中国的跨境电商交易近年来呈现迅猛增长的趋势。政府工作报告中提到要“加快跨境电商等新业态发展”,这表明未来跨境电商在中国国际贸易中的份额将持续扩大,而且跨境电商将在国家对外开放战略中发挥更加重要的作用。
2024 年 6 月,数据赋能产业链 九部门联合印发意见拓展跨境电商,跨境电商与海外仓等新型外贸基础设施协同联动,减少中间环节、直达消费者,有利于促进外贸结构优化、规模稳定,有利于打造国际经济合作新优势。
随着跨境电商行业的迅速崛起,随之而来的数据量不断增加,涉及的领域也愈发广泛。跨境电商的整个生命周期与数据息息相关,跨境电商企业需要深入分析和利用这些用户信息,这成为企业竞争的核心要素之一。
数据和信息也成为企业的重要估值依据。在跨境电商的完整运营过程中,国内外消费者、跨境电商企业、电商平台公司以及第三方服务提供商等各方在线上和线下场景中紧密交互,形成了复杂的数据互动网络。每一笔跨境电商交易都涉及用户信息、支付数据、物流信息等个人数据,这些数据是跨境电商活动的重要组成部分。
一、欧美隐私数据泄露与合规界定
欧盟坚持规则先行,重视数据治理和人工智能伦理。由于缺乏全球领先的科技企业,欧盟在数字经济国际竞争中逐渐失去了主动地位,为逆转这一局面,欧盟积极构建数字经济相关监管规则。在数据保护方面,欧盟于 2018 年 6 月正式实施的《通用数据保护条例》(General Data Protection Regulation ,简称 GDPR)堪称最严厉的个人数据保护法,极大提升了隐私保护标准和科技企业合规成本,引领了全球个人隐私保护立法热潮。
《加州消费者隐私法案》(California Consumer Privacy Act,简称 CCPA)是继欧盟《一般数据保护条例》(GDPR)颁布后又一部数据隐私领域的重要法律。2020 年 7 月 1 日开始正式执行。CCPA 是美国首部关于数据隐私的全面立法。美国目前并没有 GDPR 一类的通用数据保护法律,只在一些特殊行业或领域立法里,有关于隐私保护的内容散落在其中。
例如,《健康保险流通与责任法案》(HIPAA)中提到如何保护患者隐私信息,《儿童在线隐私保护法案》(COPPA)是专门为保护儿童个人信息制定的联邦法律。CCPA 的出台弥补了美国在数据隐私专门立法方面的空白,它旨在加强加州消费者隐私权和数据安全保护,被认为是美国当前最严格的消费者数据隐私保护立法。
GDPR 规定,个人数据泄露是指数据处理者意外或非法破坏、丢失、更改、未经授权的披露或访问传输、存储或以其他方式处理的个人数据。在无正当理由的情况下将个人数据传输到不被授权接收这些数据的第三方。这种泄露可能会导致个人隐私的侵犯,给个人带来不利的后果。GDPR 强调了数据处理者的责任,要求其采取适当的措施来保护个人数据的安全。
CCPA 规定,个人数据泄露是指未经授权获取计算机化信息,损害了个人信息的安全性、保密性或完整性,但不包括某些善意取得。未经授权的访问、获取、使用、披露、修改或破坏个人信息的行为。与 GDPR 相比,CCPA 的定义更加具体,涵盖了更多的情况。此外,CCPA 还强调了个人数据的可识别性,即使数据经过处理或匿名化,只要能够重新识别个人身份,仍属于个人数据。
GDPR 规定,隐私保护是指个人数据的处理过程不得侵犯自然人的基本权利,包括个人数据的收集、使用、存储、传输、处理等环节。GDPR 强调了数据处理者对个人数据的责任,要求他们采取适当的措施来保护个人数据的安全,包括但不限于加 密、匿名化等。此外,GDPR 还规定了隐私保护的最低标准,包括数据处理者在收集、使用个人数据时必须告知个人数据的处理目的、范围、是否与第三方共享等,并需 要获得个人的授权同意。
