前一篇《助中企出海 容诚在“路”上 | 聚焦“一带一路”之IT篇(一)中企出海 数智为锚》中,我们探讨了中国企业在“一带一路”倡议下出海的数字化转型和智能化升级道路。 

本篇将进一步探讨在中国企业出海的背景之下需要注意的数据合规和隐私保护相关问题,重点分析在数据合规安全和隐私保护方面存在着的诸多潜在风险。

全球化与数字经济深度交融,数据跨境流动已然成为全球经济活动中不可或缺的关键环节。中国企业在跨境经营过程中需广泛收集并处理大量数据信息,这些信息不仅限于企业运营的基本业务数据,还包括涉及商业秘密的供应链信息、客户数据、财务报告及市场策略等敏感数据。依法合规地管理和保护这些数据信息,是构建全球合作伙伴信任的基石、提升全球市场竞争力的核心要素、维护国际品牌形象的关键举措。

 

近年来,各国针对数据安全和隐私保护相继出台了对应的法规,例如:欧洲的《通用数据保护条例》(GDPR)、我国的《数据安全法》和《个人信息保护法》、美国《联邦贸易委员会》(FTC)法案、墨西哥《保护私人持有的个人数据的联邦法》、日本《个人信息保护法案》等。根据联合国贸易和发展会议(United Nations Conference on Trade and Development,UNCTAD)统计,到2023年,在全球230多个国家(地区)中,已经有161个国家(地区)出台了数据隐私保护法,其中大多数制定了跨境数据流动法律或政策。

 

国际化的道路并非一帆风顺,中国企业在这一过程中主要面临的数据安全和隐私保护挑战可分政策层、数据管理层、技术与操作层逐级探讨。

 

 

政策层面

 

中国出海企业已经进入双向监管合规时代,一方面国内企业要遵守《网络安全法》《数据安全法》《个人信息保护法》等中国法律法规,另一方面还要遵从目标国家的法律法规、行业监管要求和安全标准。

 

目前全球尚未形成统一的数据跨境治理框架,企业数据跨境规则研究和遵从难度显著增加,各国对于数据出境的要求可分为限制性规范推动性规范两类。

 

 

推动性规范

 

以推动数据安全有序地跨境流动、促进数据红利最大化发展为主要策略,如经济合作与发展组织(OECD)、亚洲太平洋经济合作组织(APEC)等国际组织为推动数据在国家/地区间有序流动、减少数据跨境流动摩擦,确立了若干数据跨境流动的原则,建立了若干具有代表性的框架。

 

限制性规范

 

主要涉及的数据类型一般为个人信息、重要数据或特殊行业的敏感数据,以限制数据出境,维护数据安全和数据主权为主要策略,如印度、俄罗斯在制定了数据本地化的规定,要求特定类型的数据必须在本国储存和处理;美国2024 年 2 月 28 日发布的《防止受关注国家获取美国人士大量敏感个人数据和美国政府相关数据的行政命令》,将中国、俄罗斯、朝鲜、古巴、委内瑞拉和伊朗等国列为受关注国家,限制敏感个人数据与美国政府相关数据向这些国家出境。

 

我国的《个人信息保护法》自2021年11月1日正式实施,在规则的严厉程度上基本对标欧盟GDPR,是中国为了保护个人信息权益、规范个人信息处理活动而制定的法律。法规要求个人信息跨境传输需要满足以下条件之一:

 

  • 通过国家网信部门组织的安全评估;

  • 按照国家网信部门制定的标准合同进行;

  • 取得个人单独同意;

  • 法律、行政法规或者国家网信部门规定的其他条件。

 

中国企业在国际化过程中必须深入理解并遵守各国的法规,严格实施合规治理及管控运行,最大限度规避需要违规风险,避免因数据违规而面临法律风险或经济处罚。GDPR号称“史上最严个人数据保护立法”,2021年7月,某中国企业因未能够根据欧盟《通用数据保护条例》第12条规定,就收集、处理和使用个人数据以“简单、透明且易懂的方式,通过清楚明确的语言,采取适当的措施提供和传达信息”,被罚款75万欧元。这是GDPR实施三年以来,中国企业首次因违反GDPR而受到处罚。

