联系电话:
400-670-0076
出海大势所趋|CDP集团再谈企业数据出境安全合规思考
全球贸易发展已呈现出产业服务化、服务数据化的演进态势,2019年起全球跨境数据流产生的GDP总值已超过跨境商品流。在世界范围网络空间安全论坛中,数据跨境已成为最重要的话题之一。
中国作为国际经济和政治影响力大国,全球对于中国的数据跨境监管要求表现出了空前的关注。中国近年来高速发展的数据管理司法架构以及中国后续的监管执法,将直接对出海企业运营带来直接的影响。
同时,全球因为数据跨境导致的监管案例层出不穷,其中不乏国内多个出海企业受到影响和处罚。全球数据跨境已不仅仅在监管层面,执法处罚的案例也逐年增多。已发生的监管事件提示着企业要谨慎思考如何针对不同国家特有的数据跨境法律制度资源建立特有的业务规则和模式。
跨境数据治理对出海企业的产业布局、产业链分配已产生重大影响,出海企业在数据合规方面面临诸多问题:
► 数据出境监管规则正式落地,合法、正当、必要的合规路径如何规划?
► 从数据收集到员工数据管理使用如何实现双向合规?
► GDPR在企业管理实操中如何落地,具体怎样处理个人隐私信息?
对此,我们一起来看看业内安全专家们的洞察与建议:
Part.01
数据出境安全评估办法解读及GDPR典型判例分析
安永(中国)合伙人 施建俊:2022年7月7号网信办所颁布的数据出现的安全评估管理办法,是之前所颁布的网络安全法、数据安全法、个人信息保护法里面所提及的,针对关键信息基础设施数据出境、重要数据出境、以及个人信息和个人敏感信息出境要求的一个重要承接。
法制9月1号生效之后,也给了企业半年的整改期,大家要利用好这个整改窗口,盘点企业数据出境的场景和业务需求。如果说已经出境了,是不是达到了法规提到的几个门线值或数据类型,都是企业要特别关注的。
《数据出境安全评估办法》里安全评估的申报、受理、评估、反馈、整改再评估等相关的作业流程已表述的非常清晰。甚至一些配套的更细致具体的工作模板,配套的登记注册的系统也会进行发布,便于企业开展这方面的工作。
在数据安全中,员工数据是企业非常重要的一个数据类别,国外的企业观念和中国企业不太一样,大多数的中企在谈到个人信息保护时,往往更加注重自己客户数据的一些保护,尤其是收集到的To C的数据,会占用企业大部分的精力。事实上员工的数据同样重要,比如欧美对自己员工数据的保护看得极端重要。
提醒大家注意一点,员工和客户是不同的,客户是可以随时跟企业say no,但对于员工,是不大可能随便对企业say no。也就是说雇主很有可能和员工并不在一个平等的位置上。
对于很多HR来说,在获取的每一个员工信息的背后,都要有非常充足的业务场景支撑,仅仅建立在员工同意上是不够的。在敏感信息的处理上,很有可能会在一些较真的场合被质疑。
去年欧洲有个案例,一家企业针对雇员的日常办公行为进行了一些数据的采集,当然企业会拿出大套的法律文件,表示在采集过程肯定有各种各样的弹窗,各种各样的确认,但是员工说这些都是在入职之后强加的,事实上员工没有任何的选择权。后来在法院最后的判定中认为雇主没有给员工充分的选择权,因此败诉赔了不少钱。
因此,每个HR都要特别注意,当采集员工数据时,企业和员工是否是在平等的位置上沟通,是否是在给员工充分选择权的情况下,去获得员工的同意。
Part.02 HR如何平衡人力资源管理与全球不同国家的安全合规要求
CDP集团首席运营官 侯菲律:“合规”已经成为中国企业出海的必修课。亚马逊封号潮的残酷洗礼以及海外国家监管政策的趋严,让整个行业迅速告别野蛮生长,走进“合规化经营”的新时代。
2022年7月21号,国家互联网信息办公室是依据网安法、处安法和个保法、行政处罚法等法律法规,对于某知名打车的企业处以高达80亿元的罚款。表明了我国对于个人信息保护及数据安全相关法规的执法力度变得空前之高。
这件事也让众多企业意识到,在数据安全方面拥有一个专业的合作伙伴是多么的重要。CDP集团作为人力资本管理的专家无论是支持中国企业的出海,还是支持企业的全球化及数人力资源的数字化,都会在不断的迭代的过程当中,去增加相应的隐私相关的管控点。在面对人力资源管理的场景,比如HR所面对的可能是全球化的组织和全球化的员工,怎么去平衡不同国家的相应的合规要求,同时又满足相应的人力资源管理要求,是一个非常现实的问题。
从产品使用角度来看,CDP的产品用户就是客户企业的员工,他们打开APP或网页之后会看到一些隐私保护的提醒,无论是相应的声明知情以及勾选什么信息安全确认书,首先是会有一个用户感知,让员工感受到企业是在保护其个人的隐私信息的。同时还有相应的日常监察机制,包括引入一些专业的合作伙伴来进行共同的评估和认证等。
在数据安全合规建设的过程当中,CDP建议我们的客户企业,首先要把对员工个人信息保护的责任落实,和相应管理体系的建立。防止把所谓的合法依据沦为一个滥用员工数据的挡箭牌,同时也应该遵循透明度原则,及时制定相关的政策文件,用透明的制度来保障员工的每一个合法权益。
Part.03 企业如何建立数据跨境管理合规机制
亚马逊云科技高级安全合规专家 周盈:GDPR目前罚款金额最高的应该是英国航空公司数据泄露案,当时2.04亿欧元。aws跟很多出海企业交流,总结出了一套企业隐私合规实践框架:
全球130多个国家已经颁布了个人信息保护法,在分析这些法规之后,发现这些框架都很相似,基本上都有数据处理的原则、数据处理的合法性、数据的主体权利、数据跨境等这些内容。所以我们建议企业先以GDPR、CCPA的要求为基础建立一套自己的隐私合规实践框架。其中有三块内容是在建设过程中要特别注意的:
定期做合规风险评估,比如找四大事务所做定期的评估;
建立隐私合规的管理组织;
制定并发布隐私管理的制度,1级到4级文档都需要有。
企业在做隐私合规建设的时候,建议可以分三步走:
第一步是把用户感知层面上相关的功能尽快上线,比如法务可以根据合同跟隐私条款,修改相应的内容,也可以出具隐私合规白皮书等;
第二步做好后台能力的建设,后台能力建设主要是分三块,第一块就是要建立一个类似于隐私控制中心,承载个人数据处理的平台;
第三步是尽量要实现线上化,把这些用户全力响应流程搬到线上,因为从用户体验来说,或者说从效率的角度来讲,线上化是最便捷和高效的。
近两年,因为国际形势的变化,国内外对于中国企业出海的数据跨境监管变得特别的严。比如说前一阵子澳大利亚媒体曝出来对Tik Tok的数据跨境监管,还有之前日本的LINE公司,发现有中国员工访问到存储在日本的LINE用户信息,媒体曝出来之后,LINE的高层是直接出面道歉的,后来公司做了整改,就是现在中国是不能访问日本数据的。
这是数据跨境相关的一些监管事件,希望中国企业能够多重视这方面,该有的流程还是要有。从技术的角度出发,我们是能够去建立一个数据跨境监控机制的,比如大企业可以对所有的表、数据服务或者是copy的流转等数据记录下来,形成一个数据跨境地图的项目,监管或对外部展示数据跨境的监控。
售前电话
售后电话
在线咨询
联系我们