纷享销客海外合规观点与方案:个人隐私数据保护与数据出入境

出海,已不再是企业的“备胎”,而是必须面对的“大考”!在这个全球化的大潮中,有的企业乘风破浪,勇攀高峰,也有的企业在异国他乡遭遇了“水土不服”。

面对“要么出海,要么出局”的抉择,中国企业该如何破局,实现高质量“出海”呢?

本文内容节选自《中国企业出海研究报告(2024)》!

纷享销客一贯高度重视并持续增加在提高客户信任方面的投入,以满足客户出海需求。而安全合规与标准遵从正是获得并维护出海客户信任的必由之路。通过业界通用的安全合规与标准遵从的认证,既能提升纷享销客的整体安全能力和业务水平,也能帮助客户减少对合规和数据安全的担忧。同时,纷享销客始终秉持“以客户的成功定义成功”的核心价值观,充分理解客户个人数据安全的重要性,尊重和保护客户隐私权利。

01、法规理解

1. 合规:个人隐私数据合规&GDPR介绍

1.1 海外主要地区的数据隐私安全相关政策重点一览

除了欧盟制订的个人隐私数据保护法规(GDPR),全世界各地区都有类似法规,例如美国CCPA/COPPA、印度DPDP,中东PDPL、中国的个人信息保护法(PIPL)等。但整体合规以GDPR为指引。在各国家有些细微差异,建议客户寻求专业法律咨询公司的协助了解。

9fc32f0dbf5cec74a6e9c0c8f638919a.jpeg

1.2 GDPR以及它对组织的影响

  • GDPR定义:

“通用数据保护条例”(General Data ProtectionRegulation,简称GDPR)是欧盟(EU)制定的一项新法规,它涉及个人数据的保护和自由传输以及个体(包括儿童)的权利。这是一组规则,它将取代现有的“数据保护条令”(Directive95/46/EC),并且将在整个欧盟内实施。GDPR使欧盟居民有能力按其意愿直接控制其数据的处理方式,并保护其数据隐私。

  • 组织影响:

在国外,GDPR作为欧盟针对个人隐私信息保护的法规,在2018年5月份正式实施以来,累计罚款已超过12亿欧元,这也意味着欧盟对个人隐私信息的保护和监管达到了前所未有的高度。

在国内,作为国内个人隐私信息保护的《中华人民共和国个人信息保护法》也已于2021年11月1日正式执行,对于提供SaaS服务的企业来说,加强并落实个人隐私信息保护势在必行。

1.3 中国企业在什么情况下需要遵循GDPR

  • GDPR涉及范围:

GDPR的保护对象为【欧盟境内的数据主体】,因此,对于任何在欧盟境内开展业务的企业且涉及个人隐私信息的收集、存储、传输或分析等处理过程,都需要遵守GDPR,这也包括了中国企业在欧盟开展业务的情况。

  • 罚款程度:

轻者处以1000万欧元(约合人民币0.75亿元)或者上一年度全球营收的2%(两者取其高)的罚款;重者处以2000万欧元(约合人民币1.5亿元)或者企业上一年度全球营收的4%(两者取其高)的罚款。

1.4 GDPR法律法规具体要求内容(概要)

  • GDPR强调数据所有者的知情权:

规定数据使用必须事先征得数据主体的同意,而且“同意”必须是具体的、清晰的,是用户在充分知情的前提下自由做出的。如果数据使用范围扩大,无论是将数据提供给第三方或作为企业对外服务的一部分,都必须重新获取数据主体的授权和同意:数据主体还可以随时撤回同意权利。

  • 收集数据表明其特定的使用目的:

不得收集提供服务必需之外的数据,收集之后不得滥用用户数据,同时还必须履行保护用户数据的义务;处理数据时,要求数据控制者说明如何收集处理个人数据,包括数据接受者类型、个人数据保留周期及采取该周期的理由等。

  • GDPR强调数据主体的“被遗忘权”和“数据可携权”:

前者是指用户提出数据删除要求时,企业需要在数据库内找到数据并删除,如果数据已传播或提供给第三方使用,企业依然有责任通知使用者予以删除。

如涉及自动化数据处理(如数据画像等)数据控制者还需要提供基本的算法逻辑及针对个人的运算结果。

在数据泄露事件发生时,根据GDPR的数据泄露通知要求,企业必须在发现数据泄露的72小时内通知相关部门。

1.5 GDPR 定义的六种处理数据的法律基础

处理个人数据的基本原则是必须以【透明】方式合法处理该数据。这六种法律基础之间不分优劣,了解这一点至关重要。需根据企业处理数据的目的以及业务需求来选择最合适的法律基础:

