数治长文 | 出海企业数据合规体系化能力建设五步法

不仅可以满足各国合规监管的需求,充分覆盖各合规场景下的问题,还能让合规能力成为企业的内功之一,充分利用好数据这个新时代的石油,取得市场竞争优势。

出海企业数据合规体系化能力建设五步法
出处:阿里云出海能力中心、德勤中国

以近两年的形势来看,企业面临的最大挑战以数据合规为主。无论是欧盟的GDPR,还是中国的个人信息保护法、数据安全法,还是美国、德国等各自的隐私保护法的轮番实施,都对数据合规、开放、跨境等做出了明确规定。因此,数据合规成为合规的重中之重。

数据合规是企业确保数据在其全生命周期各环节满足法律法规和企业规则的过程。数据的全生命周期包含了数据从采集、传输、存储、使用、共享、销毁等环节。法律法规和企业规则通常涉及数据的合法性、公正性、透明性、安全性、准确性、数据最小化等要求。

过去企业做数据合规,面临的问题少且小,只需要点状的解决问题即可。但今天,数据合规面临的挑战非常大,从组织、流程、管理,到技术、产品、架构等,需要进行体系化地设计。这样不仅可以满足各国合规监管的需求,充分覆盖各合规场景下的问题,还能在这个越来越数字化的世界让合规能力成为企业的内功之一,充分利用好数据这个新时代的石油,取得市场竞争优势。

一、数据合规体系建设基础

以下是我们总结的数据合规体系化能力建设的基础建议。

1.1 强化全员合规意识

强化全员合规意识,需要从三个方面来开展:

一是对公司全员进行数据合规相关培训,告诉大家在日常工作中应该要重点关注那些合规方面的问题,强制参加考试并通过。培训内容需要结合企业的业务特点进行定制。一般来说,最起码要有专门针对企业的销售、产品技术、市场、财务税务、采购等较大的职能角色的责任和义务清单,要明确这些角色在自己的工作中应该遵守什么样的法条和规定。要将数据合规的高频、高危场景穷举出来,明确红线与相关处理流程,明白无误地周知所有人。

二是要尽量依靠工具和自动化方式在事前和事中及时提醒,避免无心之过,避免绕过内部风控流程。例如使用钉钉进行企业内外部沟通时,可以有防止截屏,以及向外部传输文件前提醒走脱敏流程;使用类似阿里云无影一类的云桌面产品进行办公,保障员工办公环境的数据安全和IT安全;IM类以及云笔记类软件严控使用等。

三是划清合规红线,明确违规后果,用制度来约束合规行为。

1.2 理解数据全生命周期

数据全生命周期合规管理(Data Lifecycle Management)是一种政策导向的数据管理方法,用于管理数据在整个生命周期内的流动,即某个集合的数据从产生到销毁的过程。

对企业来说,以生命周期的视角来管理自己的数据有如下四个方面的收益:

  1. 流程改进:能够在数据的整个生命周期中保证和维护数据的质量,进而改进流程和提高数据流向的效率;
  2. 控制成本:数据生命周期管理通过检测不同阶段的数据价值,可以通过一系列解决方案来降低成本,包括数据备份(冷热存储)和销毁等;
  3. 数据易用性:借助数据生命周期管理的战略和工具,可以对不同的数据制定不同的政策和规程,确保一致的方式标记所有元数据,以便组织内部使用,共享和运营;
  4. 合规和治理:数据生命周期管理是基于每个行业的自身政策所需,使组织和企业能够以更高的效率和安全性来处理数据,同时确保遵守个人数据和组织记录的数据隐私法律。

1.3 定期风险度量

风险度量基于审计数据及合规制度落实情况,可以及时数字化地反馈合规水位,用以度量合规的变化趋势,有利于呈现合规管理运营结果。

度量在合规规则结构化基础之上,抽离出来能够反映合规水位的指标体系,并且能够针对不同区域或者国家要求有所体现。所以度量水位需要基于不同的规则体现。

一般来说,有以下五种合规度量的方式:

