出海企業隱私保護、數據跨境合規實踐分享(2).pdf

《出海企業隱私保護、數據跨境合規實踐分享(2).pdf》由會員分享，可在線閱讀，更多相關《出海企業隱私保護、數據跨境合規實踐分享(2).pdf（31頁珍藏版）》請在三個皮匠報告上搜索。

1、0Copyright 2023 北京火山引擎科技有限公司 All rights reserved.WWW.VOLCENGINE.COM出海企業隱私保護、數據跨境合規實踐分享火山引擎 李一浩1CONTENTSCONTENTS目錄出海企業面臨的數據合規困境管理控制 or 技術控制 如何自證清白？建立“管理流程+技術圍欄”的數據海關基于兩個案例來做一個整體回顧2全球數據監管和跨境合規要求愈發嚴格尊重個人數據，構建長遠數據保護標準和制度，防止、防治數據外泄和濫用；隱私立法一般都以“人”為主體；強調“數據主權”的概念。隱私合規組織；隱私合規管理流程，制度和體系；DPIA；持續改進計劃。隱私數據發現和管控

2、技術；隱私合規管理平臺。法規的主要目的管理和流程要求技術管控能力要求3以FISMA為例，隱私保護和數據主權/國家安全同樣密不可分外國投資風險評估現代化法案（FIRRMA）美國對可能涉及個人數據跨境傳輸個人數據的投資審查范圍：外國個體對“持有或收集可能以危害國家安全的方式來利用的美國公民敏感個人數據”的美國商業實體的投資。財務數據，尤其是可能揭示財務困境的數據；征信報告數據；特定類型的保險數據；與身體、情緒或心理健康狀況有關的數據；私人郵件和通訊內容；地理位置數據，包括收集自基站、無線接入和便攜設備的數據；危害國家方式FIRRMA實施細則明確了CFIUS審查采取“基于風險的”審查方式，具體考慮以

3、下三個維度：危害美國國家安全的外國個體的意圖和能力；美國商業實體導致的美國國家安全的脆弱性；以及，上述脆弱性可能對美國國家安全造成的后果。根據CFIUS向國會提交的執法報告，可以非常有限地觀察執法關注的國家安全風險國家安全和個人數據保護法（草案）特別科技企業不得將從美國公民或居民處收集的任何數據或破譯該數據的信息，例如，加密密鑰，存儲于美國外的服務器上，也不得存儲于與美國存在執法機構數據共享協議的國家的服務器上。其他科技企業不得將從美國公民或居民處收集的任何數據或破譯該數據的信息，例如，加密密鑰，存儲位于中國或俄羅斯的服務器上。4隱私保護、數據跨境法規的典型特征和趨勢大多具有“長臂管轄”特征強

4、調監管溝通以及當地的數據行為報備企業應建立安全風險評估機制，監控、預警、通知、上報、應急響應等網絡防御強調個人信息保護，針對性的數據跨境和數據本地化要求明文條款規定違法行為的處罰和罰款123456企業應形成長效合規體系，適應業務變化以實現持續合規以數據主權、網絡安全為驅動的數據跨境政策，在跨境管理上會“趨向于嚴苛”；出海業務不僅要求數據本地存儲，也對向境外提供采取了嚴格限制，需要“懂業務”才能做好管控；以保護公民個人信息為目標的政策，會指導多元化的合法轉移渠道，重點還是“正當、合法、必要”的原則如何落實。5出海企業面臨的數據跨境合規困境 知識產權訴訟持續困擾企業2 數據貿易日趨嚴格制約了中國企

