摘要:导读在当今全球化的浪潮中,数据已经成为企业最重要的资产之一。随着跨国企业不断拓展国际市场,数据出海成为了一个不可避免的趋势。然而,数据出海并非一帆风顺,它既带来了巨大的机遇,也伴随着一系列的挑战。本文将深入探讨数据出海的关键问题,帮助企业把握机遇,应对挑战。
导读在当今全球化的浪潮中,数据已经成为企业最重要的资产之一。随着跨国企业不断拓展国际市场,数据出海成为了一个不可避免的趋势。然而,数据出海并非一帆风顺,它既带来了巨大的机遇,也伴随着一系列的挑战。本文将深入探讨数据出海的关键问题,帮助企业把握机遇,应对挑战。
今天的介绍会围绕下面四点展开:
1. 海外数据合规发展态势
2. 企业出海数据合规挑战与应对
3. 阿里云出海数据解决方案
4. Q&A
分享嘉宾|刘偲超 阿里云 出海安全&数据合规负责人
编辑整理|李笑宇
内容校对|李瑶
出品社区|DataFun
01
海外数据合规发展态势
1. 立法方面
从立法方面讲,为了保护个人数据,欧盟在 2018 年 5 月 25 日正式实施了《通用数据保护条例》(General Data Protection Regulation,简称 GDPR),GRPR 强调个人数据主权,数据最小化原则和数据保护设计原则。随着 GDPR 的颁布,目前全球 190 多个国家当中,已经有 137 个国家制定了相关的隐私数据保护法案,到 2024 年底,全球近 79% 的人口将受到现代隐私法规的保护。同时,国际社会也在努力推动数据保护的国际合作和跨境数据流动标准的制定。
2. 执法方面
从执法方面讲,GDPR 的颁布既是机遇也是挑战。各国监管机构对数据保护的执法力度不断加大,对违规企业的处罚更加严厉。目前已有多起因违反 GDPR 而受到处罚的案例。这些案例为企业提供了重要的教训,提醒他们在处理个人数据时必须严格遵守数据保护法规,否则将面临高额罚款和声誉损失。
3. 企业洞察方面
从企业洞察角度讲,随着网络攻击手段的日益复杂和多样化,网络安全威胁不断加剧,91% 的企业称至少遭遇过一次网络安全或数据泄露事件,网络安全已经成为董事会的常规议题。中国政府高度重视网络安全,已经将网络安全纳入到国家战略体系,通过每年大规模组织企业参与护网行动,识别和修复网络安全漏洞,增强网络安全防护能力,促进网络安全生态建设。
总之,海外数据合规的发展态势表明,数据保护已经成为全球性的议题,立法和执法都在不断加强。企业需要密切关注各国数据保护法律法规的变化,确保自身的数据处理活动符合国际标准和当地法律要求,以规避潜在的法律风险和商业损失。
02
企业出海数据合规挑战与应对
1. 海外数据的合规要素和监管要点
2. 数据合规处罚统计
以 GDPR 的处罚数据为例,GDPR 作为数据保护法的标杆,一直来以执法严、罚金高著称,对于我们出海企业来说具有很大的参考意义。首先从 GDPR 整体的违规处罚数量、违规类型以及罚款总额的分析来看,从 18 年 GDPR 正式实施以来,缺乏数据处理合法性、未遵循数据处理原则、缺乏安全技术与组织措施、告知义务履行不足这几个违规原因是处罚频率最高以及处罚金额最高的。通过监管的处罚数据,可以清晰的看到数据合规监督执法时的关注重点在哪里,同时对于企业来说,就需去回看自身的产品、服务在海外开展数据处理活动过程中,是否充分考虑这些原因,是否按照最小化原则仅收集必要个人数据,是否采取了适当的安全技术手段来保护个人数据。
3. 中国企业出海合规挑战