1)同意-先征求数据主体同意,再处理其个人数据。在数据主体一方必须执行有意的操作来予以确认或同意。

示例:收集并处理个人数据以用于行销目的,或用于发送时事通讯

2)合同-您与个人签订合同,以提供他们所申请的商品或服务。在此情况下,您处理数据以履行合同。

示例:在履行合同期间,客户通过电子邮件索取更多信息,组织处理其个人数据以回应该请求

3)法律义务-根据法律的要求,您必须处理该数据。

示例:政府机构需要职员的薪酬详细信息,或某项调查要求处理个人数据

4)切身利益-您需要处理数据,以保护某人的生命安全或处理紧急情况。

示例:收集人员的个人详细信息,以便在突发事件或火灾中确保其人身安全

5)公众任务-您为满足公众利益而需要执行任务(通常以政府机构或政党等身份执行)。

示例:政府当局处理数据,以进行科学研究、调查或公众健康研究

6)合法利益-您的组织有真实而合法的原因来处理数据,其目的不侵犯数据主体的权利。

示例:客户未支付其发票款项,因此公司需要处理该客户的数据以收集支付信息。或者为进行管理,组织处理职员的个人数据以确定薪酬

1.6 数据角色定义及CRM平台应如何满足法规

  • 数据控制方Controller(甲方企业公司):

负责确定待收集的个人数据类型以及使用方式。数据控制方是决策者,对处理个人数据的目的、方式及用途有控制权。有时个人数据由多方联合控制,即由两个或更多实体决定如何处理收集的数据。数据处理方遵照控制方的相关指示,代理他们执行数据的处理。因此,相比处理方,控制方要遵守更严格的条例规定。对收集到的个人数据的控制权归数据控制方所有,而不会移交。

  • 数据处理方Processor(纷享销客CRM):

为数据控制方处理个人数据。代表控制方处理个人数据的组织称为数据处理方,处理方无权控制对该数据执行的操作,也无法更改收集数据的目的。处理方根据控制方所提供的指示,拥有有限的数据处理权。数据处理方必须要有安全的系统、工具和方法来收集并存储个人数据。

  • 针对【获取数据主体授权】及【响应个人信息主体行使权利】,软件系统要能解决数据控制方(甲方客户)对信息是否已经获取授权的【分类记录管理】。并支持操作CRM系统来发送邮件给数据主体,要求获取数据主体同意。
  • 数据控制方(甲方客户)收到数据主体要求行使权利后决定响应处理时,软件系统支持数据控制方能删除存储在CRM系统的对应个人数据。(但不能取代【数据控制方】与【数据主体】的交互沟通流程。)
  • 数据主体(企业员工、终端联系人):

个人数据的所有者。数据控制方要收集其人员信息的人员即数据主体。在企业中,数据主体包含企业的【客户联系人/线索】和【职员】。个人数据指的是可用来识别或确认某个有生命自然人(通常称为数据主体)的信息,个人数据可能包括以下方面:名称、姓名、地址、电话号码和电子邮件地址、身份识别码(ID)位置数据与数据主体的身体、遗传、精神、经济、文化、生理或社会身份有关的具体信息生物识别数据,如指纹或人脸、种族或族裔信息、医疗保健信息、工会会员身份。

1.7 个人用户数据生命周期与软件产品能力要求

1)数据收集阶段:

  • GDPR要求收集个人信息时陈述目的并征求明确同意。
  • 产品应提供未得到数据主体同意的数据限制相关操作功能及提供同意表单,正确征求数据主体同意并进行记录。

2)数据处理阶段:

  • 数据处理方必须要有安全的系统、工具和方法来收集并存储个人数据。
  • 纷享销客做为【数据处理方】,在CRM系统中提供更多选项可以帮助客户保护数据主体的数据,以及满足GDPR中制定的安全和隐私标准。除此之外,还必须确保不与第三方一起处理和共享个人信息(普通信息或敏感信息)。

3)数据主体行使权利:

  • 数据主体行使其权利来访问其数据,以及了解对其个人数据执行的处理。数据主体还可能会要求停止处理其数据或删除该数据。
  • 在CRM合规性设置(Compliance setting)中,企业可以管理及跟踪所有这些请求的方式来处理这些选项。

2. 合规:数据跨境传输

2.1 企业所属【行业】,在各国家地区对应不同监管程度,例:

