To The Moon

點擊進入“出海參考”公衆號，關注獲取更多出海企業合規”避坑指南”。 3月23日，TikTok首席執行官周受資出席美國衆議院能源和商務委員會聽證會，就TikTok在美國涉及的合規問題進行答疑，這次聽證會毫無懸念地成爲了全球的“焦點時刻”。 （圖片來自視覺中國） 今年以來，全球10億月活用戶的TikTok已經風波不斷。先是美國聯邦政府禁止所有政府設備安裝TikTok，而後加拿大、英國和歐盟政府陸續要求刪除該國政府部門設備中的TikTok。拜登更是要求TikTok出售字節擁有的所有股份，否則將全面禁止TikTok在美國運營。 這一系列事件的發酵，讓諸多媒體將焦點對準此次TikTok出席聽證會。如歐美多家媒體報道，“在長達5小時的質詢中，出席現場的周受資並沒有得到太多陳述和迴應的機會，更像是配合美國議員們的表演”。 然而，穿過這場“表演”背後，值得被關注的核心之一是中國出海企業如何規避合規紅線與數據安全問題。基於對這兩個潛藏風險的關注以及如何躲避這些坑，鈦媒體旗下“出海參考”邀請北京己任律師事務所高級顧問（合夥人級）薛穎律師，Selefra/火線安全聯合創始人曾垚，分別從法律和技術角度進行交叉式討論，就TikTok聽證會、企業出海合規和數據安全進行解讀和分析。 TikTok聽證會背後的數據主權之爭 北京己任律師事務所高級顧問薛律師分析道，美國大選的週期性和中美關係的持續膠着，增添了TikTok聽證會的政治性因素。但聽證會本身並不是正式的司法或行政調查程序，並不直接對TikTok在美運營形成法律後果，但長遠看，本次聽證會收集的信息和對兩黨及民衆心理和情緒的影響，將可能影響針對TikTok相關法案出臺。 隨着美國民衆對互聯網給公共利益帶來潛在損害的擔心日益增強，對公共利益的“損害”以及帶給美國社會的負面影響，美國政府越來越關注數據對美國選舉、國家安全方面的影響，以及科技企業的數據隱私與安全、虛假信息等問題。她補充道，美國社會對科技潛在風險形成新共識，政府也在逐步加強對科技巨頭的監管。近些年，谷歌、蘋果、Facebook和亞馬遜等公司CEO，都曾就相關信息安全問題在聽證會上進行答疑。 由此看，去除政治性因素，TikTok出席聽證會體現了美國對信息安全和數字經濟下新型合規問題的持續關注。 Selefra聯合創始人曾垚從技術角度補充道，本次聽證會中，TikTok涉及的跨境數據處理是核心敏感問題之一。跨境數據處理是典型且常見的違規事件。出海企業需要完成海外線上問題處理、故障調試、模型訓練等操作，一定要去數據所在國進行處理，否則就會導致違規行爲。 TikTok此事，數據生產地在美國，數據處理原則上也需要合規的在美國進行。如果企業跨境處理美國數據是極其敏感的。不僅是美國，歐洲和中國也在近期出臺跨境數據處理的相關規定。 據“出海參考”統計，全球已經有132個國家制定了相應法律來保護數據和隱私安全。TikTok聽證會也反映出，數據已經成爲後全球化時代的高敏感問題，數據主權會成爲出海企業安全紅線。 （圖片來自視覺中國） 數據安全之外，出海企業還需繞過哪些合規“坑” 數據跨境傳輸並不是默認被禁止，立法者在乎的是是否違規出境。己任律師事務所高級顧問薛律師迴應道。數據應加以保護，制度工具亦有一定的靈活性。出海企業如何界定和踐行合規？數據安全之於合規的意義是什麼？ 面對這些問題，Selefra聯合創始人曾垚談道，首先，數據已經不是互聯網獨有的資產，是所有行業都擁有的資產。因此數據安全問題也是所有行業要面臨的問題。其次，個人隱私泄漏導致人身安全風險、黑客攻擊帶給企業鉅額經濟損失、數據外移出境埋下國家安全隱患，這三種不同層面的數據安全問題都提升了合規的重要性和緊迫性。最後，合規是安全的底線，沒有合規就沒有安全。 己任律師事務所高級顧問薛律師表示，數據安全是企業合規的熱點和重點之一，但並非合規的全部。給企業形成重大風險的合規問題不只是信息和數據，還包括運營、反壟斷、反商業賄賂、出口管制等等。大家談合規，首先要知道“規”是什麼？