从GDPR到PIPL，留给国际品牌的时间不多了_大数据资讯

去年，我国《数据安全法》、《个人信息保护法》（PIPL）相继实施，与《网络安全法》共同形成了数据合规领域的“三驾马车”。越来越多的企业开始关注自身的数据安全与合规性，考察数据平台、分析工具及其他常用第三方数据产品——时至今日，伴随着法律法规的不断健全，仅仅“观望”已并不足够。面对数据安全合规的要求，主动出击成为了他们的选择。

据悉，2022开年以来，许多外企向老牌咨询公司发出了“数据合规评估”的招标邀约，要求对企业内数字化产品和数据相关行为进行全面诊断。

除了信息主体的权利、信息处理者义务等必备维度，更常见于国际品牌经营中的问题也接踵而至：

“怎么判断个人信息数据有没有跨境流动？”“继续使用之前的跨境分析工具违法吗？”“如何评估数据服务商是否合规？”

没错，响应中国境内的法律法规要求，实现数据安全合规，已成为外企尤其是直面消费者的国际品牌“本土化”的硬要求之一。

而在外企对安全合规的众多担忧中，“数据出境”的讨论显得尤为关键。

去年11月，个保法（PIPL）正式实施，其覆盖范围不仅包括“在中华人民共和国境内处理自然人个人信息的活动”，也包括了在境外处理中国境内自然人个人信息的活动，具体包含“以向境内自然人提供产品或者服务为目的”，及“分析、评估境内自然人的行为”等情形。同时，与《数据出境安全评估办法（征求意见稿）》呼应，“处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估。”

除此之外，《个人信息和重要数据出境安全评估办法（征求意见稿）》《网络安全法》《信息安全技术数据出境安全评估指南（征求意见稿）》等法规也做出相应要求。

某国际品牌Digital部门负责人表示，曾就“数据出境”、“个人信息”等问题与法务部门进行探讨。“一直以来，大部分外企都是用的某国外厂商的跨境分析工具，但其实他们在中国境内并没有数据中心，这意味着我们以后如果继续使用这个产品，收集的用户行为数据最终会存储在境外，也就涉及数据出境的问题。”

我国法律中涉及数据出境合规的要求，目前主要集中在“个人信息”和“重要数据”两类。“理论上，跨境工具会采用‘假名化的Cookie ID’、‘IP地址匿名化’等方式力图保证合规，并在合同中明文规定禁止向其发送个人身份信息，但法务也为我们暴露了风险。”她解释到，“目前在实际操作过程中，我们可能很难确保采集的用户数据、标签等符合PIPL中定义的‘非个人信息’。而且我们无法确定当假名化的User-ID和系统元数据等数据交叉时，它是否仍符合‘不能被识别到个人’的要求。”

尝试主动报批使其合规，是一种解法。

个保法的第三十八条对个人信息数据出境的条件进行了清晰阐释：

“个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；（四）法律、行政法规或者国家网信部门规定的其他条件。”

然而，截至本文发布，据悉，相关安全评估尚未开始组织，专业机构及相关认证动作也尚未披露，标准合同也还未面世。

近日，国家市场监督管理总局、国家互联网信息办公室决定开展数据安全管理认证工作，鼓励网络运营者通过认证方式规范网络数据处理活动，加强网络数据安全保护。这或许可视为“开始”的行动之一，但总体来说，PIPL中规定的有关“个人信息数据出境”条件，还难以落地。

虽然个保法尚未针对企业的自我整改划下”死线“，但对于企业而言，等待第一个警告下罚再去行动，显然风险过大。

更多的外企已开始寻求“替代产品”。

“所有数据合法地存储在中国境内”，这只是最低限度的要求。

个人信息数据采集合规，数据全生命周期安全，未成年人信息保护，数据主体的撤回权与删除权……个保法、《数据安全法》等一系列法律法规的要求引起了绝大多数企业的重视，他们希望不仅符合个别条款，更能从整体视角审视企业的“数据安全合规”。

一家常驻某国际集团、为其提供数字化转型咨询服务的顾问企业谈到，“去年7月，因不符合GDPR的要求，亚马逊被卢森堡数据保护委员会开出7.46亿欧元罚单；今年2月，法国国家信息与自由委员会（CNIL）表示，一家本地网站使用Google Analytics提供的服务，违反了GDPR，责令其一个月内改进。海外的例子在前，这些都是外企可能面临的风险。”

当然，类似的“替代产品”必须两条腿走路，一条腿是“足够安全合规”，另一条腿是“与原产品同等甚至更好用”。

据悉，国内知名的数据分析厂商们已陆续开始行动。

近日，国内分析云领军者、一站式增长服务商GrowingIO的创始人张溪梦在对媒体的访谈中表示：“我们的产品升级已经完成。”

他谈到，GrowingIO的数据分析平台（UBA）的数据采集符合《数据安全法》、个保法要求，数据传输、存储全流程加密，且支持本地化部署，数据不出境。同时，从其他数据分析工具迁移到GrowingIO，迁移成本和实施成本低，无需重新埋点即可切换。

而谈及GrowingIO数据产品的独特优势，张溪梦介绍：“我们支持全域数据的采集融合，包括所有框架开发的APP、小程序和网页等等，更贴近我们国家用户常用小程序等功能的习惯，也能支持多种业务诉求，可以灵活地完成画像构建、活动分析等动作。另外，我们有100多人的本地售后服务团队，专为及时响应全国各地企业客户的需求。”