跨境電商隱私合規(guī)白皮書(shū)

目錄引言 1一.隱私合規(guī)的價(jià)值 2（一）隱私合規(guī)概念界定 2數(shù)據(jù)定義 2隱私數(shù)據(jù)定義 2地域間界定方法和概念差異 3隱私數(shù)據(jù)泄露 3隱私合規(guī) 4（二）隱私合規(guī)的全球背景 4隱私立法潮流 4隱私違規(guī)判罰案例統(tǒng)計(jì)概覽 5以隱私合規(guī)之名豎高墻 7（三）隱私泄露事件反思 7企業(yè)數(shù)據(jù)泄露事件反思 7私人照片泄露事件反思 8（四）隱私合規(guī)的價(jià)值 8微觀(guān)層面：數(shù)據(jù)保護(hù)惠及商家、平臺(tái)和用戶(hù)三方 8中觀(guān)層面：促進(jìn)行業(yè)可持續(xù)發(fā)展 9宏觀(guān)層面：推動(dòng)國(guó)家經(jīng)濟(jì)增長(zhǎng)和國(guó)際形象提升 9二.隱私合規(guī)的困境 9（一）創(chuàng)新帶來(lái)的隱私挑戰(zhàn) 9（二）地區(qū)差異帶來(lái)的法域沖突 10（三）隱私合規(guī)成本大幅提升 11罰沒(méi)成本高 11合規(guī)投入大 12運(yùn)營(yíng)消耗巨 13創(chuàng)新枷鎖生 13三.隱私合規(guī)的趨勢(shì) 13（一）國(guó)家間、區(qū)域間數(shù)據(jù)流轉(zhuǎn)規(guī)則逐漸明確 13（二）國(guó)際數(shù)據(jù)治理的規(guī)定范圍更加精細(xì) 13（三）各國(guó)、各區(qū)域數(shù)據(jù)主體的數(shù)據(jù)權(quán)利愈加完善 14（四）各國(guó)、各區(qū)域數(shù)據(jù)法案執(zhí)法范圍逐步擴(kuò)大 14（五）各國(guó)完善數(shù)據(jù)立法配套制度框架 14四.隱私合規(guī)的實(shí)踐 14（一）借鑒GRC框架，構(gòu)建成熟的管理、技術(shù)、運(yùn)營(yíng)體系 14（二）抓住跨境電商隱私合規(guī)要點(diǎn) 15電商業(yè)務(wù)場(chǎng)景下的同意管理 16定向營(yíng)銷(xiāo) 16第三方數(shù)據(jù)共享 16數(shù)據(jù)安全 17（三）建立完善隱私成熟度評(píng)估體系 17五．跨境電商行業(yè)建議 19（一）市場(chǎng)層面 19推動(dòng)行業(yè)自律和標(biāo)準(zhǔn)制定 19加強(qiáng)與用戶(hù)的溝通和互動(dòng) 19推動(dòng)與其他企業(yè)的合作和交流 19（二）政府層面 19完善法律法規(guī)和監(jiān)管機(jī)制 19提供指導(dǎo)和支持 19加強(qiáng)國(guó)際合作和交流 19（三）全球治理層面 19積極參與國(guó)際組織和倡議 19遵守國(guó)際規(guī)則和原則 19關(guān)注全球治理動(dòng)態(tài)和趨勢(shì) 20六、總結(jié) 20參考資料 20鳴謝 22引言作為全球貿(mào)易新舊動(dòng)能轉(zhuǎn)換的重要組成部分，跨境電子商務(wù)逐步成為推動(dòng)經(jīng)濟(jì)增長(zhǎng)和新舊動(dòng)能轉(zhuǎn)換的關(guān)鍵動(dòng)力。國(guó)家發(fā)改委在2022年發(fā)表的《大力推動(dòng)我國(guó)數(shù)字經(jīng)濟(jì)健康發(fā)展》分析文章中明確提出我國(guó)要“大力發(fā)展跨境電商，打造跨境電商產(chǎn)業(yè)鏈和生態(tài)圈?！苯辏瑖?guó)內(nèi)的互聯(lián)網(wǎng)快速發(fā)展，同樣的模式復(fù)制到出海場(chǎng)景，尤其是跨境電子商務(wù)，水土不服現(xiàn)象頻發(fā)。一方面，爆點(diǎn)事件頻發(fā)，引發(fā)各國(guó)、各區(qū)域的隱私合互聯(lián)網(wǎng)發(fā)展速度差異，為保護(hù)各自在數(shù)字經(jīng)濟(jì)國(guó)際競(jìng)爭(zhēng)中的主動(dòng)地位，各國(guó)各區(qū)域已經(jīng)或紛紛立法，保護(hù)數(shù)字隱私?？萍紕?chuàng)新催生業(yè)務(wù)創(chuàng)新，業(yè)務(wù)創(chuàng)新帶動(dòng)科技創(chuàng)新，DNADNA但也引發(fā)了與數(shù)據(jù)隱私和安全、跨境數(shù)據(jù)流動(dòng)、市場(chǎng)集中度和稅收等相關(guān)的各種潛在關(guān)切。隨著數(shù)字經(jīng)濟(jì)的高速發(fā)展，在各個(gè)行業(yè)，各個(gè)企業(yè)，各個(gè)機(jī)構(gòu)，各國(guó)各區(qū)域政府都匯集了海量的大數(shù)據(jù)，數(shù)據(jù)湖技術(shù)應(yīng)運(yùn)而生、應(yīng)運(yùn)而蓬勃發(fā)展。這些數(shù)據(jù)湖可以被挖掘和分析，以找出本來(lái)隱藏不顯的模式和相關(guān)性。其結(jié)果可被輸入到某些系統(tǒng)中，這種系統(tǒng)使用人工智能、機(jī)器學(xué)習(xí)和自動(dòng)化決策以升級(jí)系統(tǒng)元素甚至整個(gè)系統(tǒng)。由阿里巴巴、亞馬遜、蘋(píng)果、Facebook、谷歌、微軟、SAP、騰訊等公司運(yùn)營(yíng)的平臺(tái)，已經(jīng)將大數(shù)據(jù)作為商業(yè)模式的核心。監(jiān)管機(jī)構(gòu)、監(jiān)管人員和消費(fèi)者越來(lái)越多地關(guān)注安全、隱私和個(gè)人數(shù)據(jù)的所有權(quán)及其使用影響。本文旨在更好幫助跨境電商產(chǎn)業(yè)把握發(fā)展機(jī)遇，將挑戰(zhàn)轉(zhuǎn)化為內(nèi)生動(dòng)力，規(guī)范企業(yè)運(yùn)營(yíng)，行業(yè)標(biāo)準(zhǔn)，甚或治理建議。在此背景下，縱觀(guān)全球合規(guī)過(guò)去、現(xiàn)在和未來(lái)，第一章探討了隱私合規(guī)的價(jià)值。第二章闡述了隱私合規(guī)的困境。第三章討論了隱私合規(guī)趨勢(shì)。第四章探討了隱私合規(guī)的實(shí)踐。第五章給出了跨境電商行業(yè)建議。一.隱私合規(guī)的價(jià)值（一）隱私合規(guī)概念界定數(shù)據(jù)定義“數(shù)據(jù)”是指任何以電子或者其他方式對(duì)信息的記錄。隱私數(shù)據(jù)定義本文隱私數(shù)據(jù)，涵蓋個(gè)人數(shù)據(jù)、個(gè)人信息、敏感數(shù)據(jù)等定義（各國(guó)各區(qū)域立法稱(chēng)呼不同），我們對(duì)比分析以下主要法域?qū)﹄[私數(shù)據(jù)的定義：歐盟《通用數(shù)據(jù)保護(hù)條例》1（GDPR）第四條規(guī)定，“個(gè)人數(shù)據(jù)”指的是任何已識(shí)別或可識(shí)別的自然人（數(shù)據(jù)主體）相關(guān)的信息；一個(gè)可識(shí)別的自然人是一個(gè)能夠被直接或間接識(shí)別的個(gè)體，特別是通過(guò)諸如姓名、身份編號(hào)、地址數(shù)據(jù)、網(wǎng)上標(biāo)識(shí)或者自然人所特有的一項(xiàng)或多項(xiàng)的身體性、生理性、遺傳性、精神性、經(jīng)濟(jì)性、文化性或社會(huì)性身份而識(shí)別個(gè)體?！都又菹M(fèi)者隱私法》2（CCPA）《加州隱私權(quán)法案》（CPRA）規(guī)定，個(gè)人信息是指直接或間接地識(shí)別，關(guān)聯(lián)，描述，或能夠合理地聯(lián)系到一個(gè)特定的消費(fèi)者或家庭的信息。