我認爲沒有唯一的標準正確答案。 對於出海企業常見的合規問題，薛律師和曾垚都坦言其複雜性。隨後，薛律師依靠其專業和經驗從兩個維度歸納道： 第一個維度的合規是地域層面。出海企業需要遵守和符合境內法律，也要遵守東道國的法律法規。這個聽起來簡單，但其中較爲複雜也值得注意的部分是，外國對企業的“長臂管轄”。比方，GDPR不僅對出海企業在歐洲的子公司有約束力，同時也可能對國內總部基於域外管轄權而進行管轄。二是中國企業在海外收購或併購資產，企業不僅要在歐盟國申報經營者集中，同時也可能須在國內進行申報。 第二個維度的合規是不同監管領域。企業在海外營商，需要同時面對通用監管和行業監管。不只是普通商業經營資質，還需要行業認證、許可等要求。 曾垚表示認同，並以SaaS行業補充道， 美國對SaaS公司的起步合規要求是符合SOC2（Service Organizational Control），SOC2包含SOC 2 Type I和Type II，並含有不同模塊；之後如果SaaS企業要服務更大型的客戶，企業就需要進一步符合ISO等數據安全標準。因此，不同行業面臨不同的合規標準，且服務程度不同要求不同。 出海企業通用的合規觀和方法論 一方面，企業需要對合規建立更大的想象，另一方面，合規問題的顆粒度又很細小。面對如此龐雜的合規標準，企業如何做好合規呢？ Selefra聯合創始人曾垚表示，重中之重是出海企業要儘早建立合規意識和合規制度。越早有意識，越早去規劃，成本就越低。避免違規後，企業還需要把技術、架構、管理制度等一整套進行重建。 其次，提升企業技術上的“看見能力”，看見風險才能解決問題。企業要不斷的實施滲透測試、風險評估、利用第三方工具提前軟件評估等安全建設手段，提前找到風險，進而解決問題。並且市場上已經有非常多的標準化的合規自動化工具來幫助企業評估現狀了。 例如數據跨境問題，企業可以通過合規自動化工具和隱私計算兩種手段，來實現合規的境外訓練模型。 最後，爲了應對突發情況，企業一方面要謹防安全漏洞，另一方面，要時刻關注行業監管機構和同行的動向，儘早發現變化以便做些準備去應對。 結合與客戶合作的經驗，己任律師事務所高級顧問薛律師建議道， 首先，通過參考類“外規內化”的方法論，企業要建立一套內部的合規框架。出海企業瞭解完不同國家的法律後，可將這些不同國家的外規分拆成小的模塊或子域，並將其對應到企業內部的規章制度、政策文本等工具中。再通過信息技術，將這個流程信息化，以提升效率和準確性。 其次，設立有獨立性並可以直接向高級管理層反饋的合規人員。企業以技術和業務爲核心發展的同時，也需要有能爲運營、技術、業務部門提示紅線的專業合規人。 最後，爲了降低突發風險，企業需要有一套完整的應對流程。其中包含建立最初的框架性應急預案，部署基礎技術監控，打造及時發現問題機制，合規的調查這些問題，對調查結果進行處理，最後再反饋到應急機制中對框架進行完善。 面對這麼龐大的工程，中小企業能夠承擔這些合規成本麼？中小企業如何處理合規問題呢？ 對於這些問題，曾垚表示，爲了減少初創企業成本投入，Selefra針對SaaS初創企業開發了一個自動化梳理企業技術架構是否合規的工具，同時，Selefra正在和合作夥伴共同摸索一套標準化的模板表格來實現初創出海企業的安全管理和法律合規。另外，國外某些企業也提供每月幾萬美金的合規標準服務，能夠大大降低初創企業支出。 薛穎總結道，首先，不同規模的企業合規要求和限制不同，中小企業無需全盤參照大企業的合規要求，立法者爲了保障商業創新生態，會主動降低對中小企業的合規要求。 其次，在衆多法規中，中小企業要找到現階段跟企業最具相關性和緊迫性的合規標準，先做到這部分合規。不需要一次性全達標，按照輕重緩急分步驟完成即可。初創企業要建立匹配企業發展節奏的合規規劃。 如同兩位嘉賓都形成的共識，合規問題從來都不因公司規模大小而差異化出現，企業的第一要務是活着，而建立在合規的基礎上的業務往前衝纔是有意義的，否則存在某一天就“一鍵歸零”的風險，提前規避依然是最節省成本的措施。