  1. 合规问题发现的平均时间:通过“问题发现时间”总和除以事件总数来计算。可以通过被动告知(例如在被用户投诉其数据被泄露)或数据取证(例如监控到数据违规跨境)等方式来确认问题发现时间。通过这一指标可以验证企业内部是否有公开透明的合规问题透传机制,以及是否具备水平之上的数据监控能力。
  2. 合规问题平均解决时长:用来衡量合规问题发现后的解决速度。在此要注意个性问题个性分析,不要把太多问题混为一谈。因为这个指标的用意是用来发现是流程问题、资源问题或者是技术问题。如果混为一谈是无法明确具体问题在哪里的。
  3. 合规问题平均解决成本:可以通过将总合规预算除以计划管理的合规问题数量来计算此指标。它可以帮助企业高层了解有效的合规治理消耗了多少资金,也可以帮助企业了解为什么有些合规问题的解决成本要高于其他一些问题。如此一来就可以帮助决策者将钱花在更明智的地方。
  4. 预测风险与实际风险之间的差值:需要在财务上和操作层面上来衡量这一差值。举例来说,可以在财务上,衡量预计的合规花费与实际的合规花费之间的差值;在操作上,衡量预测的隐私数据被窃取数量与实际的被窃取数量之间的差值。这个差值可以提现企业自身风险评估能力的强弱,进而能够比较实事求是地制定企业的合规治理计划与方案。
  5. 风险缓冲时间:从发现风险到实施任何必要的整改措施以减轻该风险之间的时间。这个指标显示了实施合规变更的能力。该时间越长,企业就越有操作空间来从容应对风险,可以低成本、高质量地治理好合规问题。但如果该事件比较短,那么就要想办法避免这类合规问题的出现。

以上度量方式并非适用于所有的企业,在企业具体的合规能力建设过程中,可以有合理的指标体系和度量手段。

二、管控内外部数据使用

首先要明确都是哪些角色在使用数据。然后所谓管控内外部数据使用即按照角色去进行相应数据使用授权。

2.1 明确数据使用角色

外部角色

按照数据生命周期角度,国际数据合规立法相关要求通常涉及如下角色:

  • 数据主体:个人数据所标识或者关联的自然人,简单来说就是平台的用户。
  • 控制者:单独或与其他主体一起决定数据处理目的和方法的自然人、法人。
  • 处理者:代表控制者处理数据的自然人、法人。
  • 监管机构:业务属地所在的国家或区域为数据安全或隐私数据保护而设立的独立性公共机构。
  • 第三方:指数据主体、控制者、处理者以及根据控制者或处理者的直接授权处理个人数据的主体之外的自然人、法人、公共机构、行政机关或其他实体。

内部角色

数据合规通常涉及组织内部的法务、合规、技术、业务等角色。法务负责对法律法规的解读和外部案例解读输入;合规协同各方制定企业合规方案并持续跟进方案的落地;技术团队提供技术支持并负责技术的执行;业务团队遵循合规方案并反馈业务诉求。

  • 监管机构:合规相关法律法规的制定以及舆情和问询函的下发实体(与外部角色中的监管机构是同一个角色)。
  • 海外法务:集团内部支持海外业务实体的法务,具有专业的海外法律专业知识,给出相关国家或者区域法律法规的解读和后期咨询。
  • 国内法务:集团内部支持国内业务的法务,具备国内法律专业知识和经验,用于给出国内法律法规的解读和相关案例的分析解答。
  • 合规:集团内部负责协同各方角色跟进推动合规方案的执行,提升集团的合规水位。
  • 技术:基于法务和合规产出的合规诉求,产出和落地对应的合规方案。
  • 业务:集团内面向客户的业务场景,业务场景需要满足合规制定的规则规范。

管理角色,要按照最小够用原则授权,并在运行时做数据权限管控,不得访问和管理超出授权范围的数据。典型的如按照成本经营单元、业务管理团队、项目组等进行授权。个人操作功能,按照实际身份,只能访问自身的敏感信息及公开的信息。

2.2 设计数据使用授权

数据访问控制是数据安全的核心要素,用于管理和限制用户或者系统对特定数据资源的访问权限,它是确报数据安全性、隐私保护、合规性和业务连续性的关键步骤。数据访问控制通过做好权限管理、过程追踪与记录以及事后审计,从而降低数据风险,提高数据管理的整体质量。根据GDPR第25条的规定,控制者“应实施适当的技术和组织措施以确保在默认情形下,仅处理为实现特定目的而必需的个人数据。”以下阿里云访问控制体系仅允许得到授权的管理员、用户和应用程序访问阿里云的资源和客户数据,从而能够帮助客户符合此要求。