包括但不限于：IP1798.80受加州或聯(lián)邦法律保護(hù)的特征信息，例如種族，國(guó)籍，宗教，性別，性取向；交易信息：包括個(gè)人資產(chǎn)記錄，購(gòu)買(mǎi)的商品和服務(wù)，其他購(gòu)買(mǎi)或消費(fèi)的記錄以及傾向；生物計(jì)量信息：包括基因，心理，行為以及生物特征，可提取模型的行為模式信息，或其他標(biāo)識(shí)符信息，例如：指紋，人臉模型，聲紋；虹膜、視網(wǎng)膜掃描；筆跡，步態(tài)或其他物理模型；睡眠，健康或活動(dòng)信息；網(wǎng)絡(luò)活動(dòng)信息：瀏覽歷史，搜索歷史，或消費(fèi)者與網(wǎng)站，應(yīng)用或廣告的交互信息；地理位置信息；聲音，電的，視覺(jué)，熱感，嗅覺(jué)或其他類(lèi)似的信息；職業(yè)或就業(yè)相關(guān)的信息；非公開(kāi)的教育信息；心理趨向、傾向、行為、態(tài)度、智力、能力和天賦等。注：個(gè)人信息不包括公開(kāi)信息，公開(kāi)信息是指可以從聯(lián)邦、州或當(dāng)?shù)卣涗浿蝎@取的信息?！吨腥A人民共和國(guó)民法典》第一千零三十四條規(guī)定自然人的個(gè)人信息受法律1《通用數(shù)據(jù)保護(hù)條例》（GeneralDataProtectionRegulation，簡(jiǎn)稱(chēng)GDPR）為歐洲聯(lián)盟的條例，前身是歐盟在1995年制定的《計(jì)算機(jī)數(shù)據(jù)保護(hù)法》。2018年5月25日，歐洲聯(lián)盟出臺(tái)《通用數(shù)據(jù)保護(hù)條例》2CCPA，即2018202011CPRA，即《加州隱私權(quán)法案》，202311保護(hù)。個(gè)人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定住址、電話(huà)號(hào)碼、電子郵箱、健康信息、行蹤信息等。個(gè)人信息中的私密信息，適用有關(guān)隱私權(quán)的規(guī)定；沒(méi)有規(guī)定的，適用有關(guān)個(gè)人信息保護(hù)的規(guī)定?！吨腥A人民共和國(guó)個(gè)人信息保護(hù)法》第四條規(guī)定：個(gè)人信息是以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。其中“匿名化”是指?jìng)€(gè)人信息經(jīng)過(guò)處理無(wú)法識(shí)別特定自然人且不能復(fù)原的過(guò)程。地域間界定方法和概念差異GDPR、CCPA定義來(lái)看，雖然都致力于保護(hù)自然人的個(gè)人信息權(quán)益，但具體的界定方法、概念的內(nèi)涵存在差異。首先，GDPR有可識(shí)別和已識(shí)別的自然人相關(guān)的個(gè)人信息。具體包括個(gè)人身份信息，如姓名、地址、身份證號(hào)碼等；個(gè)人偏好信息，如購(gòu)物習(xí)慣、瀏覽記錄等；以及個(gè)人的網(wǎng)絡(luò)身份信息，如用戶(hù)名、密碼等。同時(shí)，二者都將匿名化信息排除在個(gè)人信息保護(hù)范圍之外。相比之下，CCPA更強(qiáng)調(diào)“合理性”。具體來(lái)說(shuō)，CCPA（地址、電話(huà)號(hào)碼等）、健康信息、財(cái)務(wù)信息等。同時(shí)，CCPACCPAGDPR綜上所述，GDPR、CCPA、中國(guó)的《個(gè)人信息保護(hù)法》以及《民法典》都對(duì)個(gè)人信息保護(hù)做出了規(guī)定，雖然具體界定方法和概念內(nèi)涵存在差異，但都以保護(hù)自然人的個(gè)人信息權(quán)益為主要目標(biāo)。隱私數(shù)據(jù)泄露GDPR授權(quán)的披露或訪(fǎng)問(wèn)傳輸、存儲(chǔ)或以其他方式處理的個(gè)人數(shù)據(jù)。在無(wú)正當(dāng)理由的情況下將個(gè)人數(shù)據(jù)傳輸?shù)讲槐皇跈?quán)接收這些數(shù)據(jù)的第三方。這種泄露可能會(huì)導(dǎo)致個(gè)人隱私的侵犯，給個(gè)人帶來(lái)不利的后果。GDPR當(dāng)?shù)拇胧﹣?lái)保護(hù)個(gè)人數(shù)據(jù)的安全。CCPAGDPR，CCPA中國(guó)的《民法典》規(guī)定，個(gè)人信息受到法律保護(hù)，任何組織或者個(gè)人不得以刺探、侵?jǐn)_、泄露、公開(kāi)等方式侵害他人的隱私權(quán)。個(gè)人信息包括自然人的姓名、出生日期、身份證件號(hào)碼、生物識(shí)別信息、住址、電話(huà)號(hào)碼等。《民法典》沒(méi)有關(guān)于個(gè)人數(shù)據(jù)泄露的具體定義，但其規(guī)定了隱私權(quán)的概念和保護(hù)措施。中國(guó)的《個(gè)人信息保護(hù)法》第五十一條規(guī)定，個(gè)人信息處理者應(yīng)采取措施確保個(gè)人信息處理活動(dòng)符合法律、行政法規(guī)的規(guī)定，并防止未經(jīng)授權(quán)的訪(fǎng)問(wèn)以及個(gè)人決相關(guān)爭(zhēng)議的途徑和方向。隱私合規(guī)GDPRCCPAGDPR，CCPA識(shí)別性，即使數(shù)據(jù)經(jīng)過(guò)處理或匿名化，只要能夠重新識(shí)別個(gè)人身份，仍屬于應(yīng)當(dāng)保護(hù)的個(gè)人數(shù)據(jù)。GDPRCCPA的生活安寧和私密空間等。傳輸他人個(gè)人信息，不得非法買(mǎi)賣(mài)、提供或者公開(kāi)他人個(gè)人信息；不得從事危害國(guó)家安全、公共利益的個(gè)人信息處理活動(dòng)。它主要在于注重個(gè)體的權(quán)益，重點(diǎn)關(guān)注誰(shuí)可能會(huì)侵犯?jìng)€(gè)人信息權(quán)利、侵犯了什么樣的個(gè)人信息權(quán)利，并且給出了解決相關(guān)爭(zhēng)議的途徑和方向。此外，《個(gè)人信息保護(hù)法》還規(guī)定了任何單位不得公開(kāi)散布含有個(gè)人隱私信息的條款，即使運(yùn)用大數(shù)據(jù)可推演出來(lái)的信息也仍在保護(hù)范圍之內(nèi)，包括一些利用大數(shù)據(jù)推演出來(lái)的信息也不得公開(kāi)傳播。綜上對(duì)比分析，GDPR、CCPA、《民法典》和《個(gè)人信息保護(hù)法》對(duì)個(gè)人數(shù)據(jù)、個(gè)人信息、隱私的不同概念的具體的內(nèi)涵和外延都有所不同。這與各個(gè)國(guó)家和地區(qū)既有的法律體系和實(shí)際國(guó)情有關(guān)?？缇畴娚屉[私合規(guī)，重在適配各個(gè)國(guó)家和地區(qū)的法律、法規(guī)，使用法律、技術(shù)和管理等機(jī)制來(lái)保護(hù)個(gè)人信息以免受到任何侵害。（二）隱私合規(guī)的全球背景以《中美經(jīng)貿(mào)協(xié)議》知識(shí)產(chǎn)權(quán)保護(hù)為例，無(wú)論采用“下架優(yōu)先于侵權(quán)判斷”的倒置程序規(guī)則、免除善意提交錯(cuò)誤下架通知的責(zé)任、延長(zhǎng)權(quán)利人采取后續(xù)措施的期限、處罰惡意提交通知或反通知主體或增設(shè)吊銷(xiāo)經(jīng)營(yíng)許可證的法律責(zé)任，無(wú)疑是一把懸在跨境電商企業(yè)頭頂?shù)倪_(dá)摩克利斯之劍，昭示著一個(gè)不爭(zhēng)的事實(shí)，跨境電商平法律?？