随着防疫政策的优化,2023年出海企业开始加速海外业务,此前,浙江、四川、广东、江苏等地*都纷纷出手“包机出海抢订单“。而伴随着企业的全球业务拓展,数据跨境活动日益频繁,跨境数据的安全风险也日益凸显,中国企业出海热潮持续高涨,企业出海抢占订单的同时,随着各项业务发展和办公需要,如何在满足其数据跨境需求的前提下实现合规,是很多企业关注的议题。
数据跨境活动的政策和法规背景
在国家制度层面,数据跨境流动给国家安全和公共利益带来的风险使许多国家实施数据本地化策略。在企业数据合规层面,企业开展数据跨境活动时,既面临合规要求众多的问题,也存在合规要求可能冲突带来的隐患。企业需同时考虑数据输出地和输入地的数据跨境规则,存在“双向合规”的困难。根据TC260-PG-20212A《网络安全标准实践指南-网络数据分类分级指引》的定义,凡是涉及以下信息的数据,在进行跨境数据传输时,都需要进行风险识别和相关的控制措施。
为了规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、*流动,国家网信办公布《数据出境安全评估办法》(简称《办法》),自今年9月1日起施行。
《办法》明确了4种应当申报数据出境安全评估的情形:一是数据处理者向*提供重要数据。二是关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向*提供个人信息。三是自上年1月1日起累计向*提供10万人个人信息或者1万人敏感个人信息的数据处理者向*提供个人信息。四是国家网信部门规定的其他需要申报数据出境安全评估的情形。
那么企业如何进行合规跨境数据流动?
一方面需要了解监管规则和跨境数据合规的管理重点,一方面需要快速构建安全合规、数据安全有保障、跨国传输方便的IT体系和一个有效的工具。
联想Filez分级分类识别敏感信息
而在数据出境的过程中我们需要把这些涉及隐私的信息进行标识,对于上传到联想Filez数据中可以通过数据泄露防护(DLP)系统定义和识别指定目录下含有敏感信息的文件,跨境企业可以迅速找出敏感数据,对这些数据进行跨境传输、分享、下载的操作时触发审批。命中了敏感信息识别规则的文件,会自动删除至管理员回收站。这样企业不仅可以知道上传的文件中哪些是敏感信息哪些不是,同时帮助企业规避敏感数据跨境传输的风险。
多重审批机制,合规传输文件
企业可以制定更加细致的审批策略,不仅是针对某一些文件,而是针对部门、文件夹、目录、个人等,在数据出境过程中多重审批,保障文件合规传输。联想Filez创建对内审批流程的同时,向*机构发送涉密文件链接也需要审批。
发送接收环节既要身份认证
又要兼顾隐私声明
数据在跨境传输的过程中,数据接收方和数据发出方都应当充分知晓涉及身份信息的数据的处理原则。在发送业务数据给到合作伙伴的时候,发送者应该知晓其中的合规风险,是否需要要求对方进行身份信息认证。而接收方也要对输入的身份认证信息的隐私处理原则进行确认。联想Filez的隐私合规声明可以帮助用户在海外业务开展过程中降低隐私合规风险。
日志审计追溯,快速筛查记录
任何用户在联想Filez中进行的任何操作都将被系统一一记录,形成完整的审计日志,通过灵活的搜索与筛选,快速高效的进行行为审查和事后追溯。此外,日志能够自动归档,大幅降低了日志丢失造成的损失。可以通过动态监测和日志看到员工的上传、下载、登录、预览、外发链接文件,创建文件夹等操作,并且可以通过创建时间、操作类型、操作者查询员工相关操作。
随着企业出海进程的加快,企业会遇到各种各样数据出境合规问题,企业必须直面迎接数据出境合规带来的挑战,联想Filez帮助企业落地数据出境合规管控体系,搭建多维度、灵活可监测的跨境数据合规跨国高速传输平台。