CCPA 规定,隐私保护是指个人信息的收集、使用、存储、传输、处理等环节应当符合法律、法规的规定,不得侵犯他人的合法权益。与 GDPR 相比,CCPA 的定义更加具体,涵盖了更多的情况。此外,CCPA 还从实质辨别角度强调了个人信息的可识别性,即使数据经过处理或匿名化,只要能够重新识别个人身份,仍属于应当保护的个人数据。
二、 GDPR 和 CCPA 在隐私保护的对比分析
不难看出,欧美在数据治理问题上存在着本质性不同,其归因于两者数据保护的差异取向。进一步究其原因,根本在于世界数字技术发展的不平衡。以欧盟为代表的国家或地区,为了弥补自身技术产业劣势,通过实施严格的数据法案限制外来互联网企业的侵袭以净化本地的数据竞争环境;而以美国为代表的技术优势地区,通过放宽数据规则,致力于实现数据保护与产业发展的良性互动。也正是价值取向的差异,直接决定了各国对于企业数据处理有着不同的标准及要求。
GDPR 强调数据所有者的主体优先性,通过赋予数据权利以提高个人数据保护力度的同时,又限制了企业的数据使用及处理行为。而 CCPA 在注重个人信息保护的基础上,高度重视产业利益,合理地削弱个人对数据信息的绝对控制权,为数据所有者与控制者留有探索创新性数据交易商业模式的空间。
具体来说,比如两者对于境外管辖权问题便有着不同规定。GDPR 除了常规的属人、属地管辖之外,还纳入了保护性管辖。对于互联网企业而言,这意味着只要企业向欧盟数据主体提供产品或服务、监控其行为或处理其数据,都将受到 GDPR 的管辖。而 CCPA 虽有扩大管辖范围的趋势,但其综合衡量各方要素,通过设置一定门槛对某些营利性企业统一进行保护性管辖,一定程度上限制了管辖权的过度扩张。
对比分析 GDPR 和 CCPA 在隐私保护的差异:
1) 适用范围和定义:GDPR 适用于在欧盟境内设立的主体,以及处理欧盟公民个人数据的非欧盟主体。它定义了个人数据包括任何与已识别或可识别的自然人相关的信息。相比之下,CCPA 主要适用于加州居民,定义的“个人信息”范围较广,包括一些难以识别的信息。但其影响力也不容忽视,因为许多在加州开展业务的公司选择遵守 CCPA。
2) 隐私权利:GDPR 赋予了个人更广泛的隐私权利,包括数据访问权、纠正权、删除权等。而 CCPA 则只赋予了加州居民一些有限的隐私权利,如访问权、改正权和删除权等。 GDPR 赋予了个人更多对其数据的控制权,如数据可携权、被遗忘权等。CCPA 则侧重于限制企业出售用户数据的行为。
3) 数据处理和保护要求:GDPR 要求组织在处理个人数据之前获得明确和肯定的同意。不要求事先获得明确的同意,但允许数据主体选择退出其个人信息的销售。GDPR 要求数据处理者在整个数据处理过程中都要遵守隐私保护原则,包括在数据收集、存储和使用等各个环节。CCPA 则要求在收集、使用和披露个人信息时遵守隐私保护原则。
4) 跨境数据传输:GDPR 对跨境数据传输有严格的规定,要求数据必须在具有适当隐私保护水平的地方处理。CCPA 则没有此类规定,只要求企业制定合理的隐私政策并获得用户的同意。
对于跨境电商企业来说,需要:
1) 了解适用法规:跨境电商企业应该了解自己在处理个人数据时应当遵守的法律规定,特别是对于同时处理欧盟公民和加州居民的个人数据的企业,需要注意这两方面的法律规定。
2) 强化数据处理流程:跨境电商企业需要加强个人数据处理流程的合规性,确保在数据收集、存储和使用等各个环节都遵守法律规定。
3) 重视用户隐私权益:企业应当尊重用户的隐私权益,尤其是对于跨境传输的个人数据,要采取适当的措施保护用户的隐私权,并按照法律规定的要求给予用户相应的隐私权利。
4) 制定合理的隐私政策:企业应当制定合理的隐私政策,并在收集、使用和披露个人信息时遵守隐私保护原则,确保用户能够明确了解自己的个人信息被如何使用和保护。
