新合规形势下的跨境场景治理和日常运营实践V2.0 2.pdf

1、0Copyright 2023 北京火山引擎科技有限公司 All rights reserved.WWW.VOLCENGINE.COM新合规形势下的跨境场景治理和日常运营实践火山引擎 安全解决方案专家李一浩1CONTENTS目录出海企业面临的典型数据合规困境数据本地化和跨境合规的治理体系在汽车行业的典型场景和运营实践2数据本地化和跨境合规的主要挑战全球数据合规和跨境监管要求愈发严格，各个国家和地区都颁布了数据相关的法规和要求：监管严格：个人保护和国家安全同步考虑，强调人权和数据主权，要求企业建立组织、流程和技术体系，以自证清白高额罚款：监管处罚往往挂钩企业经营收入，以GDPR为例，跨境相关场景

2、往往取高值，即2000万欧元和4%年营收额品牌影响：用户对个人隐私和的关注，可能受到不当引导，导致数据合规问题被发酵为品牌形象问题 隐私保护：尊重个人隐私，关注“个人信息”的采集和跨境传输 数据主权：关系公共利益、国家安全的关键信息，应严格管控其跨境传输案例1：国家网信办对滴滴处80.26亿元罚款 程维、柳青各罚100万元案例2：META因违规将欧盟用户数据传输到美国被处以12亿欧元案例4：美国14117最终规则于2025年1月8日在美国联邦公报上发布，2025年4年生效。案例3：荷兰数据保护局（DPA）8月26日宣布对优步（Uber）处以2.9亿欧元的罚款，因其违规将欧洲出租车司机的个人数据

3、传输到了美国3治理跨境合规的前提，是充分理解什么是“跨境”什么是数据跨境/数据离境？跨境访问境外数据：主体在境内，访问/调用境外产品运营过程中收集产生的数据（如员工跨境访问海外的业务系统，国内系统调用海外的数据接口）数据跨境同步/传输：数据处理者主动将境外收集和产生的数据传输、存储至境内（如海外采集的数据汇集后，统一入湖到国内数仓）不同的司法管辖区：主体在境外，但该主体不属于该司法管辖或是未在境外注册的主体，访问/调用境外产品运营过程中收集产生的数据（如中国员工出差到海外，访问境外的系统或数据也是管控对象）跨境“访问”境外的数据数据跨境“同步/传输”访问者和数据归属“不同司法管辖区”4出海企业

4、面临的典型数据跨境治理困境典型的合规痛点 有管控组织和流程：法务合规牵头建立了数据跨境评估的TIA流程，要求跨境前业务与合规BP进行申报评估 实际业务执行困难：评估完毕后，业务是否按照评估场景跨境，既没有有效的监管手段，也无法发现是否存在未申报直接跨境的行为 既看不清也没法管：无法主动识别违规跨境，看不清合规落地的现状；也无法对人工稽核发现的违规跨境，进行必要的拦截和风险收敛 业务侧：有实际数据跨境的需求，其中既包含工程数据，也包含部分个人信息 合规侧：有数据跨境管控的流程，通过合规BP推动业务识别跨境场景，进行数据跨境前的自评估-执行现状：合规缺抓手，业务看意识，只有“乖孩子”在遵守合规要求

5、业务迫切需要跨境数据协同技术监管滞后的影响企业经营管理：跨国管理层需要实时看到海外业务经营发展现状核心业务发展：国内/海外核心业务的数据协同，例如营销获客，用户服务，质量管理大数据分析：包括传统的用户画像，故障分析建模，以及大模型训练、推理和应用等可能1:管控失效，海外数据滥用和随意跨境可能2:业务担心合规，导致不敢用海外数据可能3:有流程但缺监管，只能管“乖孩子”业务团队：数据离境/跨境场景太多，不知道是否每次都要找法务/合规评估法务合规：培训做了、评估做了、审计做了，但还是说不清楚实际跨境是否和报备监管的跨境场景一致，是否还有盲区安全团队：跨境流量审计了，但要么太多审计日志看不过来，要么没

6、有业务语义看不懂5法规要求趋严，出海业务更多，合规治理需要“懂业务”大多具有“长臂管辖”特征强调监管沟通以及当地的数据行为报备企业应建立安全风险评估机制，监控、预警、通知、上报、应急响应等网络防御强调个人信息保护，针对性的数据跨境和数据本地化要求明文条款规定违法行为的处罚和罚款123456企业应形成长效合规体系，适应业务变化以实现持续合规以数据主权、网络安全为驱动的数据跨境政策，在跨境管理上会“趋向于严苛”；出海业务不仅要求数据本地存储，也对向境外提供采取了严格限制，需要“懂业务”才能做好管控；以保护公民个人信息为目标的政策，会指导多元化的合法转移渠道，重点还是“正当、合法、必要”的原则如何落