合规起舞、安全启航，企业出海如何保障自身“生命线”

如何在不同地域、不同文化、不同制度下做到安全合规？这个问题在 3 月 29 日“大咖说出海”第二期中得到了解答。

随着全球经济步入数字经济发展时代，数据作为关键生产要素和重要的战略资产，备受各国政府的关注和重视。但与此同时，海量的数据催生了许多数据安全管理问题，消费者的数据安全和用户的隐私保护工作愈发重要。放眼全球，各国也都在持续优化数据安全政策环境。这无疑给中国企业的出海征程带来了挑战和考验。安全合规，已经成为当下中国企业出海的必修课。

如何在不同地域、不同文化、不同制度下做到安全合规？这个问题在 3 月 29 日“大咖说出海”第二期中得到了解答。第二期直播以《安全合规不触礁，企业出海如何才能“不踩坑”？》为主题，探讨复杂多变的国际形势背景下，出海企业如何应对不同国家、地区的安全合规问题，守住这一条生存发展的“生命线”。

本期直播由InfoQ 主编王一鹏担任主持人，参与嘉宾分别为安永华北区科技咨询主管合伙人兰瑜、华为云安全专家赵洪日和杭州云片科技网络有限公司联合创始人吴佳钊。

直播内容精编整理如下，供读者品鉴。

三大维度应对安全合规

随着数字经济的高速发展，各国对数据安全问题的重视程度不断提高，安全合规成为企业出海必须严肃认真对待的话题。针对这一课题，安永华北区科技咨询主管合伙人兰瑜做了《安全合规，企业出海的生命线》的主题分享。

国家《“十四五”商务发展规划》明确鼓励中国企业走出去，参与全球产业链。但是，“走出去”过程中，企业如何应对国内外的安全合规要求？兰瑜总结了三大维度：看外面，问自己，练内功。

1. 看外面。如今，中国出海企业已经进入双向监管合规时代，一方面国内企业要遵守“网络安全法”“数据安全法”“个人信息保护法”等中国法律法规，另一方面还要遵从目标国家的法律法规、行业监管要求和安全标准。

2. 问自己。企业在提升自身安全合规能力的过程中，需要从三个层面审视自身。首先要确定企业的出海经营模式，确定本地化程度等；其次是考察自身是否做好了合规安全的准备工作；第三是针对目标市场的文化和社会差异采取应对措施，从税务财务等方面进行调整来预防风险。

3. 练内功。练内功是企业提升安全合规水平的最重要层面，企业需要在财务、环保、劳务、税务、数据、知识产权、市场竞争、第三方合作等方面都做好合规建设，从管理、技术、人员、流程等角度加强能力培养。

企业出海如何“练好内功”？兰瑜指出：

l 财务合规。企业在财务合规方面要重点关注会计政策统一性、会计科目梳理匹配和财务及管理报告三个要素，例如企业应该考虑境外财税披露要求、海外单体管理报表要求等等。

l 税务合规。企业进入目标市场时应考虑利润分布、税务申报、税务会计、国际贸易、人力成本等因素；未来需要退出目标市场时，还要考虑退出方式和税务应对策略。

l 数据合规。数据合规是今天出海企业需要重点关注的问题。企业考察数据合规水平时需要同时考虑国内外的监管合规要求。首先，企业如果在境内收集个人信息和重要数据应在境内存储，数据出境要根据网络数据安全管理条例进行安全评估。数据出境要有正当理由，非必要不出境。出境过程中还要考虑数据跨境后可能存在的泄露篡改等风险，明确跨境数据的目的、范围和方式，确保安全保护责任落实到位。

企业在国外运营时，也要针对国外要求做好数据安全合规保障。目前全球有诸多海外国家已经形成了数据安全与合规法案，另有 10%的国家已经形成了立法草案。这些合规要求一般分为数据主权和网络安全为驱动力的监管政策，与保护公民隐私为目标的监管政策两大类。相关政策往往有非常复杂的条款、严格的执行标准和严厉的处罚规则，对很多中小企业很不友好。

