隨著全球經(jīng)濟(jì)步入數(shù)據(jù)經(jīng)濟(jì)發(fā)展時(shí)代，數(shù)據(jù)作為關(guān)鍵生產(chǎn)要素和重要的戰(zhàn)略資產(chǎn)，備受各國(guó)政府的關(guān)注和重視。出于國(guó)家利益的考量，各國(guó)政府普遍加強(qiáng)了在數(shù)據(jù)安全和隱私合規(guī)領(lǐng)域的監(jiān)管和執(zhí)法力度，這無(wú)疑也給中國(guó)企業(yè)的出海征程帶來(lái)了更多挑戰(zhàn)和考驗(yàn)。

企業(yè)出海，如何跨過(guò)安全合規(guī)這道坎？在復(fù)雜多變的國(guó)際形勢(shì)背景下，出海企業(yè)又該如何應(yīng)對(duì)不同國(guó)家、地區(qū)的安全合規(guī)問(wèn)題，守住這條生存發(fā)展的“生命線(xiàn)”？

3 月 29 日，云片聯(lián)合創(chuàng)始人、CTO吳佳釗受邀與InfoQ主編王一鵬、華為云安全專(zhuān)家趙洪日、安永華北區(qū)科技咨詢(xún)主管合伙人蘭瑜一起，在“大咖說(shuō)出?！钡诙诘膱A桌論壇中分享了他的答案。

云片聯(lián)合創(chuàng)始人&CTO 吳佳釗

1、海外市場(chǎng)的環(huán)境復(fù)雜，國(guó)情各異，互聯(lián)網(wǎng)出海企業(yè)在安全合規(guī)上會(huì)有哪些挑戰(zhàn)？

云片自2016年上線(xiàn)國(guó)際短信業(yè)務(wù)以來(lái)，已助力數(shù)千家不同類(lèi)型的互聯(lián)網(wǎng)企業(yè)拓展海外市場(chǎng)，積累了豐富的實(shí)踐和服務(wù)經(jīng)驗(yàn)?；谶@些經(jīng)歷，吳佳釗歸納和總結(jié)了互聯(lián)網(wǎng)出海企業(yè)面臨的主要風(fēng)險(xiǎn)與挑戰(zhàn)。

“作為一家出海企業(yè)，從國(guó)內(nèi)的法律環(huán)境切換到國(guó)外的法律環(huán)境，必然會(huì)存在一些不適應(yīng)的地方。同時(shí)，全球各個(gè)國(guó)家對(duì)企業(yè)的安全合規(guī)要求不一，由于互聯(lián)網(wǎng)企業(yè)模式比較輕，因此與安全合規(guī)相關(guān)的更多的是數(shù)據(jù)安全合規(guī)和隱私安全合規(guī)。

目前全球有諸多國(guó)家已經(jīng)形成了數(shù)據(jù)安全與合規(guī)法案，剩下其他國(guó)家也已出臺(tái)了立法草案。這些合規(guī)要求一般分為以數(shù)據(jù)主權(quán)和網(wǎng)絡(luò)安全為驅(qū)動(dòng)力的監(jiān)管政策，以及以保護(hù)公民隱私為目標(biāo)的監(jiān)管政策兩大類(lèi)。相關(guān)政策往往有非常復(fù)雜的條款、嚴(yán)格的執(zhí)行標(biāo)準(zhǔn)和嚴(yán)厲的處罰規(guī)則，對(duì)很多中小企業(yè)很不友好。特別需要注意的是對(duì)隱私數(shù)據(jù)的保護(hù)以及數(shù)據(jù)的跨境傳輸。從歐洲發(fā)布通用數(shù)據(jù)保護(hù)條例（GDPR）以來(lái)，越來(lái)越多的國(guó)家開(kāi)始學(xué)習(xí)這一套數(shù)據(jù)治理模式，特別是在個(gè)人隱私數(shù)據(jù)、基礎(chǔ)研究的技術(shù)數(shù)據(jù)方面，在跨境傳輸數(shù)據(jù)時(shí)，會(huì)遇到比較大的挑戰(zhàn)。而且這些都是有案例的，一些早期出海的公司，因?yàn)閷?duì)隱私數(shù)據(jù)的處理被處罰的新聞還是挺常見(jiàn)的，所以提前去學(xué)習(xí)這些案例可以提前做好防范。

