国际化合规那些事儿[上]

整体分为上下两篇
上篇:简单聊聊什么是合规?出海企业在合规问题上遇到的挑战和思考
下篇,总结下LGPD项目具体做了什么?怎么玩的?遇到哪些坑,有哪些积累经验?

期望通过本文,总结下最近一段时间在国际化合规方向的探索,也让大家对国际化合规有个简单了解

上篇、聊聊合规

软件出海一定会面临两大问题

  • 第一:软件如何让本地人能看懂。也就是所谓的本地化,包含i18n、翻译等等问题
  • 第二:软件如何满足当地的法规,也就是今天聊的的国际化合规

一、什么是合规?

先来看下合规的官方定义

合规:指公司或机构需采取措施确保其行为(包括员工的行为)遵守相关的法律、法规,经营活动与法律、规则和准则相一致。其中“法律、规则和准则”是指“适用于银行业经营活动的法律、行政法规、部门规章及其他规范性档、经营规则、自律性组织的行业准则、行为守则和职业操守。

简而言之就是:公司和软件的运转都需要满足当地法规

个人思考:合规的价值到底是什么,下面是小拽的一点思考。
商业的本质都是建立一个生态环境,让所有人都可以更好、更长远的做好这个游戏,按照游戏规则,取得自己的盈利。
合规就是这个游戏规则,来维系这个生态的平衡,既要防止出现巨型猛兽,也要防止过度开垦,让生态能够长效发展。


二、有哪些法规?

合规法规

如上图所示,画红线的是我滴已经面临或者马上面临的游戏规则。相对于如此纷繁错乱的法规,此处不做展开,大家可以参考小拽的博文《国际化隐私法规体系学习》

归结来说分两层

  • 1、基础层:就是ISO提出一些法规的最佳实践,比如ISO27001规定了信息安全,ISO27017规定了云安全等等。(类似于设计模式)
  • 2、落地层:各国结合自特色,落地ISO的最佳实践,比如欧盟的GDPR,巴西的LGPD,美国的CCAP,中国的网安法等。(类似于设计模式在各个语言落地)

与设计模式不同的是,由于落地层的实事准则,也会反向推动基础层的迭代。目前认可度比较高,也是比较严的法规是欧盟的GDPR,类似于实事准则

除了通用法规,还有一些相关制度,有兴趣的小伙伴可以自行搜索,也欢迎交流。比如:安全港制度、隐私盾制度、长臂管辖制度等等


三、必须要做吗?

思路很简单:就看罚款多不多?罚款多的话,再看执行严不严? ̄□ ̄||

罚款规定:从实际法律规定上看,欧盟的统一数据法案(GDPR)规定最高罚款可达营业额的4%,而滴滴目前最大的海外市场巴西的LGPD规定罚款最高可达营业额的2%,那么第一个问题显而易见,罚款还是比较重的

罚款执行:2019年,facebook由于隐私问题,被罚款50亿美元,而facebook Q1的净利仅仅20多亿(😝好吧,我飘了)。
搜索巨头google由于不能满足中国的合规要求,被迫退出了中国市场。

实际上,我滴在北美就曾经因为不太合规,被下架。

综上来看,国外真的罚的狠,执行严。因此,合规是出海企业做强做大的过程中,必须要面临和解决的一个问题。


四、价值思考?

在考虑真正落地前,小拽一直在思考一个问题,

作为一个负向收益的项目(也就是说,除了降低罚款,本身很难直接带动利润增长),最核心的价值是什么?该如何控制成本?做到什么程度才是价值平衡点

既然不能直接带来收益,满足需求情况下,如果成本尽可能的低,就是他的价值。经过无数个辗转反侧之后^_^,小拽总结了一句自相矛盾的话,来作为合规开发和设计的第一原则

落地原则:尽可能低成本,满足法规的最底线要求;同时,保证服务的扩展性。

看似矛盾的一句话,实则考虑了两个阶段
核心都是低成本落地。

  • 短期来看,考虑满足法规的最低限要求,同时,在法律生效前落地即可,保证短期成本最小化、
  • 长期来看,预留合理的扩展性,法规层面快速的做到兼容GDPR、CCAP等,产品层面可以兼容外卖等,保证了可视范围内的成本最小化。

五、三大块内容+四阶段落地

那么接下来就是如何落地?
饭是一口一口吃,路是一步一步走,结合LGPD 202008生效的实际情况,按照最小化落地总体原则,抽象了合规的三大块内容和四阶段落地的规划。

三大块内容
产品侧合规:用户的相关隐私权利在产品侧落地,比如删除权[用户注销],携带权[用户下载],变更权[隐私开关]等等。
数据侧合规:用户的数据从生成、传递、存储、使用合规,比如数据跨境,PCI数据中心,PII匿名化等等。
流程侧合规:运转机制高效合规,涵盖信息安全管理,合规事故响应、处理、上报机制,开国合规管理等等。

四阶段落地

  • 阶段一:19-06到19-12 临时处理阶段。有合规问题,高优处理,暂时不做系统性的简史
  • 阶段二:19-12到20-02 MVP阶段。目标拉齐uber,做到敌有我有。
  • 阶段三:20-02到20-07 LGPD阶段。目标LGPD生效前,完成合规建设,过德勤审核。
  • 阶段四:20-08到20-12 合规中台阶段。前端组件化,服务中台化。法规上可以高扩展支持GDPR、CCAP等,产品上可以快速支持外卖等。

此处暂不详表,预知落地如何,且看下回实战

崔小拽 wechat
欢迎您扫一扫上面的微信公众号,订阅小拽的博客!