按照数据权限授权的角色,运行时需要校验数据权限。

2.3 业务数据访问控制

数据访问控制是数据安全的核心要素,用于管理和限制用户或者系统对特定数据资源的访问。

1. 云平台秘钥AK/SK安全管控

关于数据访问控制的一个常见场景是AK/SK的使用治理,防止AK/SK使用不当引起的数据泄露。GDPR 第25 条规定,控制者“应实施适当的技术和组织措施以确保在默认情形下,仅处理为实现特定目的而必需的个人数据。

2. 隐私数据访问控制

隐私数据应该集中在统一的隐私数据库,并提供统一服务。然后需要对原有使用隐私数据的场景进行重新梳理。任何需要继续使用隐私字段的服务、程序、角色等都需要重新申请。

申请需要按字段进行,并需有充足理由使用该字段。因此需要有数据使用的申请平台控制读写权限的申请和审批流程,同时还需要将这些权限逻辑融入到所有读写服务中,提供高性能的鉴权能力。综上,数据服务管控由三部分组成:数据权限的维度设计、数据权限申请与审批、数据权限鉴权。

为了满足最小化使用原则,所有隐私数据的使用应当通过合理审批流程,获得授权后读写隐私数据。可以将管控的数据分为两类,一类是通用隐私数据,称为公域;一类是某个业务独有的隐私数据,称私域。对于公域的通用隐私数据,比如一个会员的手机号码,按需申请读写的授权码即可。对于私域隐私数据,其归属和使用还需经过此数据写入方授权。

该方案具有较好的隔离性,可由业务自定义私域字段,不同业务的私域字段可重名;同时具有较细的管控粒度,区分写入的业务场景,当申请某字段读权限时,需要先选定是哪个业务场景,然后筛选业务场景下写入的私域数据。

为了更好的管理合理使用场景,建议设计企业内部的合规管理平台,将权限申请与审批流程线上化。申请过程中,业务方需要提供足够的信息让法务合规的同学了解业务场景,并解答补充性问题。申请按字段进行。将全域通用数据定义为公域数据,将业务线或业务场景自身维护的隐私数据定义为私域数据。

公域数据申请字段权限后即可使用,也是用户默认的隐私数据值。私域数据因存在场景区分,需要使用方和写入方达成一致后方可使用,故申请时还需要对方的业务授权码。权限申请提交后,合规官将详细审查调用合理性,并与业务方和技术方深入访谈,确保申请内容真实有效、描述准确,且相关人员对数据的使用有清楚的规划。

在完成数据权限申请和审批后,使用获得的授权码,通过数据服务中心提供的接口即可读写隐私数据。根据公私域特点,权限校验方式有所区别。在公域数据中,读写接口只需根据授权码和字段名进行判断,对于未授权的字段不予返回。

对于私域数据,双方的授权码都需要填写,权限平台需要校验双方授权码和字段名,以决定是否有权限。特别的,如果是数据写入方读写自己的数据,双方授权码使用同一个即可。

三、数据生产与采集

数据的生产与采集是由人工、应用程序、传感器等产生以及从不同的源头进行采集和获取。这里主要涉及数据采集时对敏感数据、隐私数据的自动识别。数据采集可能发生在企业系统平台对外的接口界面上,也可能发生在企业内部不同模块之间,从企业内部采集的数据一般我们也称之为数据的生产,比如从企业内部数据库、日志等存储介质中获取一些数据来实现某个需求。

3.1 数据采集与生产合规

数据的采集途径主要有三个:客户端、网络爬虫、采购的商业数据。

  • 对于从客户端采集的数据,应当遵循最小必要原则,并获得用户授权同意。涉及采集敏感信息时,必须要有合理业务场景,且需单独明示收集使用规则并获得用户授权同意。
  • 对于网络爬虫获取的数据,须经法务评估以确保符合网络及数据安全、著作权、不正当竞争等法律要求,遵守相关自律公约,禁止通过攻防对抗方式爬取数据。
  • 对于采购而来的商业数据,业务方责任人须确保数据采集来源、渠道的合法性,采集目的及流程的正当性,并通过采购合同协议等明确采集数据的目的和用途,并保留相关记录,确保符合相关法律法规要求。

3.2 场景举例

  • 场景1:App隐私合规检测

对App进行隐私安全合规分析,包括敏感权限风险识别、个人信息采集行为检测、三方SDK风险检测、隐私政策合规检测等多项检测,助力企业和开发者全面、准确、高效地规避合规风险。

  • 场景2:Cookie合规检测

根据各国法律,扫描各网站cookie对数据的采集是否符合当地的数据采集要求。例如欧盟 《GDPR》要求网站cookie默认不存储,需要用户手动同意;但美国等国家的要求则是默认存储,需要用户手动拒绝。

