在全球化的商业舞台上,企业出海不再只是拓展市场的选择,更是一种生存和发展的必然。然而,伴随着出海的每一步,安全合规已成为企业不可忽视的生命线。合规缺失的案例屡见不鲜,许多出海企业因此遭受重大损失。2023年5月,由于违反隐私法规,欧盟对Facebook母公司Meta开出了创纪录的12亿欧元罚单。
要知道,合规性并不是“大企业税”,中小企业也同样难以幸免,如今,全球已有超过100个国家和地区制定了数据保护和隐私相关的法律法规。
根据enforcementtracker.com的数据,仅通用数据保护条例(GDPR)颁布以来,从2018年5月到2023年,欧盟各国数据保护机构已向违反规定的企业、组织和个人开出了1600多笔处罚、罚款总计超过20亿欧元。
欧盟因违反《通用数据保护条例》(GDPR)而被罚款的时间表
除了合规问题,数据安全更是企业不得不面对的重大挑战。最近发生的微软“蓝屏事件”就是一个证明:一个表面上的技术故障暴露了深层的安全漏洞,说明全球数百万用户数据安全都面临潜在风险,甚至有报道称“运行微软软件的电脑和服务器成为犯罪团伙和黑客的首选攻击目标”。
在这样的全球经济环境下,企业出海的成功与否,越来越依赖于其对安全合规的重视和执行力。确保数据安全和满足国际合规要求,已然成为企业可持续发展的生命线。
“刻在DNA里的安全文化”
“无文化,不安全。”
在不少大公司里,安全合规已被推至首位,优先于所有其他业务目标。以亚马逊云科技为例,据了解,公司高层已把安全合规纳入战略核心,并作为“Job Zero”,即所有员工的首要任务。例如,亚马逊云科技的领导层每周五都会召集服务团队讨论重要的安全问题,确保任何潜在的安全风险都能得到即时的响应和处理。
在今日刚刚落幕的“生成式AI时代的全面安全—亚马逊云科技re:lnforce2024中国站”中,亚马逊云科技大中华区产品部总经理陈晓建也在演讲中表示,在云端,一切瞬息万变。然而,安全的基本原则却恒久不变。
亚马逊云科技大中华区产品部总经理陈晓建
“面对生成式人工智能(AI)的快速发展,维护安全尤其关键。在AI时代,亚马逊云科技致力于从基础设施、技术层面以及数据安全三个层面全面实施安全保障。” 陈晓建特别提到,确保客户的数据安全已经嵌入亚马逊云科技的企业文化之中,因为这直接关系到客户能否安心地投入到业务创新中,加速业务转型与成长。
此外,在当下全球化环境中,安全合规不仅是企业开展业务的必要前提,更是企业成功“出海”的关键。中国制造企业国际化的先行者TCL就同样将安全合规提升至核心高度。TCL深知,在当前全球化市场环境下,尤其是企业向海外扩展时,遵守数据合规、管理用户同意授权和数据应用范围的严格性至关重要。正是这种对安全重视的态度,使得TCL在其“走出去”的过程中能够“走得又快又稳”。
在万物互联的大时代,家庭智能场景成为消费热点,TCL通过端云一体来提供智能化服务。这也带来了关于云端数据安全合规的挑战,包括应对应用层攻击、DDoS攻击、主机攻击及身份鉴权攻击等潜在的网络安全威胁。为此,TCL与亚马逊云科技的合作中特别强调了从顶层设计开始的系统性安全措施,而非仅仅是对事件的响应。
在此框架下,TCL搭建了一套安全分级策略,类似于“洋葱”模型,层层加码保护。这个策略涵盖了威胁检测与事件响应、身份认证与访问控制、网络与基础设施安全、数据保护与隐私、风险管控及合规等多个方面。亚马逊云科技的Amazon KMS、Amazon WAF等安全服务为TCL提升云端安全,获得从认证、保护、检测、自动化调查、响应、恢复的全旅程安全合规保护,构建了一道坚固的安全防线。
“安全合规中的木桶原理是非常显现的,如果有一个短板被攻破了,将会把所有努力都给抵消掉了。” TCL实业CTO孙力曾这样谈起安全合规的重要性。
不仅在技术层面加强安全防护,TCL实业还在组织和流程上进行了全面的规划和建设,由CEO、CTO、法务部和安全部组成网络安全和隐私保护工作组,来确保安全合规工作的有序进行。这些举措不仅提升了TCL的品牌形象和全球竞争力,也为其他出海企业提供了宝贵的借鉴和思考。
如今,全球的合规环境在不断演变,从欧洲的GDPR到加州的消费者隐私法案(CCPA),再到亚洲各国日益严格的互联网监管政策,企业面临的考验愈发严峻。
如果说,企业从顶层设计开始,构建完善的安全合规机制,是否就能应对日益复杂的安全挑战?答案是肯定的,但同时也需要更多的努力和智慧。安全合规不是一次性的任务,而是一个持续的过程,需要企业不断地学习、适应和创新。
在这方面,不同行业的企业采取了各自独特的方法。他们是如何做的?
