對于出海産品經理而言,該如何學習國際化資料合規知識?本文總結了出海産品需要注意的相關内容以及資料合規知識,希望對你有所幫助。
一、國際化業務及資料合規背景
資料跨國傳輸,資料合規,這兩個話題很多人并不陌生。
但也讓很多國内出海企業對它感到擔憂和頭疼,特别是在跨境電商、跨境物流、國際SaaS等公司,業務通常都是服務全球範圍,使用者會來自多個國家,當客戶的交易或買賣在海外完成時,難免會涉及到海外消費者和員工資訊的收集和處理,國際公司為了統一管理業務和員工,就少不了跨境主體之間的資料傳輸。
以前我覺得資料傳輸非常簡單,就像兩個伺服器之間 互相 Send/Receive一樣,但這些年在跨境電商領域做産品經理,有過一些國際化業務/産品方案上的接觸後,才漸漸知道它的一些知識,但也僅冰山一角。
跨國的資料傳輸沒有那麼容易,或者說國内企業在海外收集使用者資料,存儲,處理,傳輸,都不是簡單的系統行為,而是需要基于本土國家安全政策的限制、引導在,去做綜合的解決方案。比如海外本土會設定很多法律條例,像歐盟GDPR,一旦公司被發現偷偷将海外使用者資訊傳輸到國内,就會面臨高額的罰款。
是以,對于一家全球化的公司而言,做好本土的資料合規是非常有必要的事情,而于産品經理來說,若了解部分出海的法律政策,熟悉合規業務下的産品設計方案,後續在國際化領域,就顯得非常有優勢。
二、海外公司,通常會遇到哪些合規問題?
比較典型的有兩類,一類是通過搭建網站或App,通過這樣的産品直接服務海外的消費者的公司,比如像Temu、Shein、Shopify等,海外使用者在他們的平台上購買下單前,一定需要完成注冊,填寫使用者個人資訊,比如姓名、電話、收件位址等。
另外一類,是不直接面向消費者,而是作為跨境服務的中間商,比如像跨境物流、跨境ERP這樣的公司,不會直接面向消費者收集使用者資料,但是會有資料上的接收,用來協助商家完成包裹履約等。
而這樣的公司,如果業務涉及到歐洲地區,就會受到《歐盟通用資料保護條例》的限制:
- 保護使用者隐私,尊重使用者選擇權;
- 使用者需要知道會被收集什麼資訊,用于什麼目的;
- 可自由授權和解除,以及資料的删除
- 不允許資料的跨境傳輸
具體是怎麼影響到業務的呢?比如國内某App在歐盟的一個國家上線,當地客戶對它進行注冊,填寫一系列的基本資訊時,使用者有權知道你們會收集哪些資訊、用來做什麼、存儲哪裡、有沒有權利取消,且收集後要有官方認可的隐私協定。是以很多海外産品會單獨針對本土部署伺服器、 Cookie 授權、隐私協定等,其次,當使用者不需要你這款産品後,使用者有權利選擇取消資料授權,并且在使用者登出後删除資料,如果你繼續保留或傳輸給到其他不被認可國家,那就會受到政策監管,如果被投訴就會非常麻煩。
是以,産品經理在面對海外業務時如果涉及到使用者個人資訊收集的地方,就需要敏銳地察覺到,你們的資料和伺服器在不在海外?産品如何讓使用者感覺資料收集?如何讓使用者同意?使用者同意後如何取消整個鍊路上授權?産品方案和頁面要如何設計。
另外,中國目前尚不屬于歐盟認可的資料安全國度,被歐盟認可的資料安全國度包括:安道爾、阿根廷、加拿大(僅限商業組織)、法羅群島、根西島、以色列、曼島、澤西島、紐西蘭、瑞士、烏拉圭和日本。是以如果需要做跨境傳輸,就需要用到其他的方式;
三、跨境傳輸,歐盟認可的安全措施是什麼?
