新國際形勢(shì)下數(shù)據(jù)合規(guī)預(yù)警！跨境賣家如何“避雷”

跨境電商日常頻繁接觸的消費(fèi)者信息和個(gè)人數(shù)據(jù)，稍有不慎，可能會(huì)面臨最高2000萬歐元的罰款，本期《縱騰觀察》來聊聊，應(yīng)該如何規(guī)避風(fēng)險(xiǎn)。

關(guān)注新聞熱點(diǎn)的朋友，最近肯定聽到過以下兩則消息：

6月30日,印度政府信息技術(shù)部宣布，出于國家安全考慮，禁用59款來自中國的App。印度政府認(rèn)為這59款應(yīng)用被用來收集印度用戶的數(shù)據(jù)，損害了印度主權(quán)和公民隱私。

8月6日,美國總統(tǒng)特朗普頒布了兩道行政令，在美國封殺抖音海外版Tik Tok和微信。白宮發(fā)布的行政命令認(rèn)為這些手機(jī)應(yīng)用收集了很多美國人的個(gè)人信息，危害到美國的國家安全。特朗普還強(qiáng)迫TikTok必須在45天之內(nèi)（后來改為90天）出售其美國業(yè)務(wù)。雖說兩國政府采取這樣的舉措，也不全是出于所謂的“維護(hù)國家安全”的目的，但這兩則新聞至少都讓我們看到大國政府對(duì)個(gè)人信息保護(hù)的重視程度，甚至能上升到國家安全的高度。

數(shù)據(jù)合規(guī)離跨境電商并不遙遠(yuǎn)

在這個(gè)信息技術(shù)高速發(fā)達(dá)的時(shí)代，通過收集分析用戶個(gè)人信息，實(shí)現(xiàn)精準(zhǔn)和個(gè)性化的營銷，已經(jīng)成了互聯(lián)網(wǎng)公司非常普遍的商業(yè)行為。

而對(duì)跨境電商行業(yè)來說，個(gè)人信息的收集和利用更是每天都在發(fā)生的高頻動(dòng)作。電商賣家需要根據(jù)買家的手機(jī)號(hào)、郵箱和地址安排發(fā)貨，也會(huì)結(jié)合用戶的消費(fèi)記錄進(jìn)行數(shù)據(jù)挖掘，洞察消費(fèi)行為，從而更好的進(jìn)行選品或者備貨。

在大環(huán)境方面，世界主要經(jīng)濟(jì)體都在完善個(gè)人信息保護(hù)方面的立法，加強(qiáng)相關(guān)法規(guī)的執(zhí)法力度。

如果賣家對(duì)其在經(jīng)營過程中收集的大量用戶信息沒有做好足夠的保護(hù)，導(dǎo)致了個(gè)人信息泄露或者被不正當(dāng)利用，則可能會(huì)遭受用戶的投訴和起訴，也會(huì)引來政府主管部門的調(diào)查和處罰，最終可能需承擔(dān)巨大的賠償責(zé)任和損失。由此可見，做好個(gè)人信息保護(hù)方面的合規(guī)工作，對(duì)跨境電商賣家而言至關(guān)重要。

歐美已開出巨額罰單

歐美在用戶數(shù)據(jù)保護(hù)方面的舉措領(lǐng)先于全球，同時(shí)也是跨境電商賣家占比最高的兩大經(jīng)濟(jì)體。因此，了解歐盟及美國相關(guān)法律法規(guī)，對(duì)于賣家規(guī)避數(shù)據(jù)違規(guī)來說顯得尤為重要。

歐洲：已開出200多張罰單

歐洲的隱私保護(hù)法規(guī)主要是《通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation,GDPR)，該法案于2016年4月27日獲得歐洲議會(huì)通過，于2018年5月25日開始執(zhí)行。其核心目標(biāo)是提高企業(yè)的數(shù)據(jù)安全意識(shí)，加強(qiáng)企業(yè)對(duì)個(gè)人信息的保護(hù)。

非歐盟成員國的公司(包括免費(fèi)服務(wù))只要滿足下列兩個(gè)條件之一，也會(huì)受到GDPR的管轄：

1）為了向歐盟境內(nèi)可識(shí)別的自然人提供商品和服務(wù)而收集、處理他們的信息。

2）為了監(jiān)控歐盟境內(nèi)可識(shí)別的自然人的活動(dòng)而收集、處理他們的信息。所以如果你是面向歐洲客戶的跨境電商賣家，即使你的運(yùn)營主體是在國內(nèi)或者香港注冊(cè)的公司，也是會(huì)受到GDPR 的拘束的。

違反GDPR有可能會(huì)遭受到非常嚴(yán)重的后果。根據(jù)違規(guī)的嚴(yán)重程度，罰款的金額最高可能達(dá)到2000萬歐元或該企業(yè)上一財(cái)年全球年度營業(yè)總額的4%。

GDPR 執(zhí)行兩年多以來，歐洲數(shù)據(jù)保護(hù)當(dāng)局已開出了與GDPR有關(guān)的200多張罰單。違法行為包括非法監(jiān)視員工、對(duì)用戶數(shù)據(jù)處理不當(dāng)以及未采取到位的技術(shù)措施以避免數(shù)據(jù)泄露。迄今為止最大的一筆罰單是英國的數(shù)據(jù)保護(hù)部門對(duì)英國航空公司違反GDPR的罰款，罰款金額高達(dá)1.8339億英鎊（約合15.8億元人民幣）。英航2018年9月向信息監(jiān)管局通報(bào)一起始于當(dāng)年6月的數(shù)據(jù)泄露事件，該事件導(dǎo)致約50萬名客戶數(shù)據(jù)因英航網(wǎng)站遭攻擊而被竊取。

