3月23日����,TikTok首席執(zhí)行官周受資出席美國眾議院能源和商務委員會聽證會���,就TikTok在美國涉及的合規(guī)問題進行答疑,這次聽證會毫無懸念地成為了全球的“焦點時刻”���。
(圖片來自視覺中國)
【資料圖】
今年以來��,全球10億月活用戶的TikTok已經(jīng)風波不斷���。先是美國聯(lián)邦政府禁止所有政府設備安裝TikTok�,而后加拿大�、英國和歐盟政府陸續(xù)要求刪除該國政府部門設備中的TikTok。拜登更是要求TikTok出售字節(jié)擁有的所有股份�����,否則將全面禁止TikTok在美國運營�����。
這一系列事件的發(fā)酵�,讓諸多媒體將焦點對準此次TikTok出席聽證會。如歐美多家媒體報道��,“在長達5小時的質(zhì)詢中�,出席現(xiàn)場的周受資并沒有得到太多陳述和回應的機會,更像是配合美國議員們的表演”�。
然而,穿過這場“表演”背后��,值得被關注的核心之一是中國出海企業(yè)如何規(guī)避合規(guī)紅線與數(shù)據(jù)安全問題?���;趯@兩個潛藏風險的關注以及如何躲避這些坑,鈦媒體旗下「出海參考」邀請北京己任律師事務所高級顧問(合伙人級)薛穎律師�����,Selefra/火線安全聯(lián)合創(chuàng)始人曾垚���,分別從法律和技術(shù)角度進行交叉式討論�,就TikTok聽證會����、企業(yè)出海合規(guī)和數(shù)據(jù)安全進行解讀和分析。
TikTok聽證會背后的數(shù)據(jù)主權(quán)之爭
北京己任律師事務所高級顧問薛律師分析道���,美國大選的周期性和中美關系的持續(xù)膠著�����,增添了TikTok聽證會的政治性因素��。但聽證會本身并不是正式的司法或行政調(diào)查程序�����,并不直接對TikTok在美運營形成法律后果���,但長遠看,本次聽證會收集的信息和對兩黨及民眾心理和情緒的影響�,將可能影響針對TikTok相關法案出臺。
隨著美國民眾對互聯(lián)網(wǎng)給公共利益帶來潛在損害的擔心日益增強�,對公共利益的“損害”以及帶給美國社會的負面影響,美國政府越來越關注數(shù)據(jù)對美國選舉�、國家安全方面的影響,以及科技企業(yè)的數(shù)據(jù)隱私與安全�����、虛假信息等問題�。她補充道,美國社會對科技潛在風險形成新共識�����,政府也在逐步加強對科技巨頭的監(jiān)管�。近些年,谷歌����、蘋果��、Facebook和亞馬遜等公司CEO����,都曾就相關信息安全問題在聽證會上進行答疑���。
由此看�,去除政治性因素��,TikTok出席聽證會體現(xiàn)了美國對信息安全和數(shù)字經(jīng)濟下新型合規(guī)問題的持續(xù)關注����。
Selefra聯(lián)合創(chuàng)始人曾垚從技術(shù)角度補充道,本次聽證會中�����,TikTok涉及的跨境數(shù)據(jù)處理是核心敏感問題之一���?���?缇硵?shù)據(jù)處理是典型且常見的違規(guī)事件。出海企業(yè)需要完成海外線上問題處理���、故障調(diào)試����、模型訓練等操作�,一定要去數(shù)據(jù)所在國進行處理�����,否則就會導致違規(guī)行為���。
TikTok此事���,數(shù)據(jù)生產(chǎn)地在美國,數(shù)據(jù)處理原則上也需要合規(guī)的在美國進行���。如果企業(yè)跨境處理美國數(shù)據(jù)是極其敏感的��。不僅是美國��,歐洲和中國也在近期出臺跨境數(shù)據(jù)處理的相關規(guī)定�����。
據(jù)「出海參考」統(tǒng)計��,全球已經(jīng)有132個國家制定了相應法律來保護數(shù)據(jù)和隱私安全�����。TikTok聽證會也反映出��,數(shù)據(jù)已經(jīng)成為后全球化時代的高敏感問題���,數(shù)據(jù)主權(quán)會成為出海企業(yè)安全紅線����。
(圖片來自視覺中國)
數(shù)據(jù)安全之外��,出海企業(yè)還需繞過哪些合規(guī)“坑”
數(shù)據(jù)跨境傳輸并不是默認被禁止���,立法者在乎的是是否違規(guī)出境�����。己任律師事務所高級顧問薛律師回應道��。數(shù)據(jù)應加以保護����,制度工具亦有一定的靈活性。出海企業(yè)如何界定和踐行合規(guī)�����?數(shù)據(jù)安全之于合規(guī)的意義是什么���?