为此，出海企业首先应该针对目标市场的环境与案例来设计出海产品，在产品设计之初就充分考虑当地法律要求；其次，企业应该尽快了解目标国家的合规底线，系统化推进数据合规能力建设；最后，中小企业可以寻找国际咨询公司，或者华为这样有着丰富出海经验的企业来获取相应的支持。

分享最后，兰瑜总结道：

出海企业应该将安全合规作为最高优先级事项来对待，才能在面临上述挑战的过程中有效保护自身的生命线。

海外市场环境复杂，科技企业出海面临哪些安全合规挑战？

2018 年欧盟实施《GDPR》后，个人隐私保护引起了各国政府和民众的高度重视。世界范围内，众多国家都在通过颁布政策法规、加强执法监督并提升数据安全治理能力，来应对日益严峻的数据安全威胁。

在日趋复杂的海外市场环境中，中国科技企业出海面临着哪些安全合规挑战？

过去多年，安永帮助很多不同类型的互联网企业拓展海外市场，积累了丰富的实践经验。基于这些经历，兰瑜总结出科技企业出海在安全合规方面面临的四大挑战：

1. 法律挑战。科技企业需要考虑如何合法合规地实现数据跨境，包括国内数据出境、国外数据入境与第三方数据过境等需求，避免违规违法造成的严重后果。

2. 合规挑战。出海企业需要满足国际上各类安全框架和标准要求，例如移动应用就需要满足苹果和谷歌应用商店的隐私保护等条款要求。

3. 数据场景复杂性挑战。很多企业需要面临众多类型的数据场景，很难全面掌握数据的位置、应用场景等信息，从而导致隐私合规风险不可控的问题。

4. 第三方合作伙伴挑战。出海企业往往会选择海外服务提供商来展开合作，如果对海外供应商的尽调或风险评估能力不足，就会产生很大的第三方风险隐患。

针对这个问题，有多年云安全从业经验的华为云安全专家赵洪日指出三点：

1. 全球各国和地区的合规要求往往存在很大差异。例如欧盟《GDPR》要求网站 cookie 默认不存储，需要用户手动同意；但美国等国家的要求则是默认存储，需要用户手动拒绝。这样的策略差异就给出海企业带来了很大挑战。

2. 企业自身安全体系建设不够完善，很难满足合规要求。建设安全体系往往需要投入大量资源，会影响企业海外创收的步伐，因此企业往往需要做出取舍，从而产生很多潜在风险。

3. 企业建设安全合规体系时，如何尽可能提升效费比，以最小成本满足各国的合规要求，对企业来说同样是很大的考验。

杭州云片网络科技有限公司是一家典型的出海企业，公司联合创始人吴佳钊从一线实践的角度对前两位嘉宾的观点做了补充。吴佳钊提到，如今，企业在收集客户数据时一定要充分告知并获取同意，一旦没有得到授权就无法展开跟踪分析，这样就会影响广告营销策略的制定和投放；其次，企业数据跨境传输时需要灵活调整、适应各国不同的监管策略，否则就可能违反国外法规要求，收到巨额罚单。如何有效应对隐私和数据安全方面的变化与风险，是出海企业必须要慎重考虑的问题。

全球隐私立法和监管力度加大，企业出海如何避“坑”？

当前，全球已有超过 120 个国际和独立司法管辖区采用了全面的数据保护及隐私法律来保护个人数据。2018 年 Facebook 公司因“剑桥分析”泄露个人信息的丑闻被美国联邦贸易委员会处以 50 亿美元罚款，2019 年谷歌公司因安卓系统未向用户提供透明信息而违反《GDPR》，被欧盟处以 5000 万欧元罚款，这两个案例都为出海企业敲响了警钟。在全球隐私立法和监管力度日益加强的背景下，企业出海该如何安全启航？

对此，华为云安全专家赵洪日表示，针对这一现状，企业需要形成自己的一套方法论，建立一个可量化、可执行、可复用的隐私防控框架。他介绍了华为云的相关经验：华为云针对这一主题有一套简称“3CS”的云服务网络安全合规标准，通过一套最佳安全实践来充分保障用户隐私。华为云将全流程隐私保护作为企业最高纲领，基于上述标准结合最佳实践形成框架，来管理企业的隐私保护事务。同时，华为云也将上述框架应用到客户服务业务中，通过云安全服务系列产品来帮助客户应对出海合规挑战。他也建议，出海企业都应该设法构建类似的隐私管理方法论，从而有效避免各类相关风险。

