腾讯破解企业出海难题：手把手搭新形势下企业安全防护体系

出海企业的安全密码-安全与合规目录

Menu

中企出海数据合规问题背景与挑战企业出海数据合规能力体系化建设基于腾讯云的出海数据合规解决方案中企出海，合规不是选择题，是“必修课”！是不可逾越的

“底线”

与

“入场券”合规是

“隐形门槛”——

缺了它，进不了目标市场合规是

“风险盾牌”——

没了它，巨额罚款、业务停摆随时可能来合规更是

“信任基石”——

丢了它，客户、投资方都会远离前

言01.

中企出海数据合规问题背景随着全球宏观环境的变化和竞争加剧，中国企业的出海之路借助自身优势实现高速增长中国丰富、健全的产业配套，以及在移动互联网、新能源等赛道的领跑优势，能够帮助中国企业在发展中市场降维打击，在发达市场抢占价值链中更有利的环节，甚至实现弯道超车。面临外部挑战谋求经营韧性全球经济和市场坏境发生变化，受“去中国化”、

“中国+1”等产业链政策影响，部分中国企业可能面临上游供应掣肘、下游客户流失等挑战，生存受到威胁，必须考虑走出去。中国企业出海投资额在持续增多，海外投资占全球

≥

10%近年来，中国企业加速深化国际化战略，通过主动出海、多样化布局加速国际化进程，在全球范围内进行资源配置与优化的同时，也推动全球产业链伙伴合作共赢，2022年中国对外直接投资总额已达到1700亿美元，连续多年问居世界第二大对外投资国2004-2024年中国对外直接投资额及全球份额2004-2024年中国对外直接投资流量企业全球化发展可分为四个阶段，有出海需求的客户多处于第二和第三阶段全球化布局“快速全面扩张”全球整合运营“高质量发展”阶段特点在国外市场建立销售办事处或合作关系海外销售在公司销售总额中占比很小（<5%*）跨国业务布局“突破重点市场”增加在重点市场的投资，发展部分价值链环节海外销售在公司销售总额占比加大（10%-15%*）在特定市场业绩快速成长在重点国家和地区形成完整企业价值链海外销售逐步成为公司业务增长和利润的重要来源（15%-50%*）在特定市场树立品牌形象海外销售和利润在公司收入总额中占比很大（>50%*）品牌受到全球客户的认可逐渐搭建全球合作生态和跨国公司文化业务侧重点主要目标是增加销售额，而不是国际化通过国内销售提供国际化投资的资金国际化运作在制造、供应链等方面只发生细微变化国际化被视为公司整体战略的一部分重要战略举措为支持国际化配置资金开展投并购在新市场中建立销售渠道、制造基地、供应链能力全球化成为公司战略关键组成部分，开展大量投资探索新的业务模式开始构建全球化管理体系搭建全球性/区域性供应网络及运营模式目标是成为可持续的领先全球化企业，获取海外资本来源（如海外IPO）明确有效的全球公司治理根据能力中心布局在全球范围内分解经营活动阶段痛点出海决心不坚定不了解海外市场缺乏支撑海外发展的国际化人才出海战略共识不充分不了解海外市场，海外战略只有意图、方向模糊缺乏海外品牌知名度缺乏拓展海外业务必要的管理配套和合规运营基础“一国一策”导致重复建设和效率低下海外业务运营复杂度高，亟需全面升级运营体系品牌高端化升级困难全球化合规运营亟需升级在全球范围内保持可持续、高质量、高效率的成长与运营成为挑战海外贸易初期“出海热身”海外经营数据范围和数据规模急剧增长由于普遍缺乏出海经验，大部分中国企业在出海过程中都面临五大共性挑战在复杂多变的国际市场中，要想成功站稳脚跟，出海企业必须直面问题和痛点，灵活调整战略、业务和运营体系，守住合规底线，这已成为企业能否持续发展并实现全球化的关键所在。战略意图缺乏共识“外部环境严峻，为什么还要国际化”、“海外市场是必争之地，还是国内市场的补充”？业务设计水土不服运营体系支撑不足“通过何种渠道拓展”、“本土供应还是国内供应”、“产品组合有何不同”？总部对海外“管多少、怎么管”？海外数字化的管控模式、架构、部署方式等没有提前规划，随业务需求自由建设，等发现架构等问题时再花代价改造、整合数字化建设后知后觉各种贸易管制以及来自不同法域的法律、政策、经济和文化上的差异，以及数据跨境流动，底线和边界在哪里？如何确保海外信息在符合各国监管规范的前提下有序流动？合规底线复杂多变中国出海企业全球范围内的经营管理面临着前所未有的数据合规挑战，数据合规紧迫性与必要性日益凸显巨额罚款违规企业可能面临当年全球年营业额的4%的巨额罚款。近期中资企业在海外被处罚的事件：TikTok被处罚3.45亿欧元；阿里在韩国被处罚20亿韩元；某汽车新势力在欧盟被处罚10亿欧元，某国内手机厂商在墨西哥因未经同意收集个人数据被处罚100万美元声誉受损违规企业可能受到监管机构的警告，以及来自客户和经销商的信任受损禁止处理数据，业务中断监管机构有权力临时或永久限制或禁止违规企业的数据处理活动巴西数据保护法印度尼西亚个人数据保护法美国CCPA、HIPAA、GLBA、COPPA、CAN-SPAM、Privacy

