破解企业出海难题：手把手搭新形势下企业安全防护体系

出海企业的安全密码-安全与合规 目录Menu •中企出海数据合规问题背景与挑战•企业出海数据合规能力体系化建设•基于腾讯云的出海数据合规解决方案 前言 中企出海，合规不是选择题，是“必修课”！是不可逾越的“底线”与“入场券”合规是“隐形门槛”——缺了它，进不了目标市场合规是“风险盾牌”——没了它，巨额罚款、业务停摆随时可能来合规更是“信任基石”——丢了它，客户、投资方都会远离 01.中企出海数据合规问题背景 随着全球宏观环境的变化和竞争加剧，中国企业的出海之路 中国企业出海投资额在持续增多，海外投资占全球≥10% 面临外部挑战谋求经营韧性 全球经济和市场坏境发生变化，受“去中国化”、“中国+1”等产业链政策影响，部分中国企业可能面临上游供应掣肘、下游客户流失等挑战，生存受到威胁，必须考虑走出去。 借助自身优势实现高速增长 中国丰富、健全的产业配套，以及在移动互联网、新能源等赛道的领跑优势，能够帮助中国企业在发展中市场降维打击，在发达市场抢占价值链中更有利的环节，甚至实现弯道超车。 近年来，中国企业加速深化国际化战略，通过主动出海、多样化布局加速国际化进程，在全球范围内进行资源配置与优化的同时，也推动全球产业链伙伴合作共赢，2022年中国对外直接投资总额已达到1700亿美元，连续多年问居世界第二大对外投资国 企业全球化发展可分为四个阶段，有出海需求的客户多处于第二和第三阶段 全球整合运营“高质量发展” 全球化布局“快速全面扩张” 跨国业务布局“突破重点市场” 海外贸易初期“出海热身” •在国外市场建立销售办事处或合作关系•海外销售在公司销售总额中占比很小（<5%*）•主要目标是增加销售额，而不是国际化•通过国内销售提供国际化投资的资金•国际化运作在制造、供应链等方面只发生细微变化 阶段特点 业务侧重点 •出海决心不坚定•不了解海外市场•缺乏支撑海外发展的国际化人才 阶段痛点 由于普遍缺乏出海经验，大部分中国企业在出海过程中都面临五大共性挑战 在复杂多变的国际市场中，要想成功站稳脚跟，出海企业必须直面问题和痛点，灵活调整战略、业务和运营体系，守住合规底线，这已成为企业能否持续发展并实现全球化的关键所在。 战略意图缺乏共识 •“外部环境严峻，为什么还要国际化”、“海外市场是必争之地，还是国内市场的补充”？ 业务设计水土不服 •“通过何种渠道拓展”、“本土供应还是国内供应”、“产品组合有何不同”？ 运营体系支撑不足 •总部对海外“管多少、怎么管”？ 数字化建设后知后觉 •海外数字化的管控模式、架构、部署方式等没有提前规划，随业务需求自由建设，等发现架构等问题时再花代价改造、整合 合规底线复杂多变 •各种贸易管制以及来自不同法域的法律、政策、经济和文化上的差异，以及数据跨境流动，底线和边界在哪里？如何确保海外信息在符合各国监管规范的前提下有序流动？ 中国出海企业全球范围内的经营管理面临着前所未有的数据合规挑战，数据合规紧迫性与必要性日益凸显 在全球230多个国家(地区)中，已经有超过135个国家(地区)出台数据保护法，其中大多数制定了跨境数据流动法律或政策 忽视数据安全合规风险与挑战，可能导致： 巨额罚款 违规企业可能面临当年全球年营业额的4%的巨额罚款。近期中资企业在海外被处罚的事件： •TikTok被处罚3.45亿欧元；•阿里在韩国被处罚20亿韩元；•某汽车新势力在欧盟被处罚10亿欧元，•某国内手机厂商在墨西哥因未经同意收集个人数据被处罚100万美元 声誉受损 违规企业可能受到监管机构的警告，以及来自客户和经销商的信任受损 H&M因侵犯员工隐私被处罚3500万欧元面临长时间的监管调查，声誉严重受损 禁止处理数据，业务中断监管机构有权力临时或永久限制或禁止违规企业的数据处理活动 亚马逊因数据隐私泄露被处罚款7.46亿欧元监管执法力度和处罚额度呈现上升趋势 02.