数据跨境传输合规管理自查报告

数据跨境传输合规管理自查报告为落实《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《数据出境安全评估办法》《个人信息出境标准合同办法》等监管要求，全面梳理本单位数据跨境流动行为的合规性，排查潜在合规风险，我们于2024年4月至5月组织开展了全公司范围内的数据跨境传输合规专项自查工作，本次自查覆盖公司所有涉及数据出境的业务场景，覆盖从数据收集、存储到传输出境的全流程，覆盖所有合作的境外接收方，累计梳理各类跨境传输行为127笔，现将本次自查的具体情况如下：本次自查由公司合规管理委员会牵头，成立了由合规部、信息安全部、业务运营中心、人力资源部、财务部、IT运维部联合组成的专项自查小组，明确了“场景全覆盖、数据全口径、责任全落实”的自查原则，具体工作分四个阶段推进：第一阶段为规则梳理与前置培训，专项小组首先对照最新监管要求，梳理了当前适用于本公司的11项数据跨境相关监管规则，结合本公司属于SaaS服务提供商的业务属性，区分了重要数据、核心数据、一般个人信息、敏感个人信息的不同出境要求，针对各业务部门的核心经办人员开展了1次为期2天的专项培训，明确了自查申报要求，强调漏报瞒报的责任追究规则；第二阶段为业务自主申报，要求各业务部门逐笔梳理本部门近18个月内发生的所有主动发起的数据出境行为，不仅包含线下通过邮件、U盘传输，线上通过系统接口、云存储同步、远程协作工具传输等所有形式，同时要求申报所有被动出境场景，比如境外人员远程访问境内数据、境内人员携带数据出境、第三方供应链跨境流动等，不局限于正式合作项目，临时项目、日常办公场景都必须申报；第三阶段为合规核验与风险定级，信息安全部通过IT日志回溯、终端流量分析验证业务申报数据完整性，合规部对照监管要求逐一核验每笔出境行为的合规性，结合风险发生概率、数据敏感程度对识别出的风险进行定级，分为高风险、中风险、低风险三个等级；第四阶段为整改方案制定，针对发现的问题分类制定整改措施，明确整改时限和责任主体。本次自查覆盖本公司所有数据跨境传输场景，本公司作为国内服务国内中小微企业提供客户管理SaaS服务的提供商，在东南亚地区设有2个境外分支机构和3个境外研发中心，当前主要的数据出境场景分为五类：一是境内业务数据向境外研发中心的传输，用于产品的BUG修复、功能迭代测试；二是境内用户主动发起的跨境数据传输，即平台为有出海需求的付费用户提供数据导出功能，供用户自行将数据传输出境；三是跨境供应链合作中的数据出境，包括部分办公工具采用境外厂商提供的服务，部分数据存储在境外厂商的境外节点，客服系统的部分交互数据会同步到境外后台；四是人员流动带来的数据出境，包括境外员工远程访问境内办公系统、境内员工出差境外携带存储公司数据的终端设备、人力资源部门向境外岗位提供境内员工人事数据；五是跨境科研合作中的数据出境，即与境外高校开展人工智能模型训练合作，提供脱敏后的用户行为数据用于科研。当前本公司已完成数据分级分类工作，识别出公司掌握的重要数据共两类：一类是累计超过10万条境内自然人的个人信息，第二类是平台沉淀的国内中小微企业aggregated经营统计数据，均属于监管要求明确的重要数据范围，核心数据本公司目前未涉及。本次自查共识别出各类风险问题，具体梳理如下：问题分类涉及场景具体情况风险等级涉及数据规模未按规定履行合规评估/备案程序境内业务数据向境外研发中心协同场景公司境外研发团队承担产品BUG修复、功能迭代测试工作，自2021年起按月同步境内生产环境经匿名化处理的用户行为数据，该场景上线前未按照监管要求申报数据出境安全评估、也未签订个人信息出境标准合同，属于未履行合规程序，且未向用户明确告知该出境用途中风险累计涉及216万条用户行为数据，其中含可间接识别自然人身份的记录约68万条敏感个人信息违规跨境存储第三方跨境云办公服务场景公司业务部门自行采购境外厂商提供的跨境办公协作工具，用于跨地域团队沟通，未提前报备合规部审核，部分员工在工具内存储了客户银行卡号、员工身份证号、社保信息等敏感个人信息，自动同步到境外服务器，未做任何数据隔离和管控中高风险累计涉及敏感个人信息约1.2万条用户告知同意程序不符合要求境内用户主动发起的数据出境场景公司SaaS平台向有出海需求的用户开放了数据导出功能，允许用户将自有数据导出后传输到境外，目前仅在用户服务协议中笼统提及数据出境相关内容，未针对用户主动出境行为做单独告知，也未获取用户的单独同意，不符合个人信息保护法的明确要求中风险近一年累计127次用户主动出境行为，涉及个人信息约37万条境外接收方安全保障能力评估缺失跨境科研合作场景公司与新加坡某高校开展人工智能大模型训练科研合作，向对方提供脱敏后的用户行为数据用于模型训练，仅在合作协议中简单约定了数据使用范围，未按照要求对境外接收方所在区域的数据保护能力做前置尽职调查，未明确数据安全责任，也未建立持续评估机制中风险累计提供脱敏后的用户行为数据15万条跨境访问权限未落实最小化原则人员跨境访问场景梳理后发现有12个境外研发员工的访问权限超出工作需求范围，可访问超出研发测试所需的实名个人信息，未针对跨境访问行为的审计日志留存不足，无法追溯异常访问行为低风险涉及12个员工账户，未发生异常访问记录0次跨境传输全流程记录留存不全全场景目前仅留存了正