纷享销客海外合规观点与方案:个人隐私数据保护与数据出入境

news2024/12/24 2:09:47

出海,已不再是企业的“备胎”,而是必须面对的“大考”!在这个全球化的大潮中,有的企业乘风破浪,勇攀高峰,也有的企业在异国他乡遭遇了“水土不服”。

面对“要么出海,要么出局”的抉择,中国企业该如何破局,实现高质量“出海”呢?

本文内容节选自《中国企业出海研究报告(2024)》!

纷享销客一贯高度重视并持续增加在提高客户信任方面的投入,以满足客户出海需求。而安全合规与标准遵从正是获得并维护出海客户信任的必由之路。通过业界通用的安全合规与标准遵从的认证,既能提升纷享销客的整体安全能力和业务水平,也能帮助客户减少对合规和数据安全的担忧。同时,纷享销客始终秉持“以客户的成功定义成功”的核心价值观,充分理解客户个人数据安全的重要性,尊重和保护客户隐私权利。

01、法规理解

1. 合规:个人隐私数据合规&GDPR介绍

1.1 海外主要地区的数据隐私安全相关政策重点一览

除了欧盟制订的个人隐私数据保护法规(GDPR),全世界各地区都有类似法规,例如美国CCPA/COPPA、印度DPDP,中东PDPL、中国的个人信息保护法(PIPL)等。但整体合规以GDPR为指引。在各国家有些细微差异,建议客户寻求专业法律咨询公司的协助了解。

9fc32f0dbf5cec74a6e9c0c8f638919a.jpeg

1.2 GDPR以及它对组织的影响

  • GDPR定义:

“通用数据保护条例”(General Data ProtectionRegulation,简称GDPR)是欧盟(EU)制定的一项新法规,它涉及个人数据的保护和自由传输以及个体(包括儿童)的权利。这是一组规则,它将取代现有的“数据保护条令”(Directive95/46/EC),并且将在整个欧盟内实施。GDPR使欧盟居民有能力按其意愿直接控制其数据的处理方式,并保护其数据隐私。

  • 组织影响:

在国外,GDPR作为欧盟针对个人隐私信息保护的法规,在2018年5月份正式实施以来,累计罚款已超过12亿欧元,这也意味着欧盟对个人隐私信息的保护和监管达到了前所未有的高度。

在国内,作为国内个人隐私信息保护的《中华人民共和国个人信息保护法》也已于2021年11月1日正式执行,对于提供SaaS服务的企业来说,加强并落实个人隐私信息保护势在必行。

1.3 中国企业在什么情况下需要遵循GDPR

  • GDPR涉及范围:

GDPR的保护对象为【欧盟境内的数据主体】,因此,对于任何在欧盟境内开展业务的企业且涉及个人隐私信息的收集、存储、传输或分析等处理过程,都需要遵守GDPR,这也包括了中国企业在欧盟开展业务的情况。

  • 罚款程度:

轻者处以1000万欧元(约合人民币0.75亿元)或者上一年度全球营收的2%(两者取其高)的罚款;重者处以2000万欧元(约合人民币1.5亿元)或者企业上一年度全球营收的4%(两者取其高)的罚款。

1.4 GDPR法律法规具体要求内容(概要)

  • GDPR强调数据所有者的知情权:

规定数据使用必须事先征得数据主体的同意,而且“同意”必须是具体的、清晰的,是用户在充分知情的前提下自由做出的。如果数据使用范围扩大,无论是将数据提供给第三方或作为企业对外服务的一部分,都必须重新获取数据主体的授权和同意:数据主体还可以随时撤回同意权利。

  • 收集数据表明其特定的使用目的:

不得收集提供服务必需之外的数据,收集之后不得滥用用户数据,同时还必须履行保护用户数据的义务;处理数据时,要求数据控制者说明如何收集处理个人数据,包括数据接受者类型、个人数据保留周期及采取该周期的理由等。

  • GDPR强调数据主体的“被遗忘权”和“数据可携权”:

前者是指用户提出数据删除要求时,企业需要在数据库内找到数据并删除,如果数据已传播或提供给第三方使用,企业依然有责任通知使用者予以删除。

如涉及自动化数据处理(如数据画像等)数据控制者还需要提供基本的算法逻辑及针对个人的运算结果。

在数据泄露事件发生时,根据GDPR的数据泄露通知要求,企业必须在发现数据泄露的72小时内通知相关部门。

1.5 GDPR 定义的六种处理数据的法律基础

处理个人数据的基本原则是必须以【透明】方式合法处理该数据。这六种法律基础之间不分优劣,了解这一点至关重要。需根据企业处理数据的目的以及业务需求来选择最合适的法律基础:

1)同意-先征求数据主体同意,再处理其个人数据。在数据主体一方必须执行有意的操作来予以确认或同意。

示例:收集并处理个人数据以用于行销目的,或用于发送时事通讯

2)合同-您与个人签订合同,以提供他们所申请的商品或服务。在此情况下,您处理数据以履行合同。

示例:在履行合同期间,客户通过电子邮件索取更多信息,组织处理其个人数据以回应该请求

3)法律义务-根据法律的要求,您必须处理该数据。

示例:政府机构需要职员的薪酬详细信息,或某项调查要求处理个人数据

4)切身利益-您需要处理数据,以保护某人的生命安全或处理紧急情况。

示例:收集人员的个人详细信息,以便在突发事件或火灾中确保其人身安全

5)公众任务-您为满足公众利益而需要执行任务(通常以政府机构或政党等身份执行)。

示例:政府当局处理数据,以进行科学研究、调查或公众健康研究

6)合法利益-您的组织有真实而合法的原因来处理数据,其目的不侵犯数据主体的权利。

示例:客户未支付其发票款项,因此公司需要处理该客户的数据以收集支付信息。或者为进行管理,组织处理职员的个人数据以确定薪酬

1.6 数据角色定义及CRM平台应如何满足法规

  • 数据控制方Controller(甲方企业公司):

负责确定待收集的个人数据类型以及使用方式。数据控制方是决策者,对处理个人数据的目的、方式及用途有控制权。有时个人数据由多方联合控制,即由两个或更多实体决定如何处理收集的数据。数据处理方遵照控制方的相关指示,代理他们执行数据的处理。因此,相比处理方,控制方要遵守更严格的条例规定。对收集到的个人数据的控制权归数据控制方所有,而不会移交。

  • 数据处理方Processor(纷享销客CRM):

为数据控制方处理个人数据。代表控制方处理个人数据的组织称为数据处理方,处理方无权控制对该数据执行的操作,也无法更改收集数据的目的。处理方根据控制方所提供的指示,拥有有限的数据处理权。数据处理方必须要有安全的系统、工具和方法来收集并存储个人数据。

  • 针对【获取数据主体授权】及【响应个人信息主体行使权利】,软件系统要能解决数据控制方(甲方客户)对信息是否已经获取授权的【分类记录管理】。并支持操作CRM系统来发送邮件给数据主体,要求获取数据主体同意。
  • 数据控制方(甲方客户)收到数据主体要求行使权利后决定响应处理时,软件系统支持数据控制方能删除存储在CRM系统的对应个人数据。(但不能取代【数据控制方】与【数据主体】的交互沟通流程。)
  • 数据主体(企业员工、终端联系人):

个人数据的所有者。数据控制方要收集其人员信息的人员即数据主体。在企业中,数据主体包含企业的【客户联系人/线索】和【职员】。个人数据指的是可用来识别或确认某个有生命自然人(通常称为数据主体)的信息,个人数据可能包括以下方面:名称、姓名、地址、电话号码和电子邮件地址、身份识别码(ID)位置数据与数据主体的身体、遗传、精神、经济、文化、生理或社会身份有关的具体信息生物识别数据,如指纹或人脸、种族或族裔信息、医疗保健信息、工会会员身份。

1.7 个人用户数据生命周期与软件产品能力要求

1)数据收集阶段:

  • GDPR要求收集个人信息时陈述目的并征求明确同意。
  • 产品应提供未得到数据主体同意的数据限制相关操作功能及提供同意表单,正确征求数据主体同意并进行记录。

2)数据处理阶段:

  • 数据处理方必须要有安全的系统、工具和方法来收集并存储个人数据。
  • 纷享销客做为【数据处理方】,在CRM系统中提供更多选项可以帮助客户保护数据主体的数据,以及满足GDPR中制定的安全和隐私标准。除此之外,还必须确保不与第三方一起处理和共享个人信息(普通信息或敏感信息)。

3)数据主体行使权利:

  • 数据主体行使其权利来访问其数据,以及了解对其个人数据执行的处理。数据主体还可能会要求停止处理其数据或删除该数据。
  • 在CRM合规性设置(Compliance setting)中,企业可以管理及跟踪所有这些请求的方式来处理这些选项。