  • 印尼(东南亚):2020年出台第八套条例,要求公共电子系统运营商,必须在印度尼西亚境内去管理、储存和存储其电子系统和电子数据

  • 越南:53号法例,针对【关键基础设施】行业【网络类数据】要求较高

  • 沙特:对【政府和关键基础设施】的数据要求存储境内

6a73e2fc3fbc4f57d3e7db2968a72655.jpeg

2.2 案例

依据CRM平台中涉及的海外用户信息,结合数据跨境管控的用户数据合规策略假设:CRM中涉及个人信息:客户联系人、联系电话、邮箱等

f80e6ea2b9b34c4ca530e0962082580b.jpeg

02、纷享销客观点和建议举措

1. 海外数据合规治理体系建议

1)组织管理侧合规

  • 数据合规管理建设依据行业属性及合规复杂度,在组织中设置DPO(Data Protection 0fcer)角色

  • 搭建数据合规管理体系(政策制度、行为准则流程规范)

  • 数据安全合规培训及文化意识宣讲

  • 内部监督及外部审查应对

2)软件技术系统侧合规

  • 数据资产梳理及维护

  • 技术措施保障数据安全,例: 数据脱敏、加密、匿名化、存储期限设定及自动化删除、权限控制、日志跟踪等

  • 数据安全合规要求嵌入IT系统开发/运维数据安全管控成为系统默认配置

  • 自动化管理工具/平台提升效率

2. 数据主体的隐私数据管理建议

1)数据主体是【海外员工、经销商联系人】:

  • 首先,征得员工数据主体同意

  • 根据不同国家法规以及业务要求签订相关协议

  • 为员工提供多种选择方式:例如部分国家会提供信息采集的选项,采集指纹、人脸扫描二选一

2)数据主体是【终端线索/联系人】:

主动以留痕的方式获得数据主体同意:

  • 增加隐私声明的公示

  • 建议系统中不记录个人敏感信息(例:经济、家庭、肤色、宗教等)

  • 主动联系数据主体建立意向(例: 电话沟通、邮件)再录入系统,可以降低被投诉的风险。

不可贩卖数据/过度营销,对数据主体造成骚扰:

名片上的信息属于商业联系人信息,不属于个人隐私数据,但不可贩卖数据,不停打电话做营销动作,此类行为在某些国家会被严格限制

充分满足数据主体对数据处理的请求。例:删除、修改、导出数据等

03、纷享销客获得【资质】及【产品支撑能力】

1. 个人隐私数据

1.1 纷享销客安全和隐私保护

欧盟与2018年颁布《通用数据保护条例》即GDPR。美国与2020年在加州开始实施迄今为止最高的数据保护法案CCPA。我国也在2021年先后颁布了《数据安全法》和《个人信息保护法》。

通过完整支持GDPR法规功能的建设(个人数据标识与管理,数据主体权利操作管理,数据授权流程管理等)以及海外IDC的部署,满足企业海外系统的合规,信息安全,个人信息隐私保护等需求。

1.2 SOC1 Type2& SOC2 Type2报告

2024年1月31日,“纷扬科技有限责任公司”之纷享销客CRM平台服务体系,在2023年1月1日-12月31日期间内的体系设计及执行,正式通过安永华明会计师事务的审计,获得了SOC1Type2和SOC2Type2 的鉴证报告。

  • SOC1 Type2报告:

支撑客户财务报表的审计,通过对财务收入的数据来源认证可靠性,来证明基于该收入数据的后续一系列财务认定的准确性。凡是需要出财务报表的上市企业(如港股、A股、美股、科创等),都需要支撑系统提供这个认证。通常提供给客户侧的财务报告相关的内控审计的独立审计师使用。

  • SOC2 Type2报告:

支撑对纷享销客服务全流程安全的审计,对提供SaaS服务所涉及的研发、运维、安全、实施、客服等全套流程+系统进行认证,来保障租户的安全、高可用。相对于SOC1而言,对执行要求更全更严格。

  • SOC1&SOC2适用场景:

c28e9f9dec33a19c8d954b382d7e2c80.jpeg

1.3 纷享销客CRM的七层安全和隐私合规保护体系

14fad75d5f99aec120f964fe1fa165ce.jpeg

2.  产品能力支撑-海外数据中心部署

2.1 纷享销客国际IDC布局和访问链路加速

数据中心(IDC)纷享销客采用托管机房模式,北京、广州两地三中心的部署:

  • 纷享云

1)KDDI北京亚太中立数据中心

2)北京铁通T3数据中心

3)中国移动南方基地(广州)

4)华为云、阿里云、腾讯云(专属数据库)

