嚴控數(shù)據(jù)安全與合規(guī)，為企業(yè)出海保駕護航！

近幾年，盡管海外市場由于地緣政治、貿(mào)易保護等的原因趨于相對不穩(wěn)定的狀態(tài)，但國內(nèi)面臨人口紅利見頂、市場資源飽和、內(nèi)卷嚴重等現(xiàn)實問題，不管是出于盈利還是戰(zhàn)略布局的考慮，出海對于國內(nèi)有一定規(guī)模的企業(yè)來說幾乎是必然的選擇，不出海就出局，幾乎成了大家的共識。據(jù)艾媒咨詢2023年發(fā)布的《2023-2024年中國企業(yè)出海發(fā)展研究白皮書》數(shù)據(jù)，大型企業(yè)中有29.5%已經(jīng)實施了出海計劃，而中小微企業(yè)的比例分別為39.4%、17.5%和13.6%。

企業(yè)在出海過程中，除了自身的產(chǎn)品和服務要“能打”之外，也要將數(shù)據(jù)的安全合規(guī)問題納入考慮。

全球數(shù)據(jù)泄露事件數(shù)見不鮮

近些年，全球數(shù)據(jù)安全事件頻發(fā)，據(jù)統(tǒng)計其中超過52%的數(shù)據(jù)泄露事件涉及客戶個人身份信息（PII），使其成為最常被泄露的數(shù)據(jù)類型。2023年，每條泄露的數(shù)據(jù)平均損失165美元，而全球企業(yè)數(shù)據(jù)泄露事件的平均損失為445萬美元，包括檢測、業(yè)務損失、事后響應和通知等費用。這種數(shù)據(jù)安全問題除了給終端用戶和企業(yè)帶來財產(chǎn)損失和不必要的困擾外，也使用戶對企業(yè)的印象大打折扣，嚴重影響企業(yè)的發(fā)展。

今年6月，美國云數(shù)據(jù)公司Snowflake遭到大規(guī)模攻擊，導致大量數(shù)據(jù)被盜，黑客利用信息竊取惡意軟件，對未啟用多因素認證（MFA）的Snowflake賬戶和未對不受信任位置訪問設置限制的Snowflake客戶實施大規(guī)模攻擊。已知有100多家客戶可能受到影響，其中包括Ticketmaster、桑坦德銀行、Pure Storage、Advance Auto Parts以及Cylance這樣的網(wǎng)絡安全巨頭。

再早一些的3月，美國電話電報公司表示，7000多萬客戶的個人數(shù)據(jù)被泄露，被泄露的數(shù)據(jù)包括姓名、家庭住址、電話號碼、社會安全號碼等個人信息。影響了約760萬現(xiàn)賬戶持有人和約6540萬前賬戶持有人。

嚴控數(shù)據(jù)安全，出海企業(yè)小心“踩雷”

面對頻發(fā)的數(shù)據(jù)安全問題，全球各國政府普遍加強了在數(shù)據(jù)安全和隱私合規(guī)領域的監(jiān)管和執(zhí)法力度，這無疑給企業(yè)出海帶來了更多的挑戰(zhàn)。企業(yè)出海要了解不同地區(qū)的數(shù)據(jù)保護法律法規(guī)，并嚴格遵守，以避免產(chǎn)生不必要的麻煩，影響企業(yè)業(yè)務在當?shù)氐捻樌_展。

以屬于新興市場的東南亞地區(qū)為例，《個人數(shù)據(jù)保護法》（Personal Data Protection Act，簡稱PDPA）是新加坡主要的數(shù)據(jù)保護立法之一，PDPA規(guī)定了個人數(shù)據(jù)的收集、使用和披露的規(guī)則，規(guī)定了組織在處理個人數(shù)據(jù)時必須遵守的關鍵原則，包括數(shù)據(jù)的最小化收集、僅限特定目的使用、數(shù)據(jù)的準確性和保護等。

在2020年的首次修訂中，引入了強制性的數(shù)據(jù)泄露通知要求。如果數(shù)據(jù)泄露可能導致對受影響個人的重大傷害，或者泄露規(guī)模較大，組織必須通知受影響的個人和個人數(shù)據(jù)保護委員會（PDPC）。在數(shù)據(jù)跨境傳輸方面，組織不得將個人數(shù)據(jù)轉移到新加坡境外，除非符合PDPA規(guī)定的要求。

東南亞的其他國家，如馬來西亞也有自己的PDPA，與新家坡的PDPA在監(jiān)管機構、數(shù)據(jù)主體權利、數(shù)據(jù)跨境傳輸規(guī)則以及數(shù)據(jù)處理角色等方面存在一些差異。出海企業(yè)在遵守不同國家的規(guī)定時要特別注意這些差異，避免因“小”失大。

再來看屬于成熟市場的歐洲，歐盟地區(qū)主要遵循2018年發(fā)布的《通用數(shù)據(jù)保護條例》（GDPR），這是歐盟有史以來最為嚴格的數(shù)據(jù)保護法規(guī)，其規(guī)定的最高罰款額度高達近100萬億人民幣。

值得注意的是，歐洲主要國家之一的英國自2020年1月31日起正式脫歐以后則不再適用歐盟的GDPR，而改為遵循《英國通用數(shù)據(jù)保護條例》（UK General Data Protection Regulation，“英國GDPR”），2023年3月，英國議會發(fā)布《數(shù)據(jù)保護和數(shù)字信息2號法案》（Data Protection and Digital Information Bill（No.2），“2號法案”），旨在修改英國GDPR，預計通過后英國GDPR將與歐盟GDPR存在較大的差異。除此之外，英國另一項數(shù)據(jù)保護領域的關鍵立法是《2018數(shù)據(jù)保護法》（Data Protection Act 2018），是對英國GDPR的補充，包含了對英國GDPR所規(guī)定的數(shù)據(jù)保護制度的一定限制。

在歐美這類成熟市場，對數(shù)據(jù)安全合規(guī)的各方面要求更為嚴苛，出海企業(yè)得“吃透”這些大大小小的規(guī)則，才能獲得與當?shù)仄髽I(yè)一競高下的機會，以自身實力贏得目標用戶的青睞。

加強數(shù)據(jù)安全合規(guī)管理，規(guī)避潛在風險

面對如今不斷變化的海外市場，數(shù)據(jù)安全是企業(yè)出海活動得以順利展開的先決條件。企業(yè)在海外進行商業(yè)活動時需要時刻將數(shù)據(jù)安全問題放在重中之重，一次不安全事件的發(fā)生不僅會對企業(yè)的名譽帶來不良影響，還會造成實際的損失，影響企業(yè)的海外擴張。