随着全球经济步入数据经济发展时代,数据作为关键生产要素和重要的战略资产,备受各国政府的关注和重视。出于国家利益的考量,各国政府普遍加强了在数据安全和隐私合规领域的监管和执法力度,这无疑也给中国企业的出海征程带来了更多挑战和考验。如何应对安全合规,这考验着中国出海企业的智慧。
这个问题在 3 月 29 日“大咖说出海”第二期中得到了解答。第二期直播以《安全合规不触礁,企业出海如何才能“不踩坑”?》为主题,探讨复杂多变的国际形势背景下,出海企业如何应对不同国家、地区的安全合规问题,守住这一条生存发展的“生命线”。
本期直播由 InfoQ 主编王一鹏担任主持人,参与嘉宾分别为安永华北区科技咨询主管合伙人 兰瑜、华为云安全专家 赵洪日和杭州云片科技网络有限公司联合创始人 吴佳钊。
直播内容精编整理如下,供读者品鉴。
三大维度应对安全合规
随着数字经济的高速发展,各国对数据安全问题的重视程度不断提高。安全合规成为企业出海必须严肃认真对待的话题。针对这一课题,安永华北区科技咨询主管合伙人 兰瑜做了《安全合规,企业出海的生命线》的主题分享。
国家《“十四五”商务发展规划》明确鼓励中国企业走出去,参与全球产业链。但是,“走出去”过程中,企业如何应对国内外的安全合规要求?兰瑜总结了三大维度:看外面,问自己,练内功。
看外面。如今,中国出海企业已经进入双向监管合规时代,一方面国内企业要遵守“网络安全法”、“数据安全法”、“个人信息保护法”等中国法律法规,另一方面还要遵从目标国家的法律法规、行业监管要求和安全标准。
问自己。企业在提升自身安全合规能力的过程中需要从三个层面审视自身。首先要确定企业的出海经营模式,确定本地化程度等;其次是考察自身是否做好了合规安全的准备工作;第三是针对目标市场的文化和社会差异采取应对措施,从税务财务等方面进行调整来预防风险。
练内功。练内功是企业提升安全合规水平的最重要层面,企业需要在财务、环保、劳务、税务、数据、知识产权、市场竞争和第三方合作等方面都做好合规建设,从管理、技术、人员、流程等角度加强能力培养。
那么,企业出海如何“练好内功”?兰瑜指出:
财务合规。企业在财务合规方面要重点关注会计政策统一性、会计科目梳理匹配和财务及管理报告三个要素,例如企业应该考虑境外财税披露要求、海外单体管理报表要求等等。
税务合规。企业进入目标市场时应考虑利润分布、税务申报、税务会计、国际贸易、人力成本等因素;未来需要退出目标市场时,还要考虑退出方式和税务应对策略。
数据合规。数据合规是今天出海企业需要重点关注的问题。企业考察数据合规水平时需要同时考虑国内外的监管合规要求。首先,企业如果在境内收集个人信息和重要数据应在境内存储,数据出境要根据网络数据安全管理条例进行安全评估。数据出境要有正当理由,非必要不出境。出境过程中还要考虑数据跨境后可能存在的泄露篡改等风险,明确跨境数据的目的、范围和方式,确保安全保护责任落实到位。
企业在国外运营时,也要针对国外要求做好数据安全合规保障。目前全球有诸多海外国家已经形成了数据安全与合规法案,另有 10%已经形成了立法草案。这些合规要求一般分为数据主权和网络安全为驱动力的监管政策,与保护公民隐私为目标的监管政策两大类。相关政策往往有非常复杂的条款、严格的执行标准和严厉的处罚规则,对很多中小企业很不友好。
为此,出海企业首先应该针对目标市场的环境与案例来设计出海产品,在产品设计之初就充分考虑当地法律要求;其次,企业应该尽快了解目标国家的合规底线,系统化推进数据合规能力建设;最后,中小企业可以寻找国际咨询公司,或者华为这样有着丰富出海经验的企业来获取相应的支持。
分享最后,兰瑜总结道:
出海企业应该将安全合规作为最高优先级事项来对待,才能在面临上述挑战的过程中有效保护自身的生命线。
海外市场环境愈加复杂,科技企业出海面临哪些安全合规挑战?
2018 年欧盟实施《GDPR》后,个人隐私保护引起了各国政府和民众的高度重视。世界范围内,众多国家都在通过颁布政策法规、加强执法监督并提升数据安全治理能力,来应对日益严峻的数据安全威胁。
在日趋复杂的海外市场环境中,中国科技企业出海面临着哪些安全合规挑战?