杭州云片网络科技有限公司联合创始人吴佳钊称，企业出海前最好先寻求专业机构的帮助，提前完成合规整改，在四大方面建立合规体系：

1. 改进公司治理制度，明确对应领域的合规管理要求与管理者责任义务。

2. 了解目标国家的合规要求，在企业业务层面做好配套保障。

3. 明确受保护的企业数据对象，提升数据保护能力。

4. 针对国际安全合规要求完成一些认证，在认证过程中提升安全合规能力。

此外，企业还应考虑一些经营层面的潜在风险，例如建设支付系统风控模型来避免信用卡欺诈风险，与云通讯服务商合作保障跨境通讯线路的质量，等等。

兰瑜则从咨询机构视角出发，归纳了全球隐私监管的几大常见模式。他提到，海外隐私监管常见的模式分为单边、双边和多边模式三类。以美国为代表的是单边模式，主要以自身情况来制定相关政策；欧盟是双边模式，欧盟会与很多国家合作来形成以权力平衡为底座的双边治理机制；中国则是典型的多边模式，自去年以来，中国在数据出境方面大大加强了监管力度，执法粒度也越来越细化，合规要求更加清晰明确。

他建议，企业可以考虑四个要点来建立隐私管理方法论。首先，企业要对隐私合规风险做全面诊断摸底，充分了解风险隐患；第二，企业要尽快建立内部隐私合规体系，在事前评估、事中安全管控到事后响应阶段都要有明确可执行的策略规范；第三，企业可以获取一些正式的认证资质，或者发布隐私合规白皮书，向客户提交第三方安全报告等，证明自身的合规水平；最后，企业需要确保隐私合规方面的持续运营能力，将隐私合规能力融入业务和产品设计。

兰瑜总结道，形成程序化的隐私合规运营体系，是企业出海发展过程中的一堂必修课。

出海新难题，企业如何应对数据跨境流动与本地化存储需求并存的挑战？

如今，各国在立法明确数据本地化存储要求的同时，也对数据的跨域流动设立了极高门槛。各国的具体监管要求也有很大差异，极大增加了出海企业海外业务节点部署的难度。那么，企业应该如何应对数据跨境流动与本地化存储需求并存的全新挑战？

兰瑜认为，企业应当首先解读当地监管要求的严格程度，再明确数据本地化要求的数据范围与类型，并基于这些信息来对自身数据资产进行合规合理的分类分级，对不同的数据范围、类型的本地化要求进行有的放矢的差异化应对。企业还应该在技术、设备和人员配备等维度配合上述工作，建立应对不同国家要求的数据本地化落地方案，为业务出海保驾护航。

赵洪日对此表示，一些国家在数据本地化要求中需要使用本国专用的加解密算法，企业需要提前考虑这方面的代价。其次，企业考虑跨境数据流动时也要考虑人员流动的影响，例如用户搭乘飞机跨国旅行时，数据也可能随之出现跨境流动。最后，企业还要考虑具体的业务情况，确保在业务影响最小化的前提下完成本地化要求。

吴佳钊补充说，企业出海之前首先要准备好随时到数据所在国部署节点的能力。同时，企业要具备数据脱敏存储甚至混合云部署的能力，有效分离底层敏感数据与上层服务模块。私有数据存储模块可以部署在客户本地，通过脱敏手段与业务流程关联。这些需求都可以用云原生技术来实现，企业也可以考虑选择华为这样有丰富经验的云厂商合作，获得相应的技术保障。

通过本期直播，大家可能对出海中面临的安全合规挑战有了充分的认识和把握。只有做好安全合规，企业出海才能守护好自己的生命线。在出海过程中，安全合规是一切的基础。出海企业不仅要构建合理、完善的数据安全和隐私合规管理体系，而且要及时跟踪海外监管动态的变化，加强对外规深入研判。此外，还要妥善、审慎地进行海外业务节点的选择和部署。

此外，针对出海企业，华为云还推出了“两大出海专享礼包”，从云产品、研发支持、海外推广、生态对接维度，全面护航中国企业全球化发展：