腾讯-破解企业出海难题：手把手搭新形势下企业安全防护体系

出海企业的安全密码-安全与合规目录 Menu•中企出海数据合规问题背景与挑战•企业出海数据合规能力体系化建设•基于腾讯云的出海数据合规解决方案中企出海，合规不是选择题，是“必修课”！是不可逾越的 “底线” 与 “入场券”合规是 “隐形门槛”—— 缺了它，进不了目标市场合规是 “风险盾牌”—— 没了它，巨额罚款、业务停摆随时可能来合规更是 “信任基石”—— 丢了它，客户、投资方都会远离 前 言01. 中企出海数据合规问题背景随着全球宏观环境的变化和竞争加剧，中国企业的出海之路借助自身优势实现高速增长中国丰富、健全的产业配套，以及在移动互联网、新能源等赛道的领跑优势，能够帮助中国企业在发展中市场降维打击，在发达市场抢占价值链中更有利的环节，甚至实现弯道超车。面临外部挑战谋求经营韧性全球经济和市场坏境发生变化，受“去中国化”、“中国+1”等产业链政策影响，部分中国企业可能面临上游供应掣肘、下游客户流失等挑战，生存受到威胁，必须考虑走出去。中国企业出海投资额在持续增多，海外投资占全球 ≥ 10%近年来，中国企业加速深化国际化战略，通过主动出海、多样化布局加速国际化进程，在全球范围内进行资源配置与优化的同时，也推动全球产业链伙伴合作共赢，2022年中国对外直接投资总额已达到1700亿美元，连续多年问居世界第二大对外投资国2004-2024年中国对外直接投资额及全球份额2004-2024年中国对外直接投资流量企业全球化发展可分为四个阶段，有出海需求的客户多处于第二和第三阶段跨国业务布局“突破重点市场”全球化布局“快速全面扩张”全球整合运营“高质量发展”阶段特点•在国外市场建立销售办事处或合作关系•海外销售在公司销售总额中占比很小（<5%*）• 增加在重点市场的投资，发展部分价值链环节• 海外销售在公司销售总额占比加大（10%-15%*）• 在特定市场业绩快速成长• 在重点国家和地区形成完整企业价值链• 海外销售逐步成为公司业务增长和利润的重要来源（15%-50%*）• 在特定市场树立品牌形象•海外销售和利润在公司收入总额中占比很大（>50%*）•品牌受到全球客户的认可•逐渐搭建全球合作生态和跨国公司文化业务侧重点•主要目标是增加销售额，而不是国际化•通过国内销售提供国际化投资的资金•国际化运作在制造、供应链等方面只发生细微变化•国际化被视为公司整体战略的一部分重要战略举措•为支持国际化配置资金开展投并购•在新市场中建立销售渠道、制造基地、供应链能力•全球化成为公司战略关键组成部分，开展大量投资•探索新的业务模式•开始构建全球化管理体系•搭建全球性/区域性供应网络及运营模式•目标是成为可持续的领先全球化企业，获取海外资本来源（如海外IPO）•明确有效的全球公司治理•根据能力中心布局在全球范围内分解经营活动阶段痛点•出海决心不坚定•不了解海外市场•缺乏支撑海外发展的国际化人才•出海战略共识不充分•不了解海外市场，海外战略只有意图、方向模糊•缺乏海外品牌知名度•缺乏拓展海外业务必要的管理配套和合规运营基础•“一国一策”导致重复建设和效率低下•海外业务运营复杂度高，亟需全面升级运营体系•品牌高端化升级困难•全球化合规运营亟需升级•在全球范围内保持可持续、高质量、高效率的成长与运营成为挑战海外贸易初期“出海热身”海外经营数据范围和数据规模急剧增长由于普遍缺乏出海经验，大部分中国企业在出海过程中都面临五大共性挑战在复杂多变的国际市场中，要想成功站稳脚跟，出海企业必须直面问题和痛点，灵活调整战略、业务和运营体系，守住合规底线，这已成为企业能否持续发展并实现全球化的关键所在。