【咨询有道】互联网公司出海,数据保护合规对策
前言
近年来,在全国数字化和智能设备的普及趋势下,我国互联网企业已逐渐走向世界。回顾历史,从最初以百度、猎豹、360为代表的工具类产品,到手机移动游戏和社交应用程序,再到迅猛增长的各类跨境电商、供应链分销商等电商企业,均已走向海外市场。从全球版图来看,印度、印尼、俄罗斯、马来西亚、越南、巴西等东南亚及中东地区,由于人口众多,潜在流量充足,移动互联网渗透率高,成为了互联网公司出海的重点市场。
而随着个人信息隐私保护成为当下全球网络发展的主议题,许多国家对数据隐私安全进行严格监管。普华永道认为,互联网企业在出海过程中,应充分识别其服务所涉及国家的法律法规要求,全面了解各国的差异化要求,从而建立有效的个人信息安全合规保障机制。
全球隐私保护现状
全球个人隐私监管愈发严格,互联网公司在海外发展业务时,势必会受到不同国家法律法规的影响。数据隐私安全监管在各国之间的差异仍十分明显,以下简单介绍几项全球重要市场针对数据隐私安全的最新法律法规,更多详细内容可参考文末完整报告。
中国:我国《个人信息保护法(草案)》于2020年10月13日正式提请十三届全国人大常委会第二十二次会议审议。在2021年1月1日起施行的《民法典》等现行法律法规的基础上,强化了对个人信息的保护,明确了个人信息保护的监管职责并设置严格的法律责任。
欧盟:2018年5月25日,《通用数据保护条例》在欧盟范围内生效。此条例被广泛认为是有史以来最严格的网络数据隐私保护法规。
美国:美国个人信息立法保护旨在强调信息的隐私性保护,采取公、私有别的分散式立法模式,形成个人信息保护的多元格局。美国除确立联邦的法律法规之外,对个人数据持积极利用态度。联邦颁布的各项法案相对而言较为宽松,而近年来,各州政府愈加重视隐私保护。
印度:新出台的《2019 年个人数据保护法案》深受欧盟《通用数据保护条例》影响,是印度首部全面系统针对个人数据保护的法规。新法案的落地将对出海互联网企业造成巨大挑战。
俄罗斯:俄罗斯随着国内网络的发展和对个人信息保护的重视,实施了一系列立法工作,以保障国民的个人信息安全。比如在2016年颁布的《信息、信息技术与信息保护法修正案》指出,俄罗斯公民有权要求搜索引擎删除有关自己的不实信息链接。
新加坡:2020年5月14日至28日,新加坡通信和信息部(MCI)与个人数据保护委员会(PDPC)联合发布了《个人数据保护法(修订)》草案。
日本:2005年4月1日正式实施的日本《个人信息保护法》,在历经2015年第一次大幅度修正后,于2020年再次进行修订。日本个人信息保护委员会(PPC)于2021年3月宣布,《个人信息保护法修正案》将于2022年4月1日起正式实施。
三项主要合规挑战
普华永道结合在出海互联网公司安全合规领域的咨询经验,归纳和总结了出海互联网公司面临的三项主要挑战:用户同意风险、数据跨境风险、数字营销风险。
挑战一:用户同意风险
“用户充分告知与授权同意”已经成为欧洲及美国、以及其他各国数据安全领域的关键议题。数据驱动型的互联网公司将是该类监管的重点对象。无论企业规模大小,在使用数据前都需要得到数据主体的同意,确保数据活动的透明性,以及数据主体对其数据的控制权。
挑战二:数据跨境风险
数据跨境传输是把数据从一个法域传输到另一个法域,数据传输的流程周期一般是数据产生、数据传输、数据接收,三个环节的挑战各有不同。
数据产生环节:首要难题是本地合规限制,指当地法律对数据收集的要求,例如数据本地化存储、数据主体同意、政府申报、任命数据保护官(DPO)等。
数据传输环节:对传输目的会有较大限制,作为数据控制者或处理者的互联网企业,需要合适合理的理由,才能将数据从当地转移到另一个国家。
数据接收环节:接收国的数据保护水平也会成为限制因素,一般会要求接收国的数据保护水平要达到充分水平,至少与出口国旗鼓相当,且经过数据输出国认可。
企业进行数据出入境时,必须注重到可能存在的未知安全隐患,应按法律法规标准要求开展跨境安全风险评估与处置、监管报备、数据处理协议(DPA)签署、出入境计划与报告等材料的编制等工作。
挑战三:数字营销风险
数字营销不仅能帮助企业与客户建立有效沟通,而且还可以为企业带来更高的投资回报率和更大的市场拓展范围,因此数字营销成为企业广告策略的首选。如何针对授权用户群体开展合法、正当的数字营销,是当下众多企业面临的挑战点之一。
关键解决应对措施
据《2020全球数据合规法律观察报告1.0版本》统计,在全球所有国家和地区中,132个国家已完成了对数据和隐私保护的立法,此统计数量仍在增长中。普华永道认为,企业可以从六个方面着重考虑应对措施(见图1)。
图1:出海互联网公司安全合规的应对措施
编者注:因篇幅有限,内容有所删减,扫描文末二维码阅读完整版报告。
应对一:健全隐私保护组织机构
2020年7月,国际内部审计师协会(IIA)发布了新版“三道线模型“(Three Lines Model),通过更全面地理解风险,涵盖内控、协作、保证和问责制等因素,从而更好地反映业内对风险管理和治理原则的最新看法。新版三道线模型分别是治理机构线、管理层线和内部审计线(见图2),旨在帮助组织确定能够实现目标并促进强有力治理和风险管理的结构与流程。风险管理不只是防御,更具有保护价值。
