深入4个常见场景,手把手教跨境电商企业如何跨过数据合规风险这个大坑
2021年4月到6月间,全球最大电商平台亚马逊上演“封号风波”,5万多中国跨境电商卖家遭遇产品下架,账号被封,其中不乏“大卖”(Top Seller),中国跨境电商行业陷入“至暗时刻”。亚马逊封号的主要理由就是这些卖家存在刷单、操纵评论等违规行为。事实上,这只是中国跨境电商企业面临的众多合规问题的冰山一角。国内电商经常忽视的数据合规问题,其实在国外有着非常严格的法律规定。
在美国相关立法中,数据保护融合了数据隐私领域(即如何控制个人数据的收集、使用)以及数据安全领域(即如何保护个人数据免受未经授权的访问与使用,以及如何解决未经授权访问的问题)两大方面。
近年来,美国联邦政府和各州政府的数据监管部门都对数据合规问题加强了监管和处罚力度,涉及到用户隐私协议是否规范,是否误导用户同意信息收集,是否明确告知用户信息收集的方式、范围和用途,以及是否向客户披露潜在的数据泄漏风险等方面。
对于想做好跨境电商的中国企业来说,如何识别和规避不同场景模式下的数据合规风险,变得尤为重要。下面我们深入4个常见场景,手把手教跨境电商企业如何跨过数据合规风险这个大坑
场景1:电商平台数据信息收集的合规风险
跨境电商平台个人信息处理规则的设置及用户告知,是数据风险管控的第一场景。跨境电商企业应重点关注此场景下的合规风险,保证获取用户合法有效的授权同意。一般而言,数据信息收集事项可细分为如下场景:
· 用户隐私政策和说明是否在平台第一优先模式下以突出、显著、易于感知的方式弹出或显示,是否方便用户获取、阅读和理解。
· 个人信息收集政策和处理规则是否合法合规,是否向用户明示授权同意。例如,根据加利福尼亚消费者隐私法案(California Consumer Privacy Act, CCPA)的规定,用户有权拒绝收集其个人信息的选项,或在同意收集时企业应向其披露所收集信息的类别和具体要素。
· 用户是否被明确如实地告知可能的各项功能场景,以及各项场景涉及的数据信息提取范围、系统权限等。CCPA规定,用户有权要求转移用户个人信息或因商业目的而披露用户个人信息的企业向其披露如下信息:1)该企业收集的有关该用户的个人信息类别;2)企业转移的用户个人信息类别以及第三方类别;3)企业为商业目的而披露的个人信息类别。企业在收到用户的请求后,应按规定予以披露。
· 涉及到儿童数据信息收集时,应严格遵守儿童线上隐私保护法(Children’s Online Privacy Protection Act, COPPA)。COPPA规定,收集13岁以下儿童的个人信息必须获得其法定监护人的同意。COPPA还具体规定了网站运营商必须在隐私政策中包含的内容、如何获得儿童法定监护人的同意、保护儿童在线隐私安全的责任、对儿童营销的限制等。
在清晰解读美国联邦和州层面数据法规的基础上,跨境电商企业除了要制定好隐私政策外,还应结合自身平台特征,在开展具体数据和信息收集处理活动之前,以各种友情提示或友好设计的方式,引导用户阅读个人信息收集处理规则,让用户知悉并同意规则内容,以保证数据收集场景的合规性。
场景2:定向营销推广中的合规风险
定向营销推广就是利用大数据技术进行精准营销,已经成为跨境电商企业找到精准用户的利器。企业利用大数据技术的分析与预测能力,获取用户画像,到符合条件的精准用户,使广告的投放更加精准有效。国外法律对什么是个人信息、如何使用个人信息都有明确规定。企业要进行定向营销推广,一定要注意以下合规要求:
场景3:与第三方的数据交换场景下的合规风险
跨境电商企业在完成数据收集后,除了本企业内部使用外,可能涉及向外部第三方共享数据。数据共享涉及第三方数据合规管理,并存在数据安全管理问题,因此数据共享应作为内部管理高风险项予以规范运作,建立健全相应的管控流程,避免发生违规违法的数据交换。在数据交换场景下,跨境电商企业应着重关注的风险问题有:
场景4:出售用户数据场景下的合规风险
美国相关数据法针对电商企业出售用户数据场景,不仅做出了特定权利宣示,同时为权利实现的方式设计了微观的程序性规定。以CCPA为例,法案中设计了有关用户“选择退出”权的制度设计:
