出海企业隐私保护、数据跨境合规实践分享(2).pdf

1、0Copyright 2023 北京火山引擎科技有限公司 All rights reserved.WWW.VOLCENGINE.COM出海企业隐私保护、数据跨境合规实践分享火山引擎 李一浩1CONTENTSCONTENTS目录出海企业面临的数据合规困境管理控制 or 技术控制 如何自证清白？建立“管理流程+技术围栏”的数据海关基于两个案例来做一个整体回顾2全球数据监管和跨境合规要求愈发严格尊重个人数据，构建长远数据保护标准和制度，防止、防治数据外泄和滥用；隐私立法一般都以“人”为主体；强调“数据主权”的概念。隐私合规组织；隐私合规管理流程，制度和体系；DPIA；持续改进计划。隐私数据发现和管控

2、技术；隐私合规管理平台。法规的主要目的管理和流程要求技术管控能力要求3以FISMA为例，隐私保护和数据主权/国家安全同样密不可分外国投资风险评估现代化法案（FIRRMA）美国对可能涉及个人数据跨境传输个人数据的投资审查范围：外国个体对“持有或收集可能以危害国家安全的方式来利用的美国公民敏感个人数据”的美国商业实体的投资。财务数据，尤其是可能揭示财务困境的数据；征信报告数据；特定类型的保险数据；与身体、情绪或心理健康状况有关的数据；私人邮件和通讯内容；地理位置数据，包括收集自基站、无线接入和便携设备的数据；危害国家方式FIRRMA实施细则明确了CFIUS审查采取“基于风险的”审查方式，具体考虑以

3、下三个维度：危害美国国家安全的外国个体的意图和能力；美国商业实体导致的美国国家安全的脆弱性；以及，上述脆弱性可能对美国国家安全造成的后果。根据CFIUS向国会提交的执法报告，可以非常有限地观察执法关注的国家安全风险国家安全和个人数据保护法（草案）特别科技企业不得将从美国公民或居民处收集的任何数据或破译该数据的信息，例如，加密密钥，存储于美国外的服务器上，也不得存储于与美国存在执法机构数据共享协议的国家的服务器上。其他科技企业不得将从美国公民或居民处收集的任何数据或破译该数据的信息，例如，加密密钥，存储位于中国或俄罗斯的服务器上。4隐私保护、数据跨境法规的典型特征和趋势大多具有“长臂管辖”特征强

4、调监管沟通以及当地的数据行为报备企业应建立安全风险评估机制，监控、预警、通知、上报、应急响应等网络防御强调个人信息保护，针对性的数据跨境和数据本地化要求明文条款规定违法行为的处罚和罚款123456企业应形成长效合规体系，适应业务变化以实现持续合规以数据主权、网络安全为驱动的数据跨境政策，在跨境管理上会“趋向于严苛”；出海业务不仅要求数据本地存储，也对向境外提供采取了严格限制，需要“懂业务”才能做好管控；以保护公民个人信息为目标的政策，会指导多元化的合法转移渠道，重点还是“正当、合法、必要”的原则如何落实。5出海企业面临的数据跨境合规困境 知识产权诉讼持续困扰企业2 数据贸易日趋严格制约了中国企

5、业的出海节奏1 自身的数据管理水平尚存在被动和零散的问题3 对海外国家的数据跨境合规理解不够深刻4 难以找到数据合规与业务的平衡点5 缺少数据出海护航的“向导”6合规部分观点面临的挑战审慎出海业务决策吸取前车之鉴，中国企业应对当地法规环境进行了解，特别是与数据处理相关的业务，应在出海产品的功能设计、法律声明、宣传手段方面进行审慎决策尊重当地市场环境及监管要求中国企业在应对境外诉讼纠纷上可能存在经验不足，但这是国际化发展路上的“必修课”，应尽快学习当地市场游戏规则如获得许可等，避免纠纷的产生将不违规作为经营的底线各国的法规要求、执行力度、行政文化等具有差异，应综合当地执法案例等信息，对出海及跨境

6、数据进行评估，剔除可能导致违规的功能项，避免跨境数据风险系统化推行数据合规能力建设寻求专业团队的支持国际咨询公司、律所及跨国IT服务企业拥有更多当地资源，可为出海企业提供合规保障法规对数据跨境的要求，与自身数据安全、数据合规能力融合，建设数据合规体系并弥补管理短板，始终是企业合规的基石6CONTENTSCONTENTS目录出海企业面临的数据跨境合规困境管理控制 or 技术控制 如何自证清白？建立“管理流程+技术围栏”的数据海关基于两个案例来做一个整体回顾7识别要求：明确监管要求和合规红线，永远是合规的第一步法律法规治理框架合规智库中国网络安全法数据安全法个人信息保护法个人信息安全规范数据出境安