合规:构筑全球竞争力的基石
“目前我们在海外有11个市场,主要分布在东南亚、南亚以及南美,货拉拉的海外业务构建在亚马逊云上面。” 货拉拉信息安全部负责人黄宇鸿在亚马逊云科技re:lnforce2024中国站活动中表示。
货拉拉信息安全部负责人黄宇鸿
“由于业务特性,我们不可避免地需要处理司机及用户的信息,因此,从一开始,我们就非常重视安全的建设。在整个信息安全的构建上,我们主要围绕两个核心目标:第一,确保合法合规,因为无论是国内还是海外市场,近年来在数据安全和隐私保护方面都有许多新的法规和行业标准出台;第二,我们致力于风险管理,确保没有重大原则的信息安全事件发生。”黄宇鸿说。
货拉拉选择亚马逊云科技作为合作伙伴的关键原因在于其对安全合规的严格要求和高标准。这是因为亚马逊云科技的安全合规战略不是简单地与竞争对手一决高下,而是致力于实现覆盖最广、标准最高的合规资质,以满足全球客户的复杂需求。在亚马逊云科技看来,对于一些受到严格监管且对安全敏感的行业,尤其需要依靠高标准安全保障。因此,亚马逊云科技在选择合规资质申请时,始终以行业的广度和要求的高度为标准,而非单纯追求数量。
除车联网之外,金融、医疗和物联网等领域合规性的重要性近年来更为突出,因为这些行业不仅数据量巨大,而且涉及到的信息极为敏感。每一条数据都可能关系到用户的财务安全、健康信息乃至个人隐私,任何合规疏忽都可能导致严重的法律责任和信誉损失。
海外主要地区的数据隐私安全相关政策
以百富(PAX)为例,作为全球最大的支付设备供应商之一,百富的电子支付终端已经广泛部署,总出货量超过8000万台,业务遍布超过120个国家。PCI (Payment Card Industry)是一系列为了保障信用卡和其他支付信息安全的标准。涵盖了从数据收集、存储、处理到传输的各个环节,是保护支付信息安全的关键。金融机构和支付处理方都需要遵守PCI标准来确保整个支付链条的安全性。
“亚马逊云科技在帮助百富实现PCI合规方面发挥了重要作用,提供了满足 PCI 合规的全套云上解决方案,确保百富客户在持卡人数据环境 (CDE) 下每一笔交易都安全可靠,同时,其全方位的安全服务为百富提升 PCI 审计效率、减轻架构搭建压力、缩短产品交付周期提供了强大支撑。”百富云安全架构顾问李少奕说。
在医疗领域,太美医疗碰到的问题也颇具代表性。作为生命科学产业的数字化运营平台,太美医疗提供从药品研发到医药营销的全周期技术解决方案。但是,在全球化的业务下,太美需要符合各国监管机构的严格要求,例如美国食品药品监管局(FDA)和中国国家药品监督管理局的审查。因此,亚马逊云科技帮助太美建立了符合政策的云部署,满足了国际上对数据安全和隐私的严格要求。
同样,智能家居乃至整个物联网产业,对数据安全、强化隐私保护更是非常敏感。智能家居设备必须满足多项安全要求。Matter 智能家居设备连接标准是CSA 联盟协议,将不同的家居生态产品连接在一起,创造更无缝的智能体验。智能家居设备厂商需要植入通过Matter认证的数字证书,来解决设备兼容性和安全性的挑战。
Aqara(绿米联创的自有品牌)作为全球技术领先的无线全屋智能品牌,通过采用Amazon Private CA证书服务,建立了符合Matter协议的PKI体系,不仅提高了设备的安全性,还促进了设备间的无缝连接。亚马逊云科技在安全合规上的责任共担模型,也大幅减少了 Aqara 在证书安全和管理上的工作量。
据亚马逊云科技介绍,其全球服务网络特别适合需要跨地域运营的中国企业。随着中国企业的海外业务不断向东南亚、欧洲、美洲乃至中东地区扩展,亚马逊云科技提供的全球基础设施成为他们坚强的后盾。这使得企业能够轻松地将业务从一个可用区(AZ)迁移到另一个,同时确保业务的连续性和数据的合规性。
安全:守护生命线的盾牌
随着技术的发展,尤其是AI的广泛应用,数据安全面临的挑战愈发严峻。从数据的收集、存储到处理和传输,每一个环节都可能成为安全风险的切入点。一旦发生数据泄露或安全事故,不仅企业的商业利益会遭受损失,更可能面临法律责任和信任危机。
