2021年8月，中国通过了《个人信息保护法》（PIPL）。虽然这是中国的第一部此类法律，但中国是自2018年以来采用与欧盟（EU）《通用数据保护条例》（GDPR）类似法律的国家之一。

　　各企业发现数据隐私领域越来越复杂，难以驾驭。需要对数据隐私的立法、组织、技术和合同方面越来越了解和精通，并能够证明其合规性。

　　各企业在2021年一直面临哪些关键挑战，而哪些方法将在2022年帮助他们？

　　欧盟特别关注的是跨境数据转移的话题。2021年6月4日，欧盟委员会发布了新的标准合同条款（SCCs），用于约束向欧盟以外的国家转移个人数据。

　　这是继Schrems II决定和欧盟数据保护委员会的相关建议之后，分别于2020年7月和2021年6月通过的条款。

　　近十年来，该委员会确定原来的SCC已经过时，不再符合日益更新的数字化世界。截至2021年9月，之前的条款已不再有效，依靠以前SCC的跨境转让已要求在2021年12月22日之前更新。

　　就规模而言，任何将欧盟居民的个人数据转移到欧盟以外的企业都必须在下一年内更新协议。欧盟对基于实际使用案例的SCCs采取了前瞻性的模块化方法，提供实施适当措施的指导。

　　跨国企业，特别是中资出海企业，应当合理评估这项工作的规模，特别是对于那些可能与客户、合作伙伴和供应商签订了数百甚至数千份地方、区域和全球协议的企业。

　　以我们自身为例，NTT Ltd.是一家B2B跨国企业，我们在解决跨境数据传输问题时，首先要清楚地了解我们与谁共享个人数据，我们的客户是谁，我们如何向他们提供服务，同时要考虑到整个价值链。

　　在操作上，我们确定受影响的合同，并审查和更新这些合同，采取与新的SCCs相一致的优先方法。此外，我们需要有良好的技术和措施，包括适当的安全，以确保个人数据在运输、移动或静止时得到保护。我们也在考虑，限制数据的跨境转移和在特定地区或国家内实现数据本地化的可行性。

　　从更广泛的市场来看，大多数公司的技术策略一如既往，采用新的SCCs和补充措施。而其他公司则采取了本地（或更保守）的方法，只在欧盟处理本地数据，并只使用欧盟供应商。

　　本地处理方法的成本效益分析值得关注，它将与没有本地数据能力去支持的全球供应商关系置于风险之中，并增加了跨国企业日常运营的复杂性，因为运营需要跨境转移，需要大量投资来建立本地基础设施、系统和运营，以支持持续的跨境转移。这同样需要投资补充措施和专业知识。

　　从战略上讲，企业如何与客户一起更新SSCs的做法各有不同。一些企业采取了“Take it or leave it”的方式。这种策略有利有弊——执行起来简单明了，但在出现分歧的情况下，可能会对关键关系造成损害。其他企业可能会找到互惠互利的机制，这是一种以关系为中心的方法，而上述机制的谈判可能需要延长执行时间。

　　由于没有共同的、全球性的立法方法，各企业主要由自己决定在立法、组织、技术和合同等方面哪些措施有效，以确保对新法规的遵守。

　　如果说2021年是适应新环境，那么2022年将是站稳脚跟。随着新法规的明确，企业现在正在技术层面，系统、供应链、程序和更多方面考虑新法规的影响。例如：

　　与国际专业协会（如IAPP）合作，可以帮助企业在内部提供培训和电子学习，以分享隐私的高层次观点，并帮助员工提高技能，以支持数据隐私计划。

　　2022年是关于领导力的一年。确保企业高管了解隐私是什么以及对整个企业价值链的影响，为基于场景的培训实施桌面练习，并在建立隐私意识文化方面获得支持和认可。强有力的领导将是企业降低违规及不合规风险的关键。这需要领导者做出一些大胆的决定，使企业能够适应不断变化的数据隐私环境。

　　NTT全球威胁情报中心（GTIC）通过以下活动为NTT集团客户提供保护、资讯和教育：

　　GTIC超越了传统的纯研究机构，将威胁和漏洞研究与检测技术开发相结合，生成应用威胁情报。GTIC的使命是通过提供先进的威胁研究和安全情报来保护客户，能够预防、检测和应对网络威胁。

　　运用世界各地的情报能力和资源，NTT的威胁研究专注于了解和洞察各种威胁者、利用工具和恶意软件，以及攻击者使用的技术、战术和程序（TTP）。漏洞研究预先发现可能成为最新攻击媒介的零日漏洞，同时保持对已公布漏洞的深入了解。

　　NTT安全监控服务，通过情报融合和分析，更准确地识别针对客户基础设施的恶意活动。

　　GTIC持续监控全球威胁，利用我们的全球互联网基础设施、云计算和数据中心以及第三方情报反馈，持续监测全球新出现的威胁；利用先进的分析技术和专有工具，了解、分析、整理威胁；利用全球威胁情报平台（GTIP）发布和整理这些威胁，使NTT集团客户受益。