新國際形勢下數據合規預警！跨境賣家如何“避雷”

跨境電商日常頻繁接觸的消費者信息和個人數據，稍有不慎，可能會面臨最高2000萬歐元的罰款，本期《縱騰觀察》來聊聊，應該如何規避風險。

關注新聞熱點的朋友，最近肯定聽到過以下兩則消息：

6月30日,印度政府信息技術部宣布，出于國家安全考慮，禁用59款來自中國的App。印度政府認為這59款應用被用來收集印度用戶的數據，損害了印度主權和公民隱私。

8月6日,美國總統特朗普頒布了兩道行政令，在美國封殺抖音海外版Tik Tok和微信。白宮發布的行政命令認為這些手機應用收集了很多美國人的個人信息，危害到美國的國家安全。特朗普還強迫TikTok必須在45天之內（后來改為90天）出售其美國業務。雖說兩國政府采取這樣的舉措，也不全是出于所謂的“維護國家安全”的目的，但這兩則新聞至少都讓我們看到大國政府對個人信息保護的重視程度，甚至能上升到國家安全的高度。

數據合規離跨境電商并不遙遠

在這個信息技術高速發達的時代，通過收集分析用戶個人信息，實現精準和個性化的營銷，已經成了互聯網公司非常普遍的商業行為。

而對跨境電商行業來說，個人信息的收集和利用更是每天都在發生的高頻動作。電商賣家需要根據買家的手機號、郵箱和地址安排發貨，也會結合用戶的消費記錄進行數據挖掘，洞察消費行為，從而更好的進行選品或者備貨。

在大環境方面，世界主要經濟體都在完善個人信息保護方面的立法，加強相關法規的執法力度。

如果賣家對其在經營過程中收集的大量用戶信息沒有做好足夠的保護，導致了個人信息泄露或者被不正當利用，則可能會遭受用戶的投訴和起訴，也會引來政府主管部門的調查和處罰，最終可能需承擔巨大的賠償責任和損失。由此可見，做好個人信息保護方面的合規工作，對跨境電商賣家而言至關重要。

歐美已開出巨額罰單

歐美在用戶數據保護方面的舉措領先于全球，同時也是跨境電商賣家占比最高的兩大經濟體。因此，了解歐盟及美國相關法律法規，對于賣家規避數據違規來說顯得尤為重要。

歐洲：已開出200多張罰單

歐洲的隱私保護法規主要是《通用數據保護條例》(General Data Protection Regulation,GDPR)，該法案于2016年4月27日獲得歐洲議會通過，于2018年5月25日開始執行。其核心目標是提高企業的數據安全意識，加強企業對個人信息的保護。

非歐盟成員國的公司(包括免費服務)只要滿足下列兩個條件之一，也會受到GDPR的管轄：

1）為了向歐盟境內可識別的自然人提供商品和服務而收集、處理他們的信息。

2）為了監控歐盟境內可識別的自然人的活動而收集、處理他們的信息。所以如果你是面向歐洲客戶的跨境電商賣家，即使你的運營主體是在國內或者香港注冊的公司，也是會受到GDPR 的拘束的。

違反GDPR有可能會遭受到非常嚴重的后果。根據違規的嚴重程度，罰款的金額最高可能達到2000萬歐元或該企業上一財年全球年度營業總額的4%。

GDPR 執行兩年多以來，歐洲數據保護當局已開出了與GDPR有關的200多張罰單。違法行為包括非法監視員工、對用戶數據處理不當以及未采取到位的技術措施以避免數據泄露。迄今為止最大的一筆罰單是英國的數據保護部門對英國航空公司違反GDPR的罰款，罰款金額高達1.8339億英鎊（約合15.8億元人民幣）。英航2018年9月向信息監管局通報一起始于當年6月的數據泄露事件，該事件導致約50萬名客戶數據因英航網站遭攻擊而被竊取。

美國：十多個州已頒布相關法案

美國聯邦層面并沒有專門針對個人信息保護的立法，但是在幾個不同的法律中都涉及到了個人信息的保護。在州法的層面，美國加州一直處于數據隱私保護的前沿，已經制定了《加州消費者隱私權法》（CCPA），該法已經于2020年1月1日生效。

CCPA為其轄區內的工商企業搭建了一種新的隱私權體系：創設更加寬泛的“個人信息”定義；為加州消費者創設新的數據隱私權，包括公開權、接觸權、壓縮權以及刪除權；在個人信息“轉讓”方面提供廣泛的選擇權；針對直接從未成年人處采集或轉讓個人信息行為，設立特殊規則；創設新的強制性違規賠償制度框架，針對那些違規而不執行或遵守合理的安全保護程序或阻止數據安全違規行為的措施的情形。

除了加州外，美國已經有十多個州已經頒布或者起草了在披露消費者信息和控制個人數據方面加重企業義務的法案，與CCPA規定的情形類似。

跨境電商賣家如何規避數據違規風險

面對越來越嚴的個人信息保護法規要求，賣家如何在運營中做好合規呢？我們認為主要可以從以下幾個角度采取措施：

1）公司管理層帶頭重視數據保護。只有公司的管理層重視了，才能在公司形成相應的文化，并且愿意投入資源開展相關合規工作。

2）采用技術手段做好個人信息保護工作。可以采取的技術手段包括以下的方式：

① 對于存儲個人信息的系統，應該做好訪問權限的控制，只給因工作職責需要了解和處理個人信息的人員設置訪問權限。系統應設置有權限的用戶的訪問和操作記錄的日志；

② 對包含了個人信息的文件要進行加密傳輸；

③信息系統進行定期的審計，查找漏洞，提升安全等級，防止黑客和病毒攻擊。

3）熟悉和理解法規的具體要求。這個工作可以交給公司的法務部門和IT部門來完成。如果公司內部缺乏專業人才對法規進行解讀，可以聘請專業的顧問對公司的合規情況進行摸底調查，輸出差距分析，然后再采取整改措施。

對于準備上市的跨境賣家，有必要聘請專業的律師處理數據保護合規事宜，甚至是任命數據保護官來專門負責個人信息的保護。如果在這方面出現合規問題，肯定會影響審核機關對公司的評價。

4）對公司全員進行個人數據保護合規的培訓。數據保護合規不僅僅是法務部和IT部門的工作，大部分員工的日常工作，都會涉及到一些工作需要遵守相應的合規標準。提升員工個人數據保護合規方面的意識，熟悉相關的規則，遵守數據處理的流程，這樣才能真正合規和控制違規風險。

5）制定公司隱私政策和其他法律文件。完善的隱私政策對于獨立站賣家而言非常重要。賣家要跟公司的服務商簽訂數據處理的協定，將相關的數據保護合規義務傳導到服務商，如果因為服務商的過錯導致自己承擔責任，可以讓服務商追償。

（來源：縱騰集團）

以上內容屬作者個人觀點，不代表雨果網立場！本文經原作者授權轉載，轉載需經原作者授權同意

（來源：ZT觀察）