紤]跨境電商企業(yè)必須處理大量的用戶(hù)數(shù)據(jù)的特性，必須遵守經(jīng)營(yíng)區(qū)域不同國(guó)家和地區(qū)各自的隱私合規(guī)法規(guī)。如若跨境電商企業(yè)在數(shù)據(jù)處理方面違背相關(guān)法規(guī)，就要承擔(dān)面臨巨大的罰款和法律訴訟的責(zé)任。隱私立法潮流在歐美GDPR、CCPA為首的兩大主流法域影響下，各國(guó)隱私數(shù)據(jù)保護(hù)政策紛紛出臺(tái)，據(jù)聯(lián)合國(guó)貿(mào)易發(fā)展會(huì)的最新統(tǒng)計(jì)，194個(gè)國(guó)家中有13771%，其中有75個(gè)國(guó)家設(shè)立獨(dú)立的個(gè)人數(shù)據(jù)保護(hù)機(jī)構(gòu)，以保障數(shù)據(jù)規(guī)范的落實(shí)與執(zhí)行。韓國(guó)、俄羅斯、澳大利亞、巴西，14879%的國(guó)家和地區(qū)正在起草相關(guān)法律法規(guī)?？梢钥吹讲㈩A(yù)見(jiàn)，各個(gè)國(guó)家和地區(qū)的隱私數(shù)據(jù)保護(hù)立法會(huì)逐漸趕超商業(yè)步伐，其判罰嚴(yán)格“寧可錯(cuò)殺”的法律法規(guī)建構(gòu)旨在側(cè)重發(fā)揮對(duì)隱私的保護(hù)功能以及對(duì)隱私侵犯事件的震懾功能。隱私違規(guī)判罰案例統(tǒng)計(jì)概覽CMS32023327.7GDPR行跟蹤報(bào)告和GDPR執(zhí)行跟蹤網(wǎng)站中的每項(xiàng)罰款均歸因于以下九個(gè)類(lèi)別之一：數(shù)據(jù)處理的法律依據(jù)不足確保信息安全的技術(shù)和組織措施不足不遵守一般數(shù)據(jù)處理原則數(shù)據(jù)主體權(quán)利未充分履行信息義務(wù)履行不足與監(jiān)管機(jī)構(gòu)合作不足未充分履行數(shù)據(jù)泄露通知義務(wù)缺乏數(shù)據(jù)保護(hù)官員的任命數(shù)據(jù)處理協(xié)議不足在這些類(lèi)別中，罰款最多（同時(shí)罰款總額第二高）的原因是針對(duì)法律依據(jù)不足的數(shù)據(jù)加工活動(dòng)。第二個(gè)最常見(jiàn)的罰款原因是不遵守一般數(shù)據(jù)處理原則的數(shù)據(jù)處理活動(dòng)。第三個(gè)原因是因確保信息安全的技術(shù)和組織措施不足、未充分履行信息安全保護(hù)義務(wù)和未充分履行－保障數(shù)據(jù)主體權(quán)利而被罰款。3CMS:GDPR執(zhí)法數(shù)據(jù)，CMSLegalServicesEEIGisaEuropeanEconomicInterestGroupingthatcoordinatesCMSMemberFirms.ContentManagementSystem的縮寫(xiě)，意思為“網(wǎng)站內(nèi)容管理系統(tǒng)”，用來(lái)管理網(wǎng)站后臺(tái)，編輯網(wǎng)站前臺(tái)。Meta數(shù)據(jù)保護(hù)官員的參與不足或缺少數(shù)據(jù)處理協(xié)議的情況而被處以的。數(shù)據(jù)來(lái)源：CMS,GDPR案例一：8700Facebook20162020423Facebook50違規(guī)類(lèi)型：確保信息安全的技術(shù)和組織措施不足案例二：InstagramMeta4.05（27.9）2020Instagram1317用戶(hù)被允許運(yùn)營(yíng)企業(yè)賬戶(hù)，這會(huì)導(dǎo)致他們的電話(huà)號(hào)碼和電子郵件地址被公開(kāi)。違規(guī)類(lèi)型：確保信息安全的技術(shù)和組織措施不足】案例三：因未允許法國(guó)用戶(hù)便捷地拒絕cookie跟蹤，法國(guó)數(shù)據(jù)監(jiān)管機(jī)構(gòu)CNIL（法國(guó)國(guó)家信息與自由委員會(huì)）1.5（10.81）GDPR一是未滿(mǎn)足透明度和信息披露的相關(guān)要求，比如數(shù)據(jù)用途、存儲(chǔ)時(shí)限、個(gè)性化廣告所需的個(gè)人數(shù)據(jù)類(lèi)型等重要條款分散在不同的文件里，獲取全部披露信息有時(shí)需要跳轉(zhuǎn)五到六次，繁雜程度高，有設(shè)置障礙之嫌。二是未盡到為個(gè)性化廣告提供法律依據(jù)的義務(wù)，主要表現(xiàn)為用戶(hù)的知情權(quán)沒(méi)有被充分保障。以“個(gè)性化廣告”段落為例，用戶(hù)無(wú)法從文本中充分了解數(shù)據(jù)處理過(guò)程中可能涉及的其他產(chǎn)品，如谷歌搜索、YouTube、谷歌地圖等。違規(guī)類(lèi)型：確保信息安全的技術(shù)和組織措施不足，不遵守一般數(shù)據(jù)處理原則，數(shù)據(jù)主體權(quán)利未充分履行保障，信息安全保護(hù)義務(wù)履行不足，數(shù)據(jù)處理協(xié)議不透明不足案例四：因數(shù)據(jù)共享不透明，20219DPC2.25，WhatsAppFacebook（Meta）共享數(shù)據(jù)方面未能GDPR違規(guī)類(lèi)型：不遵守一般數(shù)據(jù)處理原則，數(shù)據(jù)主體權(quán)利未充分保障履行，信息安全保護(hù)義務(wù)履行不足，數(shù)據(jù)處理協(xié)議不足不透明以隱私合規(guī)之名豎高墻如今許多國(guó)家將數(shù)字經(jīng)濟(jì)視為貿(mào)易發(fā)展的源動(dòng)力，為了彌補(bǔ)自身在技術(shù)研發(fā)上的相對(duì)劣勢(shì)，爭(zhēng)先通過(guò)嚴(yán)格的數(shù)據(jù)立法在數(shù)據(jù)治理的國(guó)際博弈中謀求制度先機(jī)。特別是以美歐為首的西方國(guó)家，為遏制中國(guó)互聯(lián)網(wǎng)等高新技術(shù)產(chǎn)業(yè)的發(fā)展，設(shè)立了極其嚴(yán)格的合規(guī)標(biāo)準(zhǔn)以提高數(shù)據(jù)市場(chǎng)準(zhǔn)入門(mén)檻，增強(qiáng)本國(guó)互聯(lián)網(wǎng)企業(yè)同外國(guó)巨頭的博弈籌碼。由此，外國(guó)極有可能以“隱私保護(hù)”為由否定我國(guó)互聯(lián)網(wǎng)企業(yè)的隱私保護(hù)措施，從而構(gòu)建阻礙我國(guó)互聯(lián)網(wǎng)企業(yè)擴(kuò)大海外市場(chǎng)份額的貿(mào)易壁壘。323，TikTok（ShouZiChew）受邀出明、用戶(hù)隱私、未成年人保護(hù)、消費(fèi)者信息安全等成為熱議話(huà)題（熱議”）就沒(méi)有做任何事情來(lái)保護(hù)美國(guó)人民。”2020年6月30日凌晨消息，印度政府在《印度快報(bào)》《印度斯坦時(shí)報(bào)》《今29TikTok5959以及《2009（阻止公眾獲取信息的程序和保障措施）59iOS些應(yīng)用有以未經(jīng)授權(quán)的方式竊取用戶(hù)數(shù)據(jù)秘密傳輸?shù)接《染惩獾姆?wù)器的行為”。（三）隱私泄露事件反思企業(yè)數(shù)據(jù)泄露事件反思2023102018ICO200040ICO迄今為止的最大罰單，根據(jù)英國(guó)航空的說(shuō)法，數(shù)據(jù)泄露事件發(fā)生在20188月21日至9月5日之間。網(wǎng)絡(luò)攻擊者在英國(guó)航空公司的網(wǎng)站與移動(dòng)應(yīng)用程序中植入了一個(gè)病毒版本的ModernizrJavaScript4庫(kù)。