  • 场景3:三方SDK检测

SDK主要类型有以下几类:框架类、广告类、推送类、统计类、地图类、第三方登陆类、社交类、支付类、客服类、测试类、安全风控类、Crash监控类、人脸识别类、语音识别类、短信验证类、基础功能类等。各类App平均使用第三方SDK的数量在10个以上。

SDK本身不具备运行能力,必须等待宿主App调用才能被执行,完成特定功能。第三方SDK无疑给App开发者带来了极大便利,但与此同时SDK的安全与合规问题也逐渐漏出水面,SDK收集个人信息和安全问题也已得到了各方的关注。主要来说,三方SDK存在以下三类合规风险:

  • 第三方SDK隐瞒收集个人信息,有些第三方SDK能够收集个人信息标识、行动轨迹、个人偏好、网络设备信息等,并上传至远程服务器,甚至是境外服务器;
  • SDK借助合法App执行恶意操作,例如恶意开发者能够利用后门对用户手机进行远程静默安装应用、静默添加联系人、获取用户隐私信息等;
  • 绝大部分第三方SDK缺乏安全审核环节,造成代码存有未知安全漏洞。目前,已经发现的SDK安全漏洞包括HTTP误用,SSL/TLS不正确配置、敏感权限滥用、通过日志造成信息泄露等。

四、数据分类与分级处理

无论是欧盟的GDPR还是国内的《数据安全法》都要求数据分类分级管理。一般把数据分为4类:重要数据、个人信息、公共数据、业务或其它数据。重要数据指那些一旦泄露或非法利用,可能影响国家安全、经济运行、社会稳定、公共健康等的数据。这是从整个社会的角度上划分的,定义数据分级和分类要结合不同的行业和业务特点来进行。

除了某些特定行业(如医疗、金融)各合规条款会有相对明确的分级分类标准,其他行业的数据分级分类主要要靠企业自己划定标准来完成。

4.1 数据分类

数据分类通常有三种模式:

  • 基于内容的分类:取决于数据内容是否包含敏感数据;
  • 基于来源的分类:比如由人创建的数据,由程序产生的数据,位置数据等;
  • 基于用户的分类:即用户手动分类。

需要说明的是,以上三种模式并不是唯一的分类方法。如阿里云在实践过程中经常参考的一套数据分类标准如下:

1. 第一类:用户数据。用户数据即公民个人信息类,这类数据在全球已经有了比较清晰的规范要求和说明,各国比较类似。个人识别信息是“由代理机构维护的有关个人的任何信息,包括

(1)任何可用于区分或追踪个人身份的信息,例如姓名,社会保险号,出生日期和地点,母亲的姓氏或生物特征记录;
(2)与个人连接或可连接的任何其他信息,例如医学,教育,财务和就业信息。PI的示例包括但不限于:名称,例如全名,娘家姓,母亲的娘家姓或别名;个人识别号,例如社会安全号(SSN),护照号,驾照号,纳税人识别号或金融帐户或信用卡号。

2. 第二类:业务数据。业务相关的数据,与组织的业务形态息息相关,比如:淘宝京东更多的是订单物流、商品详情数据等;爱奇艺优酷更多的是视频类数据等;除此之外,还有一些通用类数据,比如市场数据、业务分析数据等。

3. 第三类:公司数据。公司数据主要包含人事数据、财务数据、法务数据、采购数据、日志数据、代码数据、制度数据等二级数据分类,二级数据可以分为两类,一类为通用数据类,如日志、制度等;一类为定制数据类,如人事、财务等。

在实施和扩展数据分类策略时,请牢记这些规则:

  • 确定哪些合规或隐私法律适用于你的公司,并根据该信息制定分类计划。
  • 从有限的范围和定义明确的模式(如 PCI-DSS)开始进行分类。

——要快速处理大量数据,尽量使用自动化工具。
——必要时创建自定义分类规则,但不要重新发明轮子。

  • 根据需要,更改分类规则/级别。
  • 一定要检查分类结果的准确性,并迭代。
  • 将数据分类应用于具体的业务场景,如数据跨境、BI分析、营销推广等。
  • 数据分类是综合数据安全策略的重要组成部分。一旦确定了哪些数据是敏感数据,您就需要确定谁有权访问它以及它在什么时候发生了什么。要对数据的变化有掌控。

4.2 数据分级

数据分级时,我们常常需要考虑以下问题:

数据泄漏或破坏相关的合规风险是什么?组织经济风险是什么?软件成本和硬件成本是什么?组织品牌及舆论影响成本是什么?

