双向监管时代到来,企业出海需合规“起舞”

2021年7月2日晚间,网络安全审查办公室发布《网络安全审查办公室关于对“滴滴出行”启动网络安全审查的公告》(以下简称“《公告》”),宣布对“滴滴出行”实施网络安全审查。仅在三天前,滴滴出行刚在美国纽约证券交易所挂牌上市。这是国家首次对企业启动网络安全审查,一时间,引起社会各界的高度关注。

在此之前,中国企业出海着重强调遵守目的地国家相关的法律法规。例如,中国企业到美国上市,需要遵守美国证券交易所等的相关规定。尤其是自2018年中兴被美国制裁并罚款,中国出海企业多方面加强了对合规的重视程度。

但是,彼时的中国出海企业合规主要指单向遵守美国等其它国家的法律法规。而以此次“滴滴”网安事件为标志,出海企业已迈入双向合规的强监管时代。可以预见,企业必将面临系统性的数据合规监管,如何防范网络风险,或许是比业务先行更为重要的议题。

1.企业出海合规挑战

在当前时代,无论是数据、密码还是网络空间的概念,均具有国家主权性。随着经济全球化发展,合规也大步向国际化迈进,双向监管时代的到来,也意味着没有企业能够在合规全球化的浪潮中独善其身。不同国家、地区的合规要求差异巨大,充斥着各种风险挑战,企业国际合规的适应力和包容度决定了企业的生命力。

挑战一:用户同意风险。“用户充分告知与授权同意”已经成为欧洲及美国、以及其他各国数据安全领域的关键议题。数据驱动型的互联网公司将是该类监管的重点对象。无论企业规模大小,在使用数据前都需要得到数据主体的同意,确保数据活动的透明性,以及数据主体对其数据的控制权。

挑战二:数据跨境风险。数据跨境传输是把数据从一个法域传输到另一个法域,数据传输的流程周期一般是数据产生、数据传输、数据接收,三个环节的挑战各有不同。企业进行数据出入境时,必须注重到可能存在的未知安全隐患,应按法律法规标准要求开展跨境安全风险评估与处置、监管报备、数据处理协议(DPA)签署、出入境计划与报告等材料的编制等工作。同时,企业也要将国家安全思维嵌入企业经营全生命周期。

挑战三:数字营销风险。数字营销不仅能帮助企业与客户建立有效沟通,而且还可以为企业带来更高的投资回报率和更大的市场拓展范围,因此数字营销成为企业广告策略的首选。如何针对授权用户群体开展合法、正当的数字营销,是当下众多企业面临的挑战点之一。

挑战四:网络攻击、黑客组织和数据泄露问题将长期存在。近年来全球因网络攻击导致勒索病毒与数据泄露等破坏性网络事件频发,造成的经济损失约为2.5亿美元(埃森哲统计),其原因主要存在于未能修补已知漏洞、零日漏洞在野利用、数据库暴露、产品预置后门、APT攻击以及供应链攻击等。在以数据驱动为前提的企业出海过程中,亟需构建网络安全综合保障防御体系和防御能力。

2.企业出海合规指引

企业开拓海外市场面临的安全合规监管日渐趋严,世界各国的文化差异法律特色,使出海企业需要适应不同国家对待安全合规的态度。无论是大中小企业,一旦触线均面临承担高额罚款的风险,更严重者或退出当地市场。因此,企业出海必须在企业出海前安全自评估,建立用户权益保障机制,获取国家相关部门批准,推进产品服务营销等各个环节做好合规准备。

1.企业出海前应开展出境安全自评估

根据企业出海的各类法律规范草案,安全评估是衡量企业出海合规性的主要措施,包括主管部门评估和安全自评估。建议企业在出海前参考各类法律法规评估要点,组织业务、技术、安全、技术、法律的相关人员,建立数据出境安全自评估工作组,根据评估结果修正、整改、完善数据出境计划,尽可能降低合规风险。

2. 个人信息出海应向个人告知出海细节并获得单独同意

《个人信息保护法(草案)》规定,个人信息出海应向个人告知出海细节并获得单独同意。企业应充分识别各国法律法规及标准对用户权益方面的要求包括数据主体的知情权、访问权、限制处理权、反对权以及自动化决策等个人相关权利。各国立法和监管对于发送营销信息的行为均有所要求,且共同关注的核心有三点:

  • 接收者的“同意”(事前opt in)
  • 接收者的“拒收/退出”(事后opt out)
  • 对接收者的告知

例如,各大App或服务网址既是企业主营业务的重要载体,也是个人信息保护和数据安全涉及的关键领域。因此,一些全球化运营的互联网业务平台,因涉及多个法域,对于发送商业性信息的实践操作也采取了多元化的合规方案,仅以“同意机制”为例:企业根据不同的法域设置不同的合规方案或相同的合规方案。

3. 企业出海前确认是否需要获得国家相关部门批准

按照《评估指南》的标准,重要数据是境内收集、产生的不涉及国家秘密,但与国家安全、经济发展、公共利益密切相关的数据。因此,企业应当在向海外提供重要数据前报经行业主管监管部门同意。建议企业参考《重要数据识别指南》,先行判断出海数据是否与“国家安全、经济发展、公共利益”紧密相关,同时密切关注行业监管动态,及时咨询主管部门以保证重要数据出境的合规性。此外,如果出海数据涉及国家秘密,除了应获得主管政府部门批准外,企业还应当与接受方签订保密协议。

4. 建立隐私安全合规平台优化产品数字营销推送机制

企业数据出境后,应关注当地政府的监管及合规要求,及时把握政策变化的趋势及风向。建立隐私安全合规平台,平台应设立相关机制动态。在营销策略方面,顺应现有的数字营销趋势,在四个方面加速优化现有的数字营销推送机制:推送权限管理、推送时机管理、推送内容管理、推送渠道管理。云片携手国际运营商,通过直连通道向海外号码发送短信,实现企业与国际号码用户快速沟通,以完成用户身份核验、订单通知、支付确认、物流提醒、活动通知等,有效助力出海企业实现全球业务拓展。同时,由于国际上行通道成本高、实施慢、覆盖国家少。云片还为企业提供短链接+定制的落地页服务,解决其在国际退订中的需求问题,节约企业营销成本,适应某些国家政策需求。

小结:

  • 各国有关数据保护的法规法律内容繁多,监管审查严格。对出海企业而言,如果不符合当地的法律法规,在当地将属于违法经营,企业的经营行为不受当地法律与法规保护,并可能因违反法律法规而带来巨大损失。
  • 云片深耕云通讯领域多年,已获取国际通用认可的数据安全、云安全、隐私保护、信息安全等相关认证资质,参照国际成熟标准体系,构建并运行一系列的安全合规体系,拥有成熟的数据安全合规服务,已协助多家出海企业构建数据安全合规平台,优化数字营销推送机制。
  • 未来,云片也将以更为优质成熟的服务助推国内企业加快移动互联产品的海外布局和推广落地。