PhotonPay：數(shù)字經(jīng)濟時代，跨境賣家如何規(guī)避數(shù)據(jù)違規(guī)風(fēng)險？

近幾年，隨著云計算、人工智能等新興技術(shù)發(fā)展，加速了數(shù)據(jù)價值的發(fā)現(xiàn)和流通，同時也使得數(shù)據(jù)安全問題不斷凸顯。在大環(huán)境方面，世界主要經(jīng)濟體都在完善個人信息保護方面的立法，加強相關(guān)法規(guī)的執(zhí)法力度。

其中，被稱為“史上最嚴(yán)數(shù)據(jù)保護條例”的歐盟一般數(shù)據(jù)保護條例（General Data Protection Regulation，GDPR）于2018年正式實施。目的是保護歐盟消費者以及企業(yè)的數(shù)據(jù)安全，包括名稱、住址、郵箱和電腦IP地址等信息。

根據(jù)條款，違反GDPR的行為，輕者可被罰一千萬歐元或前一年全球營業(yè)收入的2%，重者可被罰兩千萬歐元或前一年全球營業(yè)收入的4%，罰款額在兩值中取大者。自GDPR 頒布以來，谷歌，F(xiàn)acebook等巨頭相繼被罰，美國超過千家網(wǎng)站被封。

GDPR與跨境電商賣家有何關(guān)系？

越來越多的中國企業(yè)正在開展涉歐業(yè)務(wù)，其中包括不少制造企業(yè)。

對跨境電商行業(yè)來說，個人信息的收集和利用更是每天都在發(fā)生的高頻動作。電商賣家需要根據(jù)買家的手機號、郵箱和地址安排發(fā)貨，也會結(jié)合用戶的消費記錄進行數(shù)據(jù)挖掘，洞察消費行為，從而更好的進行選品或者備貨。

由此可見，了解歐盟相關(guān)法律法規(guī)，對于跨境賣家來說顯得尤為重要。

今天光子易就以歐盟《通用數(shù)據(jù)保護條例》（GDPR）為例，聊聊跨境電商該如何面對行業(yè)中的數(shù)據(jù)安全，做好個人信息保護方面的合規(guī)工作。

01、受GDPR約束的機構(gòu)有哪些？

一是成立地在歐盟的機構(gòu)；

二是成立地在歐盟以外的機構(gòu)，只要其在提供產(chǎn)品或者服務(wù)的過程中（不論是否收費）處理了歐盟境內(nèi)個體的個人數(shù)據(jù)，將同樣適用于GDPR；

三是服務(wù)對象為歐盟境內(nèi)的用戶。任何網(wǎng)站甚至手機軟件（APP）只要能夠被歐盟境內(nèi)的個人所訪問和使用，產(chǎn)品或服務(wù)使用的語言是英語或者特定的歐盟成員國語言、產(chǎn)品標(biāo)識的價格為歐元，都可以被理解為該產(chǎn)品、服務(wù)的目標(biāo)用戶包括歐盟境內(nèi)用戶，從而需要適用GDPR。

02、歐盟頒布GDPR的核心思想是？

小易認(rèn)為，GDPR的核心思想有以下四條：

第一，GDPR的通過意味著歐盟對個人信息保護及其監(jiān)管達到了前所未有的高度，堪稱史上最嚴(yán)格的數(shù)據(jù)保護法案。

第二，GDPR對如何收集、使用和存儲消費者數(shù)據(jù)，包括在歐盟境內(nèi)開展業(yè)務(wù)的外國公司，都提出了嚴(yán)格的要求。

第三，發(fā)生數(shù)據(jù)外泄和數(shù)據(jù)丟失的非合規(guī)問題時，將會被嚴(yán)厲處罰。

第四， 安全的網(wǎng)絡(luò)是對數(shù)據(jù)保護的基本技術(shù)基礎(chǔ)。

03、中國企業(yè)在什么情況下需要遵循GDPR？

那現(xiàn)在我們假設(shè)一下具體場景，來一波Q&A問答，看看需不需要遵循GDPR。

Q&A問答

Q： 在歐盟設(shè)有分支機構(gòu)，但個人處理系統(tǒng)部署在中國，或只處理中國客戶的個人信息，是否收到GDPR約束呢？

A：受約束。不論個人信息是否屬于歐盟公民，或個人數(shù)據(jù)的處理是否發(fā)生在歐盟境內(nèi)，只要在歐盟境內(nèi)注冊實體，就會受到GDPR的約束。

