在数字经济成为全球经济增长新引擎的当下,中国企业也迎来出海新时代。
过去,我国以服装、玩具、家电等传统外贸资源型出海为主,而现在以互联网为阵地的工具、游戏、电商、内容社交出海正火热。
但是或许大家没有注意到,有一些主打“技术出海”的云厂商也早已在出海的市场上耕耘多年,并取得了一定的成功。
中国的出海企业正在从技术的受益者向技术的基础提供者过度。在技术出海的过程中,产品、技术以及服务能力固然主要,其中同样重要的是安全合规能力。
那么企业出海安全合规应该如何“避坑”?应该如何应对数据跨境流动的风险?用户又该选择什么样的云服务商?雷峰网与声网的安全合规负责人进行了一次深入的交流。
企业出海需合规“起舞”
2018年欧盟实施《GDPR》后,个人隐私保护引起了各国政府和民众的高度重视。世界范围内,众多国家都在通过颁布政策法规、加强执法监督并提升数据安全治理能力,来应对日益严峻的数据安全威胁。
欧盟、美国、中国作为世界上最大的三个经济体,其法律体系各有不同。企业出海无论对于起始国还是目的国投放的市场,都会面临不同的法律法规要求,企业要符合区域之间双向合规甚至是多边合规的要求。
声网安全合规负责人表示,诸多监管的合规要求,不能传统的仅从“地域性”这单一维度来判断其“适用性”,对于很多出海企业来说,并没有在当地注册,只是为自然人提供服务,但仍然会受到所在法域监管要求的影响。也就是说,当地的法律会利用“最低限度联系”原则(由于该原则的模糊性使其在实际使用中内涵被无限扩大),将原本不属于管辖范围内的案件纳入管辖。
具体来看,出海企业在个人隐私、数据安全、跨境传输、内容安全以及供应链风险等方面都存在非常大的挑战。
“一些美国的软件在中国被限制使用,而一些中国的软件在美国也会被限制使用,还有一些工具代码的进出口限制、专属知识产权的限制、更有因为意识形态文化风俗不同造成内容风险等,这都是出海企业在设计产品之前要规避的风险。”
当前,全球已有超过120个国际和独立司法管辖区采用了全面的数据保护及隐私法律来保护个人数据。
2018年爆出的“剑桥门”。剑桥分析公司非法攫取了5000万Facebook用户数据,并利用数据预测了他们的政治倾向,有针对性地推送政治广告。这个风波最终以Facebook被美国联邦贸易委员会罚款50亿美元结束。还有2019年1月,因违反《通用数据保护条例》,谷歌被欧盟处以5000万欧元罚款。以及2021年7月,电商巨头亚马逊被指控损不正当竞争并滥用消费者隐私,对该公司开出了7.46亿欧元(约合8.87亿美元)的罚单。
这意味着没有企业能够在合规全球化的浪潮中独善其身。
声网技术出海的“底气”
在技术出海的过程中,技术能力和安全合规能力缺一不可。
根据(原AppAnnie)获取的数据显示,在全球集成了RTCSDK的App中,声网Agora的覆盖率为43.2%,远高于全球其他服务商,约为第二名的2.5倍。这意味着在全球有RTC需求的移动App中,有将近一半都选择了声网。
像东南亚知名社交平台Kumu、美国最大的婚恋社交平台TheMeetGroup、北美多人移动游戏Bunch,以及国内的出海企业Yalla、Castbox、Oasis等等都是声网RTC技术的忠实拥护者。
财报数据显示2021年Q4,声网研发费用为2878万美元,研发费用率从上年同期的43.4%,上升至71.3%。在技术上的投入,也为声网增加了未来的竞争力。
在2021年底亚马逊AWS宕机事故中,迪斯尼+、奈飞等一些网站的在线服务均受到影响,声网海外的部分业务也使用了AWS的基础设施资源。但在此次事件中,声网的SD-RTN提供的网络质量依然保持稳定。因此也保持了七年无全网事故的记录。
声网的技术实力是毋庸置疑的,而“安全合规”能力也是为其技术出海保驾护航的“护城河”。
当被问到:“互联网企业科技公司以什么为生?”,声网安全合规负责人说“除了算法和源代码,更重要的是数据,数据是我们的生命线。”
随着《网络安全法》《数据安全法》《个人信息保护法》的相继出台,数据保护相关上位法的“三驾马车”已然形成,企业安全合规建设从可选项变成了必选项。滴滴赴美上市被叫停也让我们意识到数据跨境合规的重要性。
