数据出境合规思考，Oracle NetSuite数据隐私计划为你保驾护航！

数据已然成为国家战略资源和主要生产要素，也是企业核心竞争资产。伴随着经济全球化浪潮，数据跨境流动日益频繁，数据出境场景增多，防范数据出境安全风险，保障数据依法有序自由流动成为当前需要聚焦的重点。

目前，我国以《网络安全法》《数据安全法》《个人信息保护法》《数据出境安全评估办法》和《个人信息出境标准合同办法》等法律法规组成的数据出境监管体系日趋完善严格。

明晰数据出境路径

在数字经济蓬勃发展、企业数字化转型的背景下，相当一部分企业会运用数字化的管理工具来对企业运营进行赋能，将企业经营数据和业务数据存储于系统平台的数据中心之上，因此数据安全和数据隐私是众多企业十分重视的一个因素。那么随着新的数据出境规定的落实和数据出境活动的进一步规范，会对企业数据安全和处理方面带来哪些影响？

数据出境行为：

1.数据处理者将在境内运营中收集和产生的数据传输、存储至境外；

2.数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出；

3.国家网信办规定的其他数据出境行为。

除去功能区别，管理软件的另一最大的不同便是数据中心所在地域。从以上法规规定的数据出境情形出发，若所使用软件的数据中心设置在海外或者境外可以访问境内数据（无论是本地部署还是境内数据中心）都属于数据出境行为规定范围，需要根据《数据出境安全评估办法》和《个人信息出境标准合同办法》办理相应的数据出境手续。

《数据出境安全评估办法》、《个人信息出境标准合同办法》等数据出境规定的施行，作出以下规定（部分截取）：

1.国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境，不包含个人信息或者重要数据的，不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

2.未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估。

根据以上规定，若企业不是关键基础设施运营者并且数据在不涉及个人信息和重要数据的场景下则不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。大部分企业管理软件所涉及的数据都属于非重要数据，因此综合来看，软件的数据中心地域等因素并不会对数据出境路径产生过多影响。

并且，以上数据出境规定调整了数据出境前置监管的适用标准，豁免了具有强出境必要性及少量个人信息出境的数据出境前置监管义务，降低了企业的数据合规成本。

那数据跨境流动会有哪些风险呢？对于企业方而言，数据出境则意味着有可能面临数据被篡改、破坏、泄漏、丢失、非法利用等风险，因此境外接收方履行义务的管理和技术措施、能力等能否保障出境数据的安全则尤为重要。

Oracle NetSuite作为成熟的全球性云ERP，其采用混合治理模型来管理用户信息隐私合规性。为此，Oracle NetSuite 建立了一个隐私办公室，以实施和管理覆盖全球所有NetSuite业务地点范围的隐私计划，确保NetSuite SaaS产品的安全性、隐私性和合规性。

Oracle NetSuite拥有各种安全和隐私认证，并不断探索其他可以进一步证明 Oracle NetSuite安全和隐私状况的行业认证和证明报告。Oracle NetSuite目前拥有两项隐私认证：

• ISO 27018:2019。Oracle NetSuite 扩展了ISO 27001信息安全管理系统包括ISO 27018控制集，足以证明其作为公共云托管提供商对于处理个人信息的充分保护。

•欧盟云行为准则。欧盟云行为准则旨在定义云服务提供商作为处理器的一般要求。Oracle NetSuite对欧盟云行为准则(CoC)的遵守情况已经过验证，并已在监控机构的公共注册表上公布。

Oracle NetSuite 还符合ISO 27701隐私信息管理系统标准，该标准是全球企业管理隐私的基准，此隐私信息管理系统覆盖在信息管理系统之上，并随着业务的成熟而发展。

数据跨境流动的合规性和安全保障任重道远，Oracle NetSuite云平台一直致力于提升企业数据安全保障工作，进一步促进企业自身数据安全能力成熟度建设，为企业数据安全保驾护航。