出海企业，如何绕过合规那些“坑” | 钛媒体「出海参考」

点击进入「出海参考」公众号，关注获取更多出海企业合规”避坑指南”。

3月23日，TikTok首席执行官周受资出席美国众议院能源和商务委员会听证会，就TikTok在美国涉及的合规问题进行答疑，这次听证会毫无悬念地成为了全球的“焦点时刻”。

  （图片来自视觉中国）

今年以来，全球10亿月活用户的TikTok已经风波不断。先是美国联邦政府禁止所有政府设备安装TikTok，而后加拿大、英国和欧盟政府陆续要求删除该国政府部门设备中的TikTok。拜登更是要求TikTok出售字节拥有的所有股份，否则将全面禁止TikTok在美国运营。

这一系列事件的发酵，让诸多媒体将焦点对准此次TikTok出席听证会。如欧美多家媒体报道，“在长达5小时的质询中，出席现场的周受资并没有得到太多陈述和回应的机会，更像是配合美国议员们的表演”。

然而，穿过这场“表演”背后，值得被关注的核心之一是中国出海企业如何规避合规红线与数据安全问题。基于对这两个潜藏风险的关注以及如何躲避这些坑，钛媒体旗下「出海参考」邀请北京己任律师事务所高级顾问（合伙人级）薛颖律师，Selefra/火线安全联合创始人曾垚，分别从法律和技术角度进行交叉式讨论，就TikTok听证会、企业出海合规和数据安全进行解读和分析。

TikTok听证会背后的数据主权之争

北京己任律师事务所高级顾问薛律师分析道，美国大选的周期性和中美关系的持续胶着，增添了TikTok听证会的政治性因素。但听证会本身并不是正式的司法或行政调查程序，并不直接对TikTok在美运营形成法律后果，但长远看，本次听证会收集的信息和对两党及民众心理和情绪的影响，将可能影响针对TikTok相关法案出台。

随着美国民众对互联网给公共利益带来潜在损害的担心日益增强，对公共利益的“损害”以及带给美国社会的负面影响，美国政府越来越关注数据对美国选举、国家安全方面的影响，以及科技企业的数据隐私与安全、虚假信息等问题。她补充道，美国社会对科技潜在风险形成新共识，政府也在逐步加强对科技巨头的监管。近些年，谷歌、苹果、Facebook和亚马逊等公司CEO，都曾就相关信息安全问题在听证会上进行答疑。

由此看，去除政治性因素，TikTok出席听证会体现了美国对信息安全和数字经济下新型合规问题的持续关注。

Selefra联合创始人曾垚从技术角度补充道，本次听证会中，TikTok涉及的跨境数据处理是核心敏感问题之一。跨境数据处理是典型且常见的违规事件。出海企业需要完成海外线上问题处理、故障调试、模型训练等操作，一定要去数据所在国进行处理，否则就会导致违规行为。

TikTok此事，数据生产地在美国，数据处理原则上也需要合规的在美国进行。如果企业跨境处理美国数据是极其敏感的。不仅是美国，欧洲和中国也在近期出台跨境数据处理的相关规定。

据「出海参考」统计，全球已经有132个国家制定了相应法律来保护数据和隐私安全。TikTok听证会也反映出，数据已经成为后全球化时代的高敏感问题，数据主权会成为出海企业安全红线。

（图片来自视觉中国）

数据安全之外，出海企业还需绕过哪些合规“坑”

数据跨境传输并不是默认被禁止，立法者在乎的是是否违规出境。己任律师事务所高级顾问薛律师回应道。数据应加以保护，制度工具亦有一定的灵活性。出海企业如何界定和践行合规？数据安全之于合规的意义是什么？

面对这些问题，Selefra联合创始人曾垚谈道，首先，数据已经不是互联网独有的资产，是所有行业都拥有的资产。因此数据安全问题也是所有行业要面临的问题。其次，个人隐私泄漏导致人身安全风险、黑客攻击带给企业巨额经济损失、数据外移出境埋下国家安全隐患，这三种不同层面的数据安全问题都提升了合规的重要性和紧迫性。最后，合规是安全的底线，没有合规就没有安全。

己任律师事务所高级顾问薛律师表示，数据安全是企业合规的热点和重点之一，但并非合规的全部。给企业形成重大风险的合规问题不只是信息和数据，还包括运营、反垄断、反商业贿赂、出口管制等等。大家谈合规，首先要知道“规”是什么？我认为没有唯一的标准正确答案。

对于出海企业常见的合规问题，薛律师和曾垚都坦言其复杂性。随后，薛律师依靠其专业和经验从两个维度归纳道：

第一个维度的合规是地域层面。出海企业需要遵守和符合境内法律，也要遵守东道国的法律法规。这个听起来简单，但其中较为复杂也值得注意的部分是，外国对企业的“长臂管辖”。比方，GDPR不仅对出海企业在欧洲的子公司有约束力，同时也可能对国内总部基于域外管辖权而进行管辖。二是中国企业在海外收购或并购资产，企业不仅要在欧盟国申报经营者集中，同时也可能须在国内进行申报。