图2:国际内部审计师协会的新版三道线模型
企业应健全个人信息保护组织,明确企业业务部门、内控部门、合规部门、信息安全部门、风险管理部门、内审部门的职责,使各部门明确各自所处的位置,健全三道线的职责。企业应任命数据保护官,保护个人信息安全,筑牢三道安全合规防线。
企业也应平衡协调三道线,创造和保护价值,即风险管控、审计检查,应更多站在“安全合规”基础上,促进“挖掘数据价值,推动企业数字化发展”。
应对二:构建数据共享合规框架
出海互联网公司应基于对国内外数据共享安全现状的分析,推进数据共享的健康发展,加强政策、法律、管理制度、标准规范和技术体系的统筹协调融合,构建符合本企业的数据共享安全框架。框架的建设可从法律法规体系、安全管理体系、安全技术体系、数据保护法律文件体系等维度进行考量。
应对三:建设用户权益保障机制
企业应充分识别各国法律法规及标准对用户权益方面的要求,包括数据主体的知情权、访问权、更正权、可携带权、被遗忘权、限制处理权、反对权以及自动化决策个人相关权利。建立健全的用户权益保障机制,明确各部门职责与义务,同时应明确用户权益响应处理相关的各项活动要求。
应对四:优化数字营销推送机制
随着互联网飞速发展,企业营销的主阵地逐步转化为数字化媒体,广告形式的多样性也逐年增加。从传统的程序化广告、网页横幅广告、动态广告,到社交媒体账号等不同形式的推送。普华永道认为,企业应顺应现有的数字营销趋势,在四个方面加速优化现有的数字营销推送机制:推送权限管理、推送时机管理、推送内容管理、推送渠道管理。
应对五:建设隐私安全合规平台
企业应建立隐私安全合规平台。平台应设立相关机制动态,关注当地政府的监管及合规要求,特别是对于出海东南亚以及中东、非洲等新兴地区的企业而言,这些地区的法律制度、法律环境和执法力度仍在完善中,因此需要及时把握政策变化的趋势及风向。平台还应设有相关监察机制,对企业内部涉及隐私合规的操作进行审核,从源头避免用户信息和公司内部信息泄露。
应对六:获取国际安全合规资质
随着经济全球化发展,合规也大步向国际化迈进,这意味着没有企业能够在合规全球化的浪潮中独善其身。不同国家、地区的合规要求差异巨大,企业国际合规的适应力和包容度决定了企业的生命力。目前已有多家出海互联网公司获取了国际通用认可的数据安全、云安全、隐私保护、信息安全等相关认证资质,以参照国际成熟标准体系,构建与运行一系列的安全合规体系,同时通过获取国际认可的安全合规认证体系,进一步提升社会公信力。
例如,2019年8月,国际标准化组织(ISO)和国际电工委员会(IEC)发布了新的隐私标准 ISO 27701,目的在于帮助组织建立符合国际隐私框架和法律基准的隐私信息管理体系(PIMS)。互联网企业需要依据国际标准ISO 27701,加强数据保护架构,增强企业在海外监管机构、海外合作伙伴、海外客户和海外雇员间的信任度,为企业赢得更多机遇。
普华永道认为,企业除了关注国际上通用的安全合规体系认证之外,还应当关注各国特有的安全合规资质,例如中国的网络安全等级保护MLPS、新加坡的多层云安全MTCS、韩国的信息安全保护管理体系KISMS认证等,以全面提升企业出海发展的安全合规能力。
小结
各国有关数据保护的法规法律内容繁多,监管审查严格。对出海企业而言,如果不符合当地的法律法规,在当地将属于违法经营,企业的经营行为不受当地法律与法规保护,并可能因违反法律法规而带来巨大损失。
普华永道拥有成熟的海外数据安全合规咨询服务方法论,已协助多家出海互联网公司建设数据安全合规体系、构建数据安全合规平台,协助企业获取了多项国际体系认证,包括ISO 27001、ISO 27701、CSA-STAR、ISO 27018等等。此外,普华永道从多维度,包括政治风险、数据合规风险、业务合规风险等方面进行风险地图建设,并结合普华永道的数据安全合规平台,辅助企业真正有效地落地健全的隐私保护体系。
请点击文末“阅读原文”或扫描以下二维码,下载完整版报告。
联系我们:
黄启佳
普华永道中国数字化与科技咨询主管合伙人
电话:+852 2810 9888
邮箱:horatio.kk.wong@hk.pwc.com
单小虎
普华永道中国通讯、媒体及科技行业管理咨询主管合伙人
电话:+86 (10) 6533 2166
邮箱:tiger.shan@strategyand.cn.pwc.com
李扬
普华永道中国网络安全合伙人
电话:+86 (10) 6533 7800
邮箱:dennis.y.li@cn.pwc.com
包红霞
普华永道中国网络安全业务总监
电话:+86 (10) 6533 7958
邮箱:alice.h.bao@cn.pwc.com
长按二维码查看更多领先管理实践
© 2021 普华永道版权所有。普华永道系指普华永道在中国的成员机构、普华永道网络和/或其一家或多家成员机构。每家成员机构均为独立的法律实体。详情请见 www.pwc.com/structure。
免责声明:本微信文章中的信息仅供一般参考之用,不可视为详尽说明,亦不构成普华永道的法律、税务或其他专业建议或服务。普华永道各成员机构不对任何主体因使用本文内容而导致的任何损失承担责任。
您可以全文转载,但不得修改,且须附注以上全部声明。如转载本文时修改任何内容,您须在发布前取得普华永道中国的书面同意。