而與用戶(hù)隱私安全緊密關(guān)聯(lián)的還有數(shù)字營(yíng)銷(xiāo)，如何從用戶(hù)授權(quán)、敏感數(shù)據(jù)處理、合法營(yíng)銷(xiāo)等方方面面做到合規(guī)，也是企業(yè)在出海時(shí)應(yīng)當(dāng)慎重考慮的。就拿短信營(yíng)銷(xiāo)和郵件營(yíng)銷(xiāo)來(lái)舉例——我們會(huì)建議客戶(hù)在收集用戶(hù)數(shù)據(jù)時(shí)一定要充分告知并獲取同意，一旦沒(méi)有得到授權(quán)就無(wú)法展開(kāi)跟蹤分析，這樣就會(huì)影響廣告營(yíng)銷(xiāo)策略的制定和投放；其次，需要有明確的營(yíng)銷(xiāo)退訂機(jī)制，比如我們會(huì)向客戶(hù)提供營(yíng)銷(xiāo)防騷擾工具來(lái)幫助出海企業(yè)對(duì)用戶(hù)的營(yíng)銷(xiāo)退訂及營(yíng)銷(xiāo)偏好進(jìn)行管理；最后，出海企業(yè)在制定數(shù)字營(yíng)銷(xiāo)策略時(shí)，一定要不斷優(yōu)化推送機(jī)制，包括推送時(shí)間、推送對(duì)象、推送渠道、推送內(nèi)容管理等，以保證營(yíng)銷(xiāo)活動(dòng)符合落地國(guó)的一些法律法規(guī)規(guī)范?！?/span>

對(duì)此，吳佳釗認(rèn)為，出海企業(yè)首先應(yīng)該針對(duì)目標(biāo)市場(chǎng)的環(huán)境與案例來(lái)設(shè)計(jì)出海產(chǎn)品，在產(chǎn)品設(shè)計(jì)之初就應(yīng)充分考慮當(dāng)?shù)胤梢螅黄浯?，企業(yè)應(yīng)該盡快了解目標(biāo)國(guó)家的合規(guī)底線(xiàn)，系統(tǒng)化推進(jìn)數(shù)據(jù)合規(guī)能力建設(shè)；最后，企業(yè)也應(yīng)充分識(shí)別各國(guó)法律法規(guī)及標(biāo)準(zhǔn)對(duì)終端用戶(hù)權(quán)益方面的要求，建設(shè)健全的用戶(hù)權(quán)益保障機(jī)制。吳佳釗最后強(qiáng)調(diào)：“出海企業(yè)需要靈活調(diào)整自己的姿態(tài)，以適應(yīng)不同國(guó)家的合規(guī)要求，才能做到持久經(jīng)營(yíng)。”