第二个维度的合规是不同监管领域。企业在海外营商，需要同时面对通用监管和行业监管。不只是普通商业经营资质，还需要行业认证、许可等要求。

曾垚表示认同，并以SaaS行业补充道， 美国对SaaS公司的起步合规要求是符合SOC2（Service Organizational Control），SOC2包含SOC 2 Type I和Type II，并含有不同模块；之后如果SaaS企业要服务更大型的客户，企业就需要进一步符合ISO等数据安全标准。因此，不同行业面临不同的合规标准，且服务程度不同要求不同。

出海企业通用的合规观和方法论

一方面，企业需要对合规建立更大的想象，另一方面，合规问题的颗粒度又很细小。面对如此庞杂的合规标准，企业如何做好合规呢？

Selefra联合创始人曾垚表示，重中之重是出海企业要尽早建立合规意识和合规制度。越早有意识，越早去规划，成本就越低。避免违规后，企业还需要把技术、架构、管理制度等一整套进行重建。

其次，提升企业技术上的“看见能力”，看见风险才能解决问题。企业要不断的实施渗透测试、风险评估、利用第三方工具提前软件评估等安全建设手段，提前找到风险，进而解决问题。并且市场上已经有非常多的标准化的合规自动化工具来帮助企业评估现状了。

例如数据跨境问题，企业可以通过合规自动化工具和隐私计算两种手段，来实现合规的境外训练模型。

最后，为了应对突发情况，企业一方面要谨防安全漏洞，另一方面，要时刻关注行业监管机构和同行的动向，尽早发现变化以便做些准备去应对。

结合与客户合作的经验，己任律师事务所高级顾问薛律师建议道，

首先，通过参考类“外规内化”的方法论，企业要建立一套内部的合规框架。出海企业了解完不同国家的法律后，可将这些不同国家的外规分拆成小的模块或子域，并将其对应到企业内部的规章制度、政策文本等工具中。再通过信息技术，将这个流程信息化，以提升效率和准确性。

其次，设立有独立性并可以直接向高级管理层反馈的合规人员。企业以技术和业务为核心发展的同时，也需要有能为运营、技术、业务部门提示红线的专业合规人。

最后，为了降低突发风险，企业需要有一套完整的应对流程。其中包含建立最初的框架性应急预案，部署基础技术监控，打造及时发现问题机制，合规的调查这些问题，对调查结果进行处理，最后再反馈到应急机制中对框架进行完善。

面对这么庞大的工程，中小企业能够承担这些合规成本么？中小企业如何处理合规问题呢？

对于这些问题，曾垚表示，为了减少初创企业成本投入，Selefra针对SaaS初创企业开发了一个自动化梳理企业技术架构是否合规的工具，同时，Selefra正在和合作伙伴共同摸索一套标准化的模板表格来实现初创出海企业的安全管理和法律合规。另外，国外某些企业也提供每月几万美金的合规标准服务，能够大大降低初创企业支出。

薛颖总结道，首先，不同规模的企业合规要求和限制不同，中小企业无需全盘参照大企业的合规要求，立法者为了保障商业创新生态，会主动降低对中小企业的合规要求。

其次，在众多法规中，中小企业要找到现阶段跟企业最具相关性和紧迫性的合规标准，先做到这部分合规。不需要一次性全达标，按照轻重缓急分步骤完成即可。初创企业要建立匹配企业发展节奏的合规规划。

如同两位嘉宾都形成的共识，合规问题从来都不因公司规模大小而差异化出现，企业的第一要务是活着，而建立在合规的基础上的业务往前冲才是有意义的，否则存在某一天就“一键归零”的风险，提前规避依然是最节省成本的措施。

直播回放：

下期直播预告：

3月23日，伊斯兰地区开始进入斋月。随着全球化商业的运转，斋月同时成为中东地区非常重要的商业时间段。伴随近些年网购在中东的渗透，中东电商生态也逐步加大在斋月期间的关注和投入。据 Statista 数据显示，2022年斋月期间，中东和北非地区的消费者的在线消费额为62亿美元，与2021年斋月相比增长40%，占年度总销售额的16%。

相比于国内，据招商证券统计，2022年“双十一”全网电商交易额达11507亿元（1675.45亿美金），占全年网络零售额的8%。

那么，斋月是中东“类双十一”的电商核心事件么？中东电商生态的机会与挑战是什么呢？

请锁定「出海参考」直播间vol3，带你了解中东电商市场生态。

点击进入「出海参考」公众号，关注获取更多出海企业合规”避坑指南”。

更多精彩内容，关注钛媒体微信号（ID：taimeiti），或者下载钛媒体App

​Read More