企业出海数据合规能力体系化建设 跨境合规实施路径 •数据跨境合规“6步法”包括短期速赢方案和长效机制建立•速赢方案：快速实施数据合规方案，满足监管要求，助力海外业务拓展•长效机制：体系化、企业级的视角，建章立制，提供技术落地工具包，建立起常态化的评估流程、工具和模版，不同类型/场景的跨境合规要求 3.评估数据合规差距 5.报告与备案 4.合规差距修复 6.建立长效机制 •合同协议：协议优化、个人信息主体同意授权、出境管理制度完善等•管理：数据分类分级、DSR通道管理、数据审批流程与权限管理、数据合规审计等•技术：隐私合规自动化、本地化存储、存储加密、传输加密、脱敏、去标识化等 •数据安全体系落地建设•建立常态化的数据出境评估流程、工具和工作模版等•数据安全自评估、PIA、TIA、TRA等伴随服务 •梳理目标国家/地区的数据监管要求•开展数据合规适用性分析，进行外归内化•分析跨境监管规则，跟踪监管动态 •明确主要的数据管控对象，如个人信息和重要数据等•排查数据跨境场景，梳理数据流转路径 •制定数据安全合规与风险评估模型•识别合规差距与安全威胁•评估数据安全风险与差距 •根据整改后的情况协助公司出具出境风险自评估报告或直接出具个人信息保护影响评估报告•根据数据出境的适用类型，协助准备监管申报材料 业务所在国家/地区的数据合规监管要求分析 1.深入理解业务所在目标国家在数据跨境方面的法律法规，包括数据类型、跨境评估、适用和豁免条件等方面2.识别法律法规对于数据跨境监管的在数据处理各个阶段的要求，以及数据对象个人信息、敏感个人信息、重要数据或其他数据等3.对要求进行解读形成数据跨境合规库，作为后续开展评估的基础 中国《数据安全法》和《个人信息保护法》规定通过网信部门组织的安全评估、个人信息出境标准合同备案和个人信息保护认证三个维度的具体落实办法，数据跨境流动管理制度的具体实施路径 英国《数据保护和数字信息法案》更新了个人数据出境的规定，能否进行个人数据跨境取决于是否得到了“充分性”认可。TRA是英国开展的数据转移风险评估 俄罗斯《个人信息保护法》规定，要求数据首次存储必须在俄罗斯境内服务器上；白名单国家制度，允许数据在法律规定范围内跨境流动 了解各国在数据跨境流动方面的管控对象 聚焦监管关注的数据资产类型如个人敏感信息和重要数据。各国的数据保护法严苛程度和执法力度不尽相同，但部分地区有共通之处，可通过梳理归类分级应对。 欧盟 泰国 印度 与种族、民族血统、政治观点、宗教或哲学信仰、犯罪记录、健康数据、残疾、工会信息、遗传数据、生物识别数据等 财务数据、健康数据、官方标识符、性生活、性取向、生物识别数据、遗传数据、变性状态、种姓或部落、宗教或政治信仰等等。 识别企业数据合规管理覆盖的业务领域与数据资产特别是个人数据分布 数据安全合规管理贯穿在价值流的各个环节，覆盖各个业务领域，并于与业务支撑系统进行同步分析、同步开发、同步上线 开展影响评估：数据保护影响评估和跨境传输影响评估 本页以数据跨境流动场景为例，除此之外还有隐私数据保护场景，个人数据共享场景等等。 建立长效机制 数据安全合规体系包括企业级基础安全合规能力以及产品生命生命周期安全合规管理能力设计，以全球建立统一的安全合规框架： 03.基于腾讯云的数据合规解决方案 腾讯云全球合规资质 合规性是腾讯云发展的基础，腾讯安全助力腾讯云满足不同行业、领域、国家的合规性要求，全力打造值得客户信赖的云服务。目前，腾讯云已通过400+国内外权威认证，通过韩国、新加坡、美国、德国、欧盟五大国家及地区的最高安全资质认证，信息安全管理体系建设获得中国、英国和意大利等国家认可委员会的认可。 