2021年8月，中國通過(guò)了《個(gè)人信息保護法》（PIPL）。雖然這是中國的第一部此類(lèi)法律，但中國是自2018年以來(lái)采用與歐盟（EU）《通用數據保護條例》（GDPR）類(lèi)似法律的國家之一。

　　各企業(yè)發(fā)現數據隱私領(lǐng)域越來(lái)越復雜，難以駕馭。需要對數據隱私的立法、組織、技術(shù)和合同方面越來(lái)越了解和精通，并能夠證明其合規性。

　　各企業(yè)在2021年一直面臨哪些關(guān)鍵挑戰，而哪些方法將在2022年幫助他們？

　　歐盟特別關(guān)注的是跨境數據轉移的話(huà)題。2021年6月4日，歐盟委員會(huì )發(fā)布了新的標準合同條款（SCCs），用于約束向歐盟以外的國家轉移個(gè)人數據。

　　這是繼Schrems II決定和歐盟數據保護委員會(huì )的相關(guān)建議之后，分別于2020年7月和2021年6月通過(guò)的條款。

　　近十年來(lái)，該委員會(huì )確定原來(lái)的SCC已經(jīng)過(guò)時(shí)，不再符合日益更新的數字化世界。截至2021年9月，之前的條款已不再有效，依靠以前SCC的跨境轉讓已要求在2021年12月22日之前更新。

　　就規模而言，任何將歐盟居民的個(gè)人數據轉移到歐盟以外的企業(yè)都必須在下一年內更新協(xié)議。歐盟對基于實(shí)際使用案例的SCCs采取了前瞻性的模塊化方法，提供實(shí)施適當措施的指導。

　　跨國企業(yè)，特別是中資出海企業(yè)，應當合理評估這項工作的規模，特別是對于那些可能與客戶(hù)、合作伙伴和供應商簽訂了數百甚至數千份地方、區域和全球協(xié)議的企業(yè)。

　　以我們自身為例，NTT Ltd.是一家B2B跨國企業(yè)，我們在解決跨境數據傳輸問(wèn)題時(shí)，首先要清楚地了解我們與誰(shuí)共享個(gè)人數據，我們的客戶(hù)是誰(shuí)，我們如何向他們提供服務(wù)，同時(shí)要考慮到整個(gè)價(jià)值鏈。

　　在操作上，我們確定受影響的合同，并審查和更新這些合同，采取與新的SCCs相一致的優(yōu)先方法。此外，我們需要有良好的技術(shù)和措施，包括適當的安全，以確保個(gè)人數據在運輸、移動(dòng)或靜止時(shí)得到保護。我們也在考慮，限制數據的跨境轉移和在特定地區或國家內實(shí)現數據本地化的可行性。

　　從更廣泛的市場(chǎng)來(lái)看，大多數公司的技術(shù)策略一如既往，采用新的SCCs和補充措施。而其他公司則采取了本地（或更保守）的方法，只在歐盟處理本地數據，并只使用歐盟供應商。

　　本地處理方法的成本效益分析值得關(guān)注，它將與沒(méi)有本地數據能力去支持的全球供應商關(guān)系置于風(fēng)險之中，并增加了跨國企業(yè)日常運營(yíng)的復雜性，因為運營(yíng)需要跨境轉移，需要大量投資來(lái)建立本地基礎設施、系統和運營(yíng)，以支持持續的跨境轉移。這同樣需要投資補充措施和專(zhuān)業(yè)知識。

　　從戰略上講，企業(yè)如何與客戶(hù)一起更新SSCs的做法各有不同。一些企業(yè)采取了“Take it or leave it”的方式。這種策略有利有弊——執行起來(lái)簡(jiǎn)單明了，但在出現分歧的情況下，可能會(huì )對關(guān)鍵關(guān)系造成損害。其他企業(yè)可能會(huì )找到互惠互利的機制，這是一種以關(guān)系為中心的方法，而上述機制的談判可能需要延長(cháng)執行時(shí)間。

　　由于沒(méi)有共同的、全球性的立法方法，各企業(yè)主要由自己決定在立法、組織、技術(shù)和合同等方面哪些措施有效，以確保對新法規的遵守。

　　如果說(shuō)2021年是適應新環(huán)境，那么2022年將是站穩腳跟。隨著(zhù)新法規的明確，企業(yè)現在正在技術(shù)層面，系統、供應鏈、程序和更多方面考慮新法規的影響。例如：

　　與國際專(zhuān)業(yè)協(xié)會(huì )（如IAPP）合作，可以幫助企業(yè)在內部提供培訓和電子學(xué)習，以分享隱私的高層次觀(guān)點(diǎn)，并幫助員工提高技能，以支持數據隱私計劃。

　　2022年是關(guān)于領(lǐng)導力的一年。確保企業(yè)高管了解隱私是什么以及對整個(gè)企業(yè)價(jià)值鏈的影響，為基于場(chǎng)景的培訓實(shí)施桌面練習，并在建立隱私意識文化方面獲得支持和認可。強有力的領(lǐng)導將是企業(yè)降低違規及不合規風(fēng)險的關(guān)鍵。這需要領(lǐng)導者做出一些大膽的決定，使企業(yè)能夠適應不斷變化的數據隱私環(huán)境。

　　NTT全球威脅情報中心（GTIC）通過(guò)以下活動(dòng)為NTT集團客戶(hù)提供保護、資訊和教育：

　　GTIC超越了傳統的純研究機構，將威脅和漏洞研究與檢測技術(shù)開(kāi)發(fā)相結合，生成應用威脅情報。GTIC的使命是通過(guò)提供先進(jìn)的威脅研究和安全情報來(lái)保護客戶(hù)，能夠預防、檢測和應對網(wǎng)絡(luò )威脅。

　　運用世界各地的情報能力和資源，NTT的威脅研究專(zhuān)注于了解和洞察各種威脅者、利用工具和惡意軟件，以及攻擊者使用的技術(shù)、戰術(shù)和程序（TTP）。漏洞研究預先發(fā)現可能成為最新攻擊媒介的零日漏洞，同時(shí)保持對已公布漏洞的深入了解。

　　NTT安全監控服務(wù)，通過(guò)情報融合和分析，更準確地識別針對客戶(hù)基礎設施的惡意活動(dòng)。

　　GTIC持續監控全球威脅，利用我們的全球互聯(lián)網(wǎng)基礎設施、云計算和數據中心以及第三方情報反饋，持續監測全球新出現的威脅；利用先進(jìn)的分析技術(shù)和專(zhuān)有工具，了解、分析、整理威脅；利用全球威脅情報平臺（GTIP）發(fā)布和整理這些威脅，使NTT集團客戶(hù)受益。