Shield加拿大PIPEDA墨西哥个人数据保护联邦法阿根廷个人数据保护法(2020)、信息保密法智利私生活保护法南非个人信息保护法(POPIA)瑞士联邦数据保护法案英国数据保护法俄罗斯个人数据联邦法中国民法典、个人信息保护法、数据安全法韩国个人信息保护法日本个人信息保护法澳大利亚隐私法、反垃圾邮件法菲律宾数据隐私法新加坡个人数据保护法欧盟通用数据保护条例安哥拉个人数据保护法

(LPDP)印度个人数据保护法案肯尼亚数据保护法DataProtection

Act哈萨克斯坦个人数据保护法乌兹别克斯坦个人数据保护法在全球230多个国家(地区)中，已经有超过135个国家(地区)出台数据保护法，其中大多数制定了跨境数据流动法律或政策忽视数据安全合规风险与挑战，可能导致：H&M因侵犯员工隐私被处罚3500万欧元面临长时间的监管调查，声誉严重受损亚马逊因数据隐私泄露被处罚款7.46亿欧元监管执法力度和处罚额度呈现上升趋势02.企业出海数据合规能力体系化建设跨境合规实施路径数据跨境合规“6步法”包括短期速赢方案和长效机制建立速赢方案：快速实施数据合规方案，满足监管要求，助力海外业务拓展长效机制：体系化、企业级的视角，建章立制，提供技术落地工具包，建立起常态化的评估流程、工具和模版，不同类型/场景的跨境合规要求明确主要的数据管控对象，如个人信息和重要数据等排查数据跨境场景，梳理数据流转路径梳理目标国家/地区的数据监管要求开展数据合规适用性分析，进行外归内化分析跨境监管规则，跟踪监管动态制定数据安全合规与风险评估模型识别合规差距与安全威胁评估数据安全风险与差距2.

梳理数据合规场景1.识别数据合规要求3.评估数据合规差距数据安全体系落地建设建立常态化的数据出境评估流程、工具和工作模版等数据安全自评估、PIA、TIA、TRA等伴随服务4.

合规差距修复5.

报告与备案6.建立长效机制合同协议：协议优化、个人信息主体同意授权、出境管理制度完善等管理：数据分类分级、DSR通道管理、数据审批流程与权限管理、数据合规审计等技术：隐私合规自动化、本地化存储、存储加密、传输加密、脱敏、去标识化等根据整改后的情况协助公司出具出境风险自评估报告或直接出具个人信息保护影响评估报告根据数据出境的适用类型，协助准备监管申报材料业务所在国家/地区的数据合规监管要求分析深入理解业务所在目标国家在数据跨境方面的法律法规，包括数据类型、跨境评估、适用和豁免条件等方面识别法律法规对于数据跨境监管的在数据处理各个阶段的要求，以及数据对象个人信息、敏感个人信息、重要数据或其他数据等对要求进行解读形成数据跨境合规库，作为后续开展评估的基础中国…美国、日本、欧盟、英国……宽松无本地化+自由出境无本地化+多样化出境条件无本地化+审核出境本地化存储+多样化出境条件本地化存储+审查出境严苛本地化存储+限制出境数据出境监管力度美国正在撤回其主张个人数据跨境自由流动，2024年3月，美国众议院通过《保护美国人数据免受外国对手侵害法案》。该法案禁止数据经纪人将美国人的敏感个人数据提供给外国敌对国家或受其控制的实体等英国《数据保护和数字信息法案》更新了个人数据出境的规定，能否进行个人数据跨境取决于是否得到了“充分性”认可。