战略意图缺乏共识•“外部环境严峻，为什么还要国际化”、“海外市场是必争之地，还是国内市场的补充”？业务设计水土不服运营体系支撑不足•“通过何种渠道拓展”、“本土供应还是国内供应”、“产品组合有何不同”？•总部对海外“管多少、怎么管”？•海外数字化的管控模式、架构、部署方式等没有提前规划，随业务需求自由建设，等发现架构等问题时再花代价改造、整合 数字化建设后知后觉•各种贸易管制以及来自不同法域的法律、政策、经济和文化上的差异，以及数据跨境流动，底线和边界在哪里？如何确保海外信息在符合各国监管规范的前提下有序流动？ 合规底线复杂多变中国出海企业全球范围内的经营管理面临着前所未有的数据合规挑战，数据合规紧迫性与必要性日益凸显巨额罚款违规企业可能面临当年全球年营业额的4%的巨额罚款。近期中资企业在海外被处罚的事件：•TikTok被处罚3.45亿欧元；•阿里在韩国被处罚20亿韩元；•某汽车新势力在欧盟被处罚10亿欧元，•某国内手机厂商在墨西哥因未经同意收集个人数据被处罚100万美元 声誉受损违规企业可能受到监管机构的警告，以及来自客户和经销商的信任受损 禁止处理数据，业务中断监管机构有权力临时或永久限制或禁止违规企业的数据处理活动忽视数据安全合规风险与挑战，可能导致：巴西数据保护法印度尼西亚个人数据保护法美国CCPA、HIPAA、GLBA、COPPA、CAN-SPAM、Privacy Shield加拿大PIPEDA墨西哥个人数据保护联邦法阿根廷个人数据保护法(2020)、信息保密法智利私生活保护法南非个人信息保护法(POPIA)瑞士联邦数据保护法案英国数据保护法俄罗斯个人数据联邦法中国民法典、个人信息保护法、数据安全法韩国个人信息保护法日本个人信息保护法印度个人数据保护法案澳大利亚隐私法、反垃圾邮件法菲律宾数据隐私法新加坡个人数据保护法欧盟通用数据保护条例安哥拉个人数据保护法 (LPDP)肯尼亚数据保护法Data Protection Act哈萨克斯坦个人数据保护法乌兹别克斯坦个人数据保护法在全球230多个国家(地区)中，已经有超过135个国家(地区)出台数据保护法，其中大多数制定了跨境数据流动法律或政策H&M因侵犯员工隐私被处罚3500万欧元面临长时间的监管调查，声誉严重受损亚马逊因数据隐私泄露被处罚款7.46亿欧元监管执法力度和处罚额度呈现上升趋势02.企业出海数据合规能力体系化建设跨境合规实施路径•数据跨境合规“6步法”包括短期速赢方案和长效机制建立•速赢方案：快速实施数据合规方案，满足监管要求，助力海外业务拓展•长效机制：体系化、企业级的视角，建章立制，提供技术落地工具包，建立起常态化的评估流程、工具和模版，不同类型/场景的跨境合规要求•明确主要的数据管控对象，如个人信息和重要数据等•排查数据跨境场景，梳理数据流转路径•梳理目标国家/地区的数据监管要求•开展数据合规适用性分析，进行外归内化•分析跨境监管规则，跟踪监管动态•制定数据安全合规与风险评估模型•识别合规差距与安全威胁•评估数据安全风险与差距2. 梳理数据合规场景1.识别数据合规要求3.评估数据合规差距•数据安全体系落地建设•建立常态化的数据出境评估流程、工具和工作模版等•数据安全自评估、PIA、TIA、TRA等伴随服务4. 合规差距修复5. 报告与备案6.建立长效机制•合同协议：协议优化、个人信息主体同意授权、出境管理制度完善等•管理：数据分类分级、DSR通道管理、数据审批流程与权限管理、数据合规审计等•技术：隐私合规自动化、本地化存储、存储加密、传输加密、脱敏、去标识化等•