iPayLinks觀察｜數(shù)據(jù)合規(guī)預(yù)警，跨境賣家該如何應(yīng)對？

第四期

我們聊聊跨境電商行業(yè)中的數(shù)據(jù)安全

隨著互聯(lián)網(wǎng)信息服務(wù)得到廣泛應(yīng)用，強(qiáng)制授權(quán)、過度索權(quán)、超范圍收集個人信息等現(xiàn)象大量存在，引起了社會的高度關(guān)注。由于個人信息泄露導(dǎo)致的身份盜用、信用卡盜刷和電信詐騙的事件也頻繁發(fā)生，甚至不乏一些國家安全事件。而對于跨境電商行業(yè)來說，個人信息的收集和利用更是每天都在發(fā)生的高頻動作。

在大環(huán)境方面，世界主要經(jīng)濟(jì)體都在完善個人信息保護(hù)方面的立法，加強(qiáng)相關(guān)法規(guī)的執(zhí)法力度。如果賣家對其在經(jīng)營過程中收集的大量用戶信息沒有做好足夠的保護(hù)，導(dǎo)致個人信息泄露或者被不正當(dāng)利用，則可能會遭受用戶的投訴和起訴，也會引來政府主管部門的調(diào)查和處罰，最終可能需承擔(dān)巨大的賠償責(zé)任和損失。

做好個人信息保護(hù)方面的合規(guī)工作，對跨境電商賣家而言至關(guān)重要。今天我們就以歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）為例，聊聊跨境電商該如何面對行業(yè)中的數(shù)據(jù)安全？

2018年5月，歐盟正式實(shí)施《通用數(shù)據(jù)保護(hù)條例》（GDPR），這是歐盟對個人數(shù)據(jù)和隱私保護(hù)改革的一項重要舉措，也對全球互聯(lián)網(wǎng)產(chǎn)業(yè)提出了前所未有的挑戰(zhàn)。

歐盟GDPR對跨境電商賣家有什么影響？

歐盟市場一定是大部分跨境電商賣家的重要戰(zhàn)場，作為跨境電商賣家，是否需要遵守GDPR？答案是肯定的。GDPR適用性的基本原則是只要采集和處理歐盟成員國的個人信息，就需要遵守歐盟GDPR。如果違反歐盟GDPR，將面臨巨額罰款。

圖為個人信息分類表

跨境電商賣家該如何有效應(yīng)對歐盟GDPR？

查看歐盟GDPR的幾項核心要點(diǎn)：

·告知同意，收集和處理用戶的個人信息必須告知及獲取同意。

·可移除權(quán)利，用戶具備將其個人信息刪除的權(quán)利。

·數(shù)據(jù)安全，數(shù)據(jù)控制者需要考慮采取安全措施以保證個人數(shù)據(jù)的安全水平，保留數(shù)據(jù)處理記錄。

·第三方管理，第三方的數(shù)據(jù)處理者和其他組織必須采取適當(dāng)?shù)募夹g(shù)措施達(dá)到GDPR要求。

·隱私保護(hù)設(shè)計，產(chǎn)品系統(tǒng)和服務(wù)設(shè)計之初就應(yīng)包括隱私保護(hù)設(shè)計的考慮。

·信息泄露通知，數(shù)據(jù)泄露時需要在不遲于72小時內(nèi)通知監(jiān)管機(jī)構(gòu)，必要情況下也需要通知用戶。

·DPIA，當(dāng)新系統(tǒng)或新業(yè)務(wù)功能上線時，需要執(zhí)行隱私數(shù)據(jù)影響評估，以便發(fā)現(xiàn)風(fēng)險。

·DPO，組織需要至少指派一個具備隱私保護(hù)專業(yè)知識的數(shù)據(jù)保護(hù)官，以便參與和解決個人數(shù)據(jù)保護(hù)的問題。

·跨境數(shù)據(jù)傳輸，采用BCRs（Binding Corporate Rules）或SCC（Stardard Contractual Clauses）方式來保證數(shù)據(jù)跨境合規(guī)。

從以上核心要點(diǎn)出發(fā)，制定相應(yīng)的計劃將幫助跨境電商賣家更好地擴(kuò)展歐盟市場。跨境電商賣家具體該怎么做呢？iPayLinks資深安全架構(gòu)師從“產(chǎn)品個人信息工程化視角”和“組織系統(tǒng)視角”給出了他的建議：

產(chǎn)品個人信息工程化視角——

組織協(xié)同視角——

從以上隱私保護(hù)視角可以看出，用戶隱私保護(hù)不是單點(diǎn)建設(shè)，而是全面覆蓋的長期建設(shè)，隱私保護(hù)和數(shù)據(jù)合規(guī)并非一蹴而就，需要保持對用戶個人信息的敬畏之心，持續(xù)完善產(chǎn)品設(shè)計。