2. 合规:数据跨境传输

2.1 企业所属【行业】,在各国家地区对应不同监管程度,例:

  • 印尼(东南亚):2020年出台第八套条例,要求公共电子系统运营商,必须在印度尼西亚境内去管理、储存和存储其电子系统和电子数据

  • 越南:53号法例,针对【关键基础设施】行业【网络类数据】要求较高

  • 沙特:对【政府和关键基础设施】的数据要求存储境内

6a73e2fc3fbc4f57d3e7db2968a72655.jpeg

2.2 案例

依据CRM平台中涉及的海外用户信息,结合数据跨境管控的用户数据合规策略假设:CRM中涉及个人信息:客户联系人、联系电话、邮箱等

f80e6ea2b9b34c4ca530e0962082580b.jpeg

02、纷享销客观点和建议举措

1. 海外数据合规治理体系建议

1)组织管理侧合规

  • 数据合规管理建设依据行业属性及合规复杂度,在组织中设置DPO(Data Protection 0fcer)角色

  • 搭建数据合规管理体系(政策制度、行为准则流程规范)

  • 数据安全合规培训及文化意识宣讲

  • 内部监督及外部审查应对

2)软件技术系统侧合规

  • 数据资产梳理及维护

  • 技术措施保障数据安全,例: 数据脱敏、加密、匿名化、存储期限设定及自动化删除、权限控制、日志跟踪等

  • 数据安全合规要求嵌入IT系统开发/运维数据安全管控成为系统默认配置

  • 自动化管理工具/平台提升效率

2. 数据主体的隐私数据管理建议

1)数据主体是【海外员工、经销商联系人】:

  • 首先,征得员工数据主体同意

  • 根据不同国家法规以及业务要求签订相关协议

  • 为员工提供多种选择方式:例如部分国家会提供信息采集的选项,采集指纹、人脸扫描二选一

2)数据主体是【终端线索/联系人】:

主动以留痕的方式获得数据主体同意:

  • 增加隐私声明的公示

  • 建议系统中不记录个人敏感信息(例:经济、家庭、肤色、宗教等)

  • 主动联系数据主体建立意向(例: 电话沟通、邮件)再录入系统,可以降低被投诉的风险。

不可贩卖数据/过度营销,对数据主体造成骚扰:

名片上的信息属于商业联系人信息,不属于个人隐私数据,但不可贩卖数据,不停打电话做营销动作,此类行为在某些国家会被严格限制

充分满足数据主体对数据处理的请求。例:删除、修改、导出数据等

03、纷享销客获得【资质】及【产品支撑能力】

1. 个人隐私数据

1.1 纷享销客安全和隐私保护

欧盟与2018年颁布《通用数据保护条例》即GDPR。美国与2020年在加州开始实施迄今为止最高的数据保护法案CCPA。我国也在2021年先后颁布了《数据安全法》和《个人信息保护法》。

通过完整支持GDPR法规功能的建设(个人数据标识与管理,数据主体权利操作管理,数据授权流程管理等)以及海外IDC的部署,满足企业海外系统的合规,信息安全,个人信息隐私保护等需求。

1.2 SOC1 Type2& SOC2 Type2报告

2024年1月31日,“纷扬科技有限责任公司”之纷享销客CRM平台服务体系,在2023年1月1日-12月31日期间内的体系设计及执行,正式通过安永华明会计师事务的审计,获得了SOC1Type2和SOC2Type2 的鉴证报告。

  • SOC1 Type2报告:

支撑客户财务报表的审计,通过对财务收入的数据来源认证可靠性,来证明基于该收入数据的后续一系列财务认定的准确性。凡是需要出财务报表的上市企业(如港股、A股、美股、科创等),都需要支撑系统提供这个认证。通常提供给客户侧的财务报告相关的内控审计的独立审计师使用。

  • SOC2 Type2报告:

支撑对纷享销客服务全流程安全的审计,对提供SaaS服务所涉及的研发、运维、安全、实施、客服等全套流程+系统进行认证,来保障租户的安全、高可用。相对于SOC1而言,对执行要求更全更严格。

  • SOC1&SOC2适用场景:

c28e9f9dec33a19c8d954b382d7e2c80.jpeg

1.3 纷享销客CRM的七层安全和隐私合规保护体系

14fad75d5f99aec120f964fe1fa165ce.jpeg

2.  产品能力支撑-海外数据中心部署

2.1 纷享销客国际IDC布局和访问链路加速

数据中心(IDC)纷享销客采用托管机房模式,北京、广州两地三中心的部署:

