2022年全球數(shù)據(jù)合規(guī)領(lǐng)域立法進(jìn)程取得長(zhǎng)足發(fā)展，各國(guó)建立健全數(shù)據(jù)戰(zhàn)略、法律法規(guī)和標(biāo)準(zhǔn)指南，統(tǒng)一立法、規(guī)范和引導(dǎo)數(shù)據(jù)安全及個(gè)人信息保護(hù)。

出海企業(yè)需遵守國(guó)內(nèi)及目標(biāo)國(guó)/地區(qū)數(shù)據(jù)立法規(guī)則，關(guān)注執(zhí)法案例和監(jiān)管動(dòng)態(tài)，在保護(hù)數(shù)據(jù)安全、挖掘數(shù)據(jù)價(jià)值、實(shí)現(xiàn)科技創(chuàng)新之間找平衡點(diǎn)。

超級(jí)科技將從2022年的全球數(shù)據(jù)立法和執(zhí)法代表事件出發(fā)，深入解讀數(shù)據(jù)合規(guī)要點(diǎn)并提出跨境企業(yè)合規(guī)建議。

2022年度全球數(shù)據(jù)立法事件回顧

（一）2022全球數(shù)據(jù)保護(hù)立法概覽

截止到2023年1月，全球194個(gè)國(guó)家中已有超過(guò)130多個(gè)國(guó)家對(duì)數(shù)據(jù)和隱私保護(hù)進(jìn)行了立法；大約 57% 的亞洲國(guó)家和 61% 非洲國(guó)家通過(guò)了數(shù)據(jù)保護(hù)立法。從全球范圍來(lái)看，數(shù)據(jù)合規(guī)保護(hù)立法是一個(gè)已經(jīng)定式的大局方向。企業(yè)在出海不同國(guó)家的時(shí)候，可以根據(jù)各國(guó)立法的維度，初判自己要進(jìn)入的國(guó)家、地區(qū)的數(shù)據(jù)監(jiān)管狀態(tài)是比較嚴(yán)格或是比較寬松的。

（二）2022全球八大數(shù)據(jù)立法事件

全球立法趨勢(shì)：以歐盟、美國(guó)立法為創(chuàng)新性風(fēng)向標(biāo)；其他各國(guó)結(jié)合本國(guó)情況，制定、修改本國(guó)法律規(guī)范，逐步完善法律框架。

1、美國(guó)《數(shù)據(jù)隱私和保護(hù)法案（草案）》：

盡管法案距離正式頒布還需一段時(shí)間，但該法案的草案是第一個(gè)獲得兩黨和兩院支持的美國(guó)綜合性聯(lián)邦隱私法案（草案）；旨在聯(lián)邦層面建立消費(fèi)者隱私數(shù)據(jù)保護(hù)法律框架，為美國(guó)消費(fèi)者提供了隱私權(quán)保護(hù)和有效的補(bǔ)救措施。

2、歐盟《數(shù)據(jù)法（草案）》：

《數(shù)據(jù)法（草案）》增強(qiáng)數(shù)據(jù)主體的數(shù)據(jù)可移植性權(quán)利，以便數(shù)據(jù)主體在提供競(jìng)爭(zhēng)服務(wù)的控制者之間傳輸其數(shù)據(jù)。該法案就數(shù)據(jù)共享、公共機(jī)構(gòu)訪問(wèn)、國(guó)際數(shù)據(jù)傳輸、云轉(zhuǎn)換等問(wèn)題做出規(guī)定，旨在消除數(shù)據(jù)訪問(wèn)障礙、釋放數(shù)據(jù)價(jià)值、確保數(shù)據(jù)經(jīng)濟(jì)參與者之間數(shù)據(jù)價(jià)值分配的公平性，并促進(jìn)數(shù)據(jù)的訪問(wèn)和使用。適用對(duì)象包括互聯(lián)產(chǎn)品的制造商、數(shù)字服務(wù)提供商和用戶等。

3、GDPR（歐盟《通用數(shù)據(jù)保護(hù)條例》）：

歐盟保護(hù)個(gè)人數(shù)據(jù)的法律。該條例旨在加強(qiáng)對(duì)歐盟境內(nèi)居民的個(gè)人數(shù)據(jù)和隱私保護(hù)并直接適用于歐盟各成員國(guó)。

