去年,我国《数据安全法》、《个人信息保护法》(PIPL)相继实施,与《网络安全法》共同形成了数据合规领域的“三驾马车”。越来越多的企业开始关注自身的数据安全与合规性,考察数据平台、分析工具及其他常用第三方数据产品——时至今日,伴随着法律法规的不断健全,仅仅“观望”已并不足够。面对数据安全合规的要求,主动出击成为了他们的选择。
据悉,2022开年以来,许多外企向老牌咨询公司发出了“数据合规评估”的招标邀约,要求对企业内数字化产品和数据相关行为进行全面诊断。
除了信息主体的权利、信息处理者义务等必备维度,更常见于国际品牌经营中的问题也接踵而至:
“怎么判断个人信息数据有没有跨境流动?”“继续使用之前的跨境分析工具违法吗?”“如何评估数据服务商是否合规?”
没错,响应中国境内的法律法规要求,实现数据安全合规,已成为外企尤其是直面消费者的国际品牌“本土化”的硬要求之一。
而在外企对安全合规的众多担忧中,“数据出境”的讨论显得尤为关键。
去年11月,个保法(PIPL)正式实施,其覆盖范围不仅包括“在中华人民共和国境内处理自然人个人信息的活动”,也包括了在境外处理中国境内自然人个人信息的活动,具体包含“以向境内自然人提供产品或者服务为目的”,及“分析、评估境内自然人的行为”等情形。同时,与《数据出境安全评估办法(征求意见稿)》呼应,“处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估。”
除此之外,《个人信息和重要数据出境安全评估办法(征求意见稿)》《网络安全法》《信息安全技术 数据出境安全评估指南(征求意见稿)》等法规也做出相应要求。
某国际品牌Digital部门负责人表示,曾就“数据出境”、“个人信息”等问题与法务部门进行探讨。“一直以来,大部分外企都是用的某国外厂商的跨境分析工具,但其实他们在中国境内并没有数据中心,这意味着我们以后如果继续使用这个产品,收集的用户行为数据最终会存储在境外,也就涉及数据出境的问题。”
我国法律中涉及数据出境合规的要求,目前主要集中在“个人信息”和“重要数据”两类。“理论上,跨境工具会采用‘假名化的Cookie ID’、‘IP地址匿名化’等方式力图保证合规,并在合同中明文规定禁止向其发送个人身份信息,但法务也为我们暴露了风险。”她解释到,“目前在实际操作过程中,我们可能很难确保采集的用户数据、标签等符合PIPL中定义的‘非个人信息’。而且我们无法确定当假名化的User-ID和系统元数据等数据交叉时,它是否仍符合‘不能被识别到个人’的要求。”
尝试主动报批使其合规,是一种解法。
个保法的第三十八条对个人信息数据出境的条件进行了清晰阐释:
“个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;(四)法律、行政法规或者国家网信部门规定的其他条件。”
然而,截至本文发布,据悉,相关安全评估尚未开始组织,专业机构及相关认证动作也尚未披露,标准合同也还未面世。
近日,国家市场监督管理总局、国家互联网信息办公室决定开展数据安全管理认证工作,鼓励网络运营者通过认证方式规范网络数据处理活动,加强网络数据安全保护。这或许可视为“开始”的行动之一,但总体来说,PIPL中规定的有关“个人信息数据出境”条件,还难以落地。
虽然个保法尚未针对企业的自我整改划下”死线“,但对于企业而言,等待第一个警告下罚再去行动,显然风险过大。
更多的外企已开始寻求“替代产品”。
“所有数据合法地存储在中国境内”,这只是最低限度的要求。
个人信息数据采集合规,数据全生命周期安全,未成年人信息保护,数据主体的撤回权与删除权……个保法、《数据安全法》等一系列法律法规的要求引起了绝大多数企业的重视,他们希望不仅符合个别条款,更能从整体视角审视企业的“数据安全合规”。
一家常驻某国际集团、为其提供数字化转型咨询服务的顾问企业谈到,“去年7月,因不符合GDPR的要求,亚马逊被卢森堡数据保护委员会开出7.46亿欧元罚单;今年2月,法国国家信息与自由委员会(CNIL)表示,一家本地网站使用Google Analytics提供的服务,违反了GDPR,责令其一个月内改进。海外的例子在前,这些都是外企可能面临的风险。”
当然,类似的“替代产品”必须两条腿走路,一条腿是“足够安全合规”,另一条腿是“与原产品同等甚至更好用”。
据悉,国内知名的数据分析厂商们已陆续开始行动。
近日,国内分析云领军者、一站式增长服务商GrowingIO的创始人张溪梦在对媒体的访谈中表示:“我们的产品升级已经完成。”
他谈到,GrowingIO的数据分析平台(UBA)的数据采集符合《数据安全法》、个保法要求,数据传输、存储全流程加密,且支持本地化部署,数据不出境。同时,从其他数据分析工具迁移到GrowingIO,迁移成本和实施成本低,无需重新埋点即可切换。
而谈及GrowingIO数据产品的独特优势,张溪梦介绍:“我们支持全域数据的采集融合,包括所有框架开发的APP、小程序和网页等等,更贴近我们国家用户常用小程序等功能的习惯,也能支持多种业务诉求,可以灵活地完成画像构建、活动分析等动作。另外,我们有100多人的本地售后服务团队,专为及时响应全国各地企业客户的需求。”
数据安全合规要求为力求本地数字化的国际品牌们开辟了新的“战场”。为夺取更多机会,国内的数据分析厂商们摩拳擦掌,跃跃欲试。
而我们可以预见的是,在这场长期战役中,最终的胜者或并不是产品功能“最卷的”,而是最为企业解忧、在不确定性中依旧能帮助企业找到增长机会的服务商。