2、全球隱私立法和隱私保護(hù)監(jiān)管力度加大，出海互聯(lián)網(wǎng)企業(yè)如何避“坑”？

就這一問(wèn)題，吳佳釗分享了幾點(diǎn)他的建議：

• 制度上要明確對(duì)應(yīng)領(lǐng)域的合規(guī)管理，制定相應(yīng)的管理措施，任命相應(yīng)的組織對(duì)數(shù)據(jù)安全負(fù)責(zé)，比如數(shù)據(jù)保護(hù)官（DPO），一般會(huì)由企業(yè)高管兼任；
• 業(yè)務(wù)上需充分了解落地國(guó)的合規(guī)要求，與企業(yè)業(yè)務(wù)相結(jié)合做配套的保障。有些國(guó)家是長(zhǎng)臂管轄，即使你的業(yè)務(wù)不在他們國(guó)家，但是給他們國(guó)家的人提供服務(wù)，他們也有一定的管轄權(quán)；
• 技術(shù)上需明確具體的受保護(hù)數(shù)據(jù)對(duì)象，通過(guò)加密、脫密、混合云部署等方案提升數(shù)據(jù)能力；
• 除此外，也強(qiáng)烈建議出海企業(yè)需要關(guān)注國(guó)際上通用的安全合規(guī)體系認(rèn)證，如ISO27001（信息安全）、ISO27701（隱私保護(hù)）、ISO27017（云服務(wù)信息安全）、ISO 27018（云上個(gè)人數(shù)據(jù)安全）等，同時(shí)也應(yīng)當(dāng)關(guān)注各國(guó)特有的安全合規(guī)資質(zhì)，如新加坡的多層云安全MTCS、韓國(guó)的信息安全保護(hù)管理體系KISMS認(rèn)證等，全面提升互聯(lián)網(wǎng)企業(yè)的安全合規(guī)能力。

而對(duì)于法律明確禁止跨境的數(shù)據(jù)，吳佳釗說(shuō)：“這類(lèi)型的數(shù)據(jù)必須要做好相應(yīng)的脫敏處理，保障敏感數(shù)據(jù)不跨境，否則就可能違反國(guó)外法規(guī)要求，收到巨額罰單。各國(guó)對(duì)數(shù)據(jù)安全及隱私合規(guī)審查呈現(xiàn)收緊態(tài)勢(shì)，而海外審查標(biāo)準(zhǔn)不明確、程序欠透明，政府享有廣泛的裁量權(quán)，導(dǎo)致企業(yè)因信息不對(duì)稱(chēng)產(chǎn)生合規(guī)“盲區(qū)”。在企業(yè)出海前，就應(yīng)該正確梳理企業(yè)當(dāng)前的業(yè)務(wù)形態(tài)和開(kāi)展形式，對(duì)不滿(mǎn)足監(jiān)管要求的提前進(jìn)行合規(guī)整改——有效應(yīng)對(duì)隱私和數(shù)據(jù)安全方面的變化與風(fēng)險(xiǎn)，是出海企業(yè)必須要慎重考慮的問(wèn)題?！?/span>

“此外，互聯(lián)網(wǎng)企業(yè)出海的坑其實(shí)還有很多，不僅僅是合規(guī)上的，其實(shí)還有一些經(jīng)營(yíng)風(fēng)險(xiǎn)相關(guān)的。”吳佳釗補(bǔ)充道，“例如跨境支付就是一個(gè)很大的難題。出海做生意一定會(huì)面臨收款的問(wèn)題，一般是美元或歐元，你需要有一個(gè)比較好的支付方案來(lái)幫你解決支付的問(wèn)題及抵抗一些支付風(fēng)險(xiǎn)，否則稍有不慎，可能就會(huì)遇上信用卡欺詐、灰產(chǎn)手段薅羊毛等一系列問(wèn)題。因此在海外收款這塊，尋找一些專(zhuān)業(yè)的平臺(tái)還是很有必要的，他們一般有比較好的風(fēng)控模型，能幫你抵擋掉很多高危的支付行為以保障業(yè)務(wù)正常經(jīng)營(yíng)。”

3、企業(yè)如何應(yīng)對(duì)數(shù)據(jù)跨境流動(dòng)與本地化存儲(chǔ)需求并存的挑戰(zhàn)？

如今，各國(guó)在立法明確數(shù)據(jù)本地化存儲(chǔ)要求的同時(shí)，也對(duì)數(shù)據(jù)的跨境流動(dòng)設(shè)立了極高門(mén)檻。各國(guó)的具體監(jiān)管要求也有很大差異，極大增加了出海企業(yè)海外業(yè)務(wù)節(jié)點(diǎn)部署的難度。那么，企業(yè)應(yīng)該如何應(yīng)對(duì)數(shù)據(jù)跨境流動(dòng)與本地化存儲(chǔ)需求并存的全新挑戰(zhàn)？