5) 加强培训和教育:企业应当加强员工对隐私保护法规的培训和教育,增强员工的隐私保护意识和能力。
总之,跨境电商企业需要关注不同国家和地区的隐私保护法律规定,并采取有效的措施确保个人数据的合规性和安全性,以满足企业发展需要,降低企业经营风险。
三、跨境电商隐私合规要点
然而,跨境电商领域的隐私合规和数据安全问题仍然突出存在。正所谓,随心所欲不逾矩。如何在合法合规的前提下开展业务并且释放数据价值,成为一个值得关注的话题。具体来看,跨境电商在数据合规领域面临着如下几个要点。
1. 电商业务场景下的同意管理
基于同意作为数据处理合法性基础的前提下,在收集用户数据前,是否以明示, 清晰的方式获取了用户的同意是最易感知的、易引发用户关注及投诉的个人信息收集问题。
确保获取用户的合法有效授权同意是电商企业应优先考虑的合规问题。通常情况下,以下数据收集情景,电商企业应特别留意:
1) 应设立隐私政策等明确的个人信息收集处理规则;
2) 以醒目、显著、易于察觉的方式呈现隐私政策(例如使用弹窗、明显的选择框等),方便用户查阅或获得他们的清晰同意;
3) 隐私政策内容需要详实,真实明示产品和服务所涉及的收集和处理的数据类型、数据共享和数据跨境的情况。
此外,需要特别关注的是,除了上述提到的途径外,考虑到电商的多样性和便捷性,数据收集也可能隐藏在私域流量运营等典型情境中,例如在即时通讯应用的群组聊天或评论中。除了依赖平台提供的隐私政策外,电商企业应结合平台特点,在实施具体数据收集处理活动之前,通过友好的提示或对用户友好的设计,引导用户仔细阅读个人信息收集处理规则,了解并同意规则内容,以确保数据收集场景的合法性。
在《欧盟 GDPR 和 ePD 法规下用户同意对企业的“五要”》一篇中也明确,GDPR规定了有关个人数据处理活动同意的一般原则,企业采用“用户同意”作为网站或应用程序处理个人数据的法律依据,需要遵守以下有关用户同意的要求。
企业作为网站或应用程序所有者必须获取和存储用户同意,在处理个人数据之前,广告商和出版商必须获得用户明确的同意,而且用户可以随时撤回同意,可参考《安心出海欧洲经济区 三步做到“同意”横幅合规》。
2. 定向营销
在定向营销场景下,隐私合规问题成为极为重要的考虑因素。定向营销依赖于个人数据的收集和分析,以精准地针对特定用户进行广告投放。如何确保决策过程的透明度和结果的公正性,以降低合规风险并保护消费者权益,一直是需要关注的隐私挑战。应满足的合规要求如下:
1) 用户同意和知情权:收集用户数据前,必须以明确、透明的方式告知用户数据将如何使用,并获得他们的明示同意。用户应该清楚了解他们的数据将用于定向广告。
2) 退出和选择权:用户应具备随时退出定向广告或选择不接收个性化广告的权利,并且这些选项应该易于实现。当用户明确表示拒绝接收个性化推荐时,不得再继续向其发送商业性信息。对于采用自动化决策方式进行商业营销的情况,应同时提供不基于个人特征的选项。
3) 数据最小化原则:企业应仅收集为实现定向营销目标所必需的数据,而不是过度收集用户信息。这有助于减少潜在的隐私风险。
4) 个人信息的匿名化和去标识化:在使用个人数据进行定向广告时,最好使用匿名化和去标识化技术,以减少用户被识别的风险。
3. 第三方数据共享
电商企业在使用数据的过程中,会出于各种目的与外部第三方进行数据共享, 可能涉及的第三方包括物流供应商,支付服务提供商,第三方平台供应商和广告和营销服务提供商等。在数据共享的过程中,涉及大量的隐私合规风险,跨境电商企业应采取足够的组织和技术措施进行管控。应重点关注的领域包括:
1) 识别角色并明确义务:识别企业和第三方的数据处理角色,明确双方在数据保护方面的权利和义务。