TRA是英国开展的数据转移风险评估俄罗斯《个人信息保护法》规定，要求数据首次存储必须在俄罗斯境内服务器上；白名单国家制度，允许数据在法律规定范围内跨境流动中国《数据安全法》和《个人信息保护法》规定通过网信部门组织的安全评估、个人信息出境标准合同备案和个人信息保护认证三个维度的具体落实办法，数据跨境流动管理制度的具体实施路径了解各国在数据跨境流动方面的管控对象聚焦监管关注的数据资产类型如个人敏感信息和重要数据。各国的数据保护法严苛程度和执法力度不尽相同，但部分地区有共通之处，可通过梳理归类分级应对。01

地域适用范围对哪些地区生效02

个人适用范围对哪些人员生效03

个人信息适用范围对哪些个人数据生效个人信息保护法律法规个人信息保护法的域外适用是指将一国的执法效力扩展至数据所在国。在全球范围内扩大本国/本地区的数据保护法律的域外效力已成为立法趋势。长臂管辖分类分级大部分国家的数据保护法律法规中都会对特殊类型的数据提出了特殊的处理规则。企业在处理个人信息时，需对特殊类型数据进行识别。中国《个保法》敏感数据：生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等GB/T35273《信息安全技术

个人信息安全规范》

附录B敏感数据类型举例个人财产信息银行账号、鉴别信息(口令)、存款信息（包括资金数量、支付收款记录等）、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等，以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息个人健康生理信息个人因生病医治等产生的相关记录，如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等，以及与个人身体健康状况产生的相关信息等个人生物识别信息个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等个人身份信息身份证、军官证、护照、驾驶证、工作证、社保卡、居住证等其他信息性取向、婚史、宗教信仰、未公开的违法犯罪记录、通信记录和内容、通讯录、好友列表、群组列表、行踪轨迹、网页浏览记录、住宿信息、精准定位信息等欧盟种族或民族血统、政治观点、宗教或哲学信仰、工会会员资格、遗传数据、生物特征识别数据（用于唯一识别自然人）、健康、性生活或性取向、与犯罪定罪和犯罪有关的个人数据美国加人种与民州族信息、宗教信仰、工会会员信息、个人联系方式、与身份相关的信息（例如ID卡，社保卡信息）、遗传数据、生物特征、健康信息包含能联系到特定家庭的信息。泰国与种族、民族血统、政治观点、宗教或哲学信仰、犯罪记录、健康数据、残疾、工会信息、遗传数据、生物识别数据等印度财务数据、健康数据、官方标识符、性生活、性取向、生物识别数据、遗传数据、变性状态、种姓或部落、宗教或政治信仰等等。国标个人敏感数据海外个人敏感数据识别企业数据合规管理覆盖的业务领域与数据资产特别是个人数据分布数据安全合规管理贯穿在价值流的各个环节，覆盖各个业务领域，并于与业务支撑系统进行同步分析、同步开发、同步上线价值流从策划到产品订单到交付交付到再购产品到订单业务能力服务运营服务交付服务策略规划销售需求预测整车运输整车质量放行质量管理资产管理风险与合规采购管理业务变革与信息技术经营控制/财务管理人力资源安全/保密需求平衡订单执行订单处理生产制造客户之旅合作伙伴之旅客户供应商合作伙伴员工客户期望及需求研究与探索考虑决策与购买使用与升级服务与关怀重复购买用户推荐厂家选择产品选择预测下单收货零售付款激励能力准备方案构建市场营销交易服务交付选择合作盈利晋升供应商之旅制定服务战略规划制定服务策略服务准备 提供服务收集服务评价并改善洞察分析规划与策略制定营销管理销售管理创新点产生产品战略产品定义方案设计生产准备及验证搭接生产与上市产品生命周期管理开发与验证方案开发批量开发生态规划生态开发生态运营合作伙伴发展与管理成果转化/迁移研发生产供应链营销（含使用）服务&运营服务交付开展影响评估：数据保护影响评估和跨境传输影响评估本页以数据跨境流动场景为例，除此之外还有隐私数据保护场景，个人数据共享场景等等。中国作为数据出境方的合规评估中国作为数据接收方的合规评估依据《网络安全法》、《数据安全法》、《个人信息保护法》、《数据出境安全评估办法》、《个人信息出境标准合同备案指南（第二版）》、《数据出境安全评估申报指南（第二版）》，GDPRDPIA，TIA等1.数据保护水平符合出境国充分性决定要求，则无需审批即可传输充分遵守出境国规定的原则、数据主体权利和数据保护制度，包括但不限于与出境国签订标准合同条款（SCCs）与出境国实体签署有约束力的公司规则（BCRs）获批的行为准则（CoC）获批的认证机制基于特定情况的传输获得数据主体明确同意企业与数据主体签订、履行合同之必要条件为公共利益目的或行使法律诉求2.出境路径判断3.1. 数据出境风险自评估