面對這些問題,Selefra聯(lián)合創(chuàng)始人曾垚談道��,首先�,數(shù)據(jù)已經(jīng)不是互聯(lián)網(wǎng)獨有的資產(chǎn),是所有行業(yè)都擁有的資產(chǎn)��。因此數(shù)據(jù)安全問題也是所有行業(yè)要面臨的問題�����。其次�����,個人隱私泄漏導致人身安全風險、黑客攻擊帶給企業(yè)巨額經(jīng)濟損失�、數(shù)據(jù)外移出境埋下國家安全隱患,這三種不同層面的數(shù)據(jù)安全問題都提升了合規(guī)的重要性和緊迫性�����。最后�,合規(guī)是安全的底線,沒有合規(guī)就沒有安全�����。
己任律師事務所高級顧問薛律師表示���,數(shù)據(jù)安全是企業(yè)合規(guī)的熱點和重點之一�����,但并非合規(guī)的全部�。給企業(yè)形成重大風險的合規(guī)問題不只是信息和數(shù)據(jù)�,還包括運營、反壟斷��、反商業(yè)賄賂、出口管制等等���。大家談合規(guī)�����,首先要知道“規(guī)”是什么�����?我認為沒有唯一的標準正確答案��。
對于出海企業(yè)常見的合規(guī)問題�����,薛律師和曾垚都坦言其復雜性。隨后����,薛律師依靠其專業(yè)和經(jīng)驗從兩個維度歸納道:
第一個維度的合規(guī)是地域?qū)用妗3龊F髽I(yè)需要遵守和符合境內(nèi)法律�����,也要遵守東道國的法律法規(guī)。這個聽起來簡單���,但其中較為復雜也值得注意的部分是���,外國對企業(yè)的“長臂管轄”。比方��,GDPR不僅對出海企業(yè)在歐洲的子公司有約束力���,同時也可能對國內(nèi)總部基于域外管轄權(quán)而進行管轄��。二是中國企業(yè)在海外收購或并購資產(chǎn)���,企業(yè)不僅要在歐盟國申報經(jīng)營者集中,同時也可能須在國內(nèi)進行申報�����。
第二個維度的合規(guī)是不同監(jiān)管領域����。企業(yè)在海外營商,需要同時面對通用監(jiān)管和行業(yè)監(jiān)管�����。不只是普通商業(yè)經(jīng)營資質(zhì),還需要行業(yè)認證����、許可等要求。
曾垚表示認同��,并以SaaS行業(yè)補充道�, 美國對SaaS公司的起步合規(guī)要求是符合SOC2(Service Organizational Control),SOC2包含SOC 2 Type I和Type II��,并含有不同模塊���;之后如果SaaS企業(yè)要服務更大型的客戶����,企業(yè)就需要進一步符合ISO等數(shù)據(jù)安全標準�。因此����,不同行業(yè)面臨不同的合規(guī)標準,且服務程度不同要求不同���。
出海企業(yè)通用的合規(guī)觀和方法論
一方面��,企業(yè)需要對合規(guī)建立更大的想象��,另一方面����,合規(guī)問題的顆粒度又很細小。面對如此龐雜的合規(guī)標準�,企業(yè)如何做好合規(guī)呢?