GDPR 的適用范圍不限制企業(yè)實(shí)際數(shù)據(jù)處理行為是否在歐盟內(nèi)進(jìn)行，非歐盟成員國(guó)的企業(yè)（包括免費(fèi)服務(wù)）只要滿足下列兩個(gè)條件之一，就受到 GDPR 的管轄：

①處理歐盟居民個(gè)人數(shù)據(jù)的企業(yè)（無(wú)論該企業(yè)在何處）

②向歐盟國(guó)家的人民提供商品或服務(wù)的企業(yè)（無(wú)論該企業(yè)在何處）

4、韓國(guó)《個(gè)人信息保護(hù)法（修正案）》：

修正案更加明確地促進(jìn)數(shù)據(jù)主體權(quán)利并改進(jìn)了同意機(jī)制，引入數(shù)據(jù)主體享有數(shù)據(jù)攜帶權(quán)以及拒絕自動(dòng)化決策的權(quán)利、擴(kuò)大了“知情同意原則”的例外情形，旨在加強(qiáng)在數(shù)字經(jīng)濟(jì)大的背景下公民可能被削弱的個(gè)人信息權(quán)利。

5、日本《個(gè)人信息保護(hù)法（修正案）》：

修正案主要涉及六大方面：

1）數(shù)據(jù)主體的權(quán)利；

2）企業(yè)責(zé)任；

3）企業(yè)自我完善機(jī)制；

4）數(shù)據(jù)使用策略；

5）處罰；

6）該法案的域外適用性和數(shù)據(jù)的跨境傳輸。

此外，該修正案引入“需要特別注意的個(gè)人信息”、“個(gè)人相關(guān)信息”、“假名化信息”的概念；加強(qiáng)個(gè)人數(shù)據(jù)跨境傳輸中跨境傳輸方對(duì)數(shù)據(jù)主體的告知義務(wù)。該修正案旨在通過(guò)擴(kuò)大數(shù)據(jù)主體的權(quán)利和增加企業(yè)的義務(wù)來(lái)加強(qiáng)對(duì)個(gè)人信息的保護(hù)。

6、新加坡《個(gè)人數(shù)據(jù)保護(hù)法（修正案）》：

該修正案為新加坡的個(gè)人數(shù)據(jù)保護(hù)提供了基本準(zhǔn)則，補(bǔ)充特定行業(yè)的立法和監(jiān)管框架，如《銀行法》和《保險(xiǎn)法》，旨在保護(hù)數(shù)據(jù)主體的個(gè)人數(shù)據(jù)并且規(guī)范數(shù)據(jù)處理者的數(shù)據(jù)處理行為。

7、印度尼西亞《個(gè)人數(shù)據(jù)保護(hù)法》：

該法案規(guī)定了不當(dāng)處理公民個(gè)人數(shù)據(jù)的法律責(zé)任，保障數(shù)據(jù)主體的合法權(quán)利。印度尼西亞第一部系統(tǒng)的個(gè)人數(shù)據(jù)保護(hù)法案。

8、泰國(guó)《個(gè)人數(shù)據(jù)保護(hù)法》：

泰國(guó)第一部綜合數(shù)據(jù)保護(hù)法，規(guī)定了數(shù)據(jù)收集、使用和披露的合法理由，包括敏感的個(gè)人數(shù)據(jù)、控制者和處理者的義務(wù)，以及數(shù)據(jù)主體權(quán)利等。

2022年度全球數(shù)據(jù)執(zhí)法事件

1、概覽

（1）美國(guó)16家金融機(jī)構(gòu)未依法保存商業(yè)記錄案；

（2）美國(guó)T-Mobile公司泄露大量用戶信息案；

（3）Epic Games侵害未成年人隱私并使用暗黑模式案；

（4）Google和Meta非法收集個(gè)人信息并用于個(gè)性化廣告案；

（5）愛(ài)爾蘭Meta(Instagram)非法處理未成年人數(shù)據(jù)案；

（6）意大利Enel Energia 電氣公司不當(dāng)傳播個(gè)人信息并非法發(fā)送促銷廣告案；

（7）韓國(guó)Triple Comma非法處理敏感個(gè)人信息案；

（8）德意志銀行股份公司未依法建立數(shù)據(jù)合規(guī)體系案；

（9）中國(guó)某出行公司非法處理個(gè)人信息案；

（10）中國(guó)首例數(shù)據(jù)合規(guī)不起訴案。

（備注：非官方統(tǒng)計(jì)，團(tuán)隊(duì)結(jié)合罰款金額、處罰事由、國(guó)家及地區(qū)等因素進(jìn)行總結(jié)）

