当前位置:100EC>出口电商>【法律研究】移动互联网产品出海数据合规风险与对策

全国疫情数据

{{dataList.mtime}}
  • 确诊

    {{dataList.gntotal}}

  • 疑似

    {{dataList.sustotal}}

  • 死亡

    {{dataList.deathtotal}}

  • 治愈

    {{dataList.curetotal}}

【法律研究】移动互联网产品出海数据合规风险与对策
王捷微信公众号“出海互联网法律观察”发布时间:2020年07月15日 11:15:00

(网经社讯)一 报告概览

随着中国出海企业已经从野蛮生长过渡到有序增长的阶段,数据合规问题显得越来越重要。首先我们先结合《2020全球数据合规法律观察报告1.0版本》来看一下全球数据保护的立法的一个整体的概况。

全球立法、执法概况

86QH)74TBZ]A(}O}4O5}]MN.png

(资料来源:《2020全球数据合规法律观察报告1.0版本》,版权归原作者所有)

如图1,据统计,全球194个国家里面,已经有132个国家对数据和隐私保护完成了立法,还有部分的国家正在立法中。这些已经有立法以及正在立法的国家,在总量占比上已经超过了75%了,可见,数据和隐私保护立法正式全球范围内的主流趋势。

接下来我们来看一下全球数据保护执法动态。

~85UT9CN@X@8@]UCVY1KM~9.png

(资料来源:《2020全球数据合规法律观察报告1.0版本》,版权归原作者所有)

从图2可以看到深红色的加拿大、美国、欧盟、南亚和新西兰等国家和区域都是执法活动最为活跃的地区,其次也是可以看到橙色的欧洲部分国家如英国、法国、意大利,东南亚地区和澳大利亚也是执法比较积极的一些地区。所以如果互联网企业出海的目的地是以上国家,就要对合规问题尤为重视。

各地区立法、执法概况

01

美洲、欧洲立法及执法概况

我们先看美洲,美洲主要是由美国和拉美地区组成,其主要特点就是内部经济发展水平差异较大,导致其内部数据保护合规发展的程度也不一样。

C_Q3V(UFN1`M%PW]U%[XJ)I.png

(资料来源:《2020全球数据合规法律观察报告1.0版本》,版权归原作者所有)

先以美国为例, 美国的互联网经济极度发达,且其数据保护的思路就是从产业利益出发,鼓励数据自由流动。就立法而言,在联邦制政体下,美国各州立法思路差异大,且目前联邦 层面的数据立法尚未完备,较为零散(见下表1)。就执法而言,美国执法主要由联邦贸易委员会(FTC)以及联邦通信委员会(FCC)负责。

E@]P2UWAGF}_DX[X}[$C2]U.png

表 1 美国联邦数据保护立法

接下来我们来看拉美地区,拉美国家众多,各国对数据隐私保护的重视程度不一。

LKGH@83NC1L@2B8L]{[HUFR.png

(资料来源:《2020全球数据合规法律观察报告1.0版本》,版权归原作者所有)

图4是对整个南美洲数据立法概况的整理,据图所示,有70%的国家都是有数据保护的规定,接下来我们重点介绍一些特色较为明显的地区。
哥伦比亚: 2012年已出台数据保护相关法律并获得欧盟认可,被列入数据传输白名单。

巴西: 数据保护法LGPD将于2020年8月生效,其立法逻辑和原则与GDPR相仿
墨西哥:数据隐私法规早早通过但一直未得到落地实施。
至于其他地区,阿根廷的个人数据保护法(PDPA)也正在推进。

欧洲对数据保护法治领域的重视程度远超其他各洲,GDPR的订立则是为欧洲的数据保护中心地位打下重要基石。

9GZU6B29F[SQH)_5$1XC17H.png

(资料来源:《2020全球数据合规法律观察报告1.0版本》,版权归原作者所有)

接下来我们对于欧洲境内三个执法活动较为活跃的地区进行介绍。
法国:CNIL执法持续活跃,调查案件每年超过三位数。

英国:ICO处罚金额不断刷新最高值,脱欧过渡期继续适用,脱欧结束后将使GDPR适用情况发生变化。

意大利:执法上极其活跃。

TER5%G(T~WBYETCX)O2A{ZU.png

(资料来源:《2020全球数据合规法律观察报告1.0版本》,版权归原作者所有)

