纷享销客海外合规观点与方案：个人隐私数据保护与数据出入境

出海，已不再是企业的“备胎”，而是必须面对的“大考”！在这个全球化的大潮中，有的企业乘风破浪，勇攀高峰，也有的企业在异国他乡遭遇了“水土不服”。

面对“要么出海，要么出局”的抉择，中国企业该如何破局，实现高质量“出海”呢？

本文内容节选自《中国企业出海研究报告（2024）》！

纷享销客一贯高度重视并持续增加在提高客户信任方面的投入，以满足客户出海需求。而安全合规与标准遵从正是获得并维护出海客户信任的必由之路。通过业界通用的安全合规与标准遵从的认证，既能提升纷享销客的整体安全能力和业务水平，也能帮助客户减少对合规和数据安全的担忧。同时，纷享销客始终秉持“以客户的成功定义成功”的核心价值观，充分理解客户个人数据安全的重要性，尊重和保护客户隐私权利。

01、法规理解

1. 合规：个人隐私数据合规&GDPR介绍

1.1 海外主要地区的数据隐私安全相关政策重点一览

除了欧盟制订的个人隐私数据保护法规(GDPR)，全世界各地区都有类似法规，例如美国CCPA/COPPA、印度DPDP，中东PDPL、中国的个人信息保护法(PIPL)等。但整体合规以GDPR为指引。在各国家有些细微差异，建议客户寻求专业法律咨询公司的协助了解。

1.2 GDPR以及它对组织的影响

• GDPR定义：

“通用数据保护条例”(General Data ProtectionRegulation，简称GDPR)是欧盟(EU)制定的一项新法规，它涉及个人数据的保护和自由传输以及个体(包括儿童)的权利。这是一组规则，它将取代现有的“数据保护条令”(Directive95/46/EC)，并且将在整个欧盟内实施。GDPR使欧盟居民有能力按其意愿直接控制其数据的处理方式，并保护其数据隐私。

• 组织影响：

在国外，GDPR作为欧盟针对个人隐私信息保护的法规，在2018年5月份正式实施以来，累计罚款已超过12亿欧元，这也意味着欧盟对个人隐私信息的保护和监管达到了前所未有的高度。

在国内，作为国内个人隐私信息保护的《中华人民共和国个人信息保护法》也已于2021年11月1日正式执行，对于提供SaaS服务的企业来说，加强并落实个人隐私信息保护势在必行。

1.3 中国企业在什么情况下需要遵循GDPR

• GDPR涉及范围：

GDPR的保护对象为【欧盟境内的数据主体】，因此，对于任何在欧盟境内开展业务的企业且涉及个人隐私信息的收集、存储、传输或分析等处理过程，都需要遵守GDPR，这也包括了中国企业在欧盟开展业务的情况。

• 罚款程度：

轻者处以1000万欧元(约合人民币0.75亿元)或者上一年度全球营收的2%(两者取其高)的罚款；重者处以2000万欧元(约合人民币1.5亿元)或者企业上一年度全球营收的4%(两者取其高)的罚款。

1.4 GDPR法律法规具体要求内容（概要）

• GDPR强调数据所有者的知情权：

规定数据使用必须事先征得数据主体的同意，而且“同意”必须是具体的、清晰的，是用户在充分知情的前提下自由做出的。如果数据使用范围扩大，无论是将数据提供给第三方或作为企业对外服务的一部分，都必须重新获取数据主体的授权和同意：数据主体还可以随时撤回同意权利。

• 收集数据表明其特定的使用目的：

不得收集提供服务必需之外的数据，收集之后不得滥用用户数据，同时还必须履行保护用户数据的义务；处理数据时，要求数据控制者说明如何收集处理个人数据，包括数据接受者类型、个人数据保留周期及采取该周期的理由等。

• GDPR强调数据主体的“被遗忘权”和“数据可携权”：

前者是指用户提出数据删除要求时，企业需要在数据库内找到数据并删除，如果数据已传播或提供给第三方使用，企业依然有责任通知使用者予以删除。

如涉及自动化数据处理(如数据画像等)数据控制者还需要提供基本的算法逻辑及针对个人的运算结果。

在数据泄露事件发生时，根据GDPR的数据泄露通知要求，企业必须在发现数据泄露的72小时内通知相关部门。

1.5 GDPR 定义的六种处理数据的法律基础

处理个人数据的基本原则是必须以【透明】方式合法处理该数据。这六种法律基础之间不分优劣，了解这一点至关重要。需根据企业处理数据的目的以及业务需求来选择最合适的法律基础：

