跨境数据合规学习哪些方面？

跨境数据合规学习哪些方面？以下将通过实际场景举例，跟大家分享自己对数据跨境场景中的想法和思考。

1、场景

国内公司，系统部署在国内，主要用户群体都在国内，业务已扩展到美国，存在美国公民PII信息，国内敏感数据不出境，无国内数据跨境风险，如何满足美国合规要求。

2、目标

保证业务的前提下，满足美国本地监管和中美数据合规要求，规避数据跨境而产生风险。

3、问题&思考

合规：中美关于数据的合规要求是什么？如何落地？哪些是关键指标？

行业：行业最佳实践案例和是什么，与我司的共性是什么？我司与它的差距是什么？

系统：业务系统应该如何部署，如何拆分才能满足中美的数据管理要求？

数据：数据如何存储、使用和管理，才能满足中美的数据管理要求？

4、原则

数据最小化获取只获取隐私协议中明确提及的数据。本地化管控包含人员本地化招聘、系统本地化部署和数据本地化存储，此处是满足合规和监管要求，实现可信的目的。适当的安全防护环境、人员、系统和数据等都要进行适当的安全防护，如满足ccpa中的nist的cis框架，逐项满足，规避因安全问题引发的合规风险。出境前安全审查强合规要求。

5、方案

面对于美国合规，其实解决方案并不复杂，要基于业务，选择对业务影响最小和业务可接受的解决方案。主要方向是：将国内的所有技术和管理措施等在美国相同落实和拉齐，然后依据美国合规及业务特殊性进行定制化改造，如敏感数据发现基于业务和合规要求进行变更，增加境外数据管理规定等等，相同功能的三方安全防护产品，改采购美国本地企业产品等。

以下基于自己亲身经历并完成的落地方案，从四个方向的思路分享，供参考（只罗列个人认为的关键点）：

方向一、在美国的业务完全独立（思路类似一企两制）

在美国独立成立公司并招聘本地运维人员，国内总部进行宏观管理基于美国本地公司提供的云环境或IDC部署系统，与国内网络物理隔离系统强满足CCPA、COPPA和美国当地监管要求采购美国本地的企业产品，用以背书

方向二、在美国的系统完全独立

将涉及到美国PII信息的系统或功能模块从整体的系统中剥离，独立形成一套系统基于美国本地公司提供的云环境部署系统至少存在一个美国CDN企业专线，完成跨国数据传输美国合规要求的敏感数据如需进入国内，采取缓存的方式，且定期即时清理增加业务场景多样化，除了app端，建议存在pc端版本和h5页面版本等，规避app被下架的风险系统强满足CCPA、COPPA和美国当地监管要求采购美国本地的企业产品，用以背书

方向三、在美国的数据完全独立

美国本地的敏感数据获取和存储，依托于第三方公司完成，公司只提供能力和平台，接口层获取认证的结果数据即可，不接触敏感信息

方向四、放弃美国合规要求的隐私数据

对美籍用户或员工的合规明确要求的隐私数据进行全面匿名化处理或清退美籍用户或员工，并删除相关数据

总结：

上述思路不仅适用于中国企业在美业务的开展，亦适合在欧洲（GDPR）、日本等地的业务开展。

6、敏感数据

为了便于对敏感信息的了解，我整理了ccpa、gdpr等合规要求中对敏感数据的提及，总结如下，建议企业至少关注以下数据：

7、认证

面对合规，我们需要深刻地解读，并通过技术和管理等手段进行落地，以帮助企业规避合规风险，那如何判断和验证企业切实满足了合规要求呢，这就不提到不同合规要求对应的认证了，面对美国合规要求，可以通过过认证方式，进行合规背书，如Coppa和ISO/IEC 27701等，同时，相关认证对公司也有PR的效果。

总结

随着企业业务的全球化发展，企业面临的各国数据安全合规要求不尽相同，合规的日益趋严让企业压力不断增加，数据安全合规已经不再是企业建设到一定阶段，便可自然满足的事情，而是需要通过制定一系列的企业战略目标和计划，业务随合规而不断调整，方能实现的事情，这对每个企业都是比较大的挑战。但这其实是好事，数据的价值越来越大， 合规的本质是为个人、企业和国家提供保障，并且国家通过合规手段带动企业数据安全建设，会整个数据安全发展更加高效和快速。