2、法律后果

（1）行政罰款：包含企業(yè)罰款和個(gè)人罰款，例如某出行公司案中，董事長(zhǎng)兼CEO、總裁各受處100萬(wàn)元人民幣。

（2）采取補(bǔ)救措施：停止違法行為；制定并落實(shí)安全保障措施計(jì)劃、建立數(shù)據(jù)合規(guī)體系；開展員工數(shù)據(jù)合規(guī)培訓(xùn)等。

（3）訴訟和解金：常見于美國(guó)訴訟和解案件。

（4）附加其他限制：其他限制包含過(guò)程性限制與結(jié)果性限制。

（過(guò)程性限制）某出行公司在受監(jiān)管調(diào)查過(guò)程中，被要求下架25余款app。

（結(jié)果性限制）法國(guó)CNIL對(duì)VOODOO公司施加三個(gè)月的禁令，并要求公司對(duì)該禁令帶支付每天20,000歐元的罰款。

（5）定期提交情況報(bào)告：例如，美國(guó)OCR要求Life Hope Labs定期提交整改情況匯報(bào)。

數(shù)據(jù)跨境如何做到合法合規(guī)

企業(yè)在發(fā)展到一定階段后，會(huì)考慮將業(yè)務(wù)版圖擴(kuò)展至境外（如印度、東南亞等國(guó)）。以我國(guó)的跨境電商企業(yè)為例，此類企業(yè)需注意我國(guó)及出海目標(biāo)國(guó)關(guān)于數(shù)據(jù)出境、數(shù)據(jù)跨境處理、數(shù)據(jù)本地化存儲(chǔ)的要求。不同出海國(guó)的法律規(guī)定將影響企業(yè)的合規(guī)部署計(jì)劃及落實(shí)方案。

超級(jí)科技經(jīng)過(guò)深入研究各國(guó)數(shù)據(jù)安全法律法規(guī)，研發(fā)了一系列數(shù)據(jù)安全產(chǎn)品，幫助尚未建立數(shù)據(jù)安全相關(guān)管理制度或機(jī)制的跨境企業(yè)，結(jié)合企業(yè)自身實(shí)際情況，分步推進(jìn)數(shù)據(jù)安全體系建設(shè)。

1、數(shù)據(jù)安全管理體系設(shè)計(jì)

數(shù)據(jù)安全管理是一項(xiàng)需要多方聯(lián)動(dòng)型的復(fù)合型工作，在開展組織架構(gòu)建設(shè)時(shí)，需要考慮組織層面實(shí)體的管理團(tuán)隊(duì)及執(zhí)行團(tuán)隊(duì)，同時(shí)也要考慮虛擬的聯(lián)動(dòng)小組，所有部門均需要參與安全建設(shè)當(dāng)中。同時(shí)，需要根據(jù)部門職責(zé)建立不同的數(shù)據(jù)安全角色以滿足數(shù)據(jù)安全建設(shè)的需求。

2、數(shù)據(jù)資產(chǎn)盤點(diǎn)與分類分級(jí)

超級(jí)科技的“超·視界”數(shù)字資產(chǎn)風(fēng)險(xiǎn)監(jiān)測(cè)平臺(tái)通過(guò)快速摸清家底的能力，自動(dòng)關(guān)聯(lián)數(shù)據(jù)與設(shè)備，準(zhǔn)確識(shí)別風(fēng)險(xiǎn)和漏洞，提供數(shù)字資產(chǎn)全可見、數(shù)字資產(chǎn)全維度、數(shù)字資產(chǎn)全監(jiān)測(cè)的能力。讓安全團(tuán)隊(duì)在做治理之前就能全面地識(shí)別資產(chǎn)與評(píng)估風(fēng)險(xiǎn)，參考風(fēng)險(xiǎn)修復(fù)建議，采取技術(shù)措施，降低風(fēng)險(xiǎn)發(fā)生的可能性。

