iPayLinks觀察｜數(shù)據(jù)合規(guī)預(yù)警，跨境賣家該如何應(yīng)對(duì)？

第四期

我們聊聊跨境電商行業(yè)中的數(shù)據(jù)安全

隨著互聯(lián)網(wǎng)信息服務(wù)得到廣泛應(yīng)用，強(qiáng)制授權(quán)、過(guò)度索權(quán)、超范圍收集個(gè)人信息等現(xiàn)象大量存在，引起了社會(huì)的高度關(guān)注。由于個(gè)人信息泄露導(dǎo)致的身份盜用、信用卡盜刷和電信詐騙的事件也頻繁發(fā)生，甚至不乏一些國(guó)家安全事件。而對(duì)于跨境電商行業(yè)來(lái)說(shuō)，個(gè)人信息的收集和利用更是每天都在發(fā)生的高頻動(dòng)作。

在大環(huán)境方面，世界主要經(jīng)濟(jì)體都在完善個(gè)人信息保護(hù)方面的立法，加強(qiáng)相關(guān)法規(guī)的執(zhí)法力度。如果賣家對(duì)其在經(jīng)營(yíng)過(guò)程中收集的大量用戶信息沒(méi)有做好足夠的保護(hù)，導(dǎo)致個(gè)人信息泄露或者被不正當(dāng)利用，則可能會(huì)遭受用戶的投訴和起訴，也會(huì)引來(lái)政府主管部門的調(diào)查和處罰，最終可能需承擔(dān)巨大的賠償責(zé)任和損失。

做好個(gè)人信息保護(hù)方面的合規(guī)工作，對(duì)跨境電商賣家而言至關(guān)重要。今天我們就以歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）為例，聊聊跨境電商該如何面對(duì)行業(yè)中的數(shù)據(jù)安全？

2018年5月，歐盟正式實(shí)施《通用數(shù)據(jù)保護(hù)條例》（GDPR），這是歐盟對(duì)個(gè)人數(shù)據(jù)和隱私保護(hù)改革的一項(xiàng)重要舉措，也對(duì)全球互聯(lián)網(wǎng)產(chǎn)業(yè)提出了前所未有的挑戰(zhàn)。

歐盟GDPR對(duì)跨境電商賣家有什么影響？

歐盟市場(chǎng)一定是大部分跨境電商賣家的重要戰(zhàn)場(chǎng)，作為跨境電商賣家，是否需要遵守GDPR？答案是肯定的。GDPR適用性的基本原則是只要采集和處理歐盟成員國(guó)的個(gè)人信息，就需要遵守歐盟GDPR。如果違反歐盟GDPR，將面臨巨額罰款。

圖為個(gè)人信息分類表

跨境電商賣家該如何有效應(yīng)對(duì)歐盟GDPR？

查看歐盟GDPR的幾項(xiàng)核心要點(diǎn)：

·告知同意，收集和處理用戶的個(gè)人信息必須告知及獲取同意。

·可移除權(quán)利，用戶具備將其個(gè)人信息刪除的權(quán)利。

·數(shù)據(jù)安全，數(shù)據(jù)控制者需要考慮采取安全措施以保證個(gè)人數(shù)據(jù)的安全水平，保留數(shù)據(jù)處理記錄。

·第三方管理，第三方的數(shù)據(jù)處理者和其他組織必須采取適當(dāng)?shù)募夹g(shù)措施達(dá)到GDPR要求。

·隱私保護(hù)設(shè)計(jì)，產(chǎn)品系統(tǒng)和服務(wù)設(shè)計(jì)之初就應(yīng)包括隱私保護(hù)設(shè)計(jì)的考慮。

·信息泄露通知，數(shù)據(jù)泄露時(shí)需要在不遲于72小時(shí)內(nèi)通知監(jiān)管機(jī)構(gòu)，必要情況下也需要通知用戶。

·DPIA，當(dāng)新系統(tǒng)或新業(yè)務(wù)功能上線時(shí)，需要執(zhí)行隱私數(shù)據(jù)影響評(píng)估，以便發(fā)現(xiàn)風(fēng)險(xiǎn)。

·DPO，組織需要至少指派一個(gè)具備隱私保護(hù)專業(yè)知識(shí)的數(shù)據(jù)保護(hù)官，以便參與和解決個(gè)人數(shù)據(jù)保護(hù)的問(wèn)題。

·跨境數(shù)據(jù)傳輸，采用BCRs（Binding Corporate Rules）或SCC（Stardard Contractual Clauses）方式來(lái)保證數(shù)據(jù)跨境合規(guī)。

從以上核心要點(diǎn)出發(fā)，制定相應(yīng)的計(jì)劃將幫助跨境電商賣家更好地?cái)U(kuò)展歐盟市場(chǎng)。跨境電商賣家具體該怎么做呢？iPayLinks資深安全架構(gòu)師從“產(chǎn)品個(gè)人信息工程化視角”和“組織系統(tǒng)視角”給出了他的建議：

產(chǎn)品個(gè)人信息工程化視角——

組織協(xié)同視角——

從以上隱私保護(hù)視角可以看出，用戶隱私保護(hù)不是單點(diǎn)建設(shè)，而是全面覆蓋的長(zhǎng)期建設(shè)，隱私保護(hù)和數(shù)據(jù)合規(guī)并非一蹴而就，需要保持對(duì)用戶個(gè)人信息的敬畏之心，持續(xù)完善產(chǎn)品設(shè)計(jì)。

全球范圍內(nèi)的隱私和數(shù)據(jù)保護(hù)法

上圖為全球部分地區(qū)數(shù)據(jù)立法&執(zhí)法熱量圖，向下滑動(dòng)查看更多制定了相關(guān)法律的國(guó)家和地區(qū)。