隨后，用戶(hù)被轉(zhuǎn)到一個(gè)虛假欺詐網(wǎng)站，導(dǎo)致約50萬(wàn)名用戶(hù)的多種信息被攻擊者竊取。其中包括用戶(hù)姓名與地址、登錄信息、支付卡信息、旅行預(yù)定詳情等5。但是，據(jù)ICO6了解，此次數(shù)據(jù)泄露早在2018年6月已經(jīng)開(kāi)始。4用于檢測(cè)用戶(hù)瀏覽器中的HTML5和CSS3特性打造出來(lái)的一臺(tái)精密的現(xiàn)代化機(jī)器5引自王文婧井玉倩：數(shù)據(jù)泄露天價(jià)罰單開(kāi)出英航、萬(wàn)豪將為用戶(hù)損失買(mǎi)單，2019年7月12日https:///article/H1AoXid8baqPXbT-zdqy6ICO(InformationCommissionersOffice)是英國(guó)為維護(hù)信息權(quán)利而設(shè)立的獨(dú)立機(jī)構(gòu)201511ICO2014webshell2018人數(shù)據(jù)泄露。其中，約3000萬(wàn)條與歐洲經(jīng)濟(jì)區(qū)（EEA）的31個(gè)國(guó)家的用戶(hù)有關(guān)，700萬(wàn)條與英國(guó)居民有關(guān)。這些數(shù)據(jù)包括客戶(hù)姓名、郵寄地址、電話(huà)號(hào)碼、電子郵箱此次數(shù)據(jù)泄露事件引發(fā)了很多思考，例如英國(guó)律師事務(wù)所MishcondeReya的合伙人尼爾·拜利斯思考，在收購(gòu)一家公司前也需注重對(duì)其數(shù)據(jù)保護(hù)政策的盡職調(diào)查，尤其是在處理個(gè)人數(shù)據(jù)量和業(yè)務(wù)結(jié)構(gòu)高風(fēng)險(xiǎn)性的行業(yè)企業(yè)當(dāng)中。7 從中可以得出，企業(yè)作為數(shù)據(jù)控制持有者需要把保護(hù)個(gè)體隱私納入企業(yè)管理團(tuán)隊(duì)的戰(zhàn)略規(guī)劃運(yùn)營(yíng)各個(gè)環(huán)節(jié)。私人照片泄露事件反思2014年8月314chan500張各種名人（主要是女性）ImgurReddit這次泄密事件被普遍稱(chēng)為“TheFappening8”和“Celebgate9”。這些圖像最初iCloud或iCloudAPI隱私的重大侵犯，而一些被指控的拍攝對(duì)象否認(rèn)了這些圖像的真實(shí)性。要反思頂層立法、行業(yè)守法、企業(yè)執(zhí)法及個(gè)人隱私保護(hù)如何更好落地。（四）隱私合規(guī)的價(jià)值從跨境電商微觀(guān)主體、行業(yè)、國(guó)家三個(gè)層面分析隱私合規(guī)的價(jià)值：微觀(guān)層面：數(shù)據(jù)保護(hù)惠及商家、平臺(tái)和用戶(hù)三方對(duì)于商家，在跨境電商中，商家需要收集和處理大量用戶(hù)數(shù)據(jù)以提供服務(wù)和改善用戶(hù)體驗(yàn)。有效地保護(hù)用戶(hù)隱私對(duì)于商家來(lái)說(shuō)是至關(guān)重要的，它有助于維護(hù)品牌形象、減少法律風(fēng)險(xiǎn)，并保持用戶(hù)的信任和忠誠(chéng)度。對(duì)于平臺(tái)，跨境電商平臺(tái)作為用戶(hù)和商家之間的橋梁，保護(hù)用戶(hù)隱私極其重要，有助于減少法律風(fēng)險(xiǎn)、保持用戶(hù)和商家的信任及忠誠(chéng)度，促進(jìn)平臺(tái)的長(zhǎng)期發(fā)展。對(duì)于用戶(hù)，保護(hù)用戶(hù)隱私是用戶(hù)的根本權(quán)益。保護(hù)用戶(hù)隱私是跨境電商應(yīng)盡的法律義務(wù)和社會(huì)責(zé)任，有助于提升用戶(hù)的購(gòu)物體驗(yàn)，維護(hù)社會(huì)的公平和正義。只有充分認(rèn)識(shí)到這一點(diǎn)并采取有效的措施來(lái)保護(hù)用戶(hù)隱私，才能建立起一個(gè)安全、可信賴(lài)的跨境電商環(huán)境。7引自：鄭萃穎萬(wàn)豪在英國(guó)被罰1.6億元，因?yàn)樾孤读?千萬(wàn)客人信息，2020年11月03日，界面新聞，有改動(dòng)。8艷照門(mén)事件9名人門(mén)中觀(guān)層面：促進(jìn)行業(yè)可持續(xù)發(fā)展在跨境電商行業(yè)中，隱私保護(hù)不僅是個(gè)體企業(yè)的行為，更是整個(gè)行業(yè)可持續(xù)發(fā)展的關(guān)鍵因素?？缇畴娚绦袠I(yè)的發(fā)展依賴(lài)于消費(fèi)者和企業(yè)的信任和參與。如果缺乏對(duì)隱私保護(hù)的重視，將導(dǎo)致消費(fèi)者和企業(yè)的信心下降，進(jìn)而影響整個(gè)行業(yè)的健康發(fā)展。因此，行業(yè)內(nèi)的企業(yè)應(yīng)共同遵守隱私保護(hù)的原則和規(guī)定，建立行業(yè)內(nèi)的信任體系，促進(jìn)跨境電商行業(yè)的可持續(xù)發(fā)展。宏觀(guān)層面：推動(dòng)國(guó)家經(jīng)濟(jì)增長(zhǎng)和國(guó)際形象提升隱私保護(hù)也是國(guó)際社會(huì)關(guān)注的熱點(diǎn)問(wèn)題，一個(gè)國(guó)家在隱私保護(hù)方面的表現(xiàn)，直接影響到國(guó)家的國(guó)際形象和國(guó)際競(jìng)爭(zhēng)力。因此，國(guó)家應(yīng)加強(qiáng)對(duì)跨境電商隱私保護(hù)的監(jiān)管和管理，建立健全相關(guān)的法律法規(guī)，提升國(guó)家在這方面的監(jiān)管水平，樹(shù)立良好的國(guó)際形象。綜上所述，隱私保護(hù)在跨境電商微觀(guān)主體、行業(yè)、國(guó)家三個(gè)層面都具有重要的價(jià)值。企業(yè)、行業(yè)和國(guó)家應(yīng)共同努力，加強(qiáng)對(duì)跨境電商隱私保護(hù)的重視和實(shí)踐，從而促進(jìn)跨境電商行業(yè)的健康發(fā)展，提升國(guó)家的經(jīng)濟(jì)增長(zhǎng)和國(guó)際形象。二.隱私合規(guī)的困境（一）創(chuàng)新帶來(lái)的隱私挑戰(zhàn)來(lái)源：作者自繪隨著底層的技術(shù)進(jìn)步，5G據(jù)遇到大模型，機(jī)器智能擺脫人工；虛擬現(xiàn)實(shí)、增強(qiáng)現(xiàn)實(shí)，數(shù)字人商業(yè)普及。業(yè)務(wù)創(chuàng)新快速迭代。業(yè)務(wù)創(chuàng)新迭代速度，遠(yuǎn)遠(yuǎn)高于行政立法的速度，行業(yè)規(guī)范緊追步伐。而技術(shù)是把雙刃劍，在推動(dòng)業(yè)務(wù)創(chuàng)新發(fā)展的同時(shí)，也帶來(lái)了更多的隱私數(shù)據(jù)泄露風(fēng)險(xiǎn)。首先，個(gè)人數(shù)據(jù)被大量收集、存儲(chǔ)和使用以服務(wù)于商業(yè)發(fā)展。這些數(shù)據(jù)很可能被用于廣告推送、市場(chǎng)分析、商品推薦等。例如，社交網(wǎng)絡(luò)、在線(xiàn)購(gòu)物和移動(dòng)應(yīng)用程序等都會(huì)收集和分析用戶(hù)的個(gè)人數(shù)據(jù)，包括位置、購(gòu)買(mǎi)習(xí)慣、瀏覽偏好等。這些數(shù)據(jù)一方面有利于個(gè)性化的推薦和營(yíng)銷(xiāo)策略，另一方面也增加了隱私泄露的風(fēng)險(xiǎn)。其次，新技術(shù)也提升了追蹤和監(jiān)視的難度。例如，人工智能技術(shù)可以用于個(gè)人的追蹤和監(jiān)視，從而侵犯?jìng)€(gè)人隱私。