1）同意-先征求数据主体同意，再处理其个人数据。在数据主体一方必须执行有意的操作来予以确认或同意。

示例：收集并处理个人数据以用于行销目的，或用于发送时事通讯

2）合同-您与个人签订合同，以提供他们所申请的商品或服务。在此情况下，您处理数据以履行合同。

示例：在履行合同期间，客户通过电子邮件索取更多信息，组织处理其个人数据以回应该请求

3）法律义务-根据法律的要求，您必须处理该数据。

示例：政府机构需要职员的薪酬详细信息，或某项调查要求处理个人数据

4）切身利益-您需要处理数据，以保护某人的生命安全或处理紧急情况。

示例：收集人员的个人详细信息，以便在突发事件或火灾中确保其人身安全

5）公众任务-您为满足公众利益而需要执行任务(通常以政府机构或政党等身份执行)。

示例：政府当局处理数据,以进行科学研究、调查或公众健康研究

6）合法利益-您的组织有真实而合法的原因来处理数据，其目的不侵犯数据主体的权利。

示例：客户未支付其发票款项，因此公司需要处理该客户的数据以收集支付信息。或者为进行管理，组织处理职员的个人数据以确定薪酬

1.6 数据角色定义及CRM平台应如何满足法规

• 数据控制方Controller(甲方企业公司)：

负责确定待收集的个人数据类型以及使用方式。数据控制方是决策者，对处理个人数据的目的、方式及用途有控制权。有时个人数据由多方联合控制，即由两个或更多实体决定如何处理收集的数据。数据处理方遵照控制方的相关指示，代理他们执行数据的处理。因此，相比处理方，控制方要遵守更严格的条例规定。对收集到的个人数据的控制权归数据控制方所有，而不会移交。

• 数据处理方Processor(纷享销客CRM)：

为数据控制方处理个人数据。代表控制方处理个人数据的组织称为数据处理方，处理方无权控制对该数据执行的操作，也无法更改收集数据的目的。处理方根据控制方所提供的指示，拥有有限的数据处理权。数据处理方必须要有安全的系统、工具和方法来收集并存储个人数据。

• 针对【获取数据主体授权】及【响应个人信息主体行使权利】，软件系统要能解决数据控制方(甲方客户)对信息是否已经获取授权的【分类记录管理】。并支持操作CRM系统来发送邮件给数据主体，要求获取数据主体同意。
• 数据控制方(甲方客户)收到数据主体要求行使权利后决定响应处理时，软件系统支持数据控制方能删除存储在CRM系统的对应个人数据。(但不能取代【数据控制方】与【数据主体】的交互沟通流程。)

• 数据主体(企业员工、终端联系人)：

个人数据的所有者。数据控制方要收集其人员信息的人员即数据主体。在企业中,数据主体包含企业的【客户联系人/线索】和【职员】。个人数据指的是可用来识别或确认某个有生命自然人(通常称为数据主体)的信息，个人数据可能包括以下方面：名称、姓名、地址、电话号码和电子邮件地址、身份识别码(ID)位置数据与数据主体的身体、遗传、精神、经济、文化、生理或社会身份有关的具体信息生物识别数据，如指纹或人脸、种族或族裔信息、医疗保健信息、工会会员身份。

1.7 个人用户数据生命周期与软件产品能力要求

1）数据收集阶段：

• GDPR要求收集个人信息时陈述目的并征求明确同意。

• 产品应提供未得到数据主体同意的数据限制相关操作功能及提供同意表单，正确征求数据主体同意并进行记录。

2）数据处理阶段：

• 数据处理方必须要有安全的系统、工具和方法来收集并存储个人数据。

• 纷享销客做为【数据处理方】，在CRM系统中提供更多选项可以帮助客户保护数据主体的数据，以及满足GDPR中制定的安全和隐私标准。除此之外，还必须确保不与第三方一起处理和共享个人信息(普通信息或敏感信息)。

3）数据主体行使权利：

• 数据主体行使其权利来访问其数据，以及了解对其个人数据执行的处理。数据主体还可能会要求停止处理其数据或删除该数据。

• 在CRM合规性设置(Compliance setting)中，企业可以管理及跟踪所有这些请求的方式来处理这些选项。

2. 合规：数据跨境传输

2.1 企业所属【行业】，在各国家地区对应不同监管程度，例：

• 印尼(东南亚)：2020年出台第八套条例,要求公共电子系统运营商，必须在印度尼西亚境内去管理、储存和存储其电子系统和电子数据

• 越南：53号法例，针对【关键基础设施】行业【网络类数据】要求较高

• 沙特：对【政府和关键基础设施】的数据要求存储境内

2.2 案例

依据CRM平台中涉及的海外用户信息，结合数据跨境管控的用户数据合规策略假设：CRM中涉及个人信息:客户联系人、联系电话、邮箱等

02、纷享销客观点和建议举措

1. 海外数据合规治理体系建议

1）组织管理侧合规

• 数据合规管理建设依据行业属性及合规复杂度，在组织中设置DPO(Data Protection 0fcer)角色

• 搭建数据合规管理体系(政策制度、行为准则流程规范)

