超级科技盘点：全球数据合规立法事件与跨境企业合规启示

2022年全球数据合规领域立法进程取得长足发展，各国建立健全数据战略、法律法规和标准指南，统一立法、规范和引导数据安全及个人信息保护。

出海企业需遵守国内及目标国/地区数据立法规则，关注执法案例和监管动态，在保护数据安全、挖掘数据价值、实现科技创新之间找平衡点。

超级科技将从2022年的全球数据立法和执法代表事件出发，深入解读数据合规要点并提出跨境企业合规建议。

2022年度全球数据立法事件回顾

（一）2022全球数据保护立法概览

截止到2023年1月，全球194个国家中已有超过130多个国家对数据和隐私保护进行了立法；大约 57% 的亚洲国家和 61% 非洲国家通过了数据保护立法。从全球范围来看，数据合规保护立法是一个已经定式的大局方向。企业在出海不同国家的时候，可以根据各国立法的维度，初判自己要进入的国家、地区的数据监管状态是比较严格或是比较宽松的。

（二）2022全球八大数据立法事件

全球立法趋势：以欧盟、美国立法为创新性风向标；其他各国结合本国情况，制定、修改本国法律规范，逐步完善法律框架。

1、美国《数据隐私和保护法案（草案）》：

尽管法案距离正式颁布还需一段时间，但该法案的草案是第一个获得两党和两院支持的美国综合性联邦隐私法案（草案）；旨在联邦层面建立消费者隐私数据保护法律框架，为美国消费者提供了隐私权保护和有效的补救措施。

2、欧盟《数据法（草案）》：

《数据法（草案）》增强数据主体的数据可移植性权利，以便数据主体在提供竞争服务的控制者之间传输其数据。该法案就数据共享、公共机构访问、国际数据传输、云转换等问题做出规定，旨在消除数据访问障碍、释放数据价值、确保数据经济参与者之间数据价值分配的公平性，并促进数据的访问和使用。适用对象包括互联产品的制造商、数字服务提供商和用户等。

3、GDPR（欧盟《通用数据保护条例》）：

欧盟保护个人数据的法律。该条例旨在加强对欧盟境内居民的个人数据和隐私保护并直接适用于欧盟各成员国。

GDPR 的适用范围不限制企业实际数据处理行为是否在欧盟内进行，非欧盟成员国的企业（包括免费服务）只要满足下列两个条件之一，就受到 GDPR 的管辖：

①处理欧盟居民个人数据的企业（无论该企业在何处）

②向欧盟国家的人民提供商品或服务的企业（无论该企业在何处）

4、韩国《个人信息保护法（修正案）》：

修正案更加明确地促进数据主体权利并改进了同意机制，引入数据主体享有数据携带权以及拒绝自动化决策的权利、扩大了“知情同意原则”的例外情形，旨在加强在数字经济大的背景下公民可能被削弱的个人信息权利。

5、日本《个人信息保护法（修正案）》：

修正案主要涉及六大方面：

1）数据主体的权利；

2）企业责任；

3）企业自我完善机制；

4）数据使用策略；

5）处罚；

6）该法案的域外适用性和数据的跨境传输。

此外，该修正案引入“需要特别注意的个人信息”、“个人相关信息”、“假名化信息”的概念；加强个人数据跨境传输中跨境传输方对数据主体的告知义务。该修正案旨在通过扩大数据主体的权利和增加企业的义务来加强对个人信息的保护。

6、新加坡《个人数据保护法（修正案）》：

该修正案为新加坡的个人数据保护提供了基本准则，补充特定行业的立法和监管框架，如《银行法》和《保险法》，旨在保护数据主体的个人数据并且规范数据处理者的数据处理行为。