同時(shí)，監(jiān)控和追蹤技術(shù)、深度學(xué)習(xí)技術(shù)也被廣泛應(yīng)用于從個(gè)人數(shù)據(jù)中推斷出更多信息。這些技術(shù)的應(yīng)用可能涉及用戶(hù)的行為、位置、偏好等敏感信息，如果使用不當(dāng)或缺乏必要的監(jiān)管，就可能侵犯?jìng)€(gè)人隱私。此外，新技術(shù)的發(fā)展也帶來(lái)了數(shù)據(jù)安全和隱私保護(hù)的挑戰(zhàn)。例如，大數(shù)據(jù)技術(shù)被發(fā)展應(yīng)用于公共管理、科學(xué)研究、企業(yè)營(yíng)銷(xiāo)等各個(gè)領(lǐng)域，廣泛的應(yīng)用也帶來(lái)廣泛的數(shù)據(jù)泄露風(fēng)險(xiǎn)。從宏觀(guān)的大數(shù)據(jù)統(tǒng)計(jì)來(lái)看，2020386WIFIWIFI，WFI息建模是否侵犯?jìng)€(gè)人隱私呢？值得企業(yè)、行業(yè)、國(guó)家深思！總之，技術(shù)創(chuàng)新對(duì)隱私保護(hù)帶來(lái)了新的挑戰(zhàn)和機(jī)遇。需要采取有效的措施來(lái)保護(hù)個(gè)人隱私，包括建立健全相關(guān)的法律法規(guī)、加強(qiáng)行業(yè)自律和技術(shù)創(chuàng)新等。只有這樣，才能確保個(gè)人數(shù)據(jù)的安全和隱私權(quán)益得到充分保障。（二）地區(qū)差異帶來(lái)的法域沖突20186《通用數(shù)據(jù)保護(hù)條例》（GeneralDataProtectionRegulation，簡(jiǎn)稱(chēng)GDPR）堪稱(chēng)最嚴(yán)厲的個(gè)人數(shù)據(jù)保護(hù)法，極大提升了隱私保護(hù)標(biāo)準(zhǔn)和科技企業(yè)合規(guī)成本，引領(lǐng)了全球個(gè)人隱私保護(hù)立法熱潮。《加州消費(fèi)者隱私法案》（CaliforniaConsumerPrivacyAct，CCPA）是繼歐盟《一般數(shù)據(jù)保護(hù)條例》（GDPR）頒布后又一部數(shù)據(jù)隱私領(lǐng)域的重要法律。202071CCPAGDPR的空白，它旨在加強(qiáng)加州消費(fèi)者隱私權(quán)和數(shù)據(jù)安全保護(hù)，被認(rèn)為是美國(guó)當(dāng)前最嚴(yán)格的消費(fèi)者數(shù)據(jù)隱私保護(hù)立法。GDPR強(qiáng)調(diào)數(shù)據(jù)所有者的主體優(yōu)先性，通過(guò)賦予數(shù)據(jù)權(quán)利以提高個(gè)人數(shù)據(jù)保護(hù)力度的同時(shí)，又限制了企業(yè)的數(shù)據(jù)使用及處理行為。而CCPA在注重個(gè)人信息保護(hù)的基礎(chǔ)上，高度重視產(chǎn)業(yè)利益，合理地削弱個(gè)人對(duì)數(shù)據(jù)信息的絕對(duì)控制權(quán)，為數(shù)據(jù)所有者與控制者留有探索創(chuàng)新性數(shù)據(jù)交易商業(yè)模式的空間。具體來(lái)說(shuō)，比如兩者對(duì)于境外管轄權(quán)問(wèn)題便有著不同規(guī)定。GDPR人、屬地管轄之外，還納入了保護(hù)性管轄。對(duì)于互聯(lián)網(wǎng)企業(yè)而言，這意味著只要GDPR的管轄。而CCPA雖有擴(kuò)大管轄范圍的趨勢(shì)，但其綜合衡量各方要素，通過(guò)設(shè)置一定門(mén)檻對(duì)某些營(yíng)利性企業(yè)統(tǒng)一進(jìn)行保護(hù)性管轄，一定程度上限制了管轄權(quán)的過(guò)度擴(kuò)張。不難看出，歐美在數(shù)據(jù)治理問(wèn)題上存在著本質(zhì)性不同，其歸因于兩者數(shù)據(jù)保護(hù)的差異取向。進(jìn)一步究其原因，根本在于世界數(shù)字技術(shù)發(fā)展的不平衡。以歐盟為代表的國(guó)家或地區(qū)，為了彌補(bǔ)自身技術(shù)產(chǎn)業(yè)劣勢(shì)，通過(guò)實(shí)施嚴(yán)格的數(shù)據(jù)法案限制外來(lái)互聯(lián)網(wǎng)企業(yè)的侵襲以?xún)艋镜氐臄?shù)據(jù)競(jìng)爭(zhēng)環(huán)境；而以美國(guó)為代表的技術(shù)優(yōu)勢(shì)地區(qū)，通過(guò)放寬數(shù)據(jù)規(guī)則，致力于實(shí)現(xiàn)數(shù)據(jù)保護(hù)與產(chǎn)業(yè)發(fā)展的良性互動(dòng)。也正是價(jià)值取向的差異，直接決定了各國(guó)對(duì)于企業(yè)數(shù)據(jù)處理有著不同的標(biāo)準(zhǔn)及要求。對(duì)比分析GDPR和CCPA在隱私保護(hù)的差異：適用范圍和定義：GDPR人數(shù)據(jù)的非歐盟主體。它定義了個(gè)人數(shù)據(jù)包括任何與已識(shí)別或可識(shí)別的自然人相關(guān)的信息。相比之下，CCPA括一些難以識(shí)別的信息。但其影響力也不容忽視，因?yàn)樵S多在加州開(kāi)展業(yè)務(wù)的公司CCPA。隱私權(quán)利：GDPRCCPA數(shù)據(jù)處理和保護(hù)要求：GDPR同意。不要求事先獲得明確的同意，但允許數(shù)據(jù)主體選擇退出其個(gè)人信息的銷(xiāo)售。GDPR集、存儲(chǔ)和使用等各個(gè)環(huán)節(jié)。CCPA保護(hù)原則。跨境數(shù)據(jù)傳輸：GDPR當(dāng)隱私保護(hù)水平的地方處理。CCPA策并獲得用戶(hù)的同意。對(duì)于跨境電商企業(yè)來(lái)說(shuō)，需要：兩方面的法律規(guī)定。保在數(shù)據(jù)收集、存儲(chǔ)和使用等各個(gè)環(huán)節(jié)都遵守法律規(guī)定。相應(yīng)的隱私權(quán)利。用和保護(hù)。工的隱私保護(hù)意識(shí)和能力?？傊?，跨境電商企業(yè)需要關(guān)注不同國(guó)家和地區(qū)的隱私保護(hù)法律規(guī)定，并采取有效的措施確保個(gè)人數(shù)據(jù)的合規(guī)性和安全性，以滿(mǎn)足企業(yè)發(fā)展需要，降低企業(yè)經(jīng)營(yíng)風(fēng)險(xiǎn)。（三）隱私合規(guī)成本大幅提升罰沒(méi)成本高在GDPR實(shí)施5周年之際，截止日期為2023年3月1日，CMS執(zhí)法跟蹤數(shù)據(jù)庫(kù)中共記錄了1,576筆罰款（與2022年GDPR執(zhí)法跟蹤報(bào)告相比增加了545筆）（1,672筆罰款（如果金額或日期信息有限）也計(jì)算在內(nèi)），罰款總額約為27.7億歐元（與2022年GDPR執(zhí)法跟蹤報(bào)告相比增加了11.9億歐元）。在2018-2023年報(bào)告期內(nèi)，所有國(guó)家的平均罰款約為1,755,366歐元。2018年，當(dāng)局似乎允許數(shù)據(jù)控制者和他們自己在初始階段熟悉GDPR2019未有的罰款。雖然2021年也出現(xiàn)過(guò)這種情況，但2022年，社交媒體平臺(tái)運(yùn)營(yíng)商再次面臨數(shù)億歐元的巨額罰款，導(dǎo)致迄今為止最大的5項(xiàng)罰款均在2.25億歐元至7.46億歐元之間。數(shù)據(jù)來(lái)源：CMS,GDPR執(zhí)法跟蹤數(shù)據(jù)庫(kù)根據(jù)世界各國(guó)的數(shù)據(jù)立法趨勢(shì)，數(shù)據(jù)主體的權(quán)利愈加完善。