  • 欧洲数据中心(法兰克福AWS)

全球CDN网路,接入加速点:

  • 国内:北京、广州、华为云、阿里云
  • 香港
  • 新加坡
  • 美国-华盛顿州
  • 荷兰-阿姆斯特丹
  • 德国-法兰克福
  • 尼日利亚-拉格斯

1cadcf064e0ce95a20d3ca69ad606c6b.jpeg

2.2 数据中心部署方式及集成场景

数据中心部署地考量点:

  • 行业监管:客户行业是否属于政府强监管行业,部署在法兰克福AWS降低地缘政治导致不确定性(e.g.美国+通讯)
  • 数据出入境法规:分公司所在国家的数据出入境法规:例如,如果海外有注册公司,某些国家对行业有不同监管要求风险会高。(e.g.印度)
  • 连线速度:如果大部分CRM用户在海外,则考虑部署法兰克福AWS
  • 租户数:如果海外业务流程是否与国内业务【差异大】且【均复杂】、且【无协助效益】,则建议可以拆分租户

1b78a78fb483fefaced4cf1774a98263.jpeg

2.3 数据中心部署方式及集成场景

081fb32ff1f8b0f3c77c9a55c617c9b4.jpeg

04、总结

随着全球化和数字经济的发展,数据安全、隐私保护和合规是每个企业都必须关注的话题。全球安全合规的环境日益变化,目前已有超过130个国家和地区制定了数据保护和隐私相关的法律法规,全面的安全合规现已成为中国企业出海的重要考量因素。纷享销客作为国内领先的CRM厂商,确保个人隐私数据保护和数据出入境合规是携手企业出海的基石。

目前,纷享销客在认证上已获得如ISO27701、SOC1以及SOC2等一系列合规认证证书来为安全合规资质做背书:在产品上也具备产品合规能力,拿到数据主体同意以及对数据处理的流程进行管控。纷享销客将不断加强安全合规建设,助力客户打造高质量出海实践,持续为中国企业出海的各阶段保驾护航。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/703421.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

大功率回馈式负载:行业竞争态势

随着科技的不断发展,大功率回馈式负载在各个行业中的应用越来越广泛。大功率回馈式负载是一种能够将电能回馈到电网的设备,具有节能、环保、高效等优点。然而,随着市场竞争的加剧,大功率回馈式负载行业也面临着诸多挑战。 首先&am…

同城信息房产出租小程序源码系统 完全开源可二次开发 带完整的安装代码包以及搭建教程

系统概述 在数字化转型的浪潮中,房产租赁市场也迎来了新的发展机遇。随着移动互联网的普及,越来越多的用户倾向于通过手机应用或小程序来寻找合适的租房信息。为了满足这一需求,小编给大家分享一款“同城信息房产出租小程序源码系统”&#…

低价和低俗

无底线的低价可不就是低俗了吗? O(∩_∩)O哈哈~ AI说的(引导他说的) 以下几个角度可以进行论证: 低价竞争可能导致质量下降:为了达到极低的价格,商家可能会降低产品或服务的质量标准,使用劣质材料或减少投入。这样可能会影响产品的功能、安全性和使用体验,给消费…

智能合约漏洞类型

Are We There Yet? Unraveling the State-of-the-Art Smart Contract Fuzzers | Proceedings of the IEEE/ACM 46th International Conference on Software Engineering

MySQL-连接查询

049-内连接之等值连接 案例:查询每个员工所在的部门名称,要求显示员工名、部门名。 select e.ename, d.dname from emp e inner join dept d on e.deptnod.deptno;注意:inner可以省略 select e.ename, d.dname from emp e join dept d on…

docker registry-harbor私有镜像仓库安装

本博文将引导您安装和配置Harbor私有镜像仓库。安装前,请确保您已安装Docker和Docker Compose。 前置环境 需要安装docker和docker-compose 下载Harbor Harbor的最新版本可以从GitHub下载。这里以2.9.4版本为例: 下载地址:https://github…

大模型学习之GLM结构

探索GLM:一种新型的通用语言模型预训练方法 随着人工智能技术的不断进步,自然语言处理(NLP)领域也迎来了革命性的发展。OpenAI的ChatGPT及其后续产品在全球范围内引起了广泛关注,展示了大型语言模型(LLM&a…

服务器配置(初始化)

一:什么是云服务器及用途: 云服务器(Elastic Compute Service, ECS)是一种简单高效、安全可靠、处理能力可弹性伸缩的计算服务。其管理方式比物理服务器更简单高效。用户无需提前购买硬件,即可迅速创建或释放任意多台云服务器。 我个人感觉就…