 

数据管理层

 

数据本地化风险

 

基于国家安全、经济利益或数据主权等考量,许多国家地区制定了数据本地化法规,要求特定类型的数据必须存储在本国境内,一定程度上限制了企业数据的自由流动。中国企业在海外面临着数据存储和管理的严格限制,需建立本地数据中心或与当地数据存储服务提供商合作,同时要应对数据隐私和安全方面的高标准监管,这在一定程度上增加了企业的运营成本和合规风险。

 

例如,印度政府要求包括美国 Visa 和 Mastercard 等外企将用户支付数据储存在印度境内,并且对于一些关键的个人数据也即将实施绝对的数据本地化政策,严禁数据;欧盟的《通用数据保护条例》(GDPR)虽然不是严格意义上的数据本地化策略,但对数据的跨境转移进行了严格限制,要求只有在目标地区具备充分的数据保护水平时,才允许数据的跨境传输。

 

数据泄露风险

 

海外网络环境复杂,黑客攻击手段层出不穷,如利用恶意软件、病毒、木马等入侵企业系统,窃取数据。他们可能会针对企业的数据库、服务器等关键信息基础设施发动攻击,一旦成功入侵,便能够获取大量敏感数据。

 

2024年3月,某海外中资芯片公司遭到黑客入侵,导致企业的客户数据被盗窃,其中包括关键供应商和客户的相关资料,还有大量的商业机密和芯片设计等敏感材料也被窃取。造成企业经济利益和声誉受损、面临法律纠纷以及扰乱企业正常运营秩序等后果。

 

技术与操作层

 

数据标准化风险

 

不同国家的企业使用的软件和系统不同,对数据格式有不同要求。例如,国外企业的财务系统可能要求数据以特定的电子表格格式(如 CSV 或 XLSX)导入,且对数据列的顺序、数据类型(如日期格式、数字格式)等有严格规定。中国企业如果使用的是国内特有的财务软件,数据格式可能与之不兼容,导致在数据共享或集成时无法顺利将数据导入对方系统。

 

数据库管理系统方面,一些国外企业可能广泛使用 Oracle 或 SQL Server 等数据库,而中国企业可能部分使用国产数据库。各个行业甚至同一行业的不同企业之间,在数据的分类、编码、命名等方面也可能存在不同的标准。例如,在制造业中,对于产品零部件的编号和分类,不同企业可能有各自的一套体系。此外它们的数据存储结构和数据格式(如数据表的关联方式、索引构建等)存在差异。

 

中国企业出海时,如果不能了解并适应目标市场的使用系统情况和行业数据标准,就会出现系统无法兼容、数据无法匹配的问题,影响企业与当地合作伙伴、客户之间的业务协同。

 

数据传输与存储风险

 

在数据跨境场景下,数据传输与存储面临诸多挑战。网络基础设施的差异以及长距离传输可能导致数据传输中断、延迟或数据丢失,在部分网络欠发达地区,传输一份普通的商业计划书,可能因为带宽限制和频繁掉线,花费数倍于国内的时间,极大地影响了工作效率,使得跨国项目的推进如老牛拉破车般迟缓,错过市场先机。

 

在存储方面,不同国家对数据存储的地理位置、存储介质安全性要求各不相同。其都会大大增加企业合规成本、形成跨境阻碍。另外,存储设备在海外可能会出现硬件故障、软件故障或自然灾害等问题,导致数据丢失或损坏。

 

全球化进程中,中国企业出海时的数据合规与隐私保护至关重要。企业面临着政策层面、数据管理层、技术操作层等多方面风险和挑战,容诚拥有丰富的经验与专业的团队,为企业提供全方位的数据合规解决方案。

 

在下一篇文章《助中企出海 容诚在“路上”  | 聚焦“一带一路”之IT篇(三):数据出境 合规为基(下)》中,我们将深入探讨中国企业出海的数据合规应对之策,详细剖析企业如何在复杂的国际环境中,从数据梳理、合规核查与整改、信息及网络安全三个层面构建坚实的数据合规体系,应对数据跨境风险挑战,帮助企业在海外市场稳健发展,实现国际化战略目标。