7、印度尼西亚《个人数据保护法》：

该法案规定了不当处理公民个人数据的法律责任，保障数据主体的合法权利。印度尼西亚第一部系统的个人数据保护法案。

8、泰国《个人数据保护法》：

泰国第一部综合数据保护法，规定了数据收集、使用和披露的合法理由，包括敏感的个人数据、控制者和处理者的义务，以及数据主体权利等。

2022年度全球数据执法事件

1、概览

（1）美国16家金融机构未依法保存商业记录案；

（2）美国T-Mobile公司泄露大量用户信息案；

（3）Epic Games侵害未成年人隐私并使用暗黑模式案；

（4）Google和Meta非法收集个人信息并用于个性化广告案；

（5）爱尔兰Meta(Instagram)非法处理未成年人数据案；

（6）意大利Enel Energia 电气公司不当传播个人信息并非法发送促销广告案；

（7）韩国Triple Comma非法处理敏感个人信息案；

（8）德意志银行股份公司未依法建立数据合规体系案；

（9）中国某出行公司非法处理个人信息案；

（10）中国首例数据合规不起诉案。

（备注：非官方统计，团队结合罚款金额、处罚事由、国家及地区等因素进行总结）

2、法律后果

（1）行政罚款：包含企业罚款和个人罚款，例如某出行公司案中，董事长兼CEO、总裁各受处100万元人民币。

（2）采取补救措施：停止违法行为；制定并落实安全保障措施计划、建立数据合规体系；开展员工数据合规培训等。

（3）诉讼和解金：常见于美国诉讼和解案件。

（4）附加其他限制：其他限制包含过程性限制与结果性限制。

（过程性限制）某出行公司在受监管调查过程中，被要求下架25余款app。

（结果性限制）法国CNIL对VOODOO公司施加三个月的禁令，并要求公司对该禁令带支付每天20,000欧元的罚款。

（5）定期提交情况报告：例如，美国OCR要求Life Hope Labs定期提交整改情况汇报。

数据跨境如何做到合法合规

企业在发展到一定阶段后，会考虑将业务版图扩展至境外（如印度、东南亚等国）。以我国的跨境电商企业为例，此类企业需注意我国及出海目标国关于数据出境、数据跨境处理、数据本地化存储的要求。不同出海国的法律规定将影响企业的合规部署计划及落实方案。

超级科技经过深入研究各国数据安全法律法规，研发了一系列数据安全产品，帮助尚未建立数据安全相关管理制度或机制的跨境企业，结合企业自身实际情况，分步推进数据安全体系建设。

1、数据安全管理体系设计

数据安全管理是一项需要多方联动型的复合型工作，在开展组织架构建设时，需要考虑组织层面实体的管理团队及执行团队，同时也要考虑虚拟的联动小组，所有部门均需要参与安全建设当中。同时，需要根据部门职责建立不同的数据安全角色以满足数据安全建设的需求。

2、数据资产盘点与分类分级

超级科技的“超·视界”数字资产风险监测平台通过快速摸清家底的能力，自动关联数据与设备，准确识别风险和漏洞，提供数字资产全可见、数字资产全维度、数字资产全监测的能力。让安全团队在做治理之前就能全面地识别资产与评估风险，参考风险修复建议，采取技术措施，降低风险发生的可能性。

超级科技的“超·蓝图”数据安全主动治理平台能够对用户数据进行自动数据发现、敏感数据识别且可以使用系统内置或用户导入的法规标准进行分类分级操作，生成数据资产目录。

3、数据安全风险评估

“超·自合”合规自动化平台依据《数据安全能力成熟度模型》标准，对用户组织数据全生命周期的安全能力进行评估，通过评估项目的实施，根据被评估单位的安全能力状况，给出评估结果并提出整改建议。

“超·自合”合规自动化平台能根据自评内容生成安全计划清单，一站式生成计划执行报告，确保企业能够实现如下目标：

1、可以确保企业数据的机密性、完整性和可用性。

2、可以提供审计跟踪，以建立问责制并授权取证分析。

3、可以处理数据主体的擦除请求和其他请求。

4、平台拥有完整的合规流程及全自动收集证据功能，可快捷轻松地完成SOC2、HIPAA、GDPR、ISO27001等多项合规要求。

4、数据全生命周期安全保护

数据全生命周期安全保护是指平台保障数据在其全生命周期流转中，每一个环节所必须提供的安全功能，包括数据产生(收集)安全、数据传输安全、数据存储安全、数据使用安全、数据删除安全和数据销毁安全。

5、数据安全态势运营

随着数据安全管控手段的逐步完善，超级科技的数据安全态势运营能将数据安全管控日常化，在持续使用中完善并优化数据安全管控的措施和策略，从而令前期对数据安全能力建设的投入发挥更大的能效价值。

超级科技是一家专注于信息安全领域的高新企业，由陆兆禧先生领投。公司聚集了一批国内顶尖的安全专家，以安全大数据为基础，以AI深度学习能力为驱动，首创了国内首个分布式安全防御系统。公司深耕数据安全领域，研发了一系列数据安全防护产品。

超级科技旗下拥有数据安全、网络安全、安全服务、超级云（阿里云、华为云战略合作伙伴）等一系列云+安全防御产品。公司在北京、武汉、贵阳等地设有分公司，在深圳、成都、长沙、南京、南昌、厦门等地建立了办事处。公司为近1000家政企客户提供安全服务。如果你想进一步了解超级科技，关注【杭州超级科技】公众号，咨询数据安全产品！