【隐私保护】数据隐私法规的本地化创造了竞争机会

多年来，典型的全球公司通过在运营模式、IT系统和数据方面跨地区采取相同的方法，建立了竞争优势。但是，随着全球各国和地区在数据隐私、保护和本地化方面制定和执行大量重叠（在某些情况下甚至令人困惑）的法规，这种通过规模取胜的战略正面临压力。

这些规则迫使公司从传统的统一数据管理方法转向：那些擅长全球思考的组织现在必须在本地思考。这推高了他们的区域合规成本，因为他们必须投入时间、精力和管理注意力来了解他们运营的每个监管管辖区的独特方面。这不是一个容易的提升，但那些懂得如何在不同地区无缝移动的公司将通过遵守当地要求，同时提供良好的客户体验和利用其全球数据集的力量，获得巨大的回报——增长和提高市场份额。

本地化要求的变化

如今，75%的国家已经实施了某种程度的数据本地化规则。这些对公司的IT足迹、数据治理和数据架构，以及它们与当地监管机构的互动都有重大影响。本地化规则通常旨在防止网络犯罪（如身份盗窃），促进当地经济（例如，通过创造就业机会），也许最重要的是，解决日益增长的隐私问题。这通常是最具争议的问题，不同的司法管辖区在如何平衡这一问题与公司利用数据谋取自身商业利益的愿望方面得出了不同的结论。

通过了解监管机构的动机，公司可以更成功地处理这些要求。他们可以解决这些问题的根本原因，而不是只关注遵守规则。

当前和新出现的法规可分为四大类：

• 数据导出的地理限制要求数据在特定国家或地区内存储和处理。因此，公司必须为每个公司创建单独的基础设施、计算能力和团队。例如，在欧洲，Schrems II法规在没有适当保护级别的情况下限制了第三国的个人数据传输。因此，公司必须建立一个区域基础设施，并且不太能够为跨地区的客户提供服务。例如，在中东，本地化规则迫使公司在特定国家构建IT架构。与此同时，在中国的跨国公司正在构建IT架构，将其中国业务围起来，以确保他们使用的数据符合中国的法律要求。
• 地理限制允许将数据复制到来源国之外进行处理，但需要在本地基础设施中进行复制。这些规则（例如在印度尼西亚和马来西亚）通常旨在发展当地经济。
• 基于许可的法规要求机构传输数据必须征得特定个人的同意。巴西和阿根廷尤其要求银行获得客户的明确许可。
• 基于标准的法规允许机构在原始管辖区之外更自由地移动数据，但要求它们确保客户数据的安全和隐私。

本地化的复杂性

在过去几十年里，全球化鼓励了标准的趋同，降低了贸易壁垒。数据本地化的工作方向相反，需要越来越多的本地方法。它侵蚀了效率，因为机构必须在特定市场中留住更多的人员和技术，并降低了它们在各国提供无缝、一致服务的能力。它还增加了合规风险的级别。在一些国家，数据本地化要求甚至会使市场在经济上失去吸引力，促使机构退出，限制其全球足迹，并剥夺该市场的服务。

这些复杂性以多种方式表现出来：

不同的本地化要求。

许多此类法规都是在国家层面制定的，这使得它们具有高度的可变性，在某些情况下甚至是矛盾的（证据）。多个司法管辖区可能管理同一数据集，公司可能不可能遵守所有法规。一个典型的例子是：美国的反洗钱协议，该协议必须在全球范围内实施，尽管在许多国家，数据位置法规阻碍了信息交流。

监管标准和解释的混合体。

有些规定是基于原则的，有些则是基于规则的。含糊的措辞会让人很难预测什么是允许的，什么是不允许的。一些高管表示，这些规定的适用不一致：监管机构对不同的机构给出了不同的答案。由于规则发展迅速，公司必须能够经常更新其方法——这尤其困难，因为技术决策通常涉及数十年的时间范围。例如，欧盟的《通用数据保护条例》（GDPR）规定了处理在其成员国收集的个人信息的技术标准和要求。然而，公司仍在学习将这些规定转化为技术决策的具体内部指导方针。

技术系统的不同标准。

GDPR、中国网络安全法和俄罗斯数据法等法规都概述了处理公民个人数据的系统标准。GDPR通过严格规范向“不安全”地区的数据传输，制定了法律中未明确的事实上的本地化要求。印度要求在国内实际存在数据（或副本）。中国和俄罗斯提出了额外的技术本地化要求（例如，对源代码的审查和对密码学的限制），这可能会使知识产权、系统和资产面临风险。