2) 明确数据使用目的:确保合同中明确定义了共享数据的使用目的,并限制第三方只能按照这些明确的目的使用数据。这有助于避免数据被滥用。
3) 授权和知情权:确保数据主体已明确同意数据共享,并清楚了解他们的数据将与哪些第三方共享。透明地向数据主体提供共享细节是合规的关键。
4) 数据安全保护:确保第三方有足够的安全措施来保护共享的数据,包括数据传输和存储的加密、访问控制、漏洞修复等。
5) 监管和审计:建立监管机制,允许企业对第三方进行定期审计以确保合规性。这包括审查数据的使用情况以及数据安全措施的有效性。
有时在跨境电商的场景下,需要实现与合作伙伴一起利用数据,但需要找到更 好地保护数据方式。当前通用的做法是企业向合作伙伴提供数据副本,并依赖合同 协议防止滥用。但企业更希望尽可能限制数据移动,以保护其数据,防止误用,并避免泄漏风险。
因此,需要找到合适的方式做到数据可用不可见。在业界常见的最 佳实践包括像亚马逊云科技提供的数据共享协作服务,可以让多方更轻松地分析和 协作处理集体数据集,从而获得见解,而不泄露基础数据。在广泛应用于跨境电商、广告等行业中,帮助客户在共享数据集上进行协作,同时仍然保护底层原始数据。
新的隐私保护要求从 2024 年春季开始实施,苹果早就针对有问题的开发者进行邮件通知,相关开发者现在需要进行内部梳理,落实苹果的隐私新规,避免影响产品上架使用。在《做好 SDK 和 APP 合规应对苹果新的隐私要求》一文也已介绍。
4. 数据安全
跨境电商面临着多个环节的数据安全问题:
首先,在跨境电商企业在用户注册、购买和支付等环节积累了大量用户数据。数据安全管理欠佳可能有内部工作人员通过用户数据倒卖牟利的风险,这是信息泄露的一个重要的风险点。因此,企业的数据保护要求至关重要,包括在内部建立信息安全体系。
其次,在跨境电商物流环节,物流系统漏洞和物流单据的交易也带来了数据安 全问题。物流代理点的松散管理可能导致风险。同时,由于跨境电商市场竞争激烈, 物流企业在构建交易系统时可能会忽视数据保护技术和人力投入,容易产生系统安 全漏洞,导致商家和用户数据的泄露。
最后,在跨境电商用户环节,常见的数据安全问题包括钓鱼攻击、账号被盗和木马病毒。钓鱼攻击是一种欺诈行为,攻击者通常伪装成合法的实体,欺骗用户提供个人敏感信息,如密码和信用卡信息。
账号被盗是另一个问题,攻击者可能通过密码猜测、社会工程学手段或已泄露的账号信息入侵用户的电商账户,可能导致财务损失和信任问题。此外,木马病毒常伪装成合法应用程序,一旦用户安装,会执行恶意操作,如窃取信息或监控用户活动。这些威胁可能导致用户的个人和金融信息泄露。
因此,跨境电商必须全面关注并解决这些不同环节的数据安全问题,采取合适的措施以保护用户和企业的数据安全。
在跨境电商领域,企业将面临许多隐私合规和数据安全问题。重视并解决这些数据和隐私风险对于企业的顺利出海至关重要。然而,商业竞争日益激烈,这也使得企业在发展过程中不可避免地会面临业务发展和监管要求之间的矛盾。如何取得平衡,找到合理的解决机制,是电商企业必须认真思考的问题。
本文摘编自敦煌网集团、中央财经大学中国互联网经济研究院、亚马逊云科技、Kaamel 公司共同发布的《跨境电商隐私合规白皮书(2024)》。
在此声明以上观点和内容,仅代表原作者和出处,与数治网DTZed 无关,如有出错或侵害到相关合法权益,请通过电邮与我们联系:cs@dtzed.com。
在文末扫码关注官方微信公众号“idtzed”,发送“入”直通相关数治x行业共建群、AIGC+X 成长营,@老邪 每周免费领取法规、标准、图谱等工具包。
欢迎先注册,登录后即可下载检索数据合规等相关标准、白皮书及报告。更多高质量纯净资料下载,在文末扫码关注官方微信公众号“idtzed”,进入公众号菜单“治库”。