–

适用于满足《办法》中要求的需向网信部门等相关部门申报数据出境安全评估的情形1.作为数据接收方，首先确保数据处理符合中国法律法规要求合规2.按出境国跨境规则，签署标准合同条款SCCs要点2. 个人信息保护影响评估（PIA）-

适用于向境外提供个人信息的情形3.按出境国跨境规则，明确告知数据主体其数据将如何被适用和保护4.实施适当的技术措施保障数据免受未授权访问、泄露或篡改等评估重点数据出境合法、正当、必 个人信息主体告知同意 个人信息与重要数 合同协议 制度体系要性 据情况数据出境后被泄露、销毁、篡改等风险 可能对国家安全、社会公共利益、个人合法利益带来的风险监控审计 应急管理数据接收方安全保护措施与环境加密传输数据脱敏去标识化 身份鉴别 访问控制数据源鉴别 自动化工具评估方法远程访谈+调研表+资料收集建立长效机制场景数据跨境流动第三方数据处理数据交易数据合作共享……驱动监管政策威胁环境行业实践个人权益主张赋能赋能安全合规目标、原则基础安全技术网络边界防护网络通信安全密码服务数据防泄漏数据备份与恢复数据脱敏身份认证与访问控制数字水印数据安全交换系统安全云安全端点安全数据资产分类分级数据安全合规运营数据安全合规组织组织架构与治理模式DPO/合规负责人 人员安全岗位职责 人员意识与技能收集Cookie偏好管理用户同意管理删除数据留存数据删除去标识化(脱敏)数据访问控制数据水印数据防泄漏数据分类分级数据安全合规管理制度策略管理办法流程、基线、指南、规范、模版、表单等政策、法规与案例输入产品经理翻译供应链安全合规管理合规控制左移法务或律师顾问翻译基础属性类工控类应用服务类用户个人数据数据生命周期安全合规防护数据生命周期安全合规传输 存储 使用加密通道传输 隔离存储数据加密传输 加密存储完整性校验

数据备份数据安全合规体系包括企业级基础安全合规能力以及产品生命生命周期安全合规管理能力设计，以全球建立统一的安全合规框架：数据安全合规基线管理数据安全合规评估与审计数据安全合规风险监测数据安全事件应急响应数据主体请求管理数据主体授权管理数据处理活动记录隐私合规认证数据合规管理系统业务负责人翻译开发与技术翻译生产制造管理员工个人数据物流供应链零部件数据研发设计测试数据诊断数据故障状态数据级别03.基于腾讯云的数据合规解决方案腾讯云出海数据合规解决方案全景海外监管机构梳理各国数据本地存储与数据出境解读海外各国数据合规法条梳理海外数据合规违规案例解读与参考数据合规与管理流程建议数据合规运营体系建议数据合规管理组织建议数据合规技术架构设计各主要出海行业场景化数据合规解读全球基础设施覆盖保障全球合规资质权威认证完善的数据安全与用户隐私保护制度与设计数据合规领域灵活完整的产品矩阵法条解读专业化咨询方案可落地技术方案场景化行业方案纵深化AIGC合规可实践数据传输数据采集数据存储数据使用数据共享留存与销毁访问、纠正、擦除、限制处理、可移植、反对、撤销同意、否定自动化分析与决策、泄漏通知、投诉数据主体权利腾讯云全球合规资质合规性是腾讯云发展的基础，腾讯安全助力腾讯云满足不同行业、领域、国家的合规性要求，全力打造值得客户信赖的云服务。目前，腾讯云已通过400+国内外权威认证，通过韩国、新加坡、美国、德国、欧盟五大国家及地区的最高安全资质认证，信息安全管理体系建设获得中国、英国和意大利等国家认可委员会的认可。更多：ISO

29151

个人身份信息保护实践指南腾讯云提供了恰当的信息安全风险管理环境用于个人身份信息的保护，同时满足行业最佳实践ISO

27001

信息安全管理体系认证腾讯云是国内首家同时获得ISO27001:2013CNAS和UKAS国内外双认可的云计算服务商ISO27018

公有云个人信息保护认证腾讯云致力于保护每个客户的个人信息，构建完善的个人信息管理体系，采用各种技术手段保护用户个人信息HIPAA

法案腾讯云发布HIPAA法案自评估报告，体现了腾讯云对于云上个人健康信息的保护能力CSA

STAR云安全管体系认证CSA

STAR是针对云安全特性的一项国际性认证，腾讯云以金牌等级通过了STAR认证MPAA

美国电影协会腾讯云已通过自评估的方式确保对客户内容的管理程序遵守美国