合规要求区域化:法规政策存在地区差异,越发达地区对合规监管的要求越严格;违规处罚成本高昂。监管要求多样化:为了规范日益多样化与复杂化产品服务,合规监管立法时刻处于动态发展过程中。并且存在行业化差异。合规权责不清晰:企业各部门在数据合规工作中应承担什么样的职责缺乏明确定位。合规管控缺失:拓展海外业务过程中缺乏对海外合规要求的解读,尚未落实必要的合规监控。合规要求区域化:海外业务推进过程中缺乏专业人才来识别、处置潜在的合规风险。03
阿里云出海数据解决方案
1. 阿里云出海经验分享
阿里云基于全球的基础设施以及运营独立性的布局,在 15 个法域,29 个区域以及 87 个可用区建立了数据中心,涵盖了中东、东南亚,欧洲、美国等不同区域,用户可以根据自身的业务需要选择不同的数据中心进行服务部署。同时,阿里云优化了网络架构,提高了数据传输速度和稳定性,用户不用担心异地远程部署的延迟问题。
回溯阿里云的出海合规历程,整体上分为三个阶段:
合规水位符合国际水准:针对阿里云全球开服地区的相关法律法规及合规标准要求,参考业内最佳实践,积极地将海外合规水位拉到国际领先水准。获取外部合规认证:通过第三方认证机构对阿里云合规措施进行审查,验证合规体系符合行业标准。合规沉淀赋能云上用户:总结沉淀阿里云合规措施及安全技术能力,赋能客户。2. 组织职能和数据合规
从组织职能和业务运营角度筑起第一道防线:前端业务要充分理解数据合规要求,形成相应的数据安全合规意识,在开展业务过程中严格遵循企业数据合规要求。从内部监督和督导角度筑起第二道防线:建立内部监督机制,对合规政策和流程的执行情况进行定期审查;定期向管理层和董事会报告合规状况,包括合规风险和改进措施;调查和处理违规事件,确保违规者受到相应惩罚;基于监督结果,不断优化合规政策和流程。从内部审计角度筑起第三道防线:识别和评估合规风险,并提出相应的审计建议;制定审计计划,包括审计范围、方法和时间表;提交审计报告,包括发现的问题、建议的改进措施和实施情况。通过独立的审计活动,对公司的合规管理体系进行评价和改进。3. 安全架构和数据合规
从阿里云的全面安全架构来看,其实云从来都不是一个独自运行的黑盒。虽然说很多时候用户认为是看不到阿里云底层安全和合规的运营的部分。但是通过拆解可以看到,在云平台层面通过物理安全、硬件安全、虚拟化安全、云产品安全给租户全面的保障。通过自研的虚拟化技术实现多租户隔离。同时也通过云平台统一管理及严格的身份访问控制,持续的安全监控和运营,实现全面的云平台安全保障。在安全责任共担模型下,企业可以更加广泛更加便捷的依赖阿里云平台安全能力,无需在底层基础设施的安全运维上投入大量的人力和资源,可以将其业务资源集中聚焦在的业务合规及安全策略上。
用户账户安全:包括身份验证,访问授权,账号管理,操作审计,应用管理等措施。用户业务安全:底层包括主机安全,容器安全,网络安全等措施;中间层包括数据保护,全链路加密,秘钥管理,应用保护,应用配置安全,应用环境安全等措施;顶层包括业务风控,内容检测,身份验证等措施。用户安全监控和运营:包括日志审计,威胁检测和响应,配置检查,安全测试等措施。云平台安全:包括物理安全, 硬件安全,虚拟化安全,云产品安全,云平台安全监控和运营等措施。4. 合规运营