Selefra聯(lián)合創(chuàng)始人曾垚表示���,重中之重是出海企業(yè)要盡早建立合規(guī)意識和合規(guī)制度�。越早有意識�����,越早去規(guī)劃�,成本就越低。避免違規(guī)后���,企業(yè)還需要把技術(shù)���、架構(gòu)����、管理制度等一整套進行重建���。
其次��,提升企業(yè)技術(shù)上的“看見能力”��,看見風險才能解決問題���。企業(yè)要不斷的實施滲透測試、風險評估����、利用第三方工具提前軟件評估等安全建設手段,提前找到風險�����,進而解決問題��。并且市場上已經(jīng)有非常多的標準化的合規(guī)自動化工具來幫助企業(yè)評估現(xiàn)狀了�。
例如數(shù)據(jù)跨境問題�����,企業(yè)可以通過合規(guī)自動化工具和隱私計算兩種手段,來實現(xiàn)合規(guī)的境外訓練模型��。
最后���,為了應對突發(fā)情況�����,企業(yè)一方面要謹防安全漏洞���,另一方面,要時刻關注行業(yè)監(jiān)管機構(gòu)和同行的動向�����,盡早發(fā)現(xiàn)變化以便做些準備去應對���。
結(jié)合與客戶合作的經(jīng)驗�����,己任律師事務所高級顧問薛律師建議道����,
首先,通過參考類“外規(guī)內(nèi)化”的方法論���,企業(yè)要建立一套內(nèi)部的合規(guī)框架�。出海企業(yè)了解完不同國家的法律后�,可將這些不同國家的外規(guī)分拆成小的模塊或子域,并將其對應到企業(yè)內(nèi)部的規(guī)章制度�����、政策文本等工具中�����。再通過信息技術(shù)��,將這個流程信息化�����,以提升效率和準確性���。
其次����,設立有獨立性并可以直接向高級管理層反饋的合規(guī)人員��。企業(yè)以技術(shù)和業(yè)務為核心發(fā)展的同時����,也需要有能為運營、技術(shù)�����、業(yè)務部門提示紅線的專業(yè)合規(guī)人��。
最后�,為了降低突發(fā)風險,企業(yè)需要有一套完整的應對流程�。其中包含建立最初的框架性應急預案,部署基礎技術(shù)監(jiān)控����,打造及時發(fā)現(xiàn)問題機制,合規(guī)的調(diào)查這些問題�,對調(diào)查結(jié)果進行處理,最后再反饋到應急機制中對框架進行完善。
面對這么龐大的工程��,中小企業(yè)能夠承擔這些合規(guī)成本么�?中小企業(yè)如何處理合規(guī)問題呢?
對于這些問題�,曾垚表示,為了減少初創(chuàng)企業(yè)成本投入�,Selefra針對SaaS初創(chuàng)企業(yè)開發(fā)了一個自動化梳理企業(yè)技術(shù)架構(gòu)是否合規(guī)的工具,同時�,Selefra正在和合作伙伴共同摸索一套標準化的模板表格來實現(xiàn)初創(chuàng)出海企業(yè)的安全管理和法律合規(guī)。另外��,國外某些企業(yè)也提供每月幾萬美金的合規(guī)標準服務���,能夠大大降低初創(chuàng)企業(yè)支出�����。
薛穎總結(jié)道���,首先,不同規(guī)模的企業(yè)合規(guī)要求和限制不同�����,中小企業(yè)無需全盤參照大企業(yè)的合規(guī)要求,立法者為了保障商業(yè)創(chuàng)新生態(tài)�����,會主動降低對中小企業(yè)的合規(guī)要求����。
其次���,在眾多法規(guī)中�����,中小企業(yè)要找到現(xiàn)階段跟企業(yè)最具相關性和緊迫性的合規(guī)標準��,先做到這部分合規(guī)����。不需要一次性全達標���,按照輕重緩急分步驟完成即可�����。初創(chuàng)企業(yè)要建立匹配企業(yè)發(fā)展節(jié)奏的合規(guī)規(guī)劃�。
如同兩位嘉賓都形成的共識,合規(guī)問題從來都不因公司規(guī)模大小而差異化出現(xiàn)��,企業(yè)的第一要務是活著�����,而建立在合規(guī)的基礎上的業(yè)務往前沖才是有意義的�,否則存在某一天就“一鍵歸零”的風險,提前規(guī)避依然是最節(jié)省成本的措施���。
直播回放:下期直播預告:
3月23日�,伊斯蘭地區(qū)開始進入齋月���。隨著全球化商業(yè)的運轉(zhuǎn)�����,齋月同時成為中東地區(qū)非常重要的商業(yè)時間段�����。伴隨近些年網(wǎng)購在中東的滲透�,中東電商生態(tài)也逐步加大在齋月期間的關注和投入。據(jù) Statista 數(shù)據(jù)顯示�,2022年齋月期間,中東和北非地區(qū)的消費者的在線消費額為62億美元���,與2021年齋月相比增長40%�����,占年度總銷售額的16%�����。
相比于國內(nèi),據(jù)招商證券統(tǒng)計����,2022年“雙十一”全網(wǎng)電商交易額達11507億元(1675.45億美金),占全年網(wǎng)絡零售額的8%���。
那么����,齋月是中東“類雙十一”的電商核心事件么�?中東電商生態(tài)的機會與挑戰(zhàn)是什么呢��?
請鎖定「出海參考」直播間vol3���,帶你了解中東電商市場生態(tài)。
關鍵詞:
營業(yè)執(zhí)照公示信息