以知情權(quán)、被遺忘權(quán)為代表的新設(shè)數(shù)據(jù)權(quán)利，昭示著各國(guó)立法已將數(shù)據(jù)主體一般的數(shù)據(jù)權(quán)利上升到基本人權(quán)的高度，同時(shí)數(shù)據(jù)保護(hù)周期也隨之延伸。而這也對(duì)應(yīng)地增加了互聯(lián)網(wǎng)企業(yè)的義務(wù)負(fù)擔(dān)。GDPR等法規(guī)對(duì)企業(yè)都提出了較高的要求。合規(guī)投入大需要投入大量的資源重塑其內(nèi)部的運(yùn)行規(guī)則。而當(dāng)入不敷出的情形出現(xiàn)時(shí)，企業(yè)便會(huì)因此而退出某一國(guó)家的數(shù)據(jù)業(yè)務(wù)。僅針對(duì)GDPR的合規(guī)要求，全球便有20%的企業(yè)因違反合規(guī)要求而導(dǎo)致破產(chǎn)，甚至出現(xiàn)了美國(guó)洛杉磯時(shí)報(bào)及芝加哥論壇報(bào)等企業(yè)因GDPR合規(guī)成本過(guò)高而直接退出歐盟市場(chǎng)的現(xiàn)象。由此可見(jiàn)，現(xiàn)如今互聯(lián)網(wǎng)企業(yè)跨境數(shù)據(jù)規(guī)模的壓力隨著新設(shè)數(shù)據(jù)權(quán)利的出現(xiàn)而隨之陡增。運(yùn)營(yíng)消耗巨各項(xiàng)數(shù)據(jù)處理流程的規(guī)范性尚需提高。在各國(guó)立法對(duì)個(gè)人數(shù)據(jù)全生命周期予以保護(hù)的情況下，互聯(lián)網(wǎng)企業(yè)需要針對(duì)每一項(xiàng)數(shù)據(jù)處理流程進(jìn)行合規(guī)性檢查并進(jìn)行合規(guī)文檔記錄，以應(yīng)對(duì)日漸嚴(yán)苛的數(shù)據(jù)行為要求。數(shù)據(jù)全生命周期的保護(hù)需要互聯(lián)網(wǎng)企業(yè)在每一項(xiàng)數(shù)據(jù)處理過(guò)程中提高行為的規(guī)范性，而這往往需要耗費(fèi)大量的資源成本。創(chuàng)新枷鎖生個(gè)性化創(chuàng)新技術(shù)與應(yīng)用服務(wù)遭遇阻礙?；ヂ?lián)網(wǎng)企業(yè)依靠算法技術(shù)，運(yùn)用機(jī)器學(xué)習(xí)將原始數(shù)據(jù)自動(dòng)轉(zhuǎn)化為計(jì)算編碼，從而針對(duì)用戶(hù)實(shí)現(xiàn)個(gè)性化廣告的投放。而在各國(guó)數(shù)據(jù)法賦予用戶(hù)的私權(quán)中，許多新設(shè)權(quán)利將與機(jī)器學(xué)習(xí)的特性產(chǎn)生沖突，從而影響人工智能及其關(guān)聯(lián)技術(shù)的應(yīng)用。從根據(jù)用戶(hù)喜好精準(zhǔn)推送短視頻的抖音，到交易數(shù)據(jù)不可篡改以提高效率的區(qū)塊鏈，再到C2C模式下的電子支付、電子商務(wù)，互聯(lián)網(wǎng)企業(yè)的許多創(chuàng)新科技與應(yīng)用都將因此而受到影響。三.隱私合規(guī)的趨勢(shì)在數(shù)據(jù)經(jīng)濟(jì)發(fā)展全球化、數(shù)據(jù)治理現(xiàn)代化的時(shí)代大背景下，全球各國(guó)立足于本國(guó)的核心價(jià)值訴求、產(chǎn)業(yè)發(fā)展需要，積極出臺(tái)了數(shù)據(jù)治理的國(guó)家政策及法律規(guī)范，同時(shí)配套系統(tǒng)的司法執(zhí)法機(jī)制以保護(hù)國(guó)民數(shù)據(jù)權(quán)益、構(gòu)建體系化的數(shù)據(jù)治理結(jié)構(gòu)、推進(jìn)高新技術(shù)產(chǎn)業(yè)發(fā)展。從歐盟強(qiáng)調(diào)數(shù)據(jù)主體優(yōu)先權(quán)的GDPR，到美國(guó)洲際私權(quán)產(chǎn)業(yè)并駕推進(jìn)的CCPA，再到我國(guó)繼《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法》之后再審議的《個(gè)人信息保護(hù)法（草案）》（以下簡(jiǎn)稱(chēng)“草案”），都昭示著互聯(lián)網(wǎng)大國(guó)圍繞數(shù)據(jù)治理展開(kāi)的競(jìng)爭(zhēng)與合作持續(xù)深化。而以歐美為代表的數(shù)據(jù)治理進(jìn)程，在可預(yù)見(jiàn)的時(shí)間內(nèi)將達(dá)到更高的境界，從而給我國(guó)互聯(lián)網(wǎng)企業(yè)的跨境數(shù)據(jù)合規(guī)帶來(lái)新的挑戰(zhàn)。（一）國(guó)家間、區(qū)域間數(shù)據(jù)流轉(zhuǎn)規(guī)則逐漸明確以GDPR、CCPA為代表的數(shù)據(jù)立法潮流，影響著世界各國(guó)的立法風(fēng)格，許多國(guó)家也陸續(xù)出臺(tái)了跨境數(shù)據(jù)流動(dòng)規(guī)則。日本與GDPR、CCPA等機(jī)制銜接，建立“匿名化數(shù)據(jù)處理”的跨境數(shù)據(jù)自由流動(dòng)規(guī)則；印度受CCPA影響，根據(jù)數(shù)據(jù)是否為敏感數(shù)據(jù)，采取數(shù)據(jù)主體同意轉(zhuǎn)移制等方式，在融入數(shù)據(jù)全球化、保護(hù)數(shù)據(jù)主體私權(quán)、促進(jìn)國(guó)家產(chǎn)業(yè)發(fā)展之間達(dá)到了合理的平衡。（二）國(guó)際數(shù)據(jù)治理的規(guī)定范圍更加精細(xì)在對(duì)現(xiàn)有內(nèi)容細(xì)化的同時(shí)，也從個(gè)人數(shù)據(jù)信息延伸到了非個(gè)人數(shù)據(jù)等新領(lǐng)域。各國(guó)加速本國(guó)數(shù)據(jù)法律體系建設(shè)，通過(guò)數(shù)據(jù)法律規(guī)范的完善以在數(shù)據(jù)治理的法律博弈中搶占先機(jī)。比如歐盟自2019年5月始實(shí)行的《非個(gè)人數(shù)據(jù)自由流動(dòng)條例》（RegulationontheFreeFlowofNon-personalData），與GDPR聯(lián)合施效，增強(qiáng)歐盟對(duì)數(shù)據(jù)的管控力；再如美國(guó)于2018年3月通過(guò)了《澄清境外數(shù)據(jù)的合法使用法案》（ClarifyingLawfulOverseasUseofDataAct，CLOUD法案），它使美國(guó)政府更容易獲取存儲(chǔ)在海外的數(shù)據(jù)。這對(duì)于調(diào)查犯罪和恐怖主義活動(dòng)可能很有幫助。但是，它也引發(fā)了人們對(duì)隱私的擔(dān)憂(yōu)，因?yàn)槊绹?guó)政府可以獲取這些數(shù)據(jù)而無(wú)需獲得搜查令或通知數(shù)據(jù)所有者。適用“控制者原則”細(xì)化數(shù)據(jù)執(zhí)法爭(zhēng)議。（三）各國(guó)、各區(qū)域數(shù)據(jù)主體的數(shù)據(jù)權(quán)利愈加完善比如GDPR、CCPA及草案《個(gè)保法》都為數(shù)據(jù)主體規(guī)定了知情權(quán)、拒絕權(quán)、更正權(quán)、刪除權(quán)等新設(shè)權(quán)利，在保障數(shù)據(jù)主體合法權(quán)益的同時(shí)，也增加了互聯(lián)網(wǎng)企業(yè)等數(shù)據(jù)控制者的義務(wù)負(fù)擔(dān)。