对于声网来说,安全合规是保护业务的护城河,但并不是要“锁死”业务。声网安全合规负责人表示:“更重要的是把内部的安全能力展现出来,让用户能够看到声网在安全合规方面的建设,从而为业务赋能。”
目前,声网在技术投入、团队投入以及合规认证方面均取得了一定成果。
据了解,声网安全合规及安全运营人员占总研发人员的5%—6%,相比声网超百人的研发团队,安全合规及安全运营人员的人数不算很多,但声网仅用一年的时间就从各个行业把优秀的人才招揽至麾下,完成了顶级资源的配置。这无疑体现出管理层对安全合规的足够重视。
而且,声网已经形成了较为全面的合规风险闭环管理流程,包括顶层的风险设计架构以及战术和运营层面的措施等。
(声网合规风险闭环流程及涉及组织)
声网安全合规负责人告诉雷峰网:“作为用户或者开发者来讲,最担心的是数据传输的过程是否是加密的,同时用户得知道什么样的数据可以传,什么样的数据不可以传输。”
目前声网根据监管要求和个人信息的敏感性对收集和存储的个人信息进行了分类分级。同时,声网采取了严格的数据保护措施,以防止个人信息在存储和处理过程中丢失、损坏、泄漏或篡改。在数据的传输和共享过程中,利用传输加密、内容加密、身份认证等技术来满足传输、共享个人信息的隐私安全要求。
此外,为满足不同国家或地区的法律法规对于数据跨境的要求,声网支持网络地理围栏(Geo-fencing)。开发者只要在调用产品的过程中,在工具上做极少的代码配置,就能将数据传输限制在特定地区。
(Agora跨境合规处理)
除此之外,声网每年还要花重金在认证、测评以及报告上,以此证明其在隐私性、可用性、安全性和机密性等方面的综合能力。
声网是目前实时互动行业合规认证完善度最高的独立RTE厂商。目前声网已经通过ISO/IEC27001、ISO/IECISO27017、ISO/IEC27018、ISO/IEC27701体系认证,并获得了SOC2Type2服务鉴证报告,进一步完善了自身的隐私保护和安全能力。声网也与Trustwave、ErnstYoung等信息安全机构、会计师事务所保持长期合作,以保障平台产品遵从包括欧盟《通用数据保护条例》(GDPR)、美国《加州消费者隐私法》(CCPA)、《健康保险携带和责任法案》(HIPAA)等国外的法律法规要求,从而为用户提供全面的安全合规保障。
被问及声网如何应对来自大厂的压力时,声网安全合规负责人认为,声网作为中小型互联网企业,其中一个宗旨就是“做精”,“我们所在的行业足够垂直,因而有足够的能力和精力把产品和服务做到最好。我们没有退路,这是唯一的选择,只有精益求精,没有尽头。”
安全合规这场仗输不起
有数据显示,全球的云服务市场,将在2022年增长至约4000亿美元。在如此大的市场下,云服务选手云集,那么用户该如何选择云服务商呢?出海企业又该如何应对安全合规带来的挑战呢?
声网表示,用户选择云服务商应该基于综合性的考虑,包含技术与服务的专业性、完善的安全合规能力、全球化的服务能力。
对于去海外市场创业的开发者们来说,若想在多变的海外商业环境中提高竞争力,技术提供商除了提供最硬核的技术支持,更要有全球化服务的经验和视角,具有第一时间帮助产品解决所遇到的本地化问题的能力。
同时还要获得全球范围的一系列合规认证,以及符合国内、国外核心国家与地区的相关法律法规。
声网安全合规负责人认为企业出海不仅要注意具体的数据、隐私合规以及经营等方面的风险。还要形成企业风险的闭环管理,以增强出海企业的生存能力。主要有以下三点:
第一:具有良好的、前瞻性的、敏锐的风险洞察能力。
第二:早发现、早评估、早处置。
第三:建立长效的风险监控机制。
另外需要警惕的是:除隐私保护、数据安全、跨境传输的合规问题,还有知识产权、进出口管制、内容安全以及供应链安全也同样令人担忧,因为这些问题都会凌驾于政治因素考虑,因此解释空间更加模糊、没有规律,整个过程是动态的,难以预测。
所以,出海企业不仅要构建合理、完善的数据安全和隐私合规管理体系,而且要及时跟踪海外监管动态的变化,加强对外规深入研判。企业国际合规的适应力和包容度决定了企业的生命力。
面对如此复杂又有严格的监管,企业出海之路走的并不容易,如果不符合当地的法律法规,很可能因此带来巨大损失。
但是这并不能阻断中国企业的全球化之路,在这条充满荆棘的路上,总有勇士一路向前,或许在未来的某一时刻终将成为众人仰视的榜样。
