跨境企业如何识别和规避交易中的数据合规风险？

近日，英国消费者机构“Which”调查发现，其从各大跨境电商平台购买的多款婴儿背带没有通过安全和耐用性测试，不合规比例高达10：11。此后，相关涉事产品被各大平台移除下架。但这只是跨境电商企业面临的众多合规问题中的一个。事实上，数据隐私合规问题，在国外也有着严格的法律监管和处罚力度。据统计，截至2022年6月12日，欧盟数据保护监管机关依照GDPR实施罚款的次数已经达到1119次，罚款总额达16.4亿欧元。[1]

近年来，各国愈发关注数据隐私的合规，主要涉及用户隐私协议的规范性、用户信息收集的方式、范围和用途的披露、潜在数据泄漏风险的披露，以及是否误导用户同意信息收集等。

在营销侧，数据合规意味着禁止未经用户授权使用第三方Cookie的精准营销，而这将动摇出海电商们的营销业绩：已有不少跨境出海电商发现其数字广告出现效果失衡或广告投放ROI降低等现状。

为此，出海电商们不得不调整经营策略。一方面，要更有意识地“合规”使用得到用户授权的数据。另一方面，则必须行动起来，逐步积累自己的一方数据资产以及运用一方数据的能力，方能赢在未来。

整个跨境电商的经营环境已随之发生巨变，对涉及海外业务的中国出海电商而言，中国与海外之间的数据跨境流通与共享面临着来自境外与境内法律法规的双重监管挑战。

对于此，企业必须具备识别和规避跨境生意中的数据合规风险的能力，以避免在未来遭遇天价罚单。下文，将从跨境出海电商的整体经营环境出发，阐述该领域将面临的三大数据合规风险。

风险一：跨境电商数据信息的收集

跨境电商平台需明确披露其将如何处理用户个人信息，并告知用户，以保证获取用户授权同意的合法、有效。

根据各国法规政策的合规性，用户数据收集一般都含以下细分项目：

1. 用户隐私政策是否以用户方便获取、阅读和理解的方式弹出或展示；

2. 个人信息收集行为是否向用户明示，是否获取用户授权同意；

3. 个人信息数据使用的具体场景、涉及的数据信息使用权限和提取范围等，用户是否知悉；

4. 涉及儿童数据信息收集的行为是否符合儿童线上隐私保护规定；

除了解各国数据隐私法规外，出海电商企业还应结合自身属性，在开展具体数据和信息收集处理活动之前，以各种友好的设计和提示方式，引导用户阅读隐私安全规则，让用户知悉并同意规则内容，以确保数据收集场景的合规性。

风险二：跨境电商三方数据交换

出海电商在完成自有数据收集后，其数据不仅限于内部使用，在实际交易场景下，也有与第三方交换数据要素的需求。如何以隐私安全为中心地进行数据要素的流通，是跨境电商迈向数据合规部署的重要一步。

数据要素的流通场景下，跨境电商企业面临的主要风险如下：

1. 是否明晰数据共享双方的数据保护权利和义务；

2. 数据流通在不同应用场景、国家和地区所面临的合规义务差异；

3. 是否获得共享数据信息所有权的授权同意；

4. 是否将与第三方权责明确告知信息主体；

5. 是否对使用的第三方工具进行技术评估，持续监督数据违规风险；

6. 对交换数据进行信息脱敏管理和控制，评估信息安全和合规风险；

7. 数据要素的流通和共享，是跨境电商企业内部管理的高风险项，企业应建立规范运作的数据管理流程，避免发生违规违法的数据要素交互。

风险三：跨境电商出售用户数据

作为数据资产的控制者，跨境数据的买方直接对数据资产的合规风险承担责任。而合格的数据尽职调查也可以帮助买方更加全面、合理地评估收购价格。在收购重数字资产的跨境电商公司时，做好数据合规尽调就显得尤为重要[2]。

跨境数据的合规尽调清单如下：

1. 数据处理者主体身份；

2. 数据处理行为和数字产品或服务；

3. 数据安全履历；

4. 数据保护合规制度建设；

5. 相关协议审查；

6. 数据跨境传输审查；

即刻联系55数据，获取跨境数据尽职调查全套流程

大数据、区块链、人工智能、云计算等数字技术的日益成熟，为跨境电商企业带来更多的数字化挑战和机遇。要谋求更广阔的发展空间，跨境电商需深入了解各国数据隐私法规，建立健全数据合规风险的规避方案。

据悉，55数据已在领域内积累下丰富的咨询和技术经验，深受 100 多家全球各行业头部品牌和线上公司的信赖，并推动他们成为数字营销领域的领航者，包括,LVMH、ACCOR HOTELS、BNP PARIBAS 、South China Morning Post等。

作为全球首家品牌科技集团 Brandtech 旗下引以为豪的一员，Meta（原Facebook）、Google、Oracle、Adobe Business等众多技术的认证合作伙伴和经销商，55数据将基于技术中立原则，为出海企业们提供基于当前隐私现状的数据评估，并帮助设计未来以隐私为先的数据应用场景、变革路线图，以及实施部署。

参考文献及数据来源：

[1]GDPR 执法跟踪器 - GDPR 罚款列表 (enforcementtracker.com) ，最后访问时间：2022年6月12日

[2]数据合规时代下，公司并购交易何去何从？ (qq.com)