第四期

我们聊聊跨境电商行业中的数据安全

随着互联网信息服务得到广泛应用，强制授权、过度索权、超范围收集个人信息等现象大量存在，引起了社会的高度关注。由于个人信息泄露导致的身份盗用、信用卡盗刷和电信诈骗的事件也频繁发生，甚至不乏一些国家安全事件。而对于跨境电商行业来说，个人信息的收集和利用更是每天都在发生的高频动作。

在大环境方面，世界主要经济体都在完善个人信息保护方面的立法，加强相关法规的执法力度。如果卖家对其在经营过程中收集的大量用户信息没有做好足够的保护，导致个人信息泄露或者被不正当利用，则可能会遭受用户的投诉和起诉，也会引来政府主管部门的调查和处罚，最终可能需承担巨大的赔偿责任和损失。

做好个人信息保护方面的合规工作，对跨境电商卖家而言至关重要。今天我们就以欧盟《通用数据保护条例》（GDPR）为例，聊聊跨境电商该如何面对行业中的数据安全？

2018年5月，欧盟正式实施《通用数据保护条例》（GDPR），这是欧盟对个人数据和隐私保护改革的一项重要举措，也对全球互联网产业提出了前所未有的挑战。

欧盟GDPR对跨境电商卖家有什么影响？

欧盟市场一定是大部分跨境电商卖家的重要战场，作为跨境电商卖家，是否需要遵守GDPR？答案是肯定的。GDPR适用性的基本原则是只要采集和处理欧盟成员国的个人信息，就需要遵守欧盟GDPR。如果违反欧盟GDPR，将面临巨额罚款。

图为个人信息分类表

跨境电商卖家该如何有效应对欧盟GDPR？

查看欧盟GDPR的几项核心要点：

·告知同意，收集和处理用户的个人信息必须告知及获取同意。

·可移除权利，用户具备将其个人信息删除的权利。

·数据安全，数据控制者需要考虑采取安全措施以保证个人数据的安全水平，保留数据处理记录。

·第三方管理，第三方的数据处理者和其他组织必须采取适当的技术措施达到GDPR要求。

·隐私保护设计，产品系统和服务设计之初就应包括隐私保护设计的考虑。

·信息泄露通知，数据泄露时需要在不迟于72小时内通知监管机构，必要情况下也需要通知用户。

·DPIA，当新系统或新业务功能上线时，需要执行隐私数据影响评估，以便发现风险。

·DPO，组织需要至少指派一个具备隐私保护专业知识的数据保护官，以便参与和解决个人数据保护的问题。

·跨境数据传输，采用BCRs（Binding Corporate Rules）或SCC（Stardard Contractual Clauses）方式来保证数据跨境合规。

从以上核心要点出发，制定相应的计划将帮助跨境电商卖家更好地扩展欧盟市场。跨境电商卖家具体该怎么做呢？iPayLinks资深安全架构师从“产品个人信息工程化视角”和“组织系统视角”给出了他的建议：

产品个人信息工程化视角——

组织协同视角——

从以上隐私保护视角可以看出，用户隐私保护不是单点建设，而是全面覆盖的长期建设，隐私保护和数据合规并非一蹴而就，需要保持对用户个人信息的敬畏之心，持续完善产品设计。

全球范围内的隐私和数据保护法

上图为全球部分地区数据立法&执法热量图，向下滑动查看更多制定了相关法律的国家和地区。

日本：个人数据保护法

韩国：个人数据保护法；改进信息和通信相关法案和数据保护法

新加坡：个人数据保护法（PDPA）

马来西亚：个人数据保护法

菲律宾：数据隐私法

印度尼西亚：数据信息与交易法

澳大利亚：隐私修正案隐私法

新西兰：隐私法案

南非：个人数据保护法

阿根廷：个人数据法

巴西：通用数据保护法

印度：信息技术法；个人数据保护法案

欧盟：通用数据保护条例（GDPR）

英国：U.K.通用数据保护条例（英国GDPR）

美国：加州消费者隐私法案（CCPA）；儿童在线隐私保护法（COPPA）；健康保险流通与责任法案（HIPPA）

墨西哥：联邦个人数据保护法

加拿大：个人信息保护和电子文件法（PIPEDA）；隐私法

俄罗斯：数据保护法

阿拉伯联合酋长国：数据保护法

摩洛哥：个人信息法

巴西：通用数据保护法

中国：网络安全法；电子商务法；数据安全法；个人信息安全规范

台湾：计算机处理个人信息数据保护法；个人信息保护法

香港：个人资料（隐私）条例

澳门：个人数据保护法

值得一提的是，中国的《数据安全法》即将在9月1日正式实施，对数据跨境也有较为明确的要求：36条规定，非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。

跨境电商卖家如何规避数据违规风险

01 长效机制，时刻准备

欧盟和全球各国（地区）的个人信息保护的监管形式是动态变化的，面对多变的环境，跨境电商卖家应当未雨绸缪，持续重视数据安全工作：

·采用安全技术手段来落实个人信息保护工作，包括但不限于对涉及个人信息的系统做好访问权限的控制；对个人信息数据进行加密传输、加密存储；设置个人信息数据操作的日志记录等。

·定期对公司全员进行个人数据保护意识培训。

·持续关注隐私相关的法律法律和行业规定，制定公司内部的隐私规范和流程。

·持续开展风险审计，识别风险，提升安全水位，防止黑客入侵导致数据泄露。

02 选择iPayLinks，选择合规先行

合规和隐私保护，向来都是支付服务的基础保障。iPayLinks通过安全认证机构的审核以及业界权威组织和行业监管的测评，确保所提供的支付服务安全、可靠。此外，iPayLinks从组织、流程、技术等多个方面有效落实安全策略及风险管控措施，持续做好客户隐私保护和支付业务的安全保障。

近年来，iPayLinks在安全合规上成果突出。连续6年获得PCI-DSS LEVEL1国际卡支付行业最高安全认证，通过ISO/IEC27001信息安全管理体系认证与PWC合规体系认证等。未来，iPayLinks将持续为跨境企业提供安全、合规、稳定、高效的一站式支付系统和服务方案，以金融科技赋能跨境企业全球业务拓展。