  • 纷享云

1)KDDI北京亚太中立数据中心

2)北京铁通T3数据中心

3)中国移动南方基地(广州)

4)华为云、阿里云、腾讯云(专属数据库)

  • 欧洲数据中心(法兰克福AWS)

全球CDN网路,接入加速点:

  • 国内:北京、广州、华为云、阿里云
  • 香港
  • 新加坡
  • 美国-华盛顿州
  • 荷兰-阿姆斯特丹
  • 德国-法兰克福
  • 尼日利亚-拉格斯

1cadcf064e0ce95a20d3ca69ad606c6b.jpeg

2.2 数据中心部署方式及集成场景

数据中心部署地考量点:

  • 行业监管:客户行业是否属于政府强监管行业,部署在法兰克福AWS降低地缘政治导致不确定性(e.g.美国+通讯)
  • 数据出入境法规:分公司所在国家的数据出入境法规:例如,如果海外有注册公司,某些国家对行业有不同监管要求风险会高。(e.g.印度)
  • 连线速度:如果大部分CRM用户在海外,则考虑部署法兰克福AWS
  • 租户数:如果海外业务流程是否与国内业务【差异大】且【均复杂】、且【无协助效益】,则建议可以拆分租户

1b78a78fb483fefaced4cf1774a98263.jpeg

2.3 数据中心部署方式及集成场景

081fb32ff1f8b0f3c77c9a55c617c9b4.jpeg

04、总结

随着全球化和数字经济的发展,数据安全、隐私保护和合规是每个企业都必须关注的话题。全球安全合规的环境日益变化,目前已有超过130个国家和地区制定了数据保护和隐私相关的法律法规,全面的安全合规现已成为中国企业出海的重要考量因素。纷享销客作为国内领先的CRM厂商,确保个人隐私数据保护和数据出入境合规是携手企业出海的基石。

目前,纷享销客在认证上已获得如ISO27701、SOC1以及SOC2等一系列合规认证证书来为安全合规资质做背书:在产品上也具备产品合规能力,拿到数据主体同意以及对数据处理的流程进行管控。纷享销客将不断加强安全合规建设,助力客户打造高质量出海实践,持续为中国企业出海的各阶段保驾护航。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1815042.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

第三方检测机构出具的校准证书,企业如何进行验证和确认?

检测校准对企业来说是日常管理工作不可缺少的一环,大部分公司也都会有自己的品管部,对企业使用的设备和仪器进行维护管理,并周期性做计量校准。不过当我们仪器做完校准后,机构出具的校准证书我们如何来确认其可靠性?验…

C# NX二次开发-获取圆弧中心点和半径

使用UF函数可以获取圆弧边或圆弧线中心点和半径: 1.使用 UF_CURVE_ask_arc_data: theUf.Curve.AskArcData(edge.Tag, out UFCurve.Arc arc);theUf.Curve.CreateArc(ref arc, out Tag arc_tag);double[] matrix_values new double[9];double[] vec_product new double[3];theU…

优设AI导航

1、优设AI导航 优设AI导航

智能交通SCI期刊,中科院2区,专业性强,难度不大!

一、期刊名称 IEEE Intelligent Transportation Systems Magazine 二、期刊简介概况 期刊类型:SCI 学科领域:智能交通 影响因子:3.6 中科院分区:2区 三、期刊征稿范围 IEEE智能交通系统杂志(ITSM)发表…

大屏幕互动系统PHP源码 附动态背景图和配乐素材 含搭建教程

最新大屏幕互动系统PHP源码 附动态背景图和配乐素材 含搭建教程 测试环境:apachePHP7.3MySQL5.7 源码免费下载地址抄笔记 (chaobiji.cn)

PS系统教程18

渐变工具的使用 线性渐变径向渐变角度渐变对称渐变菱形渐变 正常模式 背后模式 径向渐变演示 新建图层选择径向渐变拉选渐变 角度渐变 对称渐变(快捷键-按住shift拉选) 菱形渐变 模式和画笔的模式理解一样 反向-反过来方向 白块原本在右边&#xff0c…

精品KEITHELY6517B参数资料/静电计/高阻计

Keithley 5 位 6517B 静电计/高阻计提供最先进的精度和灵敏度规格,并具有各种功能,可简化高阻和绝缘材料电阻率的测量。Keithley 6517B 的读数速率高达 425 次/秒,可快速、轻松地测量低电平电流。 Keithley 6517B 是更新版本,取代…

传承产品的生命力与数字营销的魔法!

