政策解读｜数据跨境三法齐出，盖雅多项举措护航企业数据跨境安全

盖雅2022 年 9 月 1 日

▲ 点击上方“盖雅时间”关注公众号

回复“4”领取《行业案例集》

2022年9月1日，国家互联网信息办公室发布的《数据出境安全评估办法》（简称：《安全评估》）正式施行。该办法正式确定了重要数据和个人信息的出境监管机制；同时，为了释明《个人信息保护法》第38条的要求，网信办于2022年6月30日发布了《个人信息出境标准合同规定（征求意见稿）》（简称：《标准合同》），信息安全标准化技术委员会于2022年6月24日发布了《个人信息跨境处理活动安全认证规范》（简称：《安全认证规范》）。

这些新规的出台，对企业而言，意味着需要立即进行合规应对准备，并采取有关措施确保企业跨境传输数据合法合规。企业应高度重视数据跨境流动的各项规定的具体要求，选择合适的数据跨境规则，并根据落地的法规针对性地开展个人信息跨境的合规评估与合规整改工作，优化企业数据合规体系。

许多跨国企业都存在大量的个人信息跨境需求，企业需要结合自身情况选择合适的数据跨境路径并了解相对应的法规要求，还需要考虑如何规避大量个人信息跨境引发的数据跨境违规风险。

跨国企业员工管理适用哪条新规？

员工管理场景下的个人信息跨境需求，往往因跨国公司集团化、集中化进行人力资源管理而产生。跨国公司往往因业务及人员规模大，处理用户、员工个人信息人数会实时发生变化，若适用标准合同，则会导致需要重新签订合同以及重新备案情况的频繁发生，对于企业而言十分不便。

安全认证规范明确了保护认证路径下适用的情形之一就是跨国公司内部的个人信息跨境。另外，完成认证后的企业在确立的传输规则内进行重复个人信息跨境的，只需接收认证主体的监督，无需重复认证，因而较为适用于员工管理场景下的个人信息跨境。

跨国企业HR如何管理个人信息跨境？

对于跨国企业HR而言，尤为需要关注《安全评估》中提到的：自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。

即使企业人数不足1万，但由于一年内离职、新入职员工，以及临时工、派遣、外包等员工信息均算入其中，仍然可能涉及超过1万人的个人信息。在一年的招聘过程中，申请公司职位的候选人一般都必须要提供简历和联系方式，其中就会包含个人电话号码等各种个人敏感信息。

这些招聘工作如果借助于服务器在国外的HR系统，那牵涉到个人敏感信息出境的人数就会是实际新招员工数的好多倍。

因此，跨国公司可尝试直接使用国内的HR SaaS系统，更加方便企业管理人员信息，有效规避1年中超出1万人敏感个人信息出境的合规风险。

盖雅如何护航企业数据安全？

盖雅工场作为一家提供全球劳动力管理云服务的中国企业，目前已服务全球 24 个国家和地区的 1,500 余家客户、500 余万员工，始终将保护客户数据安全作为盖雅的首要责任。

具体到业务实操层面，盖雅工场主要从以下三方面进一步保障数据安全与合规：

强化数据安全的组织保障

盖雅工场指定了数据保护官 DPO ，建立了以信息技术与安全中心牵头、联合各部门数据管理专员集体协作的工作机制，全面负责数据安全保护有关工作，将数据安全纳入整个数据治理大体系中。

落实数据相关合规制度规范

盖雅工场早在 SOC 2 项目审计过程中便已建立了《盖雅信息安全规范》、《盖雅信息分类分级管理程序》、《盖雅产品隐私设计规范》和《盖雅数据安全实践》等体系化的数据安全管理制度，项目覆盖安全性、可用性、保密性以及隐私性四大范畴，以满足用户机构的数据安全、业务安全及隐私保护等相关要求。

数据全生命周期管理

盖雅工场遵循「Privacy by Design」的原则，在数据的收集、存储、处理、使用、传输等各生命周期中均采取了技术手段以保证数据安全，比如通过鉴权、签名、时间戳等方式来应对未授权访问、请求篡改、重放攻击等安全问题；通过敏感数据 AES 对称加密，并辅以密钥 KMS 托管和 HTTPS 加密传输等手段，进一步强化数据传输和存储过程中的机密性。

目前，盖雅已获得了全球四大会计师事务所安永出具的覆盖安全、可用、保密和隐私四大范畴的 SOC 2 Type II 和 SOC 3 鉴证报告，并通过了ISO27001信息安全管理体系、ISO20000-1信息技术服务管理体系及ISO9001 质量管理体系认证。这些充分证明了盖雅稳定可用的服务水准，以及高度保障客户数据安全性的能力。