5、業的出海節奏1 自身的數據管理水平尚存在被動和零散的問題3 對海外國家的數據跨境合規理解不夠深刻4 難以找到數據合規與業務的平衡點5 缺少數據出海護航的“向導”6合規部分觀點面臨的挑戰審慎出海業務決策吸取前車之鑒，中國企業應對當地法規環境進行了解，特別是與數據處理相關的業務，應在出海產品的功能設計、法律聲明、宣傳手段方面進行審慎決策尊重當地市場環境及監管要求中國企業在應對境外訴訟糾紛上可能存在經驗不足，但這是國際化發展路上的“必修課”，應盡快學習當地市場游戲規則如獲得許可等，避免糾紛的產生將不違規作為經營的底線各國的法規要求、執行力度、行政文化等具有差異，應綜合當地執法案例等信息，對出海及跨境

6、數據進行評估，剔除可能導致違規的功能項，避免跨境數據風險系統化推行數據合規能力建設尋求專業團隊的支持國際咨詢公司、律所及跨國IT服務企業擁有更多當地資源，可為出海企業提供合規保障法規對數據跨境的要求，與自身數據安全、數據合規能力融合，建設數據合規體系并彌補管理短板，始終是企業合規的基石6CONTENTSCONTENTS目錄出海企業面臨的數據跨境合規困境管理控制 or 技術控制 如何自證清白？建立“管理流程+技術圍欄”的數據海關基于兩個案例來做一個整體回顧7識別要求：明確監管要求和合規紅線，永遠是合規的第一步法律法規治理框架合規智庫中國網絡安全法數據安全法個人信息保護法個人信息安全規范數據出境安

7、全評估辦法新加坡個人數據保護法(修訂)草案個人數據保護法案歐洲通用數據保護規范非個人數據自由流動條例關于GDPR的地域適用指南規范歐盟機構個人數據和電子通信指南印度美國健康保險隱私及責任法案兒童在線隱私保護法國家安全與個人數據保護法加州消費者隱私法案日本個人信息保護法個人信息保護基本方針個人信息保護法泰國分行業條文匯總監管要求解讀專業術語高效搜索分場景、類別隱私合規要求字段級管控要求數據分類分級標準數據分級安全保護措施基線數據權限審批流程貿易合規要求意識宣貫平臺工具線上學習考試平臺合規知識庫模擬演練工具提示/觸達工具專家服務心智體系整體規劃知識梳理與內容制作方案設計與執行落地公眾宣傳響應合規心

8、智工作體系提示演練知識結構主動舉報題寫規劃落地執行公眾宣傳考核反饋8管理控制：任何管理體系的核心，都是管理風險識別評估應對報告監督產品層級的隱私風險管理產品及服務開發和運營中面臨的隱私風險國家層級的隱私風險管理在不同國家差異化隱私法律環境下運作面臨的風險業務層級的隱私風險管理企業在toC業務、toB服務、內部經營等不同領域的風險治理流程層級的隱私風險管理基于GAPP隱私數據全生命周期中面臨的風險業界立法執法熱點，個人主體的關注點同行業/企業自身隱私合規案件總結與改進PIA隱私事件及投訴處理業務流程打點，流程控制測試與改進國家/區域立法執法熱點、用戶及雇員關注點的梳理與改進風險和應對組織、人員、

9、職責各地區指定數據保護官或團隊辦法、制度、流程制定數據安全相關制度、規范與審批流程監測、管控、審計數據流轉監測、數據訪問管控、數據操作審計.聲明、協議、評估補充隱私相關聲明、協議，落實環境檢測與隱私評估識別、分類、分級識別數據資產，分類分級管理9管理控制：通過DPIA來推動產品/業務層級的風險識別“數據保護”“權利保護”權責一致 目的明確 選擇同意 最少夠用 公開透明 確保安全以數據處理原則為基礎，采取合適的措施對數據進行保護：建立適當的機制，確保數據主體的權利可以得到主張和及時準確的響應。信息收集只收集業務需要的最少量個人信息在可能的情況下，將個人信息去識別化（從個人信息中刪除標識符號）需使

