新国际形势下数据合规预警！跨境卖家如何“避雷”

跨境电商日常频繁接触的消费者信息和个人数据，稍有不慎，可能会面临最高2000万欧元的罚款，本期《纵腾观察》来聊聊，应该如何规避风险。

关注新闻热点的朋友，最近肯定听到过以下两则消息：

6月30日,印度政府信息技术部宣布，出于国家安全考虑，禁用59款来自中国的App。印度政府认为这59款应用被用来收集印度用户的数据，损害了印度主权和公民隐私。

8月6日,美国总统特朗普颁布了两道行政令，在美国封杀抖音海外版Tik Tok和微信。白宫发布的行政命令认为这些手机应用收集了很多美国人的个人信息，危害到美国的国家安全。特朗普还强迫TikTok必须在45天之内（后来改为90天）出售其美国业务。虽说两国政府采取这样的举措，也不全是出于所谓的"维护国家安全"的目的，但这两则新闻至少都让我们看到大国政府对个人信息保护的重视程度，甚至能上升到国家安全的高度。

数据合规离跨境电商并不遥远

在这个信息技术高速发达的时代，通过收集分析用户个人信息，实现精准和个性化的营销，已经成了互联网公司非常普遍的商业行为。

而对跨境电商行业来说，个人信息的收集和利用更是每天都在发生的高频动作。电商卖家需要根据买家的手机号、邮箱和地址安排发货，也会结合用户的消费记录进行数据挖掘，洞察消费行为，从而更好的进行选品或者备货。

在大环境方面，世界主要经济体都在完善个人信息保护方面的立法，加强相关法规的执法力度。

如果卖家对其在经营过程中收集的大量用户信息没有做好足够的保护，导致了个人信息泄露或者被不正当利用，则可能会遭受用户的投诉和起诉，也会引来政府主管部门的调查和处罚，最终可能需承担巨大的赔偿责任和损失。由此可见，做好个人信息保护方面的合规工作，对跨境电商卖家而言至关重要。

欧美已开出巨额罚单

欧美在用户数据保护方面的举措领先于全球，同时也是跨境电商卖家占比最高的两大经济体。因此，了解欧盟及美国相关法律法规，对于卖家规避数据违规来说显得尤为重要。

欧洲：已开出200多张罚单

欧洲的隐私保护法规主要是《通用数据保护条例》(General Data Protection Regulation,GDPR)，该法案于2016年4月27日获得欧洲议会通过，于2018年5月25日开始执行。其核心目标是提高企业的数据安全意识，加强企业对个人信息的保护。

非欧盟成员国的公司(包括免费服务)只要满足下列两个条件之一，也会受到GDPR的管辖：

1）为了向欧盟境内可识别的自然人提供商品和服务而收集、处理他们的信息。

2）为了监控欧盟境内可识别的自然人的活动而收集、处理他们的信息。所以如果你是面向欧洲客户的跨境电商卖家，即使你的运营主体是在国内或者香港注册的公司，也是会受到GDPR 的拘束的。

违反GDPR有可能会遭受到非常严重的后果。根据违规的严重程度，罚款的金额最高可能达到2000万欧元或该企业上一财年全球年度营业总额的4%。

GDPR 执行两年多以来，欧洲数据保护当局已开出了与GDPR有关的200多张罚单。违法行为包括非法监视员工、对用户数据处理不当以及未采取到位的技术措施以避免数据泄露。迄今为止最大的一笔罚单是英国的数据保护部门对英国航空公司违反GDPR的罚款，罚款金额高达1.8339亿英镑（约合15.8亿元人民币）。英航2018年9月向信息监管局通报一起始于当年6月的数据泄露事件，该事件导致约50万名客户数据因英航网站遭攻击而被窃取。

美国：十多个州已颁布相关法案

美国联邦层面并没有专门针对个人信息保护的立法，但是在几个不同的法律中都涉及到了个人信息的保护。在州法的层面，美国加州一直处于数据隐私保护的前沿，已经制定了《加州消费者隐私权法》（CCPA），该法已经于2020年1月1日生效。

CCPA为其辖区内的工商企业搭建了一种新的隐私权体系：创设更加宽泛的"个人信息"定义；为加州消费者创设新的数据隐私权，包括公开权、接触权、压缩权以及删除权；在个人信息"转让"方面提供广泛的选择权；针对直接从未成年人处采集或转让个人信息行为，设立特殊规则；创设新的强制性违规赔偿制度框架，针对那些违规而不执行或遵守合理的安全保护程序或阻止数据安全违规行为的措施的情形。

除了加州外，美国已经有十多个州已经颁布或者起草了在披露消费者信息和控制个人数据方面加重企业义务的法案，与CCPA规定的情形类似。

跨境电商卖家如何规避数据违规风险

面对越来越严的个人信息保护法规要求，卖家如何在运营中做好合规呢？我们认为主要可以从以下几个角度采取措施：

1）公司管理层带头重视数据保护。只有公司的管理层重视了，才能在公司形成相应的文化，并且愿意投入资源开展相关合规工作。

2）采用技术手段做好个人信息保护工作。可以采取的技术手段包括以下的方式：

① 对于存储个人信息的系统，应该做好访问权限的控制，只给因工作职责需要了解和处理个人信息的人员设置访问权限。系统应设置有权限的用户的访问和操作记录的日志；

② 对包含了个人信息的文件要进行加密传输；

③信息系统进行定期的审计，查找漏洞，提升安全等级，防止黑客和病毒攻击。

3）熟悉和理解法规的具体要求。这个工作可以交给公司的法务部门和IT部门来完成。如果公司内部缺乏专业人才对法规进行解读，可以聘请专业的顾问对公司的合规情况进行摸底调查，输出差距分析，然后再采取整改措施。

对于准备上市的跨境卖家，有必要聘请专业的律师处理数据保护合规事宜，甚至是任命数据保护官来专门负责个人信息的保护。如果在这方面出现合规问题，肯定会影响审核机关对公司的评价。

4）对公司全员进行个人数据保护合规的培训。数据保护合规不仅仅是法务部和IT部门的工作，大部分员工的日常工作，都会涉及到一些工作需要遵守相应的合规标准。提升员工个人数据保护合规方面的意识，熟悉相关的规则，遵守数据处理的流程，这样才能真正合规和控制违规风险。

5）制定公司隐私政策和其他法律文件。完善的隐私政策对于独立站卖家而言非常重要。卖家要跟公司的服务商签订数据处理的协定，将相关的数据保护合规义务传导到服务商，如果因为服务商的过错导致自己承担责任，可以让服务商追偿。

（来源：纵腾集团）

以上内容属作者个人观点，不代表立场！本文经原作者授权转载，转载需经原作者授权同意

新国际形势下数据合规预警！跨境卖家如何"避雷"2016eBay跨境电商峰会、 大森林、 米兰网、 不是税务就是股市：最近中美热题有点多！、 帕拓逊patozon、 索罗斯出手购入阿里股票后，这次又赚翻了！、 危机与焦虑！美国科技巨头生产线将转出中国？、 【供应商资源】------母婴类优势、