在数据合规和隐私保护领域,阿里云已获取诸多权威资质。通过第三方的认证和审计,让用户看到阿里云的安全合规机制是如何工作的,如何符合这些国际的标准。阿里云已经将自身在平台安全攻防方面多年一些经验和实践,融合到了平台保护层面。然后将自身多年全球合规的经验以及对标区域行业的合规标准,融合在了内控和运营层面。以此来不断提升内部合规体系。阿里云在每一个国家和区域除了在满足这个传统的最基础牌照法律的要求之上,还会对标这个区域的安全合规标准。以欧盟为例,在阿里云拓展欧洲市场的过程中,也会对标当地的安全合规标准,并引入专业第三方机构对阿里云安全合规方面进行独立验证审查,阿里云是 EU CoC 的创始成员之一,欧盟云行为准则其实这个是欧盟 GDPR 出台以后,第一个云行业的安全标准。阿里云当时也是从起草阶一直参与在这个最佳实践里面,该准则也是获得欧盟委员会的认可,所以在阿里云通过欧盟云行为准则认证之日起,也意味着阿里云符合 GDPR 相关合规要求。
在通用合规领域,包括 ISO 9001 质量管理认证,ISO 27701 隐私信息管理认证,ISO 29151 个人身份信息保护管理等。在行业合规领域,阿里云获得了金融行业的 HKMA, SFC, HKIA 认证,新加坡 OSPAR 认证,汽车行业的欧洲汽车行业信息安全标准 TISAX 认证,医疗制药行业的 GxP 认证等。2023 年阿里云荣获英国标准协会(BSI)颁发的首届数字信任奖项最高奖项——钛金奖,2022 年阿里云成为全球首家获得网络信任标志(Cyber Trust Mark)认证的厂商。5. 阿里云数据安全实践架构
阿里云除了在持续优化自身的合规体系运营之外,也努力积累沉淀自身在平台安全及数据合规方面的经验,来为我们的客户提供安全合规的云服务解决方案,赋能我们的客户合规出海:
数据出境评估:各个国家地区对数据出入境的要求各不相同,阿里云合规咨询团队提供数据出境评估,协助客户评估业务出海中,数据是否存在跨境合规风险。数据存储与传输加密:阿里云利用云原生能力,在常规的秘钥保护之外,提供独享加密实例保证数据的安全。内容安全审核:阿里云支持便捷接入38种语言,对于涉黄涉爆内容可以准确识别。海外抗 DDoS 能力:阿里云提供延时更低的高防 EIP 接入方式,有效应对海外大流量 DDoS 攻击、CC 攻击。Web 攻击防护:阿里云有着 10 年攻防经验,针对 OWASP 常见 web 攻击,阿里云实现了防爬虫和多区域统一管控,可以有效识别常见攻击,并结合大数据分析和情报防御 0day 攻击。6. 阿里云数据库分类分级和敏感数据保护
阿里云提供的数据管理产品 DMS 为用户提供一站式数据库安全能力,包含敏感数据发现、分类分级、访问控制、动静脱敏等技术,基于流程审批的方式,全方位精细化管理 DMS 全域数据,管理的粒度可以从实例、数据库、表一直细化到字段以及数据行,可按需分配查询、导出、变更等不同操作权限。系统内置了个人信息保护法、数据安全法、网络安全法等不同的行业法案,以及用户的自定义规则,可以实现数据的自动分类分级。只要开启敏感数据保护,指定脱敏加密算法,系统就会自动创建扫描任务,对数据库元数据进行扫描,识别、脱敏和管理,实现敏感数据保护。
04
Q&A
Q:我们公司主要做海外业务,也有国内业务,目前做法是将海外数据跟国内数据完全隔离开,除此之外还有什么办法?
A:首先,海外数据和国内数据完全隔离是非常保险的,如果希望打通数据壁垒,实现数据流通,就要首先考虑您具体出海的国家的法律要求,比如俄罗斯,对于数据出境有非常严格的限制,包括了白名单国家、监管审批等工作,同时也需要满足数据本地化要求。我们以欧盟为例,在欧盟采集的个人数据想要传回国内进行分析,需要具备数据跨境合法性基础,较为通用的一种跨境工具是签署标准合同条款,此外,公司也需要落实必要的组织与技术措施来保障数据安全,比如建立完善的数据合规制度体系、数据主体权利响应流程、落实安全的加密措施等。
以上就是本次分享的内容,谢谢大家。
来源:DataFunTalk