探寻合规之道,共筑数据保障之堡。专注为数据安全管理者、技术专家、隐私法务、律师等专业人士打造的知识共享与交流平台。![]()
点击 "合规社" > 点击右上角“···” > 设为星标⭐在全球化的大潮中,中国企业正积极拓展海外市场,寻求新的增长点。
然而,随着国际形势的不断变化,企业在海外经营中面临的挑战日益增多,尤其是在隐私合规方面。全球已有超过130个国家和地区设立了隐私合规法律,监管机构对数据资产保护的重视程度不断加强,在欧洲、美国、日韩、东南亚和中东等主要经济体,高额罚款案例频发,对企业的合规要求也越来越高。企业在出海过程中,不仅要遵守当地的法规和合规要求,还要面对隐私合规的复杂性。一旦企业遭遇监管审查,可能会遭受应用下架、业务暂停、用户流失、品牌受损,甚至巨额罚款和舆论风波。
因此,构建与企业出海生命周期相匹配的隐私合规体系至关重要,这不仅关乎业务的健康可持续发展,还影响着企业的成本和效益,以及当前利益与未来发展的平衡。就这一议题,合规社邀请Kaamel的联合创始人兼首席技术官(CTO)作为嘉宾参与直播。Kaamel联合创始人兼CTO,2016年加入国内某一线互联网大厂担任信息安全负责人,伴随着公司业务在全球扩张,蔺毅翀先生积累了丰富的全球隐私保护、监管对接的实战经验。工作后也曾就职于国际知名安全企业Mcfee、FireEye等,在硅谷的安全公司从事安全漏洞、APT攻防的研究以及安全防护产品的开发。
2022年联合创办Kaamel,致力于提供海外隐私合规(GDPR、LGPD、CCPA、COPPA、HIPAA等等)的产品和解决方案,帮助企业提高安全水位,避免合规风险,从而更有效的保护用户隐私。
以下为蔺毅翀老师的《海外合规技术分享与实践经验》直播精华整理。👇👇👇
许多国家在2018年之前就已经制定了一系列与数据隐私相关的法律。例如,美国联邦贸易委员会(FTC)对儿童在线隐私保护和健康行业数据安全有着严格的要求。全球范围内,已有超过82%的国家或地区已经建立或正在制定自己的数据隐私法规。从趋势上看,越来越多的国家开始将数据隐私视为国家安全的重要组成部分,并在立法中予以体现,如欧盟的人工智能法规、数字守门人概念以及对数据经纪人(Data Broker)的要求。这些法规不仅强调了个人隐私的保护,也反映了数据在全球范围内的重要性和敏感性。
众多国家正通过制定数据安全相关法律来维护其数字主权。例如,美国根据拜登总统的行政命令,对美国公民的敏感数据流向某些被认为是敏感的地区进行了限制。从全球趋势来看,各国越来越倾向于建立各自独立的数据隐私法规体系,而这些法规之间存在显著差异。在海外市场进行合规操作时,首要任务是遵守当地的法律法规。然而,海外的法律体系往往较为复杂,加之不同国家由于政治体制的差异,其执法和运作机制也各不相同。因此,在海外市场进行业务时,企业需要深入了解并适应这些差异,以保障合规性。(1)联邦层面的法规约束:在联邦层面,存在一些具有约束力的规定。例如,拜登总统颁布的第14117号行政命令对数据跨境传输设定了限制。(2)联邦贸易委员会(FTC)的监管:FTC在联邦层面扮演着类似于商务部的角色,其执法职能与国内网信办相似。FTC对个人数据保护实施了更为强化的监管措施。(3)各州AG(Attorney General)的法律:作为联邦制国家,美国各州拥有自己的法律体系。例如,加利福尼亚州的CCPA、犹他州的UCPA、弗吉尼亚州的VCDPA以及康涅狄格州的CTDPA等。(4)集体诉讼制度:美国的法律体系中包含集体诉讼的概念。如果消费者认为企业侵犯了其隐私权,他们可以联合起来,通过代表向法院提起集体诉讼。这些特点意味着在美国一旦发生数据隐私事件,企业可能面临极高的合规成本:联邦政府的罚款、州政府的处罚以及可能的集体诉讼赔偿。因此,企业在美国市场的合规策略需要综合考虑这些层面的要求,全面遵守当地的数据隐私法规。(1)GDPR,ePrivacy,各国DPC独立执法,各国又有GDPR之上的要求。ePrivacy是一项专门针对cookie管理的法规。