外贸培训:工业品电商,数据合规的风险和场景要点 -九游会国际

当你作为工业品电商的从业者,是否在困惑我们可否收集用户信息,如何合理合法的使用用户信息?

当我们在使用各种大数据精准营销的工具的时候,是否想过这种程序化广告背后的数据来源是否合规,我的使用是不是安全?

当我们作为自身个体身处移动互联网时代,是否焦虑如何保障自己的个人信息安全,不被侵犯隐私?

大数据时代,数据资产的重要性越来越重要,无论是对于企业来说的数据安全,还是对于每个身处移动互联网时代的个体来说的个人信息安全,无论是传统行业还是新兴产业,都不可避免需要关注数据合规问题,为了规范数据的生成、采集、存储、加工、分析、服务等处理,我们国家先后出台了多项法律法规及政策文件。2021年6月10日,《中华人民共和国数据安全法》(以下简称“《数据安全法》”)正式发布(2021年9月1日实施)。2021年8月20日,《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)正式发布(2021年11月1日实施)。这两部法律同《中华人民共和国网络安全法》一起,共同构建了我国的数据治理立法框架,共同维护网络安全和数据安全,促进大数据产业的发展,激活数据要素潜能,加快经济社会发展质量变革、效率变革、动力变革。

数据合规相关的法律法规
01
《数据安全法》
《数据安全法》的出台,使数据从之前单纯的民间、经济领域里的一项资源,直接上升到了国家战略层面,也使得数据安全的重要性得到了立法上的肯定。

《数据安全法》将数据作为“关键要素”首次写入法律,从立法上确认了对“数据权益”的保护,将“数据分类分级保护制度”上升至国家层面。同时也对数据交易平台作出了规定,首次提出了“政务数据开放平台”,并确立了数据分类分级管理、数据安全审查、数据风险评估、监测预警、重要数据出境管理和应急处置等基本制度,并对数据安全做出了全面的指导,加大了对违法行为的处罚力度。

02
《个人信息保护法》
《个人信息保护法》的出台,解决了此前个人信息层面法律法规散乱不成体系的问题,堪称中国首部个人信息保护单独立法,翻开了我国个人信息保护法治事业的新篇章。

《个人信息保护法》不仅厘清了个人信息、敏感个人信息、个人信息处理者、自动化决策、去标识化、匿名化等基本概念,而且从适用范围、个人信息处理的基本原则、个人信息及敏感个人信息处理规则、个人信息跨境传输规则、个人信息保护领域各参与主体的职责与权利以及法律责任等方面对个人信息保护进行了全面规定,建立起个人信息保护领域的基本制度体系。例如,个人信息处理的基本原则为:
(1)合法、正当、必要、诚信原则;
(2)目的明确和最小必要原则;
(3)公开透明原则;
(4)质量及安全保障原则。

03
《网络安全法》
网络安全法是我国第一部全面规范网络空间安全管理方面问题的基础性法律,是我国网络空间法制建设的重要里程碑, 他提出了网络运行基本安全要求,应急预案与响应要求,政务安全治理, 个人信息保护, 等保测评等方面的规定,是依法治网、化解网络风险的重要法律武器,是让互联网在法治轨道上健康运行的重要保障。

工业品电商,涉及到的数据合规框架

工业品电商的业务,无论是平台方,还是品牌方,或者是中间商,虽然总体概况来说都是从事b2b电商业务,也就是对企业业务,但是每一项企业业务活动背后的操作者都是个人,势必也会涉及到to c的数据安全问题,所以相关的数据合规框架还是会分为:

01
to c
遵循国内《网络安全法》《电子商务法》《个人信息保护法》《数据安全法》等个人信息保护的相关规定,结合近期工信部等执法机构针对app等载体的个人信息执法行动要求,形成面向用户个人信息收集处理的全生命周期管理要求;

02
to b
包括平台服务供应商(技术&内容)、外部第三方合作平台(如淘宝、微信)等,通过商务谈判、协议控制等方式,明确数据的商业秘密保护、竞争性财产权益及数据治理等责任边界;
03
内部
《网络安全法》《数据安全法》针对外部数据爬取、用户信息管理、数据共享、前端用户告知、新业态数据需求评估等事项,构建数据内部管理制度及流程机制。

工业品电商,涉及到的用户信息数据合规风险场景

01
收集并使用用户数据进行个性化推荐

工业品电商平台虽然是企业和企业间的交易,但最终操作交易的是个体,他在使用电商平台产生注册、浏览、询单、下单、支付、收货等各个环节,都会提供用户的地址、姓名、电话、身份证号等信息,这些信息,卖家如何收集和管理,是否可以向厂家共享信息,怎么样才算做到合法的脱敏,等等问题,都是属于用户个人信息保护的范畴。
一般而言,如下数据收集事项属于企业应高度关注的高风险场景:
未设置个人信息收集处理规则(隐私政策、隐私说明等);
规则未以突出、显著、易于感知的方式(例如弹窗、显著勾选项等),方便用户阅读及获取其明示授权同意;
规则内未如实明示各项功能场景,以及各项场景涉及的数据范围、系统权限等,包括可能涉及的数据向第三方传输、出境的情形。