• 数据安全合规培训及文化意识宣讲

• 内部监督及外部审查应对

2）软件技术系统侧合规

• 数据资产梳理及维护

• 技术措施保障数据安全，例: 数据脱敏、加密、匿名化、存储期限设定及自动化删除、权限控制、日志跟踪等

• 数据安全合规要求嵌入IT系统开发/运维数据安全管控成为系统默认配置

• 自动化管理工具/平台提升效率

2. 数据主体的隐私数据管理建议

1）数据主体是【海外员工、经销商联系人】：

• 首先，征得员工数据主体同意

• 根据不同国家法规以及业务要求签订相关协议

• 为员工提供多种选择方式:例如部分国家会提供信息采集的选项,采集指纹、人脸扫描二选一
  

2）数据主体是【终端线索/联系人】：

主动以留痕的方式获得数据主体同意：

• 增加隐私声明的公示

• 建议系统中不记录个人敏感信息(例：经济、家庭、肤色、宗教等)

• 主动联系数据主体建立意向(例: 电话沟通、邮件)再录入系统，可以降低被投诉的风险。

不可贩卖数据/过度营销，对数据主体造成骚扰：

名片上的信息属于商业联系人信息，不属于个人隐私数据，但不可贩卖数据，不停打电话做营销动作，此类行为在某些国家会被严格限制

充分满足数据主体对数据处理的请求。例:删除、修改、导出数据等

03、纷享销客获得【资质】及【产品支撑能力】

1. 个人隐私数据

1.1 纷享销客安全和隐私保护

欧盟与2018年颁布《通用数据保护条例》即GDPR。美国与2020年在加州开始实施迄今为止最高的数据保护法案CCPA。我国也在2021年先后颁布了《数据安全法》和《个人信息保护法》。

通过完整支持GDPR法规功能的建设(个人数据标识与管理，数据主体权利操作管理，数据授权流程管理等)以及海外IDC的部署，满足企业海外系统的合规,信息安全，个人信息隐私保护等需求。

1.2 SOC1 Type2& SOC2 Type2报告

2024年1月31日，“纷扬科技有限责任公司”之纷享销客CRM平台服务体系，在2023年1月1日-12月31日期间内的体系设计及执行，正式通过安永华明会计师事务的审计，获得了SOC1Type2和SOC2Type2 的鉴证报告。

• SOC1 Type2报告：

支撑客户财务报表的审计，通过对财务收入的数据来源认证可靠性，来证明基于该收入数据的后续一系列财务认定的准确性。凡是需要出财务报表的上市企业(如港股、A股、美股、科创等)，都需要支撑系统提供这个认证。通常提供给客户侧的财务报告相关的内控审计的独立审计师使用。

• SOC2 Type2报告：

支撑对纷享销客服务全流程安全的审计，对提供SaaS服务所涉及的研发、运维、安全、实施、客服等全套流程+系统进行认证，来保障租户的安全、高可用。相对于SOC1而言，对执行要求更全更严格。

• SOC1&SOC2适用场景：

1.3 纷享销客CRM的七层安全和隐私合规保护体系

2.  产品能力支撑-海外数据中心部署

2.1 纷享销客国际IDC布局和访问链路加速

数据中心(IDC)纷享销客采用托管机房模式，北京、广州两地三中心的部署：

• 纷享云

1）KDDI北京亚太中立数据中心

2）北京铁通T3数据中心

3）中国移动南方基地(广州)

4）华为云、阿里云、腾讯云(专属数据库)

• 欧洲数据中心(法兰克福AWS)

全球CDN网路，接入加速点：

• 国内：北京、广州、华为云、阿里云
• 香港
• 新加坡
• 美国-华盛顿州
• 荷兰-阿姆斯特丹
• 德国-法兰克福

• 尼日利亚-拉格斯

2.2 数据中心部署方式及集成场景

数据中心部署地考量点：

• 行业监管：客户行业是否属于政府强监管行业，部署在法兰克福AWS降低地缘政治导致不确定性(e.g.美国+通讯)
• 数据出入境法规：分公司所在国家的数据出入境法规：例如，如果海外有注册公司，某些国家对行业有不同监管要求风险会高。(e.g.印度)
• 连线速度：如果大部分CRM用户在海外，则考虑部署法兰克福AWS

• 租户数：如果海外业务流程是否与国内业务【差异大】且【均复杂】、且【无协助效益】，则建议可以拆分租户

2.3 数据中心部署方式及集成场景

04、总结

随着全球化和数字经济的发展，数据安全、隐私保护和合规是每个企业都必须关注的话题。全球安全合规的环境日益变化，目前已有超过130个国家和地区制定了数据保护和隐私相关的法律法规，全面的安全合规现已成为中国企业出海的重要考量因素。纷享销客作为国内领先的CRM厂商，确保个人隐私数据保护和数据出入境合规是携手企业出海的基石。

目前，纷享销客在认证上已获得如ISO27701、SOC1以及SOC2等一系列合规认证证书来为安全合规资质做背书：在产品上也具备产品合规能力，拿到数据主体同意以及对数据处理的流程进行管控。纷享销客将不断加强安全合规建设，助力客户打造高质量出海实践，持续为中国企业出海的各阶段保驾护航。