InfoQ《大咖说出海》 | 云片吴佳钊:出海是增长机遇,更是合规挑战

随着全球经济步入数据经济发展时代,数据作为关键生产要素和重要的战略资产,备受各国政府的关注和重视。出于国家利益的考量,各国政府普遍加强了在数据安全和隐私合规领域的监管和执法力度,这无疑也给中国企业的出海征程带来了更多挑战和考验。

企业出海,如何跨过安全合规这道坎?在复杂多变的国际形势背景下,出海企业又该如何应对不同国家、地区的安全合规问题,守住这条生存发展的“生命线”?

3 月 29 日,云片联合创始人、CTO吴佳钊受邀与InfoQ主编王一鹏、华为云安全专家赵洪日、安永华北区科技咨询主管合伙人兰瑜一起,在“大咖说出海”第二期的圆桌论坛中分享了他的答案。

云片联合创始人&CTO 吴佳钊

1、海外市场的环境复杂,国情各异,互联网出海企业在安全合规上会有哪些挑战?

云片自2016年上线国际短信业务以来,已助力数千家不同类型的互联网企业拓展海外市场,积累了丰富的实践和服务经验。基于这些经历,吴佳钊归纳和总结了互联网出海企业面临的主要风险与挑战。

“作为一家出海企业,从国内的法律环境切换到国外的法律环境,必然会存在一些不适应的地方。同时,全球各个国家对企业的安全合规要求不一,由于互联网企业模式比较轻,因此与安全合规相关的更多的是数据安全合规和隐私安全合规。

目前全球有诸多国家已经形成了数据安全与合规法案,剩下其他国家也已出台了立法草案。这些合规要求一般分为以数据主权和网络安全为驱动力的监管政策,以及以保护公民隐私为目标的监管政策两大类。相关政策往往有非常复杂的条款、严格的执行标准和严厉的处罚规则,对很多中小企业很不友好。特别需要注意的是对隐私数据的保护以及数据的跨境传输。从欧洲发布通用数据保护条例(GDPR)以来,越来越多的国家开始学习这一套数据治理模式,特别是在个人隐私数据、基础研究的技术数据方面,在跨境传输数据时,会遇到比较大的挑战。而且这些都是有案例的,一些早期出海的公司,因为对隐私数据的处理被处罚的新闻还是挺常见的,所以提前去学习这些案例可以提前做好防范。

而与用户隐私安全紧密关联的还有数字营销,如何从用户授权、敏感数据处理、合法营销等方方面面做到合规,也是企业在出海时应当慎重考虑的。就拿短信营销和邮件营销来举例——我们会建议客户在收集用户数据时一定要充分告知并获取同意,一旦没有得到授权就无法展开跟踪分析,这样就会影响广告营销策略的制定和投放;其次,需要有明确的营销退订机制,比如我们会向客户提供营销防骚扰工具来帮助出海企业对用户的营销退订及营销偏好进行管理;最后,出海企业在制定数字营销策略时,一定要不断优化推送机制,包括推送时间、推送对象、推送渠道、推送内容管理等,以保证营销活动符合落地国的一些法律法规规范。”

对此,吴佳钊认为,出海企业首先应该针对目标市场的环境与案例来设计出海产品,在产品设计之初就应充分考虑当地法律要求;其次,企业应该尽快了解目标国家的合规底线,系统化推进数据合规能力建设;最后,企业也应充分识别各国法律法规及标准对终端用户权益方面的要求,建设健全的用户权益保障机制。吴佳钊最后强调:“出海企业需要灵活调整自己的姿态,以适应不同国家的合规要求,才能做到持久经营。”

2、全球隐私立法和隐私保护监管力度加大,出海互联网企业如何避“坑”?