10、用簡潔、清晰和通俗易懂的語言在收集信息時以易于存取的格式提供聲明隱私聲明在必要時，需收到并記錄正式的明確同意確保處理個人撤回同意的流程。個人應可輕松地取消同意，確保系統/流程能適當管理撤銷的結果同意要求確保功能上能響應個人信息主體要求，包括限制處理權，反對權等管理隱私權只有經過授權的人才可訪問個人信息在可能的情況下，使用加密（和其他隱私增強技術，如PET 等）來保護存儲的信息對個人信息的所有操作應被記錄限制個人信息的導出和展示數據保護最少數量且必要的個人信息會被轉移給第三方數據交換要求在可能的情況下限制個人信息跨境傳輸；如需跨境，確?？刂拼胧┑玫铰鋵?，以符合法律和安全要求跨境傳輸系統中所有的個

11、人信息應設有保留政策，并標記到系統中，到達保留期限后刪除數據數據保留10管理控制：通過DPIA來推動產品/業務層級的風險識別（案例）應用系統數據保護措施出海合規動作隱私合規保護措施了解待評估的業務系統SDLC 安全防護安全合規目標常規安全能力代碼安全掃描、漏洞掃描、滲透測試等常規能力數據保護提供有關數據保護和監控的能力和技術指南隱私數據提供有關透明度和個人數據使用法規要求的程序和技術指南內部應用系統為內部使用，與對外提供線上服務的系統相比風險敞口更小。但涉及價值較高的數據（如個人信息、客戶數據、業務核心數據等），需要對系統進行相應的網絡、數據安全防護，及隱私合規保護。詳細操作123數據跨境檢測

12、能力機房流量層面掃描是否有跨境傳輸的數據數據分類分級能力接口、系統、數據庫層面的敏感數據、個人信息類數據掃描訪問控制管理管理對數據訪問的身份驗證，訪問和監視以某出海場景中，海外子公司擬復用國內同類業務的應用系統，以實現自身業務需求：4輸入和依存關系 隱私和安全性的行業標準（例如，NIST CSF，ISO 27001）適用司法管轄區的法律法規權威來源監管活動自身出海場景特點 執法行動和趨勢 監管指南和法院判決（例如Schrems II）現有政策和程序，流程和技術 內部應用系統側重防護內部數據濫用、數據泄露、隱私保護，在海外場景下監管或外部機構（如審計、認證機構）也對處理關鍵數據的內部應用系統有較

13、多安全要求。落實公司分級保護措施，各國數安法（例如GDPR），措施例如加密、脫敏、數據備份、訪問控制等合法性基礎、與第三方共享、數據跨境合規條件、數據主體行權響應、數據留存、數據安全事件應急預案與演練處理什么數據識別合規要求確定部署地理位置梳理“數據流轉示意圖系統部署環境使用者隔離落實公司SDLC要求和安全防護措施，含代碼掃描、漏洞掃描、安全基線、網絡安全防護、終端安全等11管理控制-技術控制：證明管理要求的落地和有效性11233574數據采集的正當、合法、充分告知與同意數據傳輸加密和數據存儲安全，敏感數據不落地數據使用過程中的目的限制、訪問控制、脫敏等措施數據主體對其信息基本權利的保障企業客

14、戶API接口調用安全（鑒權，審計，加密等）數據跨境安全評估、數據保護能力評估和協議簽署數據存儲期限管理，數據挖掘和分析的管理等5監管部門數據報送流程，數據接口調用安全等4第三方服務接口安全，第三方數據保護責權邊界管理2數據使用過程中的目的限制、訪問控制、脫敏等措施Management Control（組織與流程）Technical Control（技術解決方案）Data Protection Impact Assessment (PIA)該活動應為法務合規的標準動作，DPIA所識別的安全風險和控制措施，應在流程和系統中落地Transfer Impact Assessment（TIA）該活動的風