全球范圍內(nèi)的隱私和數(shù)據(jù)保護(hù)法

上圖為全球部分地區(qū)數(shù)據(jù)立法&執(zhí)法熱量圖，向下滑動查看更多制定了相關(guān)法律的國家和地區(qū)。

日本：個人數(shù)據(jù)保護(hù)法

韓國：個人數(shù)據(jù)保護(hù)法；改進(jìn)信息和通信相關(guān)法案和數(shù)據(jù)保護(hù)法

新加坡：個人數(shù)據(jù)保護(hù)法（PDPA）

馬來西亞：個人數(shù)據(jù)保護(hù)法

菲律賓：數(shù)據(jù)隱私法

印度尼西亞：數(shù)據(jù)信息與交易法

澳大利亞：隱私修正案隱私法

新西蘭：隱私法案

南非：個人數(shù)據(jù)保護(hù)法

阿根廷：個人數(shù)據(jù)法

巴西：通用數(shù)據(jù)保護(hù)法

印度：信息技術(shù)法；個人數(shù)據(jù)保護(hù)法案

歐盟：通用數(shù)據(jù)保護(hù)條例（GDPR）

英國：U.K.通用數(shù)據(jù)保護(hù)條例（英國GDPR）

美國：加州消費(fèi)者隱私法案（CCPA）；兒童在線隱私保護(hù)法（COPPA）；健康保險流通與責(zé)任法案（HIPPA）

墨西哥：聯(lián)邦個人數(shù)據(jù)保護(hù)法

加拿大：個人信息保護(hù)和電子文件法（PIPEDA）；隱私法

俄羅斯：數(shù)據(jù)保護(hù)法

阿拉伯聯(lián)合酋長國：數(shù)據(jù)保護(hù)法

摩洛哥：個人信息法

巴西：通用數(shù)據(jù)保護(hù)法

中國：網(wǎng)絡(luò)安全法；電子商務(wù)法；數(shù)據(jù)安全法；個人信息安全規(guī)范

臺灣：計算機(jī)處理個人信息數(shù)據(jù)保護(hù)法；個人信息保護(hù)法

香港：個人資料（隱私）條例

澳門：個人數(shù)據(jù)保護(hù)法

值得一提的是，中國的《數(shù)據(jù)安全法》即將在9月1日正式實(shí)施，對數(shù)據(jù)跨境也有較為明確的要求：36條規(guī)定，非經(jīng)中華人民共和國主管機(jī)關(guān)批準(zhǔn)，境內(nèi)的組織、個人不得向外國司法或者執(zhí)法機(jī)構(gòu)提供存儲于中華人民共和國境內(nèi)的數(shù)據(jù)。

跨境電商賣家如何規(guī)避數(shù)據(jù)違規(guī)風(fēng)險

01 長效機(jī)制，時刻準(zhǔn)備

歐盟和全球各國（地區(qū)）的個人信息保護(hù)的監(jiān)管形式是動態(tài)變化的，面對多變的環(huán)境，跨境電商賣家應(yīng)當(dāng)未雨綢繆，持續(xù)重視數(shù)據(jù)安全工作：

·采用安全技術(shù)手段來落實(shí)個人信息保護(hù)工作，包括但不限于對涉及個人信息的系統(tǒng)做好訪問權(quán)限的控制；對個人信息數(shù)據(jù)進(jìn)行加密傳輸、加密存儲；設(shè)置個人信息數(shù)據(jù)操作的日志記錄等。

·定期對公司全員進(jìn)行個人數(shù)據(jù)保護(hù)意識培訓(xùn)。

·持續(xù)關(guān)注隱私相關(guān)的法律法律和行業(yè)規(guī)定，制定公司內(nèi)部的隱私規(guī)范和流程。

·持續(xù)開展風(fēng)險審計，識別風(fēng)險，提升安全水位，防止黑客入侵導(dǎo)致數(shù)據(jù)泄露。

02 選擇iPayLinks，選擇合規(guī)先行

合規(guī)和隱私保護(hù)，向來都是支付服務(wù)的基礎(chǔ)保障。iPayLinks通過安全認(rèn)證機(jī)構(gòu)的審核以及業(yè)界權(quán)威組織和行業(yè)監(jiān)管的測評，確保所提供的支付服務(wù)安全、可靠。此外，iPayLinks從組織、流程、技術(shù)等多個方面有效落實(shí)安全策略及風(fēng)險管控措施，持續(xù)做好客戶隱私保護(hù)和支付業(yè)務(wù)的安全保障。

近年來，iPayLinks在安全合規(guī)上成果突出。連續(xù)6年獲得PCI-DSS LEVEL1國際卡支付行業(yè)最高安全認(rèn)證，通過ISO/IEC27001信息安全管理體系認(rèn)證與PWC合規(guī)體系認(rèn)證等。未來，iPayLinks將持續(xù)為跨境企業(yè)提供安全、合規(guī)、穩(wěn)定、高效的一站式支付系統(tǒng)和服務(wù)方案，以金融科技賦能跨境企業(yè)全球業(yè)務(wù)拓展。