日本：個(gè)人數(shù)據(jù)保護(hù)法

韓國(guó)：個(gè)人數(shù)據(jù)保護(hù)法；改進(jìn)信息和通信相關(guān)法案和數(shù)據(jù)保護(hù)法

新加坡：個(gè)人數(shù)據(jù)保護(hù)法（PDPA）

馬來(lái)西亞：個(gè)人數(shù)據(jù)保護(hù)法

菲律賓：數(shù)據(jù)隱私法

印度尼西亞：數(shù)據(jù)信息與交易法

澳大利亞：隱私修正案隱私法

新西蘭：隱私法案

南非：個(gè)人數(shù)據(jù)保護(hù)法

阿根廷：個(gè)人數(shù)據(jù)法

巴西：通用數(shù)據(jù)保護(hù)法

印度：信息技術(shù)法；個(gè)人數(shù)據(jù)保護(hù)法案

歐盟：通用數(shù)據(jù)保護(hù)條例（GDPR）

英國(guó)：U.K.通用數(shù)據(jù)保護(hù)條例（英國(guó)GDPR）

美國(guó)：加州消費(fèi)者隱私法案（CCPA）；兒童在線隱私保護(hù)法（COPPA）；健康保險(xiǎn)流通與責(zé)任法案（HIPPA）

墨西哥：聯(lián)邦個(gè)人數(shù)據(jù)保護(hù)法

加拿大：個(gè)人信息保護(hù)和電子文件法（PIPEDA）；隱私法

俄羅斯：數(shù)據(jù)保護(hù)法

阿拉伯聯(lián)合酋長(zhǎng)國(guó)：數(shù)據(jù)保護(hù)法

摩洛哥：個(gè)人信息法

巴西：通用數(shù)據(jù)保護(hù)法

中國(guó)：網(wǎng)絡(luò)安全法；電子商務(wù)法；數(shù)據(jù)安全法；個(gè)人信息安全規(guī)范

臺(tái)灣：計(jì)算機(jī)處理個(gè)人信息數(shù)據(jù)保護(hù)法；個(gè)人信息保護(hù)法

香港：個(gè)人資料（隱私）條例

澳門：個(gè)人數(shù)據(jù)保護(hù)法

值得一提的是，中國(guó)的《數(shù)據(jù)安全法》即將在9月1日正式實(shí)施，對(duì)數(shù)據(jù)跨境也有較為明確的要求：36條規(guī)定，非經(jīng)中華人民共和國(guó)主管機(jī)關(guān)批準(zhǔn)，境內(nèi)的組織、個(gè)人不得向外國(guó)司法或者執(zhí)法機(jī)構(gòu)提供存儲(chǔ)于中華人民共和國(guó)境內(nèi)的數(shù)據(jù)。

跨境電商賣家如何規(guī)避數(shù)據(jù)違規(guī)風(fēng)險(xiǎn)

01 長(zhǎng)效機(jī)制，時(shí)刻準(zhǔn)備

歐盟和全球各國(guó)（地區(qū)）的個(gè)人信息保護(hù)的監(jiān)管形式是動(dòng)態(tài)變化的，面對(duì)多變的環(huán)境，跨境電商賣家應(yīng)當(dāng)未雨綢繆，持續(xù)重視數(shù)據(jù)安全工作：

·采用安全技術(shù)手段來(lái)落實(shí)個(gè)人信息保護(hù)工作，包括但不限于對(duì)涉及個(gè)人信息的系統(tǒng)做好訪問(wèn)權(quán)限的控制；對(duì)個(gè)人信息數(shù)據(jù)進(jìn)行加密傳輸、加密存儲(chǔ)；設(shè)置個(gè)人信息數(shù)據(jù)操作的日志記錄等。

·定期對(duì)公司全員進(jìn)行個(gè)人數(shù)據(jù)保護(hù)意識(shí)培訓(xùn)。

·持續(xù)關(guān)注隱私相關(guān)的法律法律和行業(yè)規(guī)定，制定公司內(nèi)部的隱私規(guī)范和流程。

·持續(xù)開(kāi)展風(fēng)險(xiǎn)審計(jì)，識(shí)別風(fēng)險(xiǎn)，提升安全水位，防止黑客入侵導(dǎo)致數(shù)據(jù)泄露。

02 選擇iPayLinks，選擇合規(guī)先行

合規(guī)和隱私保護(hù)，向來(lái)都是支付服務(wù)的基礎(chǔ)保障。iPayLinks通過(guò)安全認(rèn)證機(jī)構(gòu)的審核以及業(yè)界權(quán)威組織和行業(yè)監(jiān)管的測(cè)評(píng)，確保所提供的支付服務(wù)安全、可靠。此外，iPayLinks從組織、流程、技術(shù)等多個(gè)方面有效落實(shí)安全策略及風(fēng)險(xiǎn)管控措施，持續(xù)做好客戶隱私保護(hù)和支付業(yè)務(wù)的安全保障。

近年來(lái)，iPayLinks在安全合規(guī)上成果突出。連續(xù)6年獲得PCI-DSS LEVEL1國(guó)際卡支付行業(yè)最高安全認(rèn)證，通過(guò)ISO/IEC27001信息安全管理體系認(rèn)證與PWC合規(guī)體系認(rèn)證等。未來(lái)，iPayLinks將持續(xù)為跨境企業(yè)提供安全、合規(guī)、穩(wěn)定、高效的一站式支付系統(tǒng)和服務(wù)方案，以金融科技賦能跨境企業(yè)全球業(yè)務(wù)拓展。