依照上述问题,对数据进行分级对待和处理。

将数据和系统分为三个风险级别是一种常见的做法:

  • 低威胁:如果数据可供公众访问且不易丢失(例如,恢复更简单),则此数据收集和包含它的系统可能比其他系统危险性低。
  • 中等风险:数据不公开,仅供公司或其合作伙伴内部使用。也不太可能因为操作过于关键或过于敏感而被视为“高风险”。中等风险包括专有操作程序数据、货物成本数据和部分公司文件。
  • 高风险:包括任何敏感或对安全至关重要的数据。极难恢复的数据(如果丢失),个人隐私数据,公司财务明细数据等都属于高风险数据。

在某些行业,有成型的数据分级标准,如2020年版的《金融数据安全数据安全分级指南》,将金融行业涉及的客户、帐户、合约、交易、渠道、营销、影像、监管报送等信息分为四个层次五个敏感性等级。但由于企业业务形态的复杂性,企业需要基于成熟的分级标准,结合自己的具体业务建立自己的分级评估体系。

同样以车联网数据为例,数据分级的参考矩阵和处理要求如下:

4.3 数据分类分级建议

数据分类过程根据项目目标略有不同。大多数数据分类项目都需要自动化来处理企业每天生成的海量数据。总的来说,有一些最佳实践可以使数据分类项目取得成功:

1. 定义数据分类过程的目标

(1)关注的数据有哪些?为什么是这些数据?
(2)初步分类阶段包括哪些系统?
(3)在合规方面,必须遵守哪些规则?
(4)还有其他的商业目标吗?(例如风险管理、存储优化或B应用)。

2. 数据类型分类

(1)确定企业拥有的数据类型(例如,客户名单、财务记录、源代码、产品计划等)。
(2)区分私有数据和公共数据。
(3) 确定是否受到 GDPR、CCPA 或其他监管标准。

3. 确定分类级别

(1)需要多少分类级别?
(2)记录每个级别,并提供示例。
(3)教用户如何对数据进行分类(如果计划进行手动分类)。

4. 定义自动分类的过程

(1)确定应首先扫描哪些数据以及如何确定优先级。
(2)动态数据处理优于静态数据,数据的开放比数据保护优先级更高。
(3)确定多久使用一次自动数据分类以及需要投入多少成本(时间、算力)。

5. 定义类别和分类标准

(1)为高级类别(例如,PII、PHI)定义并提供示例。
(2)定义或启用适当的分类模式和标签。
(3)创建用于审查和验证用户自定义的结果和自动分类结果的程序。

6. 定义分类数据的结果和使用场景

(1)应定义风险缓冲和自动化流程的步骤:例如,如果180天未使用的数据,则可以将其移动或存档;全局访问权限应该从包含敏感数据的文件空间中移除。
(2)定义一种使用分析来改进分类结果的方法。
(3)确定分析的结果是否符合预期。

7. 观察和维护

(1)创建用于对新数据或更新数据进行分类的例子和流程。
(2)根据优于业务变化或新法规应用需要的数据审查流程,并更新数据分类流程。

对于大部分云上的企业来说,需要进行管理的数据大都存放在数据库或大数据平台中。以下两节将从数据库和大数据系统的视角简要介绍其中的数据分级分类实践。

4.4 敏感数据监督

在数据分类分级的基础上,对敏感数据进行全方位的审计,全面掌握敏感数据的来源、存储分布、数据数量、数据去向,从而在其中发现安全问题或安全薄弱环节并加以治理,以确保敏感数据的安全合规。这里面主要包含以下部分能力的建设:

1. 权限管控

基于前文提到的内容,管控内外部数据使用的同时,针对重点关注敏感数据访问。

2. 风险告警

对于账号、权限、程序的动态跟踪与维护是进行风险告警的基础之一。需要周期性扫描人员组织、权限基线、应用架构等方面的变化,变化前后是否会对敏感数据的使用有影响,这些变化是否遵循了合规性的保证。对于数据的授权确权等要有明确的记录以及统计分析,及时将异常情况以告警的形式呈现出来。