（四）各國(guó)、各區(qū)域數(shù)據(jù)法案執(zhí)法范圍逐步擴(kuò)大在世界數(shù)據(jù)立法中“擴(kuò)大域外管轄范圍”并非個(gè)例，其反而代表了一股國(guó)際潮流。除了歐盟GDPR、美國(guó)CLOUD、CCPA法案外，許多國(guó)家通過(guò)數(shù)據(jù)立法擴(kuò)大本國(guó)個(gè)人信息保護(hù)法的出臺(tái)2020年6月出臺(tái)的草案，超越了《網(wǎng)絡(luò)安全法》等法律中傳統(tǒng)的屬人、屬地管轄，將管轄范圍延伸到境外主體在境外的管轄權(quán)，也明顯地體現(xiàn)了域外管轄范圍擴(kuò)大的趨勢(shì)。（五）各國(guó)完善數(shù)據(jù)立法配套制度框架194個(gè)國(guó)家中有13771%，其中便有75保障數(shù)據(jù)規(guī)范的落實(shí)與執(zhí)行。以歐盟為例，GDPR第51條要求成員國(guó)建立國(guó)家數(shù)據(jù)保護(hù)機(jī)構(gòu)（NationalDataProtectionAuthorities，DPAs），情況。法國(guó)CNIL&Google一案中對(duì)GoogleCNIL便是DPAs總之，以歐美為代表的國(guó)際數(shù)據(jù)治理框架正朝著一個(gè)數(shù)據(jù)立法愈加完備、執(zhí)法機(jī)制更為嚴(yán)格的方向發(fā)展，其中對(duì)于互聯(lián)網(wǎng)企業(yè)的跨境數(shù)據(jù)合規(guī)要求勢(shì)必會(huì)逐步嚴(yán)格。在多重?cái)?shù)據(jù)規(guī)則中，互聯(lián)網(wǎng)企業(yè)將會(huì)面臨更高的違規(guī)風(fēng)險(xiǎn)。四.隱私合規(guī)的實(shí)踐隱私合規(guī)治理的核心是如何收集、傳輸、保留、處理數(shù)據(jù)，包括與任何第三方共享數(shù)據(jù)，以及遵守適用的隱私法。從決策層到技術(shù)層，從管理制度到工具支撐，自上而下建立的數(shù)據(jù)安全保障體系和保護(hù)生態(tài)。（一）借鑒GRC框架，構(gòu)建成熟的管理、技術(shù)、運(yùn)營(yíng)體系通過(guò)采用GRC10組織的治理和風(fēng)險(xiǎn)管理與其技術(shù)創(chuàng)新和采用相統(tǒng)一的工具和流程。公司使用GRC規(guī)性要求，并確保業(yè)務(wù)連續(xù)性。公司通過(guò)采用包含與組織戰(zhàn)略目標(biāo)一致的關(guān)鍵政策的GRC框架來(lái)實(shí)施GRC。關(guān)鍵利益相關(guān)者在制定政策、構(gòu)建工作流程和治理公司時(shí)，將工作建立在對(duì)GRC框架的共同理解的基礎(chǔ)上，使用系統(tǒng)和工具協(xié)調(diào)和監(jiān)控GRC框架的成功落地。10GRC（即治理、風(fēng)險(xiǎn)與合規(guī)）是一種用于管理治理、風(fēng)險(xiǎn)管理以及行業(yè)和政府法規(guī)合規(guī)性的組織策略。GRC還指用于實(shí)施和管理企業(yè)GRC計(jì)劃的整套集成軟件功能。GRC的整套實(shí)踐和流程為使IT與業(yè)務(wù)目標(biāo)保持一致提供了一種結(jié)構(gòu)化的方法。GRC可幫助公司有效管理IT和安全風(fēng)險(xiǎn)、降低成本并滿(mǎn)足合規(guī)性要求。通過(guò)利用綜合視圖展現(xiàn)組織的風(fēng)險(xiǎn)管理狀況，它還有助于改進(jìn)決策和績(jī)效。來(lái)源：作者自繪來(lái)自網(wǎng)絡(luò)GRCGRC術(shù)，安全運(yùn)營(yíng)系統(tǒng)性規(guī)劃設(shè)計(jì)，以確保企業(yè)履行信息安全保護(hù)的責(zé)任和義務(wù)。（二）抓住跨境電商隱私合規(guī)要點(diǎn)中國(guó)的跨境電商交易近年來(lái)呈現(xiàn)迅猛增長(zhǎng)的趨勢(shì)。政府工作報(bào)告中提到要“加快跨境電商等新業(yè)態(tài)發(fā)展”，這表明未來(lái)跨境電商在中國(guó)國(guó)際貿(mào)易中的份額將持續(xù)擴(kuò)大，而且跨境電商將在國(guó)家對(duì)外開(kāi)放戰(zhàn)略中發(fā)揮更加重要的作用。隨著跨境電商行業(yè)的迅速崛起，隨之而來(lái)的數(shù)據(jù)量不斷增加，涉及的領(lǐng)域也愈發(fā)廣泛?？缇畴娚痰恼麄€(gè)生命周期與數(shù)據(jù)息息相關(guān)，跨境電商企業(yè)需要深入分析和利用這些用戶(hù)信息，這成為企業(yè)競(jìng)爭(zhēng)的核心要素之一。數(shù)據(jù)和信息也成為企業(yè)的重要估值依據(jù)。在跨境電商的完整運(yùn)營(yíng)過(guò)程中，國(guó)內(nèi)外消費(fèi)者、跨境電商企業(yè)、電商平臺(tái)公司以及第三方服務(wù)提供商等各方在線(xiàn)上和線(xiàn)下場(chǎng)景中緊密交互，形成了復(fù)雜的數(shù)據(jù)互動(dòng)網(wǎng)絡(luò)。每一筆跨境電商交易都涉及用戶(hù)信息、支付數(shù)據(jù)、物流信息等個(gè)人數(shù)據(jù)，這些數(shù)據(jù)是跨境電商活動(dòng)的重要組成部分。然而，跨境電商領(lǐng)域的隱私合規(guī)和數(shù)據(jù)安全問(wèn)題仍然突出存在。正所謂，隨心所欲不逾矩。如何在合法合規(guī)的前提下開(kāi)展業(yè)務(wù)并且釋放數(shù)據(jù)價(jià)值，成為一個(gè)值得關(guān)注的話(huà)題。具體來(lái)看，跨境電商在數(shù)據(jù)合規(guī)領(lǐng)域面臨著如下幾個(gè)要點(diǎn)：電商業(yè)務(wù)場(chǎng)景下的同意管理清晰的方式獲取了用戶(hù)的同意是最易感知的、易引發(fā)用戶(hù)關(guān)注及投訴的個(gè)人信息收集問(wèn)題。確保獲取用戶(hù)的合法有效授權(quán)同意是電商企業(yè)應(yīng)優(yōu)先考慮的合規(guī)問(wèn)題。通常情況下，以下數(shù)據(jù)收集情景，電商企業(yè)應(yīng)特別留意：應(yīng)設(shè)立隱私政策等明確的個(gè)人信息收集處理規(guī)則；以醒目、顯著、易于察覺(jué)的方式呈現(xiàn)隱私政策（擇框等），方便用戶(hù)查閱或獲得他們的清晰同意；類(lèi)型、數(shù)據(jù)共享和數(shù)據(jù)跨境的情況。此外，需要特別關(guān)注的是，除了上述提到的途徑外，考慮到電商的多樣性和便捷性，數(shù)據(jù)收集也可能隱藏在私域流量運(yùn)營(yíng)等典型情境中，例如在即時(shí)通訊應(yīng)用的群組聊天或評(píng)論中。除了依賴(lài)平臺(tái)提供的隱私政策外，電商企業(yè)應(yīng)結(jié)合平臺(tái)特點(diǎn)，在實(shí)施具體數(shù)據(jù)收集處理活動(dòng)之前，通過(guò)友好的提示或?qū)τ脩?hù)友好的設(shè)計(jì)，引導(dǎo)用戶(hù)仔細(xì)閱讀個(gè)人信息收集處理規(guī)則，了解并同意規(guī)則內(nèi)容，以確保數(shù)據(jù)收集場(chǎng)景的合法性。定向營(yíng)銷(xiāo)在定向營(yíng)銷(xiāo)場(chǎng)景下，隱私合規(guī)問(wèn)題成為極為重要的考慮因素。定向營(yíng)銷(xiāo)依賴(lài)于個(gè)人數(shù)據(jù)的收集和分析，以精準(zhǔn)地針對(duì)特定用戶(hù)進(jìn)行廣告投放。