25年后回顾融智学新范式(感受人机互助新时代到了的愉悦,体验人机互助新时代的理解和表达的深入浅出)

25年后回顾融智学新范式 (不仅感受人机互助新时代到了的愉悦,更体验人机互助新时代的理解和表达的深入浅出) 一句话概述: 《融智学新范式》是一种创新的理论框架,它提出了协同智能主体的概念框架,通过严…

数据结构之链表的经典笔试题

找往期文章包括但不限于本期文章中不懂的知识点: 个人主页:我要学编程(ಥ_ಥ)-CSDN博客 所属专栏:数据结构(Java版) 目录 203. 移除链表元素 206. 反转链表 876. 链表的中间节点 面试题 02.02. 返回倒数第k个节点 …

想让AI 驱动 UI 测试?墙裂推荐这个自动化工具!

文章概述 本文介绍了什么是视觉测试,功能测试对于视觉测试来说的局限性,视觉测试的重要意义及视觉测试结合python/java两种脚本的案例。 现如今公司不断部署新版本,有些甚至每天都会发布。这种持续部署意味着定期更新或现有代码行正在更改&a…

RabbitMQ概述

RabbitMQ RabbitMQ概述 RabbitMQ是一个开源的消息代理(message broker)系统,最初由Rabbit Technologies Ltd开发,并在开源社区的支持下不断发展和完善。它提供了强大的消息传递机制,被广泛应用于构建分布式系统和应用…

2003远程桌面端口修改,Windows Server 2003远程桌面端口修改的专业操作指南

在网络安全日益受到重视的今天,修改Windows Server 2003远程桌面的默认端口已成为提高服务器安全性的常规操作。默认情况下,远程桌面使用的端口为3389,这一广为人知的端口号常常成为黑客攻击的目标。因此,通过修改远程桌面端口&am…

JVM的几种常见垃圾回收算法

引言: Java Virtual Machine(JVM)作为Java程序运行的核心,其垃圾回收(Garbage Collection, GC)机制在内存管理中起着至关重要的作用。垃圾回收算法是JVM性能优化的重要方面。本文将详细介绍几种常见的垃圾回…

Spring Cloud Stream整合RocketMQ

Spring Cloud Stream整合RocketMQ 这里书接上回,默认你已经搭建好了RocketMQ主从异步集群,前面文章已经介绍过搭建方法。 1、Spring Cloud Stream介绍 Spring Cloud Stream是一个框架,用于构建与共享消息系统连接的高度可扩展的事件驱动微服…

11. 利用MS为Lammps ReaxFF建模(PE/聚乙烯)基础-2

来源: “码农不会写诗”公众号 链接:利用MS为Lammps ReaxFF建模(PE/聚乙烯)基础-2 文章目录 01 msi2lmp工具简介1. 编译生成msi2lmp可执行文件2. 使用方式 02 赋予模型CVFF力场03 导出car/mdf文件04 生成data文件05 data文件进一步处理 文接上篇 上篇利用…

大模型高级 RAG 检索策略之流程与模块化

我们介绍了很多关于高级 RAG(Retrieval Augmented Generation)的检索策略,每一种策略就像是机器中的零部件,我们可以通过对这些零部件进行不同的组合,来实现不同的 RAG 功能,从而满足不同的需求。 今天我们…

Android RTSP/RTMP多路播放时动态切换输出View类型(SurfaceView和TextureView 动态切换)

SurfaceView和TextureView的区别和优缺点等, 相关的资料很多. 从Android低延时播放器实现角度来看, 总结了下主要区别有: 1. MediaCodec输出到SurfaceView延时一般比到TextureView更低. 2. MediaCodec用SurfaceView比TextureView占用的资源一般更少些(CPU和内存都小一些, 不过还…

算法专题总结链接地址

刷力扣的时候会遇到一些总结类型的题解,在此记录,方便自己以后找 前缀和 前缀和https://leetcode.cn/problems/unique-substrings-in-wraparound-string/solutions/432752/xi-fa-dai-ni-xue-suan-fa-yi-ci-gao-ding-qian-zhui-/ 单调栈 单调栈https:…

论文解读——《I2EDL: Interactive Instruction Error Detection and Localization》

一、研究背景 视觉与语言导航(VLN)是一个AI领域的研究任务,旨在开发能够按照自然语言指令在三维空间中导航到指定位置的智能体。这项任务与人类的日常活动——如按照口头指示到达某个地点——十分相似,对于推动人机交互的自然性和…