的更多信息，中国政府还收紧了有关汽车公司数据收集的规定。2021年，中国以国家安全为由，限制部队人员和一些国有企业的员工使用特斯拉(Tesla Inc., TSLA)汽车。

北京市网信办表示，大众汽车(Volkswagen)和丰田汽车(Toyota Motor Corp.)等车企已经提交审查申请。目前还不清楚这些企业申请出境的数据是与车辆、员工或是其他方面有关。大众汽车和丰田汽车在中国的员工数以万计。这两家公司没有回复记者的置评请求。

其他可能受影响的公司包括科技公司和外国零售商，这些公司收集大量的用户和供应商数据，以获得商业情报，并与海外团队共享。

在过去的六个月里，一些寻求合规的公司一直在试图弄清楚如何准备供政府审查的文件，如何进行内部数据流动映射，以及要申报多少细节。

参与前述咨询过程的人士表示，最耗时的任务之一是数据映射，通常需要耗时至少一个月才能完成；该任务可详细梳理数据如何传输以及涉及哪些系统和数据库。

根据官方指引，需要披露的内容还包括公司的海外技术基础设施和参与数据传输人员的信息，比如海外数据中心的互联网协议地址和个人身份识别码。熟悉相关沟通情况的人士表示，一些公司对向中国政府提供这些信息感到担忧，并一直在寻求与监管机构达成妥协方案。

数据安全和个人信息保护相关监管收紧已经成为在华企业面临的新常态。去年7月，政府部门对中国网约车公司滴滴(Didi Global Inc., DIDI)处以约12亿美元的罚款，理由是包括一些涉及数据操作在内的违规行为。滴滴此前在美国进行了大规模IPO，但仅几天后中国政府就对该公司展开了调查。

未经允许不得转载：新聚网 » 在华跨国企业忙于应对数据出境合规