在中国,由于移动应用的普及,cookie的使用相对较少。然而,在海外市场,人们更习惯于通过浏览器进行网络访问,而移动应用的市场份额不到整体市场的一半。因此,ePrivacy对于在海外市场运营的企业来说尤为重要,需要特别注意cookie的使用和管理,以符合当地的法律法规。GDPR作为覆盖整个欧洲的法律框架,其下各成员国均设有自己的数据保护机构(DPA),类似于中国的网信办。DPA对在欧洲开展业务的公司具有监管和处罚权。值得注意的是,除了GDPR的基本要求外,各国还可能根据自身情况制定更为严格的数据保护规定。例如,英国在GDPR的基础上,针对某些领域实施了更为严格的要求。因此,企业在拓展欧洲市场时,不仅要遵守GDPR的规定,还需留意各国可能存在的额外要求,以确保全面符合当地的数据保护法规。(2)DSA/DMA 对于Data Broker、大平台守门人的监管。
在国内市场,执法方式主要以主体责任为核心,即平台需承担主体责任。而在海外,通过数字守门人制度来约束大型平台。例如,Meta(Facebook)和Google这类企业不仅要确保自身的合规性,还必须约束其平台上所有第三方供应商的合规性。欧盟今年实施了多项法律,如EU AI Act和EU Cyber Resilience Act,这些法律对AI应用和IoT应用进行了监管。由此可见,各国立法趋势显示出在近两年内迅速发展,尤其是在AIGC领域。例如,加州曾通过一项被认为是史上最严格的AIGC法案,但在最后一刻被加州州长否决,原因是该法案可能会给加州众多AI创业公司带来沉重的合规负担。许多企业在拓展海外市场时,可能不会将美国和欧盟作为首选目的地。除了这些地区外,其他一些执法较为活跃的区域主要是一些发达国家,例如日本、韩国、澳大利亚和新加坡。同时,近年来关于数据本地化的要求也日益增多。许多国家都对数据本地化提出了具体要求,例如俄罗斯和越南,它们要求数据必须存储在本国境内,未经审批不得跨境传输数据。首先,各区域之间的立法差异尤为显著。不同地区在数据和隐私法规方面存在明显的区别。
其次,对于某些特定行业,尤其是那些处理大量个人敏感信息(如儿童信息、健康信息、生物识别信息)的行业,通常会有额外的监管要求。从整体执法力度来看,欧美国家和一些发达国家仍然是监管力度最强的地区。
(1)国家安全。许多国家基于国家安全的考量,对企业数据的跨境流动进行严格监管。(2)隐私和数据安全。企业在收集大量个人隐私数据后,未能妥善保护这些数据,从而引起监管机构的关注。(3)媒体和舆情。媒体在塑造公众对数据隐私和安全问题的看法方面具有显著影响力,常常推动相关议题成为社会焦点。 (1)言行不一。企业对外宣称的隐私保护实践与实际产品或服务中的做法不一致。(2)企业不作为。企业未能满足用户对其权利的合理要求,未能有效响应用户关切。(3)发生事件。企业遭受黑客攻击或数据泄露事件,并被媒体曝光,导致公众信任受损。(4)其他案件延伸。因知识产权纠纷、劳动争议等其他案件而引发的隐私合规问题。![]()
当国内公司计划在海外市场开展业务时,应当关注以下几个关键领域:
![]()
法律框架基础:GDPR作为全球数据安全和隐私法规的基石,为海外隐私和数据安全提供了基本原则和要求。深入了解GDPR对于任何希望在海外市场运营的企业来说都是基础步骤。国家间法律差异性:各国在遵守GDPR的基础上,还有自己的特定要求和差异。例如,GDPR原则上禁止未经同意的数据采集,而CCPA则默认允许数据采集,但赋予个人停止数据采集的权利。
敏感数据的额外监管:对于儿童数据、健康数据、金融数据等敏感信息,各国通常会有额外的监管约束条件,这些需要企业特别注意。
行业性要求:除了通用的数据保护法规外,特定行业如ISO标准、PCI支付标准,以及IoT、跨境电商等领域也有特殊的合规要求。
(1)数据跨境。数据跨境传输涉及各国的安全和数字主权问题,是企业在全球化运营中必须重点关注的合规领域。
(2)产品设计。在产品设计阶段,企业需使其产品能够满足相关的合规要求.