传承,是时间的沉淀,是文化的延续。具有传承特征的产品,犹如一颗闪耀的明珠,散发着独特的魅力。而在数字时代的浪潮中,我们又该如何发挥这传承的优势,赋予它新的增长价值呢? 具有传承特征的产品…

五大步骤教你轻松实现企业网站HTTPS访问

企业网站实现HTTPS访问主要涉及以下方法和流程: 一、选择合适的SSL证书: 根据企业需求选择合适的SSL证书类型。DV(域名验证)证书适用于个人网站和小企业,验证过程简单,只需证明对域名的控制权。OV&#x…

信号处理中的相位

相位 用来描述波动或振动状态。 在信号处理和通信领域,相位通常指的是信号相对于某一参考信号的延迟。 在周期性信号中,相位通常以角度(弧度或度)来表示,表示信号的周期性变化相对于参考信号的位置。 在非周期性信号中…

中仕公考:博士考公务员能免笔试吗?

博士学历的考生,无论是选择报考公务员还是事业单位,都必须经过正规的选拔过程。根据当前规定,所有体制内职位均须通过相应的考试方可入职,除非考生在高考时已选定定向招聘岗位。 博士毕业生如果想成为公务员,必须参加…

windows音频服务未响应,电脑装完驱动还是软件导致没有声音

前两天浏览器突然没声音了,然后我试着搞了一下驱动,结果全没声音了。 至今仍然不确定问题的根源在哪,并且网上提供的大部分方法都没用,下面说一下我的解决方案。 winR启动命令行,输入services.msc 进入服务界面 双击…

Android基本概念

Android发展历史 Android 是一个流行的移动操作系统,由 Google 开发并于 2008 年首次推出。 Android是基于Linux开发的移动设备操作系统。 在2005年被Google收购,2008年发布Android1.0,后续发布1.5/1.6 ------ 直到2021年发布Andriod12 。 …

手摸手系列之 - 什么是接口的幂等性以及 AOP+Redis 基于注解实现接口幂等性校验

接口的幂等性是指在分布式系统中,一个操作或者请求无论执行多少次,其结果都是相同的。换句话说,即使多次执行同一个操作,它也不会产生副作用,或者不会改变系统的状态。幂等性是设计 RESTful API 时的一个重要原则。 幂…

RabbitMQ高频面试题整理

文章目录 1、RabbitMQ如何保证消息不丢失1)confirm 消息确认机制 (生产者)2)消息持久化机制 (RabbitMQ 服务)3)ACK 事务机制(消费者) 2、RabbitMQ 中有哪几种交换机类型?1) Direct Exchange2)Fanout Exchange3&#x…

meilisearch的分页

Elasticsearch 做为老牌搜索引擎,功能基本满足,但复杂,重量级,适合大数据量。 MeiliSearch 设计目标针对数据在 500GB 左右的搜索需求,极快,单文件,超轻量。 所以,对于中小型项目来说…

细说MCU串口函数及使用printf函数实现串口发送数据的方法

目录 1、硬件及工程 2、串口相关的库函数 (1)串口中断服务函数: (2)串口接收回调函数: (3)串口接收中断配置函数: (4)非中断发送&#xff…

使用API有效率地管理Dynadot域名,列表形式查询已存在的文件夹信息

关于Dynadot Dynadot是通过ICANN认证的域名注册商,自2002年成立以来,服务于全球108个国家和地区的客户,为数以万计的客户提供简洁,优惠,安全的域名注册以及管理服务。 Dynadot平台操作教程索引(包括域名邮…

2024年学习AI绘画是还有来得及吗?事实上看这篇就足够了aigc绘画入门基础篇

想要学好stable diffusion,学习资料很重要,本文就将常用的模型下载、提示词工具、学习资料网站进行,以及AI可以做的那些副业,汇总,以提升各位彦祖、亦非们的学习体验~ 一、简介 今天给大家分享Stable Diffusion模型存…

力扣42 接雨水

听说字节每人都会接雨水,我也要会哈哈哈 数据结构:数组 算法:核心是计算这一列接到多少雨水,它取决于它左边的最大值和右边的最大值,如下图第三根柱子能接到的雨水应该是第一根柱子高度和第五根柱子高度的最小值减去第…