15、險識別為法務與合規主導，技術服務商可配合進行跨境數據及其處理場景的梳理1）數據傳輸過程加密，重要數據加密后方可存入數據庫，非必要情況下，應脫敏后展示2）基于數據處理的目的限制，設計嚴格的ACL規則，并記錄數據訪問的日志 1）數據對外服務均采取API方式發布，遵從身份認證、鑒權和審計的管控措施2）第三方數據訪問、監管部門數據報送等場景，有內部合規要求和流程，進行系統內相關審批流程的設計 12技術控制：沒有監管的體系必然是不可落地的體系用戶信息搜集的最小化用戶同意的管理數據跨境的合規傳輸梳理和理解業務場景，建立用戶數據采集最小的要求和指引引導技術團隊實現響應的系統設計，頁面設計“所見即所得”，方便

16、檢查閉環提出用戶“主動同意”后，再處理采集和處理數據的要求App檢測/合規SDK：驗證應用是否在用戶同意之前，執行了讀取數據/獲取權限明確了數據跨境評估（TIA）的流程要求，梳理了具體場景和數據字段如何監管實際跨境數據的一致性？-目標系統的日志是否可行如何確保TIA的全覆蓋，以及系統上線后變更依然合規？-識別管理的盲區13那么，技術主導的跨境合規監管是否可行？數據跨境的合規傳輸明確了數據跨境評估（TIA）的流程要求，梳理了具體場景和數據字段如何監管實際跨境數據的一致性？-目標系統的日志是否可行如何確保TIA的全覆蓋，以及系統上線后變更依然合規？-識別管理的盲區流量檢測：能看見跨境關系，但看不見

17、具體的通訊內容內部API檢測：能看到部分字段級傳輸，但內容不可讀，看不懂也不了解業務場景應用系統日志：系統自身日志的可信度、日志的完善度都有非常大的影響，切逐一對接復雜14出海企業數據跨境合規現狀業務迫切需要跨境數據協同技術監管滯后的影響企業經營管理：跨國管理層需要實時看到海外業務經營發展現狀核心業務發展：國內/海外核心業務的數據協同，例如營銷獲客，用戶服務，質量管理大數據分析：包括傳統的用戶畫像，故障分析建模，以及大模型訓練、推理和應用等可能1:管控失效，海外數據濫用和隨意跨境可能2:業務擔心合規，導致不敢用海外數據可能3:有流程但缺監管，只能管“乖孩子”15CONTENTSCONTENTS

18、目錄出海企業面臨的數據跨境合規困境管理控制 or 技術控制 如何自證清白？建立“管理流程+技術圍欄”的數據海關基于兩個案例來做一個整體回顧16流程合規+技術合規合規治理 Privacy goal Organization Privacy policy Privacy plans Privacy information manager Privacy training數據管理 PD discovery 隱私數據發現 Data inventory 數據目錄 Data flow manager 數據流圖 Data mapping 隱私數據地圖和應用關系風險管控 DPIA（Assessment Man

19、ager）隱私影響評估 DP risk manager DP risk control運營 Policies&procedures DSAR/privacy right manager 數據主體請求和響應 CMP（Consent）同意的管理 Activity monitoring&record Deidentification/pseudonymity Incident response Enterprise communication合規展示 Privacy benchmark&dash-board 1.合規的關鍵點（剛需）(privacy)個人和隱私數據合規管理技術2.合規科技化是大趨勢（

20、技術如何輔助合規）對于隱私和數據保護相關技術最大的一個驅動力，其實是各個企業需要向外界，去展示我們已經做到了合規3.如何證明自己合規和其他場景一樣，數據跨境合規需要建立從治理體系到管理流程，再到技術自證體系的完整閉環：17TIA的典型流程和關注點相對業務解耦，可以統一評估集團內數據接受方的數據保護水平不同業務線/應用系統可以增加差異評估數據類型和重要程度可以通過Data Mapping進行識別和評估困難是如何監管業務實際跨境的一致性以及識別繞過統一評估的跨境行為TIA評估中，可以隨Data Mapping識別困難同樣是如何監管使用場景的一致性，以及是否存在惡意拉取的行為（e.g.標注為特定場景

