咨询

搜集和使用用户数据也有潜在风险!做好这两件事才能防患于未然

发布时间:2022-09-20 16:44:05

2022年6月,工信部通报已累计下架违法违规APP近300款,其中主要是违规收集个人信息,除了中国以外,美国、印度、欧盟、澳大利亚、印尼这些国家也都会对违反内容安全,或者是个人信息相关的APP进行封禁处理。据统计,截至2022年6月12日,欧盟数据保护监管机构根据GDPR进行罚款的次数达到了1119次,共计16.4亿欧元。

迄今为止金额最高的GDPR罚单前十名 (来源:enforcementtracker.com)

除了封禁下架,更主流的处罚方式是罚款,滴滴前段时间被罚10多亿美元,刷新的最高罚金记录。触发罚款的主要事件类型:一是数据泄露案件;二是营销类案件,包括电话营销与定向广告推送。

数据隐私的合规,主要涉及用户隐私协议的规范性、用户信息收集的方式、范围和用途的披露、潜在数据泄漏风险的披露,以及是否误导用户同意信息收集等。一般来讲,个人信息的违规成本主要有产品被封禁或下架、高额罚款。

  • 跨境卖家在收集用户数据时,有哪些注意事项?

在营销端,数据合规意味着禁止第三方Cookie未经用户授权的精准营销。不少跨境卖家已经发现其数字广告效果失衡或降低广告ROI等情况。为此,出海电商不得不在经营策略上做出调整。一方面,对用户授权使用的数据要更自觉地“合规”使用。另一方面,卖家必须逐渐积累自己的数据资产。

根据各国法规政策的合规性,用户数据收集一般都含以下细分项目:

1. 用户隐私政策是否以用户方便获取、阅读和理解的方式弹出或展示;

2. 个人信息收集行为是否向用户明示,是否获取用户授权同意;

3. 个人信息数据使用的具体场景、涉及的数据信息使用权限和提取范围等,用户是否知悉;

4. 涉及儿童数据信息收集的行为是否符合儿童线上隐私保护规定;

欧盟、中国、新加坡、巴西规定推送广告前必须征得用户同意,在美国、日本不用,但必须有“退订”功能,且需要在隐私政策里说明收集用户信息会用于营销推送。已经有130多个国家颁布了《个人信息保护法》,公司在海外若有多国业务,我们建议用GDPR(欧盟发布的《通用数据保护条例》)和CDPA(美国弗吉尼亚发布的《消费者数据保护法》)这两套法律建立自己企业的隐私合规体系。

  • 跨境卖家如何规避数据违约风险?

用户数据的收集一般在以下4个场景:

1. 用户隐私政策是否以用户方便获取、阅读和理解的方式弹出或展示;

2. 个人信息收集行为是否向用户明示,是否获取用户授权同意;

3. 个人信息数据使用的具体场景、涉及的数据信息使用权限和提取范围等,用户是否知悉;

4. 涉及儿童数据信息收集的行为是否符合儿童线上隐私保护规定;

个人信息的收集和利用,是跨境电商行业中一个高频的动作,每天都在发生。电商卖家需要根据买家的手机号码、邮箱、地址来安排发货,还会结合用户的消费记录进行数据挖掘,对消费行为进行洞察,以便在选择商品或者备货的时候更好地做到心中有数。

卖家如果在经营过程中对自己收集的大量用户信息保护不力,导致个人信息泄露或被不正当利用,就有可能遭受用户投诉,还会招致政府部门的追究和处罚,最终可能需承担巨大的赔偿责任和损失。

面对越来越严的个人信息保护法规要求,卖家可以在以下角度在运营中做好合规:

1. 采用技术手段做好个人信息保护工作。可以采取的技术手段包括以下的方式:

① 对于存储个人信息的系统,应该做好访问权限的控制,只给因工作职责需要了解和处理个人信息的人员设置访问权限。系统应设置有权限的用户的访问和操作记录的日志;

② 对包含了个人信息的文件要进行加密传输;

③信息系统进行定期的审计,查找漏洞,提升安全等级,防止黑客和病毒攻击。

2. 熟悉和理解法规的具体要求。这个工作可以交给公司的法务部门和IT部门来完成。如果公司内部缺乏专业人才对法规进行解读,可以聘请专业的顾问对公司的合规情况进行摸底调查,输出差距分析,然后再采取整改措施。

3. 对公司全员进行个人数据保护合规的培训。数据保护合规不仅仅是法务部和IT部门的工作,大部分员工的日常工作,都会涉及到一些工作需要遵守相应的合规标准。

4. 对于独立站卖家来说,完善的隐私政策至关重要。卖方应与本公司的服务提供者订立资料处理协议,若因服务提供者的过失而自行承担责任,应将相关资料保护合规义务传导至服务提供者,并可让服务提供者追偿。