美國：十多個(gè)州已頒布相關(guān)法案

美國聯(lián)邦層面并沒有專門針對(duì)個(gè)人信息保護(hù)的立法，但是在幾個(gè)不同的法律中都涉及到了個(gè)人信息的保護(hù)。在州法的層面，美國加州一直處于數(shù)據(jù)隱私保護(hù)的前沿，已經(jīng)制定了《加州消費(fèi)者隱私權(quán)法》（CCPA），該法已經(jīng)于2020年1月1日生效。

CCPA為其轄區(qū)內(nèi)的工商企業(yè)搭建了一種新的隱私權(quán)體系：創(chuàng)設(shè)更加寬泛的“個(gè)人信息”定義；為加州消費(fèi)者創(chuàng)設(shè)新的數(shù)據(jù)隱私權(quán)，包括公開權(quán)、接觸權(quán)、壓縮權(quán)以及刪除權(quán)；在個(gè)人信息“轉(zhuǎn)讓”方面提供廣泛的選擇權(quán)；針對(duì)直接從未成年人處采集或轉(zhuǎn)讓個(gè)人信息行為，設(shè)立特殊規(guī)則；創(chuàng)設(shè)新的強(qiáng)制性違規(guī)賠償制度框架，針對(duì)那些違規(guī)而不執(zhí)行或遵守合理的安全保護(hù)程序或阻止數(shù)據(jù)安全違規(guī)行為的措施的情形。

除了加州外，美國已經(jīng)有十多個(gè)州已經(jīng)頒布或者起草了在披露消費(fèi)者信息和控制個(gè)人數(shù)據(jù)方面加重企業(yè)義務(wù)的法案，與CCPA規(guī)定的情形類似。

跨境電商賣家如何規(guī)避數(shù)據(jù)違規(guī)風(fēng)險(xiǎn)

面對(duì)越來越嚴(yán)的個(gè)人信息保護(hù)法規(guī)要求，賣家如何在運(yùn)營中做好合規(guī)呢？我們認(rèn)為主要可以從以下幾個(gè)角度采取措施：

1）公司管理層帶頭重視數(shù)據(jù)保護(hù)。只有公司的管理層重視了，才能在公司形成相應(yīng)的文化，并且愿意投入資源開展相關(guān)合規(guī)工作。

2）采用技術(shù)手段做好個(gè)人信息保護(hù)工作。可以采取的技術(shù)手段包括以下的方式：

① 對(duì)于存儲(chǔ)個(gè)人信息的系統(tǒng)，應(yīng)該做好訪問權(quán)限的控制，只給因工作職責(zé)需要了解和處理個(gè)人信息的人員設(shè)置訪問權(quán)限。系統(tǒng)應(yīng)設(shè)置有權(quán)限的用戶的訪問和操作記錄的日志；

② 對(duì)包含了個(gè)人信息的文件要進(jìn)行加密傳輸；

③信息系統(tǒng)進(jìn)行定期的審計(jì)，查找漏洞，提升安全等級(jí)，防止黑客和病毒攻擊。

3）熟悉和理解法規(guī)的具體要求。這個(gè)工作可以交給公司的法務(wù)部門和IT部門來完成。如果公司內(nèi)部缺乏專業(yè)人才對(duì)法規(guī)進(jìn)行解讀，可以聘請(qǐng)專業(yè)的顧問對(duì)公司的合規(guī)情況進(jìn)行摸底調(diào)查，輸出差距分析，然后再采取整改措施。

對(duì)于準(zhǔn)備上市的跨境賣家，有必要聘請(qǐng)專業(yè)的律師處理數(shù)據(jù)保護(hù)合規(guī)事宜，甚至是任命數(shù)據(jù)保護(hù)官來專門負(fù)責(zé)個(gè)人信息的保護(hù)。如果在這方面出現(xiàn)合規(guī)問題，肯定會(huì)影響審核機(jī)關(guān)對(duì)公司的評(píng)價(jià)。

4）對(duì)公司全員進(jìn)行個(gè)人數(shù)據(jù)保護(hù)合規(guī)的培訓(xùn)。數(shù)據(jù)保護(hù)合規(guī)不僅僅是法務(wù)部和IT部門的工作，大部分員工的日常工作，都會(huì)涉及到一些工作需要遵守相應(yīng)的合規(guī)標(biāo)準(zhǔn)。提升員工個(gè)人數(shù)據(jù)保護(hù)合規(guī)方面的意識(shí)，熟悉相關(guān)的規(guī)則，遵守?cái)?shù)據(jù)處理的流程，這樣才能真正合規(guī)和控制違規(guī)風(fēng)險(xiǎn)。

5）制定公司隱私政策和其他法律文件。完善的隱私政策對(duì)于獨(dú)立站賣家而言非常重要。賣家要跟公司的服務(wù)商簽訂數(shù)據(jù)處理的協(xié)定，將相關(guān)的數(shù)據(jù)保護(hù)合規(guī)義務(wù)傳導(dǎo)到服務(wù)商，如果因?yàn)榉?wù)商的過錯(cuò)導(dǎo)致自己承擔(dān)責(zé)任，可以讓服務(wù)商追償。

（來源：縱騰集團(tuán)）

以上內(nèi)容屬作者個(gè)人觀點(diǎn)，不代表雨果網(wǎng)立場！本文經(jīng)原作者授權(quán)轉(zhuǎn)載，轉(zhuǎn)載需經(jīng)原作者授權(quán)同意

（來源：ZT觀察）