式合作类跨境传输的合同，未按要求留存完整的出境数据清单、内部审批记录、传输过程审计日志，部分临时跨境传输的记录完全缺失，无法回溯合规性低风险无大规模敏感数据涉及针对本次自查发现的问题，专项小组梳理了问题产生的深层次原因：一是业务端的认知偏差是核心诱因，多数业务部门经办人认为只要经过匿名化处理的数据就不属于需要合规程序的范围，还有部分业务人员为了提升协作效率，认为日常办公场景的小批量数据出境不需要走合规审批，自行采购境外工具、自行开展传输，绕过合规审核环节；二是合规管理制度存在滞后性，公司原有数据跨境合规制度制定于2021年，未跟上2023年出台的新的申报指南、标准合同办法等新规，制度中未明确第三方供应链场景、用户主动出境场景的合规要求，也未明确临时出境的归口管理责任，导致业务部门自行操作无章可循；三是技术管控能力不足，原有数据泄露防护系统只覆盖了境内网络流出的管控，未针对跨境网络出口做针对性的规则配置，无法自动识别不同等级的数据出境行为，也无法对未经审批的传输进行拦截，员工通过个人邮箱、私人终端传输敏感数据出境的行为无法实时监测；四是境外接收方持续评估机制缺失，原有合作中只做了前置的业务资质审核，未针对数据保护能力做专门评估，也没有建立每年复评的机制，无法及时掌握境外接收方所在国家监管环境变化、安全保障能力变化带来的风险。结合上述问题，我们制定了可落地的分类整改计划与长效合规管理措施，具体安排如下：第一，分类推进问题整改，按照风险等级优先处理：针对中高风险的敏感个人信息违规跨境存储问题，我们已在2024年6月1日前完成了境外协作工具的敏感数据全量清理，所有含有敏感个人信息的内容已经全部迁移回境内合规存储节点，清空了境外服务器的违规存储内容，对自行采购境外工具的业务部门已经重新完成了合规审批，调整了工具的使用范围，明确禁止存储任何敏感个人信息；针对未履行合规程序的研发场景数据出境，我们已经梳理完成了出境数据清单，确认出境数据规模符合个人信息出境标准合同备案的要求，已经完成了出境安全影响评估报告，准备好所有备案所需的全部材料，计划在2024年7月1日前完成国家网信部门的标准合同备案，如果备案完成后再恢复该场景的正常传输，若后续数据规模超过备案要求，将及时申报数据出境安全评估；针对用户告知同意不完整的问题，我们已经完成了隐私政策和用户端系统改造方案，新增了用户主动导出数据出境场景的单独告知弹窗，明确告知用户出境的目的、接收方、存储期限、安全保障措施，明确获取用户单独同意后才能完成导出操作，计划2024年7月1日前完成系统上线，同时对近一年来已经主动导出数据的用户，我们通过平台推送了补充告知，获取用户补充授权；针对境外接收方安全评估缺失的问题，我们已经完成了新加坡合作高校的数据保护能力尽职调查，补充了合作协议中的数据安全责任条款，明确了数据只能用于科研用途，禁止二次转让、禁止向第三方披露，约定了数据使用完成后的删除义务，后续建立每年一次的复评机制，跟踪境外接收方的合规状态；针对跨境访问权限不符合最小化原则的问题，已经完成了所有境外员工权限梳理，回收了12个账户的超范围权限，调整了权限申请审批流程，所有跨境访问权限申请必须由业务负责人、合规部双审批，新增了跨境访问行为全日志留存，留存期限不低于5年，每季度开展一次权限复核；针对传输记录不全的问题，已经补全了近18个月的所有跨境传输记录，建立了传输记录归档制度，明确所有跨境传输必须留存完整的审批文件、数据清单、日志记录。第二，完善合规管理制度体系，我们已经修订完成了《公司数据跨境传输合规管理办法》，明确了不同场景不同等级数据出境的审批流程，明确业务部门负责人是数据出境合规第一责任人，合规部负责合规审核，信息安全部负责技术管控，具体明确了五项核心规则：一是所有数据出境必须提前申报，业务部门必须提交《数据出境申报单》，明确出境的目的、范围、接收方、数据规模、敏感程度；二是建立境外接收方尽职调查制度，所有境外接收方必须开展前置尽职调查，评估其所在国家的数据保护监管要求、安全保障能力，合同中必须明确数据安全责任、使用范围、召回删除条款、泄露处置条款；三是建立定期自查机制，每年开展一次全公司数据跨境传输合规自查，每半年开展一次风险排查，及时更新合规状态；四是明确违规责任追究机制，瞒报漏报数据出境、违规开展传输的，追究部门负责人和经办人的责任，纳入年度绩效考核，情节严重的移送监管规则。第三，升级技术管控能力，我们启动了数据跨境传输流量监测升级项目，在公司网络出口部署了专门的跨境流量识别系统，升级了原有DLP系统的规则，针对个人信息、重要数据、敏感个人信息配置了特征识别规则，未经审批的出境传输会自动拦截、自动告警，完整记录传输行为日志；针对境外员工访问境内数据，配置了细粒度的访问控制，敏感数据访问需要二次身份验证，所有访问行为都留存可追溯的日志；针对员工个人终端，部署了终端DLP，防止员工通过个人邮箱、社交工具、U盘传输敏感数据出境，实现实时监测和告警；关闭了所有未经审批的境外云存储同步权限，所有境外云服务使用必须经过合规审批，技术层面拦截未审批账号的跨境同步。第四，建立持续合规改进机制，我们明确合规部安排专人跟踪国内外数据跨境传输监管规则的更新，每季度更新一次公司内部的合规要求，及时调整制度和管控措施；每半年组织一次业务部门、技术部门的合规培训，培训内容包含最新监管要求、行业违规