(3)用户权利响应。对于用户行使其数据权利的请求,企业必须给予充分响应。未能满足用户权利的企业很可能会受到监管机构的处罚或关注。
(4)企业合规流程。企业应建立完善的风险评估流程(如ROPA或DPIA),并制定隐私事件的应急响应机制,在发生隐私事件时能够迅速有效地应对。
(5)信息安全。安全合规和隐私合规是相辅相成的。即便企业在其他方面符合规定,如果未能履行数据安全的责任和义务,同样会被视为违规行为。
- 法务:无法掌握企业全部出海国家法规要求;无法基于法规对产品开发提供技术指导,并检验落地情况。
对中企出海来说,有两个事情一定是特别重要又特别容易犯错的。 (1)第一道防线:降低风险(Reduce risk)产品在设计和实现阶段应优先降低风险,特别是解决Web、APP等客户端资产隐私合规的高危风险,以减少潜在的数据泄露和隐私侵犯问题。
(2)第二道防线:合规证明(Compliance certification)
面对用户的质疑和监管机构的问询,企业应能在短时间内提供有力的自证材料,包括完成RoPA、DPIA、ISO、GDPR、SOC2等认证,以证明其合规性。(3)第三道防线:满足审查(Meet the Review)企业需要落实一系列规章制度和流程,完成隐私合规体系化的治理,包括组织流程、产品设计、数据保护、数据本地化、人员本地化等。例如,每个新功能的上线都应伴随安全评估,以满足审查需求,帮助企业在面临重大问题时减少损失。第一,减少被监管机构关注的可能性。
第二,即使被关注,也能提供充分证据证明自己的合规性,使监管机构认为问题不大。
第三,如果真的面临重大问题,内部体系能够满足应对要求。
到海外的许多SaaS企业以及面向企业(ToB)的公司都在合规和安全方面投入了巨大的努力。这种努力的驱动力主要来自于客户方提出的安全要求。在海外市场,安全和合规是供应商能否被选中的关键因素,具有一票否决权。海外市场拥有一个庞大的生态系统,推动着整个行业向前发展,不断加强合规性。这种推动力不仅仅来自于监管机构的要求,还包括企业自身的合规逻辑和内在需求。(1)多地区产业与复杂法规:跨境电商业务覆盖全球多个国家,每个国家都有其独特的语言和法律要求。例如,是否需要为20多个不同语言的国家准备20份隐私条款?是否需要与20个不同的供应商合作以满足这些要求?(2)法规要求与技术实现的差距:在产品技术实现方面,法规要求与实际操作之间存在显著差异。虽然合规的第一步是了解相关法律法规,但仅仅了解法规并不能直接指导我们如何具体操作。以Cookie弹窗为例,很少有人会意识到同意和拒绝按钮的颜色和大小必须相同,以避免诱导用户。这一点在ePrivacy规定中尤为重要,即用户在行使同意权和拒绝权时不应受到诱导。通过众多案例的处罚,我们得出结论,同意和拒绝按钮在Cookie弹窗中应被视为同等重要。这表明法律要求与技术实施之间存在一定的差异。(3)产品技术实现的挑战:在实际案例中,我们发现即使网站已经实现了Cookie同意机制,仍然存在问题。例如,即使用户拒绝了Cookie,网站仍然在后台收集数据,这与用户同意Cookie时的行为模式无异。此外,许多网站集成了大量的SDK,但当用户试图行使数据权利时,公司往往无法清晰地说明数据的去向和第三方接收者。这进一步凸显了法规要求与技术实践之间的巨大鸿沟。Kaamel是一家专注海外隐私合规领域的服务商,总部位于美国硅谷。在服务众多出海企业的过程中,对海外合规形势、法规现状以及企业面临的挑战有了深刻洞见及经验。Kaamel通过自研 AI 隐私检测引擎,模拟用户体验发现暴露的隐私合规风险,协助企业查漏补缺。其隐私合规管理能力涵盖风险管控、治理实践、认证辅助等全场景能力,可根据企业发展阶段量身定制合规解决方案。1)将法律法规及判例转化为易于理解的检测标准:将复杂的法律法规和判例,结合行业最佳实践,转化为一系列清晰、易于理解的检测项目。以Cookie政策为例,我们参考了ePrivacy法案中的“尽可能用户友好”原则,将此原则具体化为检测标准。例如,若要避免因设计不当而受到处罚,同意和拒绝按钮在视觉上必须保持一致性,包括大小和色彩。我们将此类要求转化为具体的检测项目。
2)了解企业对外披露了哪些隐私的实践。利用AI技术对企业的隐私政策、Cookie声明以及市场宣传材料进行识别,以确定企业对外公布的隐私保护措施。例如,若企业承诺实施端到端加密,我们的检测规则将包含对此加密措施的验证,确保其承诺得到实际执行,并以此作为合规性评估的基准。
3)在云环境里边模拟当地用户。在云环境中,模拟当地用户的行为。在向客户交付服务时,通常会为客户配置三个账号,分别对应美国、欧洲和新加坡,以模拟不同地区的用户环境。通过在这些地区发起动态测试,我们验证企业的区域性合规性是否满足相应法律法规的要求。
例如,模拟用户从英国发起对欧洲站的请求,以及美国用户对美国站的请求,比较这两种情况下收集的用户数据是否完全一致。以Cookie为例,我们将分析收集了哪些Cookie,以及哪些Cookie应当被共享,哪些不应被共享。此外,还会检查跨境数据传输过程中是否存在像素跟踪行为,以及数据跨境传输的流量情况。
在隐私合规领域,验证企业所采取的措施是否已经充分实施是至关重要的一环。例如,我们遇到客户在实际操作中遇到的问题,即尽管用户已经明确拒绝了Cookie的收集,但企业仍在持续进行数据采集。针对此类情况,我们通过智能化手段辅助研发团队进行验证,保障所采取的合规措施得到了有效执行。![]()
-END-
「 一键加入数据安全及个人信息保护领域的知识宝库」
「 数据合规知识星球 」是一个专注于数据安全和个人信息保护的资源和知识集散地。星球提供图解PPT、行业解决方案、数据安全合规管理制度模板、评估工具及评估报告模板、监管政策及标准汇编整理等,帮助组织或个人理解并遵守数据安全合规的法律法规,促进操作和业务流程的安全合规。