过去多年,安永帮助很多不同类型的互联网企业拓展海外市场,积累了丰富的实践经验。基于这些经历,兰瑜总结出科技企业出海在安全合规方面面对的四大挑战:
法律挑战。科技企业需要考虑如何合法合规地实现数据跨境,包括国内数据出境、国外数据入境与第三方数据过境等需求,避免违规违法造成的严重后果。
合规挑战。出海企业需要满足国际上各类安全框架和标准要求,例如移动应用就需要满足苹果和谷歌应用商店的隐私保护等条款要求。
数据场景复杂性挑战。很多企业需要面临众多类型的数据场景,很难全面掌握数据的位置、应用场景等信息,从而导致隐私合规风险不可控的问题。
第三方合作伙伴挑战。出海企业往往会选择海外服务提供商来展开合作,如果对海外供应商的尽调或风险评估能力不足,就会产生很大的第三方风险隐患。
针对这个问题,有多年云安全从业经验的华为云安全专家赵洪日指出三点:
第一,对当地法律法规不了解,缺少专业的合规专家与人才;
第二,企业本身安全体系建设不够完善,无法满足海外的合规要求,缺少体系化建设;
第三,在了解合规要求之后,如何合理的进行安全建设,减少重复投入,并以最低成本来规避因为业务快速发展带来的合规风险。
杭州云片网络科技有限公司是一家典型的出海企业,公司联合创始人吴佳钊从一线实践的角度对前两位嘉宾的观点做了补充。吴佳钊提到,如今,企业在收集客户数据时一定要充分告知并获取同意,一旦没有得到授权就无法展开跟踪分析,这样就会影响广告营销策略的制定和投放;其次,企业数据跨境传输时需要灵活调整、适应各国不同的监管策略,否则就可能违反国外法规要求,收到巨额罚单。如何有效应对隐私和数据安全方面的变化与风险,是出海企业必须要慎重考虑的问题。
全球隐私立法和监管力度加大,企业出海如何“避坑”?
当前,全球已有超过 120 个国际和独立司法管辖区采用了全面的数据保护及隐私法律来保护个人数据。2018 年 Facebook 公司因“剑桥分析”泄露个人信息的丑闻被美国联邦贸易委员会处以 50 亿美元罚款,2019 年谷歌公司因安卓系统未向用户提供透明信息而违反《GDPR》,被欧盟处以 5000 万欧元罚款,这两个案例都为出海企业敲响了警钟。在全球隐私立法和监管力度日益加强的背景下,企业出海该如何“避坑”?
对此,华为云安全专家赵洪日表示,企业需要一套属于自己的方法论和框架指导内部和业务完成隐私保护,形成可量化,可执行落地,可重复的隐私保护框架。华为云采用 3CS 方法论、云服务网络安全与合规标准最佳安全实践确保用户隐私保护,将全流程隐私保护作为企业最高纲领,从安全战略与规划、安全管理组织、风险管理、数据安全、 隐私保护、评估与审计一系列的策略为指导方针,再结合具体的最佳实践、标准和指导形成一整套 3CS 框架,确保华为云的隐私管理。在服务客户过程中,华为提供云安全治理咨询云安全服务产品,云安全运营等一系列云安全解决方案帮助客户应对隐私合规挑战。
杭州云片网络科技有限公司联合创始人吴佳钊称,企业出海前最好先寻求专业机构的帮助,提前完成合规整改,在四大方面建立合规体系:
改进公司治理制度,明确对应领域的合规管理要求与管理者责任义务。
了解目标国家的合规要求,在企业业务层面做好配套保障。
明确受保护的企业数据对象,提升数据保护能力。
针对国际安全合规要求完成一些认证,在认证过程中提升安全合规能力。
此外,企业还应考虑一些经营层面的潜在风险,例如建设支付系统风控模型来避免信用卡欺诈风险,与云通讯服务商合作保障跨境通讯线路的质量,等等。
兰瑜则从咨询机构视角出发,归纳了全球隐私监管的几大常见模式。他提到,海外隐私监管常见的模式分为单边、双边和多边模式三类。以美国为代表的是单边模式,主要以自身情况来制定相关政策;欧盟是双边模式,欧盟会与很多国家合作来形成以权力平衡为底座的双边治理机制;中国则是典型的多边模式,自去年以来,中国在数据出境方面大大加强了监管力度,执法粒度也越来越细化,合规要求更加清晰明确。
他建议,企业可以考虑四个要点来建立隐私管理方法论。首先,企业要对隐私合规风险做全面诊断摸底,充分了解风险隐患;第二,企业要尽快建立内部隐私合规体系,在事前评估、事中安全管控到事后响应阶段都要有明确可执行的策略规范;第三,企业可以获取一些正式的认证资质,或者发布隐私合规白皮书,向客户提交第三方安全报告等,证明自身的合规水平;最后,企业需要确保隐私合规方面的持续运营能力,将隐私合规能力融入业务和产品设计。
兰瑜总结道,形成程序化的隐私合规运营体系,是企业出海发展过程中的一堂必修课。
企业如何应对数据跨境流动与本地化存储需求并存的挑战?
