![]()
第五期:數據保護——個人信息的“安全閥”
本期專欄將聚焦企業(yè)在目的國的數據合規(guī),討論跨境電商出口企業(yè)如何保證自己在出海時所收集到的線上個人信息數據符合目的國法律規(guī)范。
當前,全球主要經濟體均出臺了各自的數據保護法律法規(guī),我國出臺了《個人信息保護法》和《數據安全法》,美國以加利福尼亞州的《加州消費者隱私法案》(CCPA)為最典型代表,歐盟、日本等也分別出臺了《通用數據保護條例》(GDPR)、《個人信息保護法》等。
核心Q&A
Q1:為什么跨境電商企業(yè)格外需要注意數據合規(guī)?
A:這是基于跨境電商企業(yè)的業(yè)務特性而產生的。
其一,在傳統(tǒng)出口貿易中,外貿企業(yè)通常與企業(yè)客戶對接交易,所能傳遞的信息多是二者往來貿易所必須的商業(yè)數據;而跨境電商出口企業(yè)卻可以通過跨境電商平臺,獲取到消費者個人敏感信息,如姓名、電話、住址、偏好等。
其二,傳統(tǒng)外貿交易呈現出訂單量大但頻次低的特點,這也與跨境電商平臺成交數據、瀏覽數據全天候高速累加的情況存在顯著差異。一個每年處理幾百至上千條客戶數據的傳統(tǒng)中型外貿企業(yè),離《數據出境安全評估辦法》中申報數據出境安全評估的10萬人門檻相差甚遠。但對于一家中等規(guī)模的亞馬遜賣家而言,一年處理的消費者訂單數據很可能超過10萬條。
其三,傳統(tǒng)外貿市場集中,所需遵守的數據要求相對單一。而跨境電商一鍵銷往全球,要同時適配歐盟、北美、東南亞等不同地區(qū)的數據法規(guī),合規(guī)復雜度遠高于傳統(tǒng)外貿。
以上跨境電商出口特點疊加,使得數據風險顯著提升。
需要特別說明的是:以上分析主要針對B2C模式的跨境電商出口企業(yè)(直接面向終端消費者)。如果您的跨境電商業(yè)務是B2B模式(如通過阿里國際站等平臺進行企業(yè)間的批發(fā)交易),則數據合規(guī)風險與傳統(tǒng)外貿較為相似——主要處理的是企業(yè)聯系人的商業(yè)信息而非消費者個人敏感數據,合規(guī)負擔相對較輕,可酌情參考本期關于數據合規(guī)的內容。
Q2:跨境電商出口企業(yè)的數據合規(guī)風險,主要集中在哪些環(huán)節(jié)?
A:對于跨境電商出口企業(yè)而言,數據的合規(guī)要求及其風險貫穿數據的全生命周期。主要集中在數據收集、數據存儲與保護、數據處理與使用、數據傳輸這四個環(huán)節(jié)。下面將會對這四個環(huán)節(jié)的合規(guī)風險逐一詳解。
Q3:收集用戶數據時,跨境電商出口企業(yè)需要注意什么?
A:數據采集,是數據合規(guī)的第一關。雖然線上個人信息等數據的保護主要依賴各國家或地區(qū)的內部法律,而各國家或地區(qū)對數據收集的具體規(guī)則存在差異,但總體來看,基本均需遵循“合法、正當、必要”的原則。
“合法”,是指用戶數據的收集必須符合法律的明確規(guī)定,具體到實際操作中,這要求跨境電商出口企業(yè)需采取有效措施以保證獲取用戶合法有效的授權同意(如以顯著且易于感知的方式突出信息收集規(guī)則、明確賦予用戶拒絕收集其個人信息的選項、明確告知用戶所收集數據的使用范圍和存儲期限等)。
“正當”與“必要”,是指數據收集必須有清晰、合理的目的,且遵循最小化原則——即數據收集應限于實現目的的最小范圍。例如,如若出口企業(yè)發(fā)貨只需要用戶的姓名、地址、聯系方式時,就不應收集用戶的工作情況、家庭情況等信息。
Q4:數據存儲環(huán)節(jié)有哪些風險?
A:跨境電商出海企業(yè)在存儲用戶數據時,可能出現數據泄露、未響應用戶刪除請求、數據存儲超期等常見問題。
為應對這些問題,建議企業(yè)做好對應工作:
第一,采取必要安全保護措施,特別是做好數據加密、訪問控制等工作。歐盟GDPR第32條、中國《個人信息保護法》第51條均將加密列為必要的安全技術措施,這是防止所存儲數據被竊取和篡改的基本手段之一。
第二,做好數據分級分類。綜合評估所獲取信息,將其區(qū)分為一般業(yè)務數據、個人敏感信息、重要數據,并針對不同信息采取差異化的存儲方式。
第三,嚴控數據留存期限。訂單數據在完成財務對賬和售后保修期后,應進行匿名化或刪除處理,不超期存儲。
Q5:在處理與使用用戶個人信息的過程中,企業(yè)應遵循什么規(guī)則?
A:企業(yè)處理與使用個人信息的規(guī)則,簡單來說,就是應當在已向用戶披露的目的和范圍內使用數據,不得將數據用于未獲用戶同意的目的,也不得超出用戶的授權范圍。
典型的非法數據使用場景包括:超范圍泄露個人信息、委托他人處理個人信息、非法交易個人信息、與第三方私自共享個人信息。
Q6:數據跨境傳輸是企業(yè)最頭疼的問題,該如何應對?
A:數據的跨境傳輸,是跨境電商交易不可避免的環(huán)節(jié)。比如,一位境外消費者在亞馬遜購買中國賣家的羽絨服,從下單到收貨過程中,姓名、地址、聯系方式等信息會出現多次跨國傳輸。若羽絨服非國產,數據還可能會流向制造商所在的其他國家。
與難以避免的數據跨境流動需求相矛盾的是,各主要國家和地區(qū)的法律均對數據跨境傳輸設置了不同程度的限制。為此,跨境電商企業(yè)可采取的應對路徑主要有如下幾種:
第一,建議優(yōu)先考慮數據本地化存儲。數據不出境,就可以從源頭上避免跨境傳輸所伴隨著的合規(guī)風險。對于俄羅斯、越南等強制要求公民個人信息本地化存儲的國家而言,本地化存儲是企業(yè)的必然動作。對于非強制性要求的國家和地區(qū)而言,企業(yè)也可以考慮在當地部署服務器、云節(jié)點等,將用戶個人信息等留存于目標國境內。
第二,按照數據分級,最小化跨境傳輸范圍。僅傳輸完成交易所必需的最少信息,屏蔽冗余敏感字段,嚴控非必要數據出境,減少不必要的風險。
第三,注意特定國家數據傳輸規(guī)定。通常情況下,企業(yè)需采取必要的安全審查手段與保障措施。以歐盟為例,根據GDPR,企業(yè)可通過簽署標準合同條款(SCC)實現合規(guī)傳輸,這也是目前大多數中國賣家的實際選擇。對于大型跨國企業(yè),還可考慮申請約束性公司規(guī)則(BCR),但對中小賣家而言這一規(guī)則并不必要。
來源:山東貿促
初審:程佳琦
復審:何金輝
終審:張書野
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.