就这一问题,吴佳钊分享了几点他的建议:

  • 制度上要明确对应领域的合规管理,制定相应的管理措施,任命相应的组织对数据安全负责,比如数据保护官(DPO),一般会由企业高管兼任;
  • 业务上需充分了解落地国的合规要求,与企业业务相结合做配套的保障。有些国家是长臂管辖,即使你的业务不在他们国家,但是给他们国家的人提供服务,他们也有一定的管辖权;
  • 技术上需明确具体的受保护数据对象,通过加密、脱密、混合云部署等方案提升数据能力;
  • 除此外,也强烈建议出海企业需要关注国际上通用的安全合规体系认证,如ISO27001(信息安全)、ISO27701(隐私保护)、ISO27017(云服务信息安全)、ISO 27018(云上个人数据安全)等,同时也应当关注各国特有的安全合规资质,如新加坡的多层云安全MTCS、韩国的信息安全保护管理体系KISMS认证等,全面提升互联网企业的安全合规能力。

而对于法律明确禁止跨境的数据,吴佳钊说:“这类型的数据必须要做好相应的脱敏处理,保障敏感数据不跨境,否则就可能违反国外法规要求,收到巨额罚单。各国对数据安全及隐私合规审查呈现收紧态势,而海外审查标准不明确、程序欠透明,政府享有广泛的裁量权,导致企业因信息不对称产生合规“盲区”。在企业出海前,就应该正确梳理企业当前的业务形态和开展形式,对不满足监管要求的提前进行合规整改——有效应对隐私和数据安全方面的变化与风险,是出海企业必须要慎重考虑的问题。”

“此外,互联网企业出海的坑其实还有很多,不仅仅是合规上的,其实还有一些经营风险相关的。”吴佳钊补充道,“例如跨境支付就是一个很大的难题。出海做生意一定会面临收款的问题,一般是美元或欧元,你需要有一个比较好的支付方案来帮你解决支付的问题及抵抗一些支付风险,否则稍有不慎,可能就会遇上信用卡欺诈、灰产手段薅羊毛等一系列问题。因此在海外收款这块,寻找一些专业的平台还是很有必要的,他们一般有比较好的风控模型,能帮你抵挡掉很多高危的支付行为以保障业务正常经营。”

3、企业如何应对数据跨境流动与本地化存储需求并存的挑战?

如今,各国在立法明确数据本地化存储要求的同时,也对数据的跨境流动设立了极高门槛。各国的具体监管要求也有很大差异,极大增加了出海企业海外业务节点部署的难度。那么,企业应该如何应对数据跨境流动与本地化存储需求并存的全新挑战?

吴佳钊认为,数据的跨境流动和本地化要求并不冲突,只不过在跨境流动和跨境传输之前要符合所在国家本地化数据安全治理以及当地法律法规的要求,在满足当地法律法规的要求下做一些跨境传输是没有问题的。

“企业出海前,首先要准备好随时到数据所在国部署节点的能力,我们近几年常常谈到的云原生技术,就可以较好地满足这些需求。云原生满足了我们快速跨境拓展业务的需求,虽然现在市面上有很多不同的云厂商,但具体到虚拟机层面,其实差异并不大——无非就是价格和网络稳定性的差异,但是如果选择一些在合规方面有更丰富经验的厂商做合作伙伴,可以避免很多坑。其次,在核心隐私数据的存储和检索模块,也要具备脱敏存储甚至混合云部署的的能力,将底层敏感数据与上层服务模块分离。如私有数据的存储,对于一些有严格要求的国家或客户,可以选择将隐私数据存储模块进行私有化部署,并通过脱敏后的ID和云端业务流程做关联。这样既可以满足客户的业务需求,又能保障客户在合规和安全方面相较于直接放云端或跨境的更低风险。我们在给企业提供全球短信、语音、邮件等通讯服务过程中,也接到了客户类似的需求,将多渠道通讯管理能力以私有化的方式部署在其内部服务侧,以保障手机号码、邮箱地址等高敏感数据的绝对安全。”

最后,吴佳钊也总结道:“虽然全球数据和隐私监管日益复杂,但这并不意味着企业出海的增长空间已经不大了。企业应该首先评估自身的出海合规成本,如果成本高于收益就的确不应该考虑开展出海业务;但如果情况相反,企业还是可以踏上出海征程的,这里的关键在于成本和收益的评估。同时,在企业出海前,应当提前充分了解监管要求,建立合规信心,针对目标国家法规调整技术架构,平衡成本收益,再考虑业务范围和类型就能充分控制风险,确保出海业务的平稳发展。”

出海企业不仅要构建合理、完善的数据安全和隐私合规管理体系,而且要及时跟踪海外监管动态的变化,加强对外规深入研判。此外,还要妥善、审慎地进行海外业务节点的选择和部署。把握出海机遇的同时,更需要客观、正确的对待合规挑战!