Q： 分支機構(gòu)在國內(nèi)，為包括歐盟公民在海外市場提供產(chǎn)品和服務(wù)，是否受到GDPR約束？

A： 受約束。雖然機構(gòu)實體設(shè)立在歐盟境內(nèi)，但其業(yè)務(wù)運營目標(biāo)涉及到處理歐盟公民個人信息，都受到GDPR的約束，無論產(chǎn)品或服務(wù)是否免費。

Q： 分支機構(gòu)在國內(nèi)，其業(yè)務(wù)運營包括歐盟市場，但并不直接對歐盟境內(nèi)自然人提供服務(wù)，而是幫助歐盟合作伙伴提供大數(shù)據(jù)分析，或者網(wǎng)站會記錄用戶的cookies，是否受到GDPR約束？

A： 受約束。服務(wù)涉及對歐盟境內(nèi)自然人的追蹤和分析，即受到GDPR的約束。如果大數(shù)據(jù)平臺使用了第三方云服務(wù)提供商，云服務(wù)提供商作為數(shù)據(jù)處理者也受到GDPR的約束。

Q： 分支機構(gòu)在國內(nèi)，其產(chǎn)品和服務(wù)也只面向國內(nèi)市場，但不排除有歐盟公民在國內(nèi)使用服務(wù)期間可能涉及歐盟公民的個人信息處理，是否受到GDPR的約束？

A： 不受約束。處理歐盟公民的個人信息屬于非主觀意愿。

04、企業(yè)和機構(gòu)應(yīng)如何應(yīng)對GDPR？

一、 長效機制，時刻準(zhǔn)備

歐盟和全球各國（地區(qū)）的個人信息保護的監(jiān)管形式是動態(tài)變化的，面對多變的環(huán)境，跨境電商賣家應(yīng)當(dāng)未雨綢繆，持續(xù)重視數(shù)據(jù)安全工作：

SUMMARY

·采用安全技術(shù)手段來落實個人信息保護工作，包括但不限于對涉及個人信息的系統(tǒng)做好訪問權(quán)限的控制；

·對個人信息數(shù)據(jù)進行加密傳輸、加密存儲；設(shè)置個人信息數(shù)據(jù)操作的日志記錄等。

·定期對公司全員進行個人數(shù)據(jù)保護意識培訓(xùn)；

·持續(xù)關(guān)注隱私相關(guān)的法律法律和行業(yè)規(guī)定，制定公司內(nèi)部的隱私規(guī)范和流程；

·持續(xù)開展風(fēng)險審計，識別風(fēng)險，提升安全水位，防止黑客入侵導(dǎo)致數(shù)據(jù)泄露。

二、選擇光子易，選擇合規(guī)先行

合規(guī)和隱私保護，向來都是支付服務(wù)的基礎(chǔ)保障。光子易擁有國際領(lǐng)先的安全認(rèn)證，同時建立了完善的安全管理體系及報警機制，以保證安全妥善地管理好您的數(shù)據(jù)及資金。

此外，PhotonPay從組織、流程、技術(shù)等多個方面有效落實安全策略及風(fēng)險管控措施，持續(xù)做好客戶隱私保護和支付業(yè)務(wù)的安全保障。

· 全球金融業(yè)最高級別安全認(rèn)證——PCI-DSS LEVEL 1

PhotonPay擁有全球金融業(yè)最高級別安全認(rèn)證PCI DSS LEVEL 1，在處理付款和存儲數(shù)據(jù)兩方面均嚴(yán)格遵守最嚴(yán)苛的數(shù)據(jù)保護PCI合規(guī)要求。

·復(fù)雜的數(shù)據(jù)加密系統(tǒng)——光子易自研隱私保護機制

光子易始終堅守“客戶第一”的價值觀，以強大的加密措施保護客戶信息，同時以嚴(yán)格的制度、流程管控信息流轉(zhuǎn)，采用復(fù)雜的數(shù)據(jù)加密系統(tǒng)以確保用戶隱私和數(shù)據(jù)安全。

綜上所述，跨境電商的健康高效發(fā)展，需要不斷加強合規(guī)與安全機制的建設(shè)，需要有更多數(shù)字經(jīng)濟企業(yè)提供技術(shù)和標(biāo)準(zhǔn)方面的支持?？缇畴娚毯蛿?shù)據(jù)安全的融合發(fā)展，將會成為未來的主旋律。新的機遇必然伴隨著新的挑戰(zhàn)，光子易將持續(xù)為跨境企業(yè)提供 安全、合規(guī)、穩(wěn)定、高效的一站式跨境支付解決方案 ，以金融科技賦能跨境企業(yè)全球業(yè)務(wù)拓展。