CSA STAR云安全管体系认证 ISO 29151个人身份信息保护实践指南 ISO 27017云服务信息安全控制实施指引 ISO 27701个人信息管理体系国际标准 HIPAA法案 ISO/IEC 27017:2015是ISO/IEC27002:2013的补充，腾讯云通过ISO 27017指导证书，证明腾讯云实施了有效设计和实施云计算信息安全控制 腾讯云发布HIPAA法案自评估报告，体现了腾讯云对于云上个人健康信息的保护能力 腾讯云是全球首家通过ISO/EC27701认证的云服务提供商，建立和实施了隐私信息管理体系，并具备持续改进的能力 CSA STAR是针对云安全特性的一项国际性认证，腾讯云以金牌等级通过了STAR认证 腾讯云提供了恰当的信息安全风险管理环境用于个人身份信息的保护，同时满足行业最佳实践 CSA STAR云安全管体系认证 ISO 27001信息安全管理体系认证 KISMS认证 C5审计 PCI DSS 腾讯云是中国首家通过KISMS认证的云计算服务商，证明腾讯云建立的信息安全管理体系和能力满足相关韩国法律和标准合规性要求 腾讯云作为全球首家云服务商通过德国云计算合规性标准目录(C5)基础及附加标准的审计，证明腾讯云安全管控已符合德国联邦信息安全局的要求 PCI-DSS是由VISA和MasterCard联合多家国际卡组织共同建立的支付卡行业数据安全标准，腾讯云通过了1级服务提供商认证评估 CSA STAR是针对云安全特性的一项国际性认证，腾讯云以金牌等级通过了STAR认证 腾讯云是国内首家同时获得ISO27001:2013CNAS和UKAS国内外双认可的云计算服务商 MPAA美国电影协会 ISO 27018公有云个人信息保护认证 OSPAR审计 TISAX审计 MTCS T3认证 腾讯云通过新加坡银行协会OSPAR审计，证明腾讯云的安全能力满足新加坡金融机构服务商的相关控制要求，并符合新加坡金融管理局的相关监管要求 TISAX是德系汽车行业的信息安全强制准入要求，腾讯云通过TISAX极高保护级别(AL 3)审核，证明腾讯云信息安全保护能力满足国际汽车行业标准要求 腾讯云作为通过新加坡多层云安全(MTCS)T3级别标准认证的云计算服务商，证明腾讯云建立的信息安全管理体系和能力满足相关新加坡法律和标准合规性要求 腾讯云已通过自评估的方式确保对客户内容的管理程序遵守美国电影协会(MPAA)内容安全模型指南 腾讯云致力于保护每个客户的个人信息，构建完善的个人信息管理体系，采用各种技术手段保护用户个人信息 更多：https://cloud.tencent.com/act/event/compliance 从数据生命周期视角看数据合规的技术需求 数据收集环节的合规技术方案举例 利用腾讯云应用合规平台对APP、APP内SDK、小程序等的收集数据权限进行统一合规检测，不该收的数据不要收。 利用WeData（腾讯云数据开发治理平台）、T-Sec（腾讯云数据安全）等产品做数据的脱敏，将采集上来数据在采集伊始便自动删除各类非合规数据，便于降低后续数据处理各环节的合规风险。 数据传输环节的合规技术方案举例 使用腾讯云数据安全中心，在跨境访问的场景中应用云访问安全代理的能力，识别非法的跨境访问来做相应的权限管控。 数据存储环节的合规技术方案举例 使用腾讯云加密机器CloudHSM对业务敏感数据进行加密处理后再进数据库或给到web服务器。 使用腾讯云对象存储COS的存储桶加密功能，对新上传至该存储桶的所有对象默认以指定的加密方式进行加密。 数据使用环节的合规技术方案举例 使用腾讯云WeData对数据进行汇聚与转换，并能精细化管理数据的访问权限，如此便能做好数据使用环节。确保不同的应用、服务、人员、实体组织等，根据合规上下文语境仅能看到专属自己的、经过定制化加工之后的合规数据。 数据删除环节的合规技术方案举例 数据删除的实现主要依赖于数据生命周期的自动化设置与管理。如腾讯云对象存储可以自动设置存储对象的生命周期，到期自动删除。 腾讯云也可以利用数据安全相关产品来实现数据的生命周期管理。 数据生命周期管理 出海