吳佳釗認(rèn)為，數(shù)據(jù)的跨境流動(dòng)和本地化要求并不沖突，只不過(guò)在跨境流動(dòng)和跨境傳輸之前要符合所在國(guó)家本地化數(shù)據(jù)安全治理以及當(dāng)?shù)胤煞ㄒ?guī)的要求，在滿(mǎn)足當(dāng)?shù)胤煞ㄒ?guī)的要求下做一些跨境傳輸是沒(méi)有問(wèn)題的。

“企業(yè)出海前，首先要準(zhǔn)備好隨時(shí)到數(shù)據(jù)所在國(guó)部署節(jié)點(diǎn)的能力，我們近幾年常常談到的云原生技術(shù)，就可以較好地滿(mǎn)足這些需求。云原生滿(mǎn)足了我們快速跨境拓展業(yè)務(wù)的需求，雖然現(xiàn)在市面上有很多不同的云廠(chǎng)商，但具體到虛擬機(jī)層面，其實(shí)差異并不大——無(wú)非就是價(jià)格和網(wǎng)絡(luò)穩(wěn)定性的差異，但是如果選擇一些在合規(guī)方面有更豐富經(jīng)驗(yàn)的廠(chǎng)商做合作伙伴，可以避免很多坑。其次，在核心隱私數(shù)據(jù)的存儲(chǔ)和檢索模塊，也要具備脫敏存儲(chǔ)甚至混合云部署的的能力，將底層敏感數(shù)據(jù)與上層服務(wù)模塊分離。如私有數(shù)據(jù)的存儲(chǔ)，對(duì)于一些有嚴(yán)格要求的國(guó)家或客戶(hù)，可以選擇將隱私數(shù)據(jù)存儲(chǔ)模塊進(jìn)行私有化部署，并通過(guò)脫敏后的ID和云端業(yè)務(wù)流程做關(guān)聯(lián)。這樣既可以滿(mǎn)足客戶(hù)的業(yè)務(wù)需求，又能保障客戶(hù)在合規(guī)和安全方面相較于直接放云端或跨境的更低風(fēng)險(xiǎn)。我們?cè)诮o企業(yè)提供全球短信、語(yǔ)音、郵件等通訊服務(wù)過(guò)程中，也接到了客戶(hù)類(lèi)似的需求，將多渠道通訊管理能力以私有化的方式部署在其內(nèi)部服務(wù)側(cè)，以保障手機(jī)號(hào)碼、郵箱地址等高敏感數(shù)據(jù)的絕對(duì)安全?！?/span>

最后，吳佳釗也總結(jié)道：“雖然全球數(shù)據(jù)和隱私監(jiān)管日益復(fù)雜，但這并不意味著企業(yè)出海的增長(zhǎng)空間已經(jīng)不大了。企業(yè)應(yīng)該首先評(píng)估自身的出海合規(guī)成本，如果成本高于收益就的確不應(yīng)該考慮開(kāi)展出海業(yè)務(wù)；但如果情況相反，企業(yè)還是可以踏上出海征程的，這里的關(guān)鍵在于成本和收益的評(píng)估。同時(shí)，在企業(yè)出海前，應(yīng)當(dāng)提前充分了解監(jiān)管要求，建立合規(guī)信心，針對(duì)目標(biāo)國(guó)家法規(guī)調(diào)整技術(shù)架構(gòu)，平衡成本收益，再考慮業(yè)務(wù)范圍和類(lèi)型就能充分控制風(fēng)險(xiǎn)，確保出海業(yè)務(wù)的平穩(wěn)發(fā)展?！?/span>

出海企業(yè)不僅要構(gòu)建合理、完善的數(shù)據(jù)安全和隱私合規(guī)管理體系，而且要及時(shí)跟蹤海外監(jiān)管動(dòng)態(tài)的變化，加強(qiáng)對(duì)外規(guī)深入研判。此外，還要妥善、審慎地進(jìn)行海外業(yè)務(wù)節(jié)點(diǎn)的選擇和部署。把握出海機(jī)遇的同時(shí)，更需要客觀、正確的對(duì)待合規(guī)挑戰(zhàn)！