对于数据访问行为的跟踪、记录与监督是进行风险告警的基础之二。可以基于网络流量分析、高性能数据库入库技术、大数据分析技术以及可视化展现技术等对数据访问进行检查。对于异常行为可以通过两种方式来识别,一种是人工的方式,一种是对日常行为模式进行动态的机器学习与建模,通过AI的方式来监督。

3. 追溯问责

敏感数据域合规相关各项处理活动必须可以进行过程追溯,还必须以各种可举证的形式证明所进行的数据处理活动符合相关法律法规的要求。同时,遵守处理个人数据的基本原则是法定义务而非最优选择,若违反数据处理基本原则的要求即会受到相应的处罚。

五、数据存储与传输

数据存储是指将数据保存在计算机系统或其他电子设备中的过程。这包括将数据存储到硬盘、固态硬盘、内存、数据库、云存储等介质中。存储的数据可以是各种类型的信息,如文档、图片、音频、视频、应用程序等。数据存储的目的是为了在需要时能够随时访问、处理和使用这些数据。

以数据库为存储介质的数据,可以以数据模型作为选型依据,如选择关系型数据库(如MySQL、Oracle)或非关系型数据库(如MongoDB、Redis);可以以数据量和负载作为选型依据,如根据数据量的大小和负载的性质,选择适合的数据库。

对于大规模数据或高负载的情况,可以选择分布式数据库。而一些数据库提供了缓存层、索引优化、数据分区等功能来提高性能,提供了加密、访问控制、审计等安全功能来提高安全性,也是选型的重要依据。

5.1 数据存储合规

企业在数据存储环境应当遵循一定的合规原则,包括但不限于:

  • 不应当存储未经过用户授权的个人数据;
  • 应保证数据的机密性,敏感数据默认应进行加密或哈希存储;
  • 应保证数据的可用性、完整性,按需建立必要的数据灾难备份、恢复和演练验证机制;
  • 法律或相关安全标准要求的数据应设置有效的存储周期;
  • 遵循特定国家特定场景的数据本地化存储要求;
  • 敏感数据相关页面展示应进行脱敏处理和日志打点,并接入水印;
  • 脱敏规则原则上应保持一致或不得低于基线脱敏要求,避免通过技术手段反推出真实的数据。

5.2 数据非跨境传输

数据传输就是按照一定的规程,通过一条或者多条数据链路,将数据从数据源传输到数据终端,它的主要作用就是实现点与点之间的信息传输与交换。

非跨境场景下,需要使用安全协议进行加密传输,其中敏感数据单独进行加密或混淆,并对两端的主体身份进行鉴别和认证,确保数据传输双方可信。跨网络安全域传输数据应当遵循网络安全相关规范,默认只允许低等级数据单向流入高等级网络安全域,并经过可信的中转程序或安全管控服务。原则上禁止高等级网络安全域向低等级写入数据。

5.3 数据跨境传输

数据跨境传输的场景下,跨境传输应当遵守传输地所在国家或地区的法律法规,若传输地所在国家或地区的法律法规禁止特定类型数据跨境传输的,不得对该类数据进行跨境传输。若传输地所在国家或地区的法律法规限制特定类型数据跨境传输的,应当在符合其法律法规要求的情况下进行特定类型数据跨境传输。跨境数据接收方运营主体或使用场景发生变化时,应立刻停止跨境传输,并重新进行评估。在跨境场景下,不仅需要上述一系列传输加密能力,还需要对跨境场景提供额外的能力。

为了促进数据依法有序自由流动,激发数据要素价值,扩大高水平对外开放,国家网信办公布《促进和规范数据跨境流动规定》(附全文),自公布之日起施行。数据出境申报和个人信息出境备案指南第二版发布(附下载),对申报数据出境安全评估、备案个人信息出境标准合同的方式、流程和材料等具体要求作出了说明,对数据处理者需要提交的相关材料进行了优化简化。

本文摘编自阿里云出海能力中心、德勤中国发布的《中国企业海外业务数据合规指导书》。

在此声明以上观点和内容,仅代表原作者和出处,与数治网DTZed 无关,如有出错或侵害到相关合法权益,请通过电邮与我们联系:cs@dtzed.com。

在文末扫码关注官方微信公众号“idtzed”,发送“入”直通相关数治x行业共建群、AIGC+X 成长营,@老邪 每周免费领取法规、标准、图谱等工具包。

欢迎先注册登录后即可下载检索数据合规等相关标准、白皮书及报告。更多高质量纯净资料下载,在文末扫码关注官方微信公众号“idtzed”,进入公众号菜单“治库”。