02

其他地区立法及执法概况

亚洲太平洋地区

亚洲太平洋地区地域面积很广,经济发展水平差异大,导致它对隐私保护的立法差异也是很巨大的。比方说南半球的澳洲跟新西兰已经有了完备的数据保护立法,印度也已经通过了数据保护法案,但相比之下,东南亚地区的柬埔寨就还没有数据保护立法。

就执法而言,亚太地区出现多个积极执法国家和地区,案件数据和调查件数都超过全球范围内大部分国家,特别是新西兰和东南亚地区执法活动非常活跃,相较而言,日本的执法手段则较为温和。

非洲

相对于其他大洲而言,非洲数据保护立法比例稍微会低一些,半数以上国家尚处于“走在正确方向上但仍需实质性的评议”阶段。这里比较突出的历经七年终于生效的南非《个人信息保护法》(POPIA),该法早在2003年就开始起草,主要基于欧盟数据保护指令95/46/EC,但也加入了一些更为严格的规定,相较于GDPR,POPIA的规定要更为详细。

(注:因本文的撰写与编辑时间不一致,POPIA的实质性规定已于2020年7月1日生效,有关监督信息获取的某些规定将于2021年6月30日生效。该法案允许12个月的宽限期,以便各组织得以合规,因此其执法将于2021年7月1日生效。)

非洲还有一个特点,它的立法不仅停留在国家层面,在州层面,它也是不断地去积极推动数据保护法律的颁布,如2014年,非洲联盟通过了《网络安全和个人数据保护公约》,该文件全面涵盖了电子事务处理、隐私以及网络安全等内容。

中东

最后一个就是中东,中东也是新最近非常热的一个出海的地区,它的特点就更明显了。中东政治情况复杂,经济差距巨大,各国对个人信息保护的重视度各不相同;仅在阿联酋内部就有阿联酋联邦、经济中心和迪拜国际层面的三个不同的立法角度。

在立法情况上,除了经济较为发达的国家有自己的数据保护法之外,其实剩下的半数国家都尚未设立专门的数据隐私法律,且具体行业规范和宗教法在数据保护法律体系中占据重要地位,如沙特阿拉伯。

移动互联网产品出海数据合规

风险与对策

接下来我将基于调研报告中各主要数据保护立法地区的执法重点,并结合实务经验,提示出海移动互联网产品在数据合规中需要注意的风险,并提供应对策略。

01

执法机关关注点

$7~8P8XXJD}6M36OV6~@10R.png

表 2 各国执法机构所关注风险点

基于上述风险点总结,出海企业第一步需要做的就是完善隐私政策,在这一部分我将从形式和内容两个方面对于如何撰写隐私政策进行介绍。(仅列举部分合规要点)

MM@`]{U~~GBZMOJCE_CN)ZR.png

C{85[$6~FDRJSY)P422BUBW.png

02

数据主体的权利保障

第二块是关于数据主体的权利的保障程序,要有力保障数据主体的权利,仅仅依靠隐私政策是远远不够的。例如在实践中,我们发现许多公司缺乏清晰明确的用户响应机制,导致遭到监管机构的罚款。用户响应机制具体指的在用户进行投诉的时候,或者说他给你发出了明确的退出或拒绝同意的请求之后,你可以及时对内部的白名单进行更新,以后便不再联系此用户。为了降低违规成本,我们给出如下实现数据主体权利的流程以供参考。

2S(XH{D{[S~9U7TMH%IK5K3.png

(资料来源:作者presentation素材,版权归原作者所有)

03

市场营销与广告推送

第 三块是关于市场营销与广告推送。根据是否“以用户同意为前提”,我们可以将这一块的合规分为两种模式——欧盟和美国。由于美国的数据保护是以产业利益保护 为前提,所以它不用明示同意为前提,但是应该确保用户可以退出这个选项。典型的就是美国。企业可以使用用户的数据,但是同时你要确保给他提出一个可以退出 的选项,且必须是有效退出,即不再接受这些广告的推送。

