多年来,典型的跨国公司通过在不同地区的运营模式、IT 系统和数据方面采用相同的方法来建立竞争优势。 但随着全球各国和地区在数据隐私、保护和本地化方面制定和执行大量重叠(有时甚至令人困惑)的法规,这种通过规模取胜的战略面临着压力。
这些规则迫使公司放弃传统的统一数据管理方法:擅长全球化思维的组织现在必须进行本地化思考。 这增加了他们的区域合规成本,因为他们必须投入时间、精力和管理层的注意力来了解其运营所在的每个监管管辖区的独特方面。 这不是一件容易的事,但了解如何跨地域无缝移动的公司将通过遵守当地要求,同时提供良好的客户体验并利用其全球的力量,获得巨大的回报——增长和增加的市场份额。 数据集。
本地化要求的变化
如今,75% 的国家/地区已经实施了一定程度的数据本地化规则。 这些对于公司的 IT 足迹、数据治理和数据架构以及与当地监管机构的互动具有重大影响。 本地化规则通常旨在防止网络犯罪(例如身份盗窃)、促进当地经济(例如通过创造就业机会),或许最重要的是解决对隐私日益增长的担忧。 这通常是最具争议性的问题,不同的司法管辖区对于如何平衡它与公司利用数据谋求自身商业利益的愿望得出了不同的结论。
通过了解监管机构的动机,公司可以更成功地处理这些要求。 他们可以解决规则的根本原因,而不是仅仅关注遵守规则。
现行和新兴法规分为四大类:
数据导出的地理限制要求数据在给定的国家或地区内存储和处理。 因此,公司必须为每个人创建单独的基础设施、计算能力和团队。 例如,在欧洲,Schrems II 法规限制在没有适当保护级别的情况下进行第三国个人数据传输。 因此,公司必须建立区域基础设施,并且不太能够为跨地区的客户提供服务。 例如,在中东,本地化规则迫使公司在特定国家/地区构建 IT 架构。 与此同时,在中国的跨国公司正在构建 IT 架构来围堵其中国业务,以确保他们按照国家的法律要求使用数据。
地理限制允许将数据复制到原籍国之外进行处理,但需要在本地基础设施中复制。 这些规则(例如在印度尼西亚和马来西亚)通常旨在发展当地经济。
基于许可的法规要求机构必须获得特定个人的同意才能传输数据。 巴西和阿根廷特别要求银行获得客户的明确许可。
基于标准的法规允许机构更自由地将数据转移到原始管辖范围之外,但要求它们确保客户数据的安全和隐私。
本地化的复杂性
在过去的几十年里,全球化鼓励了标准的趋同并降低了贸易壁垒。 数据本地化的作用与此相反,需要越来越多的本地化方法。 它降低了效率,因为机构必须在特定市场中保留更多的人员和技术,并降低了它们在各国提供无缝、一致服务的能力。 它还增加了合规风险水平。 在一些国家,数据本地化要求甚至可能使市场在经济上失去吸引力,促使机构退出,限制其全球足迹,并剥夺该市场的服务。
这些复杂性表现在很多方面:
不同的本地化要求。 许多此类法规都是国家层面的,这使得它们变化很大,在某些情况下甚至是矛盾的(图表)。 多个司法管辖区可能管辖同一数据集,公司可能不可能遵守所有法规。 一个典型的例子是:美国的反洗钱协议必须在全球范围内应用,尽管在许多国家,数据位置法规阻碍了信息交换。
监管标准和解释的混合体。 有些法规基于原则,有些法规基于规则。 模糊的措辞可能会让人很难预测什么是允许的,什么是不允许的。 一些高管表示,这些规则的适用不一致:监管机构对不同的机构给出了不同的答案。 由于规则发展迅速,公司必须能够经常更新其方法,这尤其困难,因为技术决策通常涉及数十年的时间范围。 例如,欧盟的《通用数据保护条例》(GDPR) 规定了处理在其成员国收集的个人信息的技术标准和要求。 然而,公司仍在学习将这些法规转化为技术决策的具体内部指南。
技术系统的标准不同。 GDPR、中国网络安全法和俄罗斯数据法等法规都概述了处理公民个人数据的系统标准。 GDPR 通过严格监管向“不安全”地区的数据传输,制定了法律中未明确规定的事实上的本地化要求。 印度强制规定数据(或副本)必须在国内实际存在。 中国和俄罗斯施加了额外的技术本地化要求(例如,对源代码的审查和对密码学的限制),这可能会使知识产权、系统和资产面临风险。
防御网络威胁的困难。 本地化要求正在扭转集中式安全模型的趋势。 更加分散的模型分散了管理层的注意力和资源的分配。 由此产生的漏洞包括数据泄露以及基础设施、加密和源代码完整性问题。