21、偶發需求，但重復拉取大量數據）安全保護能力數據屬性評估出境目的管理18那么，有沒有可能把管理流程和技術管控有效關聯起來？1.提交報關申請2.審批貨物清單的合規性，是否違反進出口條例3.“貨物”通過不同方式運輸，但始終無法繞過海關貨物出口國4.按照“報關單”驗證申報的一致性，以及其他檢驗檢疫指標5.安全地送達最終消費者19統一出海業務的“離境”口岸，建立“數據海關”，對接“報關流程”控制平面1.業務方提交數據跨境需求，標注詳細的場景，服務，字段和語義2.法務與合規對跨境需求進行審批3.基于服務和字段標注生成跨境“票據”數據平面1.基于“園區-境外數據中心、境外-境內數據中心之間、境外數據中心-第

22、三方伙伴”等不同業務場景，分別建立數據訪問代理節點2.基于控制平面下發的數據訪問策略，執行跨境數據訪問的管控和審計 對集團管理團隊：支撐法務與合規團隊的業務出海與數據跨境合規審查需求 對業務和IT團隊：統一管理對包含個人敏感信息的境外敏據中心跨境訪問，建立數據跨境透明化和面對內外部監管的“自證清白”能力20Step1.海外數據本地化，是出海業務合規的基線 境外業務VPC應用數據庫OS20+類敏感數據數據本地化存儲數據處理本地化本地業務人員本地數據分析人員本地數據運維人員境 外數據合規法律法規DPO法務合規安全數據業務基礎架構x國家監管組織x國家監管組織x國家監管組織數據本地化 個人數據本地化，

23、是企業海外業務合規的基本要求數據本地化：境外采集的個人和敏感數據，進行本地化存儲和處理，是數據合規的第一道基線如果境外App可直接連通國內后端服務，就需要考慮在App內設置復雜的管控策略典型的管控思路，是要求境外App不能直接訪問國內URL地址，先實現數據本地化，再談數據跨境合規21Step2.建立數據圍欄，任何跨境訪問都需要經過“海關”送檢境外業務VPC合規VPC 前置服務 共享接口運維工具應用數據庫OS20+類敏感數據非敏感數據數據本地化存儲數據處理本地化跨境數據訪問本地業務人員本地數據分析人員本地數據運維人員境 外境內數據合規法律法規DPO法務合規安全數據業務基礎架構x國家監管組織x國家

24、監管組織x國家監管組織VPC3-境內生產區數據服務數據服務Data AccessData ExchangeData ExchangeData plane（多場景跨境網關）多場景的不同數據通路管控，如用戶跨境訪問、數據跨中心同步、第三方數據同步 基于策略執行管控、審計與留痕數據本地化 個人數據本地化，是企業海外業務合規的基本要求數據跨境合規 為跨境經營決策/數據流轉提供合規的數據支撐Data Access數據訪問網關數據交換網關先扎牢籬笆，再管好通路：建立合規VPC，部署不涉及“個人和敏感信息”處理的前置服務，任何對包含個人和敏感數據的訪問，均需要通過“數據合規網關”的稽核與審計海關的核心，是需

25、要確?？缇沉髁繜o法繞過技術管控但是否允許特定請求跨境，是需要場景和上下文關聯的22Step3.打通TIA流程和技術管控，實現業務場景和技術場景的互通境外業務VPC合規VPC 前置服務 共享接口運維工具應用數據庫OS20+類敏感數據非敏感數據數據本地化存儲數據處理本地化跨境數據訪問本地業務人員本地數據分析人員本地數據運維人員境 外境內數據合規法律法規DPO法務合規安全數據業務基礎架構x國家監管組織x國家監管組織x國家監管組織數據跨境安全評估數據資產識別和標注VPC3-境內生產區數據服務數據服務Data AccessData ExchangeData Exchange業務方提交數據跨境需求，標注詳

