数字经济时代,跨境卖家如何规避数据违规风险?
近几年,随着云计算、人工智能等新兴技术发展,加速了数据价值的发现和流通,同时也使得数据安全问题不断凸显。在大环境方面,世界主要经济体都在完善个人信息保护方面的立法,加强相关法规的执法力度。
其中,被称为“史上最严数据保护条例”的欧盟一般数据保护条例(General Data Protection Regulation,GDPR)于2018年正式实施。目的是保护欧盟消费者以及企业的数据安全,包括名称、住址、邮箱和电脑IP地址等信息。
根据条款,违反GDPR的行为,轻者可被罚一千万欧元或前一年全球营业收入的2%,重者可被罚两千万欧元或前一年全球营业收入的4%,罚款额在两值中取大者。自GDPR颁布以来,谷歌,Facebook等巨头相继被罚,美国超过千家网站被封。
GDPR与跨境电商卖家有何关系?
越来越多的中国企业正在开展涉欧业务,其中包括不少制造企业。
对跨境电商行业来说,个人信息的收集和利用更是每天都在发生的高频动作。电商卖家需要根据买家的手机号、邮箱和地址安排发货,也会结合用户的消费记录进行数据挖掘,洞察消费行为,从而更好的进行选品或者备货。
由此可见,了解欧盟相关法律法规,对于跨境卖家来说显得尤为重要。
今天光子易就以欧盟《通用数据保护条例》(GDPR)为例,聊聊跨境电商该如何面对行业中的数据安全,做好个人信息保护方面的合规工作。
一是成立地在欧盟的机构;
二是成立地在欧盟以外的机构,只要其在提供产品或者服务的过程中(不论是否收费)处理了欧盟境内个体的个人数据,将同样适用于GDPR;
三是服务对象为欧盟境内的用户。任何网站甚至手机软件(APP)只要能够被欧盟境内的个人所访问和使用,产品或服务使用的语言是英语或者特定的欧盟成员国语言、产品标识的价格为欧元,都可以被理解为该产品、服务的目标用户包括欧盟境内用户,从而需要适用GDPR。
小易认为,GDPR的核心思想有以下四条:
第一,GDPR的通过意味着欧盟对个人信息保护及其监管达到了前所未有的高度,堪称史上最严格的数据保护法案。
第二,GDPR对如何收集、使用和存储消费者数据,包括在欧盟境内开展业务的外国公司,都提出了严格的要求。
第三,发生数据外泄和数据丢失的非合规问题时,将会被严厉处罚。
第四, 安全的网络是对数据保护的基本技术基础。
那现在我们假设一下具体场景,来一波Q&A问答,看看需不需要遵循GDPR。
Q: 在欧盟设有分支机构,但个人处理系统部署在中国,或只处理中国客户的个人信息,是否收到GDPR约束呢?
A:受约束。不论个人信息是否属于欧盟公民,或个人数据的处理是否发生在欧盟境内,只要在欧盟境内注册实体,就会受到GDPR的约束。
Q: 分支机构在国内,为包括欧盟公民在海外市场提供产品和服务,是否受到GDPR约束?
A:受约束。虽然机构实体设立在欧盟境内,但其业务运营目标涉及到处理欧盟公民个人信息,都受到GDPR的约束,无论产品或服务是否免费。
Q:分支机构在国内,其业务运营包括欧盟市场,但并不直接对欧盟境内自然人提供服务,而是帮助欧盟合作伙伴提供大数据分析,或者网站会记录用户的cookies,是否受到GDPR约束?
A:受约束。服务涉及对欧盟境内自然人的追踪和分析,即受到GDPR的约束。如果大数据平台使用了第三方云服务提供商,云服务提供商作为数据处理者也受到GDPR的约束。
Q:分支机构在国内,其产品和服务也只面向国内市场,但不排除有欧盟公民在国内使用服务期间可能涉及欧盟公民的个人信息处理,是否受到GDPR的约束?
A:不受约束。处理欧盟公民的个人信息属于非主观意愿。
一、长效机制,时刻准备
欧盟和全球各国(地区)的个人信息保护的监管形式是动态变化的,面对多变的环境,跨境电商卖家应当未雨绸缪,持续重视数据安全工作:
·采用安全技术手段来落实个人信息保护工作,包括但不限于对涉及个人信息的系统做好访问权限的控制;
·对个人信息数据进行加密传输、加密存储;设置个人信息数据操作的日志记录等。
·定期对公司全员进行个人数据保护意识培训;
·持续关注隐私相关的法律法律和行业规定,制定公司内部的隐私规范和流程;
·持续开展风险审计,识别风险,提升安全水位,防止黑客入侵导致数据泄露。