被歐盟認可的資料梳理方式,目前有很多方式,以下内容來源于網絡上「趙曉鵬博士」法律的知識文檔,并不來源個人,僅供參考和學習。當然,我自己學習下來,感覺就三類處理方式;
第一類:按照歐盟合規要求的處理方案
- 資料輸出方與資料接收方簽訂資料傳輸協定,并使用歐盟委員會給出的标準資料保護條款;
- 如果是跨國集團内部的資料傳輸,可以在集團内部制定一套所謂的具有限制力的公司規則 (Binding Corporate Rules),保證集團内部嚴格遵守,并經歐盟委員會準許;
- 某個行業的協會拟定一套資料保護行為規則,作為資料接收方的行業協會成員聲明遵守這套行為規則,該規則要經過歐盟委員會的事先認可;
- 對資料接收方的資料處理流程進行認證,該認證需要每三年更新一次。
第二類:經過使用者同意的方案
即便上述四項措施都沒有,如果資料處理者能征求到資料主體的同意,也可以将其個人資料傳輸到中國,但是《歐盟通用資料保護條例》對同意的流程提出了很高的要求:
- 該同意必須是自願的,也就是資料主體必須明确給出同意的答複,預設同意不受認可;
- 必須告知資料主體計劃中的資料跨境傳輸的目的地國家以及由此可能對資料主體帶來的風險;
- 同意的内容必須要明确,資料傳輸的方式、範圍和目的都要在同意書中寫明。
通常這種方式不太可行,因為像國内很多電商公司,将使用者資料收集後,會把資料繼續傳輸給到跨境物流公司、承運商、報關、清關行等,涉及到多鍊路的共享,而這些又跟随公司的業務進行發展和變化,沒有辦法合同說清楚;另外,GDPR 要求允許使用者對資料删除,如果是這樣,所有的下遊資料接受者都需要對資料進行删除,難度極大,不可能完成。
第三類:無需使用者同意地處理方式
- 為了履行與資料主體訂立的合同所必需,
- 為了資料主體自己的利益,或者;
- 為了主張或抗辯資料主體的法定權利。
比如跨境電商中為了目的國清關順暢,一定會需要用到買家的位址、聯系方式,如果為了保護隐私不允許傳輸就沒有辦法玩轉業務,但這種是有清關合同在,是以某種程度上是合理的,隻要保證資料不被下載下傳下來,而是通過系統間加密互動即可。
總結而言,對于全球化的合規業務思考來看,要想将歐盟境内收集的個人資料合規地傳輸到中國國内,電商平台或者海外軟體服務商,最省時省力的方法,是使用歐盟委員會給出的标準資料保護條款與國内的資料接收方簽訂資料傳輸協定。當然,最好的方式是:海外存儲、海外操作,跟國内沒有任何資料聯系;
四、産品經理需要注意什麼
需要了解在歐盟拓展業務時,那些資訊會被列為隐私資訊,這些隐私資訊歐盟對它的處理要求是什麼,這些要求對産品方案或者業務拓展的時候,有什麼需要注意的地方。參考上述文章中的 Cookie、資料授權、協定說明、解除授權,資料删除、以及面向 C 端消費者或使用者的頁面互動;
知道資料跨境傳輸的法律重要性,提升自己整體國際化視野,比如需要知道海外伺服器、海外資料存儲是目前很多國際化公司全球化的标配,知道資料之間的互動,後續參加跨國會議的時候,可以有針對性的建議和思考;
最後,就是提升自己的專業性,如果涉及到資料跨境傳輸且公司規模較大,需要注意法務上的風險,産品同學要敏銳注意到公司是否收集了海外使用者個人資訊,一定要咨詢專業的法務同學,與國際法務團隊協作,把方案完成。
以上便是文章全部内容,如果你也是出海産品經理,或者對出海感興趣,可以關注公衆号聯系我,期待一起學習。
資料引用:
- GDPR:https://gdpr-infoeu/art-9-gdpr/
- 法務知識:https://mpweixinqqcom/s/uEcVf_yanOx-iKFKPorqBQ
- 三方解讀:https://learnmicrosoftcom/zh-cn/compliance/regulatory/gdpr?view=o365-worldwide#what-is-the-gdpr
本文由 @Lea 原創釋出于人人都是産品經理,未經許可,禁止轉載
題圖來自 Unsplash,基于 CC0 協定
該文觀點僅代表作者本人,人人都是産品經理平台僅提供資訊存儲空間服務。