超級(jí)科技的“超·藍(lán)圖”數(shù)據(jù)安全主動(dòng)治理平臺(tái)能夠?qū)τ脩魯?shù)據(jù)進(jìn)行自動(dòng)數(shù)據(jù)發(fā)現(xiàn)、敏感數(shù)據(jù)識(shí)別且可以使用系統(tǒng)內(nèi)置或用戶導(dǎo)入的法規(guī)標(biāo)準(zhǔn)進(jìn)行分類分級(jí)操作，生成數(shù)據(jù)資產(chǎn)目錄。

3、數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估

“超·自合”合規(guī)自動(dòng)化平臺(tái)依據(jù)《數(shù)據(jù)安全能力成熟度模型》標(biāo)準(zhǔn)，對(duì)用戶組織數(shù)據(jù)全生命周期的安全能力進(jìn)行評(píng)估，通過(guò)評(píng)估項(xiàng)目的實(shí)施，根據(jù)被評(píng)估單位的安全能力狀況，給出評(píng)估結(jié)果并提出整改建議。

“超·自合”合規(guī)自動(dòng)化平臺(tái)能根據(jù)自評(píng)內(nèi)容生成安全計(jì)劃清單，一站式生成計(jì)劃執(zhí)行報(bào)告，確保企業(yè)能夠?qū)崿F(xiàn)如下目標(biāo)：

1、可以確保企業(yè)數(shù)據(jù)的機(jī)密性、完整性和可用性。

2、可以提供審計(jì)跟蹤，以建立問(wèn)責(zé)制并授權(quán)取證分析。

3、可以處理數(shù)據(jù)主體的擦除請(qǐng)求和其他請(qǐng)求。

4、平臺(tái)擁有完整的合規(guī)流程及全自動(dòng)收集證據(jù)功能，可快捷輕松地完成SOC2、HIPAA、GDPR、ISO27001等多項(xiàng)合規(guī)要求。

4、數(shù)據(jù)全生命周期安全保護(hù)

數(shù)據(jù)全生命周期安全保護(hù)是指平臺(tái)保障數(shù)據(jù)在其全生命周期流轉(zhuǎn)中，每一個(gè)環(huán)節(jié)所必須提供的安全功能，包括數(shù)據(jù)產(chǎn)生(收集)安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲(chǔ)安全、數(shù)據(jù)使用安全、數(shù)據(jù)刪除安全和數(shù)據(jù)銷毀安全。

5、數(shù)據(jù)安全態(tài)勢(shì)運(yùn)營(yíng)

隨著數(shù)據(jù)安全管控手段的逐步完善，超級(jí)科技的數(shù)據(jù)安全態(tài)勢(shì)運(yùn)營(yíng)能將數(shù)據(jù)安全管控日?；?，在持續(xù)使用中完善并優(yōu)化數(shù)據(jù)安全管控的措施和策略，從而令前期對(duì)數(shù)據(jù)安全能力建設(shè)的投入發(fā)揮更大的能效價(jià)值。

超級(jí)科技是一家專注于信息安全領(lǐng)域的高新企業(yè)，由陸兆禧先生領(lǐng)投。公司聚集了一批國(guó)內(nèi)頂尖的安全專家，以安全大數(shù)據(jù)為基礎(chǔ)，以AI深度學(xué)習(xí)能力為驅(qū)動(dòng)，首創(chuàng)了國(guó)內(nèi)首個(gè)分布式安全防御系統(tǒng)。公司深耕數(shù)據(jù)安全領(lǐng)域，研發(fā)了一系列數(shù)據(jù)安全防護(hù)產(chǎn)品。

超級(jí)科技旗下?lián)碛袛?shù)據(jù)安全、網(wǎng)絡(luò)安全、安全服務(wù)、超級(jí)云（阿里云、華為云戰(zhàn)略合作伙伴）等一系列云+安全防御產(chǎn)品。公司在北京、武漢、貴陽(yáng)等地設(shè)有分公司，在深圳、成都、長(zhǎng)沙、南京、南昌、廈門等地建立了辦事處。公司為近1000家政企客戶提供安全服務(wù)。如果你想進(jìn)一步了解超級(jí)科技，關(guān)注【杭州超級(jí)科技】公眾號(hào)，咨詢數(shù)據(jù)安全產(chǎn)品！