在數字經濟成為全球經濟增長新引擎的當下，中國企業(yè)也迎來出海新時代。

據《埃森哲2022中國企業(yè)國際化調研》報告顯示，多重因素正在推動中國企業(yè)加速出海步伐，95%受訪的中國“出海”企業(yè)認為自己未來3年海外業(yè)務的增長可以超過5%。

然而，企業(yè)出海依然面臨著嚴峻的挑戰(zhàn)——“合規(guī)、增長、全球化”。當一系列如此宏大的命題被放在出海者面前時，安全合規(guī)顯然是第一道必須邁過的門檻。

出于國家利益的考量，如今全球各國政府普遍加強了在數據安全和隱私合規(guī)領域的監(jiān)管和執(zhí)法力度，這無疑也給中國企業(yè)的出海征程帶來了更多挑戰(zhàn)和考驗。

那么，企業(yè)出海安全合規(guī)應該如何“避坑”？

全球各國安全監(jiān)管趨嚴

企業(yè)出海需保護好

數據隱私和網絡安全

自2018年歐盟實施GDPR后，個人隱私保護引起了各國政府和民眾的高度重視。

世界范圍內，眾多國家都在通過頒布政策法規(guī)、加強執(zhí)法監(jiān)督并提升數據安全治理能力，來應對日益嚴峻的數據安全威脅。

目前，全球范圍內圍繞數據安全的立法已臻完善。、由中國產業(yè)互聯網發(fā)展聯盟指導、中國網絡空間新興技術創(chuàng)新論壇、騰訊安全、騰訊研究院聯合發(fā)布的《2023產業(yè)互聯網安全十大趨勢》指出，全球約80%的國家已經完成數據安全和隱私立法或者已提出法律草案。尤其在過去兩年間，東南亞等地區(qū)加快修訂數據安全相關法規(guī)。

更嚴格的監(jiān)管體系和框架，意味著企業(yè)出海要針對性地了解當地法規(guī)。

除了典型的“數據不出域”和“告知-同意”原則等，不同類型企業(yè)、不同用途的數據使用場景在不同國家和地區(qū)，也有截然不同的監(jiān)管政策。

因此，企業(yè)出海要符合區(qū)域之間雙向合規(guī)甚至是多邊合規(guī)的要求，而數據隱私保護首當其沖。

而從網絡安全的角度看，企業(yè)也應在出海過程中保障自身業(yè)務安全，不僅僅是出于合規(guī)問題，同時也是業(yè)務所需。

騰訊安全發(fā)布的《2022年DDoS攻擊威脅報告》顯示，出海企業(yè)將面臨海外更嚴峻的網絡攻擊。以DDoS攻擊為例，全球企業(yè)均飽受此類攻擊困擾。幾乎在所有月份，東南亞區(qū)域的DDoS攻擊在海外區(qū)域的占比都高居第一；從行業(yè)來看，游戲行業(yè)作為DDoS攻擊的高發(fā)地，在2022年依舊被黑產威脅所困擾，攻擊占比在全行業(yè)中位居第一，相比2021年也有大幅提升。

更容易讓企業(yè)忽視的一點，是企業(yè)在“本地化”過程中可能面臨的業(yè)務邏輯層面風險。

《2023產業(yè)互聯網安全十大趨勢》指出，以跨境電商、游戲、社交等業(yè)態(tài)為代表的出海企業(yè)，不僅要打磨產品，更要能結合當地文化風俗、商業(yè)習慣等特點凸顯“本地化”價值。但在這個過程中，出海企業(yè)會面臨更加復雜的業(yè)務邏輯層面的風險。內容安全風險、信用支付欺詐等風險都需要出海企業(yè)建立全新應對體系和經驗。

供應鏈安全風險困擾出海企業(yè)數據安全治理成為核心

事實上，企業(yè)僅僅關注自身的安全合規(guī)，已不能應對日益嚴峻的網絡安全形勢。近年來，供應鏈攻擊事件呈現暴發(fā)增長的態(tài)勢。

歐洲網絡和信息安全局發(fā)布的《供應鏈攻擊的威脅分析》報告指出，和2020年相比，2021年供應鏈攻擊已經顯著提升。

以色列一項研究表明，與2020年相比，2021年軟件供應鏈攻擊增長了300%以上，這一趨勢預計還會持續(xù)增加。

在企業(yè)出海過程中，不可避免會和大量海外供應商合作。當其中某一個供應商的安全威脅防護能力較低，或者正在避免某些特定的網絡安全協議，就可能成為進入更廣泛的供應商網絡的入口點，給企業(yè)帶來巨大安全合規(guī)風險。

針對供應鏈已經成為網絡空間攻防對抗焦點這一現狀，企業(yè)出海應如何提升供應鏈安全管理的水平？

對此，騰訊安全策略發(fā)展中心總經理呂一平在采訪中表示，企業(yè)需注意“供應鏈安全準入”的概念，將供應商的安全合規(guī)放在事前解決。一方面，考察供應商的方案是否能滿足業(yè)務需求；另一方面，將安全合規(guī)作為一個核心點去考量供應商，這其中需要配套一定的技術檢查手段。

例如，企業(yè)可以通過騰訊安全提供的安全技術檢測類產品，去檢查供應商交付的產品是否存在安全風險；企業(yè)也可以約定標準化的安全保障機制去避免一定的供應鏈安全風險。

值得注意的是，供應鏈攻擊正在造成越來越多的數據泄露�！�2022年度數據泄露報告》顯示，2022年，供應鏈攻擊的數量已超過基于惡意軟件攻擊數量的40%，供應鏈攻擊導致的數據泄露數量超過了與惡意軟件相關的危害。

因此，數據安全是供應鏈安全風險中的重大挑戰(zhàn)，數據安全治理工作將成為企業(yè)供應鏈風險管控的核心目標之一。

對此，《2023產業(yè)互聯網安全十大趨勢》指出，在企業(yè)視角圍繞數據安全建設整體安全中心、在供應鏈視角推動數據安全一致性保障，將會是應對企業(yè)供應鏈安全風險的有效思路。

其中，數據安全產品不僅包括數據庫安全防御、數據防泄露、數據容災備份及數據脫敏等，也涵蓋關注云存儲全、數據風險動態(tài)評估、跨平臺數據安全、數據安全虛擬防護等前瞻領域。

結語

面對復雜多變的國際形勢，安全合規(guī)建設成為出海企業(yè)的“必修課”。中國企業(yè)在“走出去”的過程中，必須樹立對外投資合作的整體安全觀，只有全面強化海外安全風險防范意識，提升風險管控能力，才能行得更穩(wěn)、走得更遠。

【科技云報道原創(chuàng)】

轉載請注明“科技云報道”并附本文鏈接

       原文標題 : 全球監(jiān)管趨嚴，企業(yè)出海安全合規(guī)如何“避坑”？