是 否”有效“也是一个非常重要的点,即用户退出之后,还会不会多次反复地被询问。有些国家的政府数据保护机构就会认为多次反复询问的行为也是不对的,因为这 实际上构成对用户的一种骚扰。同时如果企业在用户选择退出的时候,没有及时删除它对应的个人信息,或者做一些匿名化的处理,也是不合规的。

P8DO`J(3PECQEJ$S{QCL8_H.png

表 3 欧盟和美国在市场营销中的合规要点

04

企业内部数据管理与网络安全机制

第四块是关于企业内控的,在许多案件中我们发现,数据泄露事件的发生往往是由于企业没有做好内部数据管理或者没有建立完善的网络安全机制。总结下来,我们觉得要从下图所示的五个方面去做好内控。

4(OE@[_NL)(N_W)VE3UBMUB.png

比方说 Facebook的案件提示了企业应当重视内部IT的管理以及组织架构的设立,通过指定一一位或者多位的员工来整体的协调信息安全的工作,并且从组织架构上面去体现公司对网络安全以及内部数据管理的重视程度。

再比如说英国航空泄露的事件也警示着我们在泄漏事件发生之后是不是有一个比较好的应急处理机制?企业的技术可不可以及时监测到数据的活动过程中的异常并进行及时汇报、做好风险预案以及时止损。同时还有德国的房地产公司的泄露案件也提示着企业要定期请第三方对公司内部的信息安全项目做评估,以确保企业的数据安全,特别是对敏感数据。

05

对外包服务供应商的监督与约束

最 后一部分是对外包服务供应商的监督与约束。我们知道现在外包服务其实也是非常的流行,可能很多企业在出海的过程中会把很多客户的数据交给第三方外包供应商 去进行管理。在这个过程中就会有一个数据向第三方转让,或者向第三方进行数据对接的过程,如何保护这些数据就成为了一个很关键的点。

$L1F2)@G{~H8H3[2X)@B)CQ.png

(资料来源:作者presentation素材,版权归原作者所有)

在此环节上,我们要从五个步骤去注意(如上图)

第一 应与外包供应商有一个非常好的协议约束,确保数据来源的合法性,企业需要充分说明数据是怎么来的。

第二 要确保与你方对接的第三方公司具备对数据安全处理的完善的技术措施,包括如何存储,在存储的过程中有没有采取很好的技术保护措施,是不是充分尊重和保障数据主体的权利。

第三 须对整个的技术措施进行评估,例如如果发生了泄露的事件,能否及时响应,比如GDPR就规定了72小时的时限。

第四 大力加强数据安全保护措施和系统,有效防止接触到大量个人数据的雇员对有价值的数据进行转移。

第五 对接触到客户个人数据内部人员和外部委托人员设置有效的访问权限机制,基于需求触发权限,而非一揽子授权进行,这可以避免雇员接触到大量的这些个人数据,也避免雇员把这些有价值的数据往外转移。 

最后

十步合规流程


DQD]~1([_P$8_@PJ5NYHJ@Q.png

(资料来源:作者presentation素材,版权归原作者所有)

近日,网经社启动“直击双十一”特别策划,通过“十大方式”包括滚动播报、媒体评论、全媒体发布、社群直播、专题直击、快评评测、榜单发布、数据报告、网购预警、投诉维权,从“三大层面”涵盖平台层、商家层、用户层,对双11持续播报、监测、评论,打造电商年度行业大促的“六大中心”,即资讯中心、视觉中心、评价中心、数据中心、维权中心、商家中心(查看专题)

【版权声明】秉承互联网开放、包容的精神,网经社欢迎各方(自)媒体、机构转载、引用我们原创内容,但要严格注明来源网经社;同时,我们倡导尊重与保护知识产权,如发现本站文章存在版权问题,烦请将版权疑问、授权证明、版权证明、联系方式等,发邮件至law@netsun.com,我们将第一时间核实、处理。

提交申请

请输入姓名! 请输入公司名称! 请输入正确的手机号! 请输入正确的邮箱!
      平台名称
      平台回复率
      回复时效性
      用户满意度