作为行业首个将生成式AI功能引入全产品线的手机厂商,OPPO把用户的数据安全看作了一切业务的基础。但鉴于加密硬件的成本因素,OPPO选择了性价比最优的解决方案——全面上云。在对众多云服务供应商进行深入评估后,亚马逊云科技凭借其对数据安全的严格标准与OPPO价值观的深度契合,并成为OPPO的优选合作伙伴。
“在AI时代,我们面临的风险挑战主要集中在泛合规、数据安全和模型安全这三个层面。” OPPO网络与数据安全总经理韩方也参加了今天亚马逊云科技re:lnforce2024中国站的活动。他指出:“例如,中国工信部发布了《深层次AI的人工智能安全管理办法》,而美国及其他国家也有类似的法律法规。不同国家对于道德伦理和宗教信仰的要求各异,这要求我们的产品和技术必须在全球范围内具备相应的能力,包括合规性的拦截、清洗和过滤,以确保我们的产品更加合规。”
OPPO网络与数据安全总经理韩方
随着全球范围内对AI相关的法律法规和监管要求日益增多,这要求企业必须在合规性上做足功课。因此,OPPO与亚马逊云科技开展合作,不仅涵盖了新加坡、法国和印度的加密服务部署,更能为海外用户的数据安全提供了坚实的保障。
关于数据安全,韩方表示:“在AI及大数据的时代,数据应用的场景更加广泛,数据安全的要求也相应提高。例如,端到端加密和在云上实现硬件隔离,甚至在硬件芯片内进行数据计算,都是确保数据安全的关键措施。”在构建数据保护体系方面,OPPO采用了双层数据保护策略。第一层是数据加密,通过与亚马逊云科技集成的密钥管理系统实现;第二层是传输过程加密,通过安全套接层协议确保数据传输安全。这两层保护不仅保障了数据的安全性,也确保了OPPO在全球市场的合规性和安全性。
最后,韩方也谈到了模型安全的挑战:“随着AI生成内容技术的兴起,模型特有的攻击方式也随之增多。这包括场景绘画式攻击、指令攻击等,都是我们必须面对的新型风险。因此,在技术和产品发布的过程中,确保模型的安全性是我们的重点。”
医疗领域也是如此。AI技术的赋能正带来革命性的变化,同时也对数据安全性提出了更高的要求。中国口腔隐形正畸技术的领军企业时代天使在2022年启动了国际化战略,其产品遍布欧洲、北美、巴西和澳大利亚,成为全球市场的重要玩家。面对不断扩展的全球化业务,时代天使须适应各国医疗和隐私法规。公司一方面推出iOrtho 11.0系统,为医生提供高效的AI诊疗工具,同时为患者打造了全周期的云服务平台;另一方面,时代天使同步与亚马逊云科技进行合作,依托其全球基础设施,加快对iOrtho平台的全球部署。
在安全技术保障方面,时代天使通过亚马逊云科技的服务,实现了数据传输和静态数据的加密,以及对安全事件的监控和异常访问的检测。这些措施不仅增强了iOrtho平台的可靠性,也保护了患者的隐私和数据安全,构建了全方位的安全防护体系。
在确保数据安全性的同时,时代天使不断加速其“微笑出海”的全球化步伐,“如果说时代天使是在全球化浪潮中乘风破浪的舰船,那亚马逊云科技的基础设施和丰富服务就是保驾护航的护卫舰,而未来数字化的加持是让整个舰队加速运行的推进器。”时代天使CEO胡杰章表示。
安全合规出海,做好这三件事
在这个数据驱动的全球化浪潮中,合规和安全已不再是单一区域的课题,而是全球经济生态中不可或缺的基石。我们正处在一个合规要求日益严格的时代,每一次数据泄露,每一场安全疏漏,都可能给企业带来不可估量的损害,甚至直接威胁到企业的生死存亡。
从“过来人”的故事中我们也可以看出,对于计划出海的企业,主要需要关注三个策略:首先,安全合规需提升至企业文化与战略的核心,确保这一理念渗透至公司运作的每一个层面;其次,选择具有高资质且能跨地域操作的合作伙伴,例如亚马逊云科技,以保持全球范围内的服务和合规性标准;最后,坚持长期主义,持续构建和优化全球业务流程,尤其是在金融、医疗和物联网等高敏感性行业,不仅需高水平操作,更需对潜在数据风险保持持续警觉,以确保企业在全球市场的长期成功。
这场“安全保卫战”,你我终要面对。