26、細的場景，服務，字段和語義法務與合規對跨境需求進行審批基于服務和字段標注生成跨境“票據”Control plane（集中管控平臺）Data plane（多場景跨境網關）多場景的不同數據通路管控，如用戶跨境訪問、數據跨中心同步、第三方數據同步 基于策略執行管控、審計與留痕合規策略數據過濾訪問控制數據識別異常攔截行為記錄數據本地化 個人數據本地化，是企業海外業務合規的基本要求數據跨境合規 為跨境經營決策/數據流轉提供合規的數據支撐Data Access數據訪問網關數據交換網關先聲明，再跨境：建立數據跨境合規的核心，是在特定業務場景下，評估數據敏感程度、量級、業務必須性等綜合信息，這就需求打通TIA

27、流程，來判斷具體場景是否能夠合規跨境23控制平面：先申請再使用，申請和數據一致（跨境前）業務團隊：提出數據跨境的場景，并嚴格描述該鏈路上傳輸數據的schema和語義合規 BP：大型企業的復雜場景，合規人員無法全部深入覆蓋，可建立合規BP進行跨境場景的初步確認合規團隊：從專業視角進行Review，審視數據跨境的正當、合法和必要性，并進行復核與確認（Approve）操作跨境前：數據標注和申請審批 TIA流程業務團隊：知悉數據跨境具體場景，包括數據類型、量級、跨境用途等，負責進行數據跨境場景注冊描述：正確選擇跨境字段所屬的分類在注冊服務時，正確描述數據及字段值的含義，怎么得來的，做什么用的，參考描述

28、格式：-This data processing scenario/table contains.which is needed to.and is taken from.正確描述數據或數據字段互通的理由時，強調對用戶/系統功能完整性的影響，參考描述格式：-The data requires synchronization with.to.If the data is not synced,the following will take place as a result.合規BP：更熟悉業務場景，了解業務提供的跨境目標是否合理，數據分類標記是否準確，一般由經過培訓的業務線人員擔任，負責對一線

29、標注的跨境請求進行初審和確認（Confirm）合規團隊：建立數據跨境的準則和要求，并進行TIA的最終確認明確要求：結合企業主要的出海區域和業務場景，建立數據分類的規則，對不同分類的數據（e.g.公開數據，個人數據，經營數據，工程數據），提出不同的跨境管控要求內部培訓：對合規BP和一線業務團隊進行必要的培訓，明確標注的要點和數據跨境的一般場景（e.g.哪些數據可以跨境，哪些數據要做去標識化）TIA確認：對包含個人數據的場景，做二次專業驗證24控制平面：先申請再使用，申請和數據一致（跨境中和跨境后）業務團隊：提出數據跨境的場景，并嚴格描述該鏈路上傳輸數據的schema和語義合規 BP：大型企業的復

30、雜場景，合規人員無法全部深入覆蓋，可建立合規BP進行跨境場景的初步確認合規團隊：從專業視角進行Review，審視數據跨境的正當、合法和必要性，并進行復核與確認（Approve）操作合規團隊：對數據跨境場景識別和審批記錄進行審計，獲取實際跨境數據的一致性日志進行稽核跨境前：數據標注和申請審批 TIA流程跨境中：數據一致性校驗跨境校驗：根據嚴格聲明，和審核通過的schema和實際傳輸數據進行validation過濾/攔截：識別到差異，則過濾或者阻斷該數據倒推標注：識別到未注冊跨境服務，則推送業務Owner注冊技術驅動合規跨境后：稽核與審計25數據平面：通過不同的“海關”節點，稽核數據合規性和一致性