技术压力加大。 许多机构很难识别所有存储敏感信息的系统并为其部署控制措施。 这在原有的环境中尤其困难,因为原始的技术人员已经离开,糟糕的文档使得治理难以实施。
运营模式。 确保遵守本地化要求需要在不同地区进行更多投资(包括雇用当地专家)。 它还需要许多不同实体之间明确的职责和良好的协调,包括隐私、数据、技术、业务部门和监管事务。 这可能很难实现,因为他们的优先事项很可能相互冲突。
审查范围从个人数据扩展到商业数据。 一些立法,例如《中国网络安全法》,规定了未经政府许可不得将商业信息转移到国外的关键部门。 这些行业包括电信、能源、金融服务、政府和关键基础设施。
优先执行并处以巨额罚款。 欧盟和俄罗斯最近采取了重大监管行动来执行其规则——例如,欧盟因违反 GDPR 对亚马逊处以 8.88 亿美元罚款,俄罗斯禁止外国社交媒体公司。 中国监管机构已对在全球证券交易所上市的中国科技巨头采取行动。 在更极端的例子中,各国完全禁止某些服务。 例如,奥地利数据保护局已裁定禁止使用 Google Analytics,因为担心欧盟个人数据可能因违反 GDPR 的美国监控法而被暴露。
竞争机会
数据处理和本地化法规不断变化,因此公司必须不断重新评估它们。 尽管如此,我们认为应对这一挑战的组织将受益匪浅。
一方面,数据本地化具有降低风险的优势。 随着执法力度的加强,违规行为的罚款可能会很高。 司法管辖区还有权限制公司运营,例如阻止公司吸收新客户。 2021 年 7 月,印度储备银行禁止万事达卡向该国客户发行新的借记卡或信用卡,因为它违反了外国卡网络必须“仅在印度”存储印度支付数据的规定。
认真对待数据隐私规则的不仅仅是监管机构。 消费者对其数据的使用和传输方式也抱有越来越高的期望。 数字信任是他们严重关切的问题。 尽管降低风险的优势确实存在,但它们是一种防御性策略。 更引人注目的是正确本地化的好处。 解决这些问题的公司在几个关键领域拥有显着的竞争优势:
优化的客户体验。 例如,公司可以为客户提供个性化的体验,无论他们在哪里旅行,通过使用更大、更多样化的数据集更快地进行创新,并快速进入新的地区,对自己根据需要调整方法的能力充满信心。
降低合规成本。 通过开发可重复的数据本地化方法,公司可以有效地从一个地理位置转移到另一个地理位置,从而降低成本。 保持合规性还可以避免管理层将注意力集中在监管问题上。
定位和声誉优势。 通过将自己定位为客户数据的守护者以及有关数字身份和数据隐私的可靠信息来源,公司可以提高声誉并赢得新客户。 一些公司甚至利用自己的数据政策直接与竞争对手较量,向客户指出竞争对手尚未实施与自己相当的数据保护措施。
支持并购估值。 管理好数据监管的另一个强大好处在于并购领域。 收购方需要知道目标公司的数据能力是资产还是负债。 如果目标公司能够向潜在收购者展示数据安全和隐私合规方面的良好记录,那么它将值得并获得更好的估值。
数据本地化手册
过去,企业常常将这些监管变化视为孤立的、一次性的挑战。 但是,当数据本地化要求在不同地区变得更加普遍和分散时,公司需要一个流程来系统地解决这些问题。 考虑到这一点,我们创建了一个适用于各行业的手册,其中包括一些明确的步骤:
对基本监管要求进行全面评估,以了解确切的要求并就必要的行动达成一致。
审查特定地区或国家的潜在市场机会,以确定其是否值得拥有自己的 IT 和数据基础设施。
为可能的区域 IT 和数据基础设施及运营定义目标状态,包括公司将在多大程度上使用本地提供商或建立自己的本地化功能。
实施适当的预算和规划,包括全球和区域 IT 和数据团队的必要支持。
确定具体的安全和隐私控制。 考虑到数据类型和风险的严重性,这些可能包括在迁移到本地基础设施期间保护个人身份信息 (PII) 的标记化,以及用于保护敏感个人数据的现场级加密。
进行实际的数据迁移并安全地设置本地基础设施和运营。
通过遵循这些步骤,公司可以定义正确的响应,同时还可以确定该努力是否确实值得。 公司应该记住,本地化的许多方面都可以在本地处理,例如寻找本地提供商、建立复制系统以及与监管机构互动。 然而,为了确保数据正确、安全地传输到总部,有必要寻求适当的法律顾问。 还必须确保关键技术组件的内部架构和 IT 安全一致性,例如任何现有或计划的数据湖和数据仓库项目的范围。
在世界各地,我们看到了大量新的数据本地化法规。 尽管其理由各异,但 IT 和数据环境挑战通常非常相似。 能够灵活应对这一监管转变的公司可以享有相当大的竞争优势。