如何確保決策過(guò)程的透明度和結(jié)果的公正性，以降低合規(guī)風(fēng)險(xiǎn)并保護(hù)消費(fèi)者權(quán)益，一直是需要關(guān)注的隱私挑戰(zhàn)。應(yīng)滿(mǎn)足的合規(guī)要求如下：用戶(hù)同意和知情權(quán)：收集用戶(hù)數(shù)據(jù)前，必須以明確、透明的方式告知用戶(hù)向廣告。退出和選擇權(quán)：用戶(hù)應(yīng)具備隨時(shí)退出定向廣告或選擇不接收個(gè)性化廣告的時(shí)提供不基于個(gè)人特征的選項(xiàng)。數(shù)據(jù)最小化原則：是過(guò)度收集用戶(hù)信息。這有助于減少潛在的隱私風(fēng)險(xiǎn)。個(gè)人信息的匿名化和去標(biāo)識(shí)化：用匿名化和去標(biāo)識(shí)化技術(shù)，以減少用戶(hù)被識(shí)別的風(fēng)險(xiǎn)。第三方數(shù)據(jù)共享電商企業(yè)在使用數(shù)據(jù)的過(guò)程中，會(huì)出于各種目的與外部第三方進(jìn)行數(shù)據(jù)共享，可能涉及的第三方包括物流供應(yīng)商，支付服務(wù)提供商，第三方平臺(tái)供應(yīng)商和廣告和營(yíng)銷(xiāo)服務(wù)提供商等。在數(shù)據(jù)共享的過(guò)程中，涉及大量的隱私合規(guī)風(fēng)險(xiǎn)，跨境電商企業(yè)應(yīng)采取足夠的組織和技術(shù)措施進(jìn)行管控。應(yīng)重點(diǎn)關(guān)注的領(lǐng)域包括：識(shí)別角色并明確義務(wù)：據(jù)保護(hù)方面的權(quán)利和義務(wù)。明確數(shù)據(jù)使用目的：第三方只能按照這些明確的目的使用數(shù)據(jù)。這有助于避免數(shù)據(jù)被濫用。授權(quán)和知情權(quán)：據(jù)將與哪些第三方共享。透明地向數(shù)據(jù)主體提供共享細(xì)節(jié)是合規(guī)的關(guān)鍵。數(shù)據(jù)安全保護(hù)：據(jù)傳輸和存儲(chǔ)的加密、訪(fǎng)問(wèn)控制、漏洞修復(fù)等。監(jiān)管和審計(jì)：性。這包括審查數(shù)據(jù)的使用情況以及數(shù)據(jù)安全措施的有效性。有時(shí)在跨境電商的場(chǎng)景下，需要實(shí)現(xiàn)與合作伙伴一起利用數(shù)據(jù)，但需要找到更好地保護(hù)數(shù)據(jù)方式。當(dāng)前通用的做法是企業(yè)向合作伙伴提供數(shù)據(jù)副本，并依賴(lài)合同協(xié)議防止濫用。但企業(yè)更希望盡可能限制數(shù)據(jù)移動(dòng)，以保護(hù)其數(shù)據(jù)，防止誤用，并避免泄漏風(fēng)險(xiǎn)。因此，需要找到合適的方式做到數(shù)據(jù)可用不可見(jiàn)。在業(yè)界常見(jiàn)的最佳實(shí)踐包括像亞馬遜云科技提供的數(shù)據(jù)共享協(xié)作服務(wù)，可以讓多方更輕松地分析和協(xié)作處理集體數(shù)據(jù)集，從而獲得見(jiàn)解，而不泄露基礎(chǔ)數(shù)據(jù)。在廣泛應(yīng)用于跨境電商、廣告等行業(yè)中，幫助客戶(hù)在共享數(shù)據(jù)集上進(jìn)行協(xié)作，同時(shí)仍然保護(hù)底層原始數(shù)據(jù)。數(shù)據(jù)安全跨境電商面臨著多個(gè)環(huán)節(jié)的數(shù)據(jù)安全問(wèn)題：首先，在跨境電商企業(yè)在用戶(hù)注冊(cè)、購(gòu)買(mǎi)和支付等環(huán)節(jié)積累了大量用戶(hù)數(shù)據(jù)。數(shù)據(jù)安全管理欠佳可能有內(nèi)部工作人員通過(guò)用戶(hù)數(shù)據(jù)倒賣(mài)牟利的風(fēng)險(xiǎn)，這是信息泄露的一個(gè)重要的風(fēng)險(xiǎn)點(diǎn)。因此，企業(yè)的數(shù)據(jù)保護(hù)要求至關(guān)重要，包括在內(nèi)部建立信息安全體系。其次，在跨境電商物流環(huán)節(jié)，物流系統(tǒng)漏洞和物流單據(jù)的交易也帶來(lái)了數(shù)據(jù)安物流企業(yè)在構(gòu)建交易系統(tǒng)時(shí)可能會(huì)忽視數(shù)據(jù)保護(hù)技術(shù)和人力投入，容易產(chǎn)生系統(tǒng)安全漏洞，導(dǎo)致商家和用戶(hù)數(shù)據(jù)的泄露。最后，在跨境電商用戶(hù)環(huán)節(jié)，常見(jiàn)的數(shù)據(jù)安全問(wèn)題包括釣魚(yú)攻擊、賬號(hào)被盜和木馬病毒。釣魚(yú)攻擊是一種欺詐行為，攻擊者通常偽裝成合法的實(shí)體，欺騙用戶(hù)提供個(gè)人敏感信息，如密碼和信用卡信息。賬號(hào)被盜是另一個(gè)問(wèn)題，攻擊者可能通過(guò)密碼猜測(cè)、社會(huì)工程學(xué)手段或已泄露的賬號(hào)信息入侵用戶(hù)的電商賬戶(hù)，可能導(dǎo)致財(cái)務(wù)損失和信任問(wèn)題。此外，木馬病毒常偽裝成合法應(yīng)用程序，一旦用戶(hù)安裝，會(huì)執(zhí)行惡意操作，如竊取信息或監(jiān)控用戶(hù)活動(dòng)。這些威脅可能導(dǎo)致用戶(hù)的個(gè)人和金融信息泄露。因此，跨境電商必須全面關(guān)注并解決這些不同環(huán)節(jié)的數(shù)據(jù)安全問(wèn)題，采取合適的措施以保護(hù)用戶(hù)和企業(yè)的數(shù)據(jù)安全。在跨境電商領(lǐng)域，企業(yè)將面臨許多隱私合規(guī)和數(shù)據(jù)安全問(wèn)題。重視并解決這些數(shù)據(jù)和隱私風(fēng)險(xiǎn)對(duì)于企業(yè)的順利出海至關(guān)重要。然而，商業(yè)競(jìng)爭(zhēng)日益激烈，這也使得企業(yè)在發(fā)展過(guò)程中不可避免地會(huì)面臨業(yè)務(wù)發(fā)展和監(jiān)管要求之間的矛盾。如何取得平衡，找到合理的解決機(jī)制，是電商企業(yè)必須認(rèn)真思考的問(wèn)題。（三）建立完善隱私成熟度評(píng)估體系從目標(biāo)地區(qū)和國(guó)家用戶(hù)視角，串行、并行檢測(cè)、監(jiān)測(cè)數(shù)據(jù)收集、傳輸、保留、使用和銷(xiāo)毀串行運(yùn)營(yíng)體系設(shè)計(jì)模型中的數(shù)據(jù)暴露點(diǎn)，嚴(yán)重用戶(hù)體驗(yàn)、安全性、可靠性。通過(guò)PDCA11模型，持續(xù)優(yōu)化、改進(jìn)用戶(hù)體驗(yàn)、安全性和可靠性。11PDCA循環(huán)是美國(guó)質(zhì)量管理專(zhuān)家沃特·阿曼德·休哈特（WalterA.Shewhart）首先提出的，由戴明采納、宣傳，獲得普及，所以又稱(chēng)戴明環(huán)。全面質(zhì)量管理的思想基礎(chǔ)和方法依據(jù)就是PDCA循環(huán)。PDCA循環(huán)的含義是將質(zhì)來(lái)源：Kaamel和作者聯(lián)合繪制隱私成熟度評(píng)估體系將隱私工作分為多個(gè)領(lǐng)域，每個(gè)領(lǐng)域內(nèi)細(xì)分不同的成熟度等級(jí)定義。不同的隱私成熟度評(píng)估體系劃分領(lǐng)域的方法有所不同。根據(jù)實(shí)踐經(jīng)驗(yàn)，推薦可以將各個(gè)領(lǐng)域分為政策合同、產(chǎn)品技術(shù)以及組織流程三個(gè)類(lèi)別。政策合同類(lèi)下的領(lǐng)域關(guān)注企業(yè)面向用戶(hù)，面向合作伙伴，以及面向監(jiān)管是