02
使用用户信息发送精准营销、商品推广等信息
通过收集用户的注册信息、cookie、终端设备信息、购买记录等等行为,技术上可以非常简单的推算出用户画像,形成用户个人特征模型或其所属群体特征模型,为其进行个性化推荐或精准营销。依据《电子商务法》《广告法》《消费者权益保护法》《通信短信息服务管理规定》《个人信息保护法》等条款的规定对用户开展定向营销推广行为,应满足如下合规要求:
1)告知用户定向推广的相关信息,并获取其授权同意;
2)以显著标识展示个性化推送内容;
3)为用户提供简单直观的退出或关闭个性化展示的选项;
4)当用户退出或关闭个性化展示,明确表示拒绝接受个性化推荐的,不得向其发送商业性信息。
5)通过自动化决策方式向信息主体进行商业营销的,应同时提供不针对其个人特征的选项。
例如,为用户提供的产品搜索结果,不应当均为基于个性化推荐的结果,而没有其他一般搜索结果。

03
委托第三方服务商为用户提供服务
工业品电商为用户提供商品和服务时,可能将物流、客服等部分服务内容委托给第三方服务商。例如,品牌公司或电商平台内经营者委托第三方物流服务商向用户配送商品,需要向第三方服务商提供用户收货信息。对此可以在隐私政策中集中告知、取得用户授权。同时,电商平台经营者还应当对受托的第三方服务商提出数据保护要求。
将用户数据分析结果提供给第三方进行精准营销等活动,需要特别关注向第三方提供的信息是否包含用户个人信息、是否脱敏和去标识化。
在使用第三方工具场景下,要对该工具进行技术评估,确定其是否具有直接或间接收集个人信息的能力。如sdk能收集个人信息,明示用户并就敏感信息征得同意;持续监督第三方工具是否存在违法或违约收集用户信息的行为。

04
数据爬取风险
工业品电商,出于了解市场及竞品业务情况、数据备份、监控自家投放产品动态、数据报表制定等多种目的,会采用自动化访问采集技术(如常见的数据爬虫),通过网页采集、公开或非公开api方式,从第三方平台(部分可能存在直接或间接竞争关系)爬取市场营销相关信息、报表、商品信息、媒体推广活动信息乃至含有用户个人信息的数据(例如用户评论)等。
考虑到数据爬取行为不仅引起监管关注,而且容易导致竞争对手的诉讼,从业务角度建议开展相应行动时,应充分符合《反不正当竞争法》对于不正当竞争行为的管制、《网络安全法》对于干扰网络正常功能及防护措施等危害网络安全行为的监管、《数据安全管理办法(征求意见稿)》对于采取自动化手段收集数据妨碍网站正常运行的规定等。注重考虑如下要素:
尽可能避免爬取构成直接竞争关系的企业的平台数据,以及具有较高传播度及公众知名度的商业网站数据,以降低爬取行为可能引发的诉讼风险及社会影响。
尽可能避免爬取平台非公开数据,或者由平台运营者设置一定要求(例如用户认证登录等)才可访问的数据(此类数据的爬取受限于用户协议或者开发者协议等契约约束)。
控制数据爬取频率及规模。参考《数据安全管理办法(征求意见稿)》第十六条标准,数据爬取收集流量不得超过网站日均流量的三分之一。
关注被爬取平台的动态,如已收到被爬取平台关于停止数据爬取的相关通知说明,或者被爬取平台公开登载禁止、限制数据爬取行为的,应及时采取对策,暂停数据爬取行为。

05
数据出海

某些跨国企业、跨境贸易涉及到的工业品电商业务,必须强调数据出海的安全合规,滴滴出行被下架其中很重要的原因就在于此,只要涉及到数据出海的,首先必须要建立国内的数据收集中心,《个保法》明确了个人信息跨境提供的基本规则。第四十条规定,关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。

为了降低个人信息出境风险,跨境电商数据合规还必须参照《信息安全技术—数据出境安全评估指南(征求意见稿)》的相关规定框架进行内部自查,并建立完善的用户信息保护制度。

the end

由于本人非法律人士,撰写过程中参考了大量相关文章,特致谢被参考的文章作者

本站部分内容来源网络。
如需转载,请注明出处:https://wtt6.com/62239.html 如果在国际贸易全流程中有不清楚的可以向世商管理刘希洪专家咨询,20多年专注企业供应链安全管理培训,涉及国际贸易、关务培训,aeo认证、海外营销、进出口实务、海关新政、商品归类、人力资源、生产管理、战略采购、供应链物流、中高层管理,通用管理等。提供企业内训和公开课及咨询辅导。