防御网络威胁的困难。

本地化需求正在扭转集中安全模型的趋势。更分散的模式分散了管理层的注意力和资源分配。由此产生的漏洞包括数据泄露以及基础设施、加密和源代码完整性问题。

对技术的压力越来越大。

许多机构很难识别存储敏感信息的所有系统并对其进行控制。这在遗留环境中尤其困难，在遗留环境下，原始技术人员已经离开，糟糕的文档使治理难以实现。

操作模式。

确保符合本地化要求需要在不同地区进行更多投资（包括雇佣当地专业人员）。它还需要明确界定责任，并在许多不同的实体之间进行良好的协调，包括隐私、数据、技术、业务部门和监管事务。这可能很难实现，因为它们很可能有相互冲突的优先事项。

从个人数据扩展到商业数据的审查。

一些立法，例如《中国网络安全法》，确定了未经政府许可不得将商业信息转移到国外的关键部门。这些部门包括电信、能源、金融服务、政府和关键基础设施。

优先执行并处以巨额罚款。

欧盟和俄罗斯最近采取了重大监管行动来执行他们的规定——例如，欧盟因亚马逊违反GDPR而对其罚款8.88亿美元，俄罗斯禁止外国社交媒体公司。中国监管机构已对在全球证券交易所上市的中国科技巨头采取行动。在更极端的例子中，一些国家完全禁止某些服务。例如，奥地利数据保护局已裁定禁止使用谷歌分析，因为担心欧盟个人数据可能会因违反GDPR的美国监控法冲突而暴露。

竞争机会

数据处理和本地化法规不断变化，因此公司必须不断对其进行重新评估。尽管如此，我们认为应对这一挑战的组织将获得巨大的好处。

首先，数据本地化具有降低风险的优势。随着执法力度的加大，违规行为可能会被处以巨额罚款。司法管辖区也有权限制公司运营——例如，阻止公司引入新客户。2021年7月，印度储备银行禁止万事达向该国客户发行新的借记卡或信用卡，因为它违反了外国卡网络必须“仅在印度”存储印度支付数据的规定

不仅仅是监管机构认真对待数据隐私规则。消费者对数据的使用和传输方式也有越来越高的期望。数字信任是他们非常关心的问题。尽管降低风险的好处是实实在在的，但它们只是一种防御手段。更引人注目的是实现本地化的好处。解决这些问题的公司在以下几个关键领域具有显著的竞争优势：

• 优化的客户体验。例如，公司可以在客户旅行的任何地方为他们提供个性化体验，通过使用更大、更多样化的数据集更快地进行创新，并快速进入新的地区，对他们根据需要调整方法的能力充满信心。
• 降低法规遵从性成本。通过开发可重复的数据本地化方法，公司可以有效地从一个地理位置转移到另一个地理区域，从而降低成本。保持合规性还可以避免将管理层的注意力集中在监管问题上。
• 定位和声誉优势。公司可以通过将自己定位为客户数据的守护者以及有关数字身份和数据隐私的可靠信息来源来提高声誉并赢得新客户。一些公司甚至利用其数据政策直接与竞争对手较量，向客户指出，他们的竞争对手没有实施与自己类似的数据保护措施。

公司可以通过将自己定位为客户数据的守护者来提高声誉并赢得新客户。

支持并购估值。管理好数据监管的另一个强大好处在于并购领域。收购方需要知道目标的数据能力是资产还是负债。如果目标能够向潜在的追求者展示其在数据安全和隐私合规方面的良好记录，那么它将获得更好的估值。

数据本地化的行动手册

过去，公司经常将这些监管转变视为孤立的一次性挑战。但是，当数据本地化需求在各个地区变得越来越普遍和分散时，公司需要一个系统地解决这些问题的过程。考虑到这一点，我们制定了一个适用于各个行业的行动手册，其中包括几个明确的步骤：

• 对潜在的监管需求进行全面评估，以了解确切的要求，并就必要的行动达成一致。
• 审查特定地区或国家的潜在市场机会，以确定其是否保证拥有自己的it和数据基础设施。
• 为可能的区域IT和数据基础设施和运营定义目标状态，包括公司将在多大程度上使用本地提供商或建立自己的本地化能力。
• 实施适当的预算和规划，包括全球和区域IT和数据团队的必要支持。
• 确定特定的安全和隐私控制。考虑到数据类型和风险的严重性，这些可能包括在迁移到本地基础设施期间保护个人身份信息（PII）的标记化，以及保护敏感个人数据的现场级加密。
• 进行实际的数据迁移，并安全地设置本地基础设施和操作。

通过遵循这些步骤，公司可以定义正确的回应，同时也可以决定是否确实需要做出努力。公司应该记住，本地化的许多方面都可以在本地处理——例如，搜索本地提供商、建立复制系统以及与监管机构互动。然而，为了确保数据正确、安全地传输到总部，有必要获得适当的法律顾问。还必须确保关键技术组件的内部架构和IT安全一致性，例如任何现有或计划中的数据湖和数据仓库项目的范围。