31、跨境場景的收斂內容一致性校驗全局性策略的強制落地26小結：通過技術平臺，實現業務、合規、審計角色的協同專線跨境 公網跨境 數據傳輸協議四層：ftp/ssh等七層：http/https統一注冊、統一配置攔截分析審計字段打標字段類型審計跨境評估自動適配識別跨境雙向審計合規網關策略法律要求解讀兼容多國政策基礎適配調整公網/IDC/辦公網個人信息出鏡重要信息出鏡數據跨境業務電商跨境汽車跨境業務其他業務游戲跨境業務服務于業務與合規全局架構統一，基于不同司法管轄區，做管控流程，標注標準的適配 集中建設，統一規劃：統一的合規管理審批和底層數據交換體系，實現控制平面和數據平面的“強一致性”技術驅動，自證清白：

32、全跨境通路納管和全跨境流量透明化，倒推業務主動申報，實現“合規”“透明”與“可控可管”27CONTENTSCONTENTS目錄出海企業面臨的數據跨境合規困境管理控制 or 技術控制 如何自證清白？建立“管理流程+技術圍欄”的數據海關基于兩個案例來做一個整體回顧28某智能制造：建立海外數據跨境的“合規圍欄”和“安全海關”Ring Fencing數據交換網關數據訪問網關跨境合規管控平臺應用集群數據集群Web訪問App調用海外數據中心前端數據采集個人數據，工況、故障和定位數據三方伙伴數據推送集團境外系統取數Data ExchangeData Access跨境策略數據Schema跨境策略數據Schem

33、a用戶App車端T-box基于“先扎牢籬笆，再管好大門”的思路，建立對海外數據中心內本地化數據跨境訪問的統一管控平面環形圍欄（Ring Fencing）通過合規組件，形成對業務數據中心的圍欄形保護，保證所有出入數據符合相關合規要求先聲明，后使用所有通過合規組件實現跨境交互的業務流量，均需先聲明其使用場景和數據來源最小權限標記基于跨境策略和數據Schema，合規組件執行字段級最小化權限管控，限制未標記敏感數據跨境多級執行策略合規執行能力分為多級別，依據業務場景和不同司法管轄區的合規要求，確定管理執行標準統一跨境管控平臺通過法律合規評估，建立EU數據跨境審批的規范和流程，對EU數據的跨境交互均先經

34、過合規審批后，由訪問網關執行合規管控跨境策略本地適配29某集團企業：分級分權+技術合規，建立“自證清白”的跨境體系識別法律合規目標，建立合規組織和規范體系是出海合規的底線，風控的“三道防線”是永遠不過時的管理基礎。從治理體系到技術控制（Top-down）通過技術驅動，打通數據跨境場景中的部門壁壘和信息壁壘，為“三道防線”的運行提供切實的數據支撐，才是面臨海外監管自證清白的核心。從技術控制到治理體系（Bottom-up）IT/科技公司（數據處理者）國際業務實體（數據控制者）數據合規職能部門法務審計海外實體的DPO海外業務職能部門IT/科技公司DPO業務系統數據需求部門Leader審核（需求真實性

35、）海外職能部門Leader審核（業務和用途合理性）海外DPO或其他合規崗（跨境場景合規性）第一道防線第二道防線第三道防線提供“業務方申請”和“跨境審批”的支撐平臺發布政策規范提供合規培訓監控管理落地情況數據跨境管控平臺策略下發審計跨境流量攔截違規跨境法律法規解讀內審政策要求審計違規風險提供“事前審批”和“實際跨境”記錄，支持監控和內部審查審查技術控制落地國內數據消費方（業務職能部門）按審批策略執行跨境數據流管控跨境管控網關提供數據跨境的標注、申請、審批、策略管理和審計數據跨境審批平臺30WWW.VOLCENGINE.COMCopyright 2023 北京火山引擎科技有限公司 All rights reserved.THANKS感謝觀看歡迎各位專家交流討論