如今,各国在立法明确数据本地化存储要求的同时,也对数据的跨域流动设立了极高门槛。各国的具体监管要求也有很大差异,极大增加了出海企业海外业务节点部署的难度。那么,企业应该如何应对数据跨境流动与本地化存储需求并存的全新挑战?
兰瑜认为,企业应当首先解读当地监管要求的严格程度,再明确数据本地化要求的数据范围与类型,并基于这些信息来对自身数据资产进行合规合理的分类分级,对不同的数据范围、类型的本地化要求进行有的放矢的差异化应对。企业还应该在技术、设备和人员配备等维度配合上述工作,建立应对不同国家要求的数据本地化落地方案,为业务出海保驾护航。
赵洪日对此表示,当企业选择出海的时候,首先要进行海外评估,明确出海国家的法律法规,是否必须需要数据本地存化储,比如:像俄罗斯、中东这些国家,它对数据跨境流动要求比较严格,明确要求数据的本地化存储,但随之带来问题就是本地化存储的高成本代价;另外,在数据跨境流动过程中,不仅仅是单纯应用服务数据的流动,使用数据的人的也在流动。当我们完成这些评估之后,我们要考虑如何确保在对企业业务影最小程度之下,要做到数据本地化存储。
吴佳钊补充说,企业出海之前首先要准备好随时到数据所在国部署节点的能力。同时,企业要具备数据脱敏存储甚至混合云部署的能力,有效分离底层敏感数据与上层服务模块。私有数据存储模块可以部署在客户本地,通过脱敏手段与业务流程关联。这些需求都可以用云原生技术来实现,企业也可以考虑选择华为这样有丰富经验的云厂商合作,获得相应的技术保障。
现场观众答疑
在观众互动环节,有观众提问:在复杂的全球数据和隐私监管背景下,企业出海的增长空间是否已经不大了?吴佳钊表示,企业应该首先评估自身的出海合规成本,如果成本高于收益就的确不应该考虑开展出海业务;但如果情况相反,企业还是可以踏上出海征程的,这里的关键在于成本和收益的评估。
出海合规方面,华为云有哪些经验可以分享给中小型企业?赵洪日介绍了华为云面向出海企业的解决方案,一项名为“安全治理云图”的服务。该服务能对企业进行自动化合规评估与安全治理,其中包含华为云积累多年的 3CS 基线库,以及一个完整的安全遵从包。这个遵从包覆盖全球各大洲 20 多部隐私保护法和 40 多部金融法规。客户选择华为云后,平台会首先对客户核心资产进行全面扫描,并按照合规策略模板给出自评建议和报告,指导企业快速完成合规改进。
面对日益严格的监管背景,有哪些建议给出海企业?兰瑜指出,如今全球各国的合规监管要求已经相当明确,企业可以在出海之前提前充分了解监管要求,建立合规信心,针对目标国家法规调整技术架构,平衡成本收益,再考虑业务范围和类型就能充分控制风险,确保出海业务的平稳发展。
通过本期直播,大家可能对出海中面临的安全合规挑战有了充分的认识和把握。只有做好安全合规,企业出海才能守护好自己的生命线。在出海过程中,安全合规是一切的基础。出海企业不仅要构建合理、完善的数据安全和隐私合规管理体系,而且要及时跟踪海外监管动态的变化,加强对外规深入研判。此外,还要妥善、审慎地进行海外业务节点的选择和部署。
做好了安全合规,可以保证出海企业一帆风顺,但是要想在当地站稳脚跟,关键靠本地化。有人说,全球化就是本地化。那么,企业出海如何做到“落地生根”?我们 3 月 30 日晚 8 点“大咖说出海”第三期将深入为您解答。
此外,针对出海企业,华为云还推出了“两大出海专享礼包”,从云产品、研发支持、海外推广、生态对接维度,全面护航中国企业全球化发展:
参与企业出海问卷调研,精美奖品等你拿:http://gk.link/a/11hFM
评论