2024跨境电商隐私合规白皮书

跨境电商隐私合规白皮书 Cross-bordere-commerceprivacycompliancewhitepaper 目录 引言1 一.隐私合规的价值2 （一）隐私合规概念界定2 1.数据定义2 2.隐私数据定义2 3.地域间界定方法和概念差异3 4.隐私数据泄露3 5.隐私合规4 （二）隐私合规的全球背景4 1.隐私立法潮流4 2.隐私违规判罚案例统计概览5 3.以隐私合规之名竖高墙7 （三）隐私泄露事件反思7 1.企业数据泄露事件反思7 2.私人照片泄露事件反思8 （四）隐私合规的价值8 1.微观层面：数据保护惠及商家、平台和用户三方8 2.中观层面：促进行业可持续发展9 3.宏观层面：推动国家经济增长和国际形象提升9 二.隐私合规的困境9 （一）创新带来的隐私挑战9 （二）地区差异带来的法域冲突10 （三）隐私合规成本大幅提升11 1.罚没成本高11 2.合规投入大12 3.运营消耗巨13 4.创新枷锁生13 三.隐私合规的趋势13 （一）国家间、区域间数据流转规则逐渐明确13 （二）国际数据治理的规定范围更加精细13 （三）各国、各区域数据主体的数据权利愈加完善14 （四）各国、各区域数据法案执法范围逐步扩大14 （五）各国完善数据立法配套制度框架14 四.隐私合规的实践14 （一）借鉴GRC框架，构建成熟的管理、技术、运营体系14 （二）抓住跨境电商隐私合规要点15 1.电商业务场景下的同意管理16 2.定向营销16 3.第三方数据共享16 4.数据安全17 （三）建立完善隐私成熟度评估体系17 五．跨境电商行业建议19 （一）市场层面19 1.推动行业自律和标准制定19 2.加强与用户的沟通和互动19 3.推动与其他企业的合作和交流19 （二）政府层面19 1.完善法律法规和监管机制19 2.提供指导和支持19 3.加强国际合作和交流19 （三）全球治理层面19 1.积极参与国际组织和倡议19 2.遵守国际规则和原则19 3.关注全球治理动态和趋势20 六、总结20 参考资料20 鸣谢22 引言 作为全球贸易新旧动能转换的重要组成部分，跨境电子商务逐步成为推动经济增长和新旧动能转换的关键动力。国家发改委在2022年发表的《大力推动我国数字经济健康发展》分析文章中明确提出我国要“大力发展跨境电商，打造跨境电商产业链和生态圈。” 近十年，国内的互联网快速发展，同样的模式复制到出海场景，尤其是跨境电子商务，水土不服现象频发。一方面，爆点事件频发，引发各国、各区域的隐私合规意识提升；另一方面，各国、各区域内部，国与国之间、区域与区域之间的科技、互联网发展速度差异，为保护各自在数字经济国际竞争中的主动地位，各国各区域已经或纷纷立法，保护数字隐私。 科技创新催生业务创新，业务创新带动科技创新，DNA双螺旋模式驱动数字经济高速发展。数据就是构成这个DNA双螺旋的基本元素，数据在电子商务和数字经 济中日益重要的作用。数据驱动的经济为创造财富和应对发展挑战带来了新的机遇，但也引发了与数据隐私和安全、跨境数据流动、市场集中度和税收等相关的各种潜在关切。 随着数字经济的高速发展，在各个行业，各个企业，各个机构，各国各区域政府都汇集了海量的大数据，数据湖技术应运而生、应运而蓬勃发展。这些数据湖可以被挖掘和分析，以找出本来隐藏不显的模式和相关性。其结果可被输入到某些系统中，这种系统使用人工智能、机器学习和自动化决策以升级系统元素甚至整个系统。由阿里巴巴、亚马逊、苹果、Facebook、谷歌、微软、SAP、腾讯等公司运营的平台，已经将大数据作为商业模式的核心。监管机构、监管人员和消费者越来越多地关注安全、隐私和个人数据的所有权及其使用影响。 本文旨在更好帮助跨境电商产业把握发展机遇，将挑战转化为内生动力，规范企业运营，行业标准，甚或治理建议。在此背景下，纵观全球合规过去、现在和未来，第一章探讨了隐私合规的价值。第二章阐述了隐私合规的困境。第三章讨论了隐私合规趋势。第四章探讨了隐私合规的实践。第五章给出了跨境电商行业建议。 一.隐私合规的价值 （一）隐私合规概念界定 1.数据定义 “数据”是指任何以电子或者其他方式对信息的记录。 2.隐私数据定义 本文隐私数据，涵盖个人数据、个人信息、敏感数据等定义（各国各区域立法称呼不同），我们对比分析以下主要法域对隐私数据的定义： 欧盟《通用数据保护条例》1（GDPR）第四条规定，“个人数据”指的是任何已识别或可识别的自然人（数据主体）相关的信息；一个可识别的自然人是一个能够被直接或间接识别的个体，特别是通过诸如姓名、身份编号、地址数据、网上标识或者自然人所特有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份而识别个体。 《加州消费者隐私法》2（CCPA）《加州隐私权法案》（CPRA）规定，个人信息是指直接或间接地识别，关联，描述，或能够合理地联系到一个特定的消费者或家庭的信息。包括但不限于： a.标识符：真实姓名；昵称；邮寄地址；电子邮箱；唯一个人或网络标识符；IP地址；账户名；社保号码；驾照或护照号码；其他持续的或可能性的标识符用于标识一个特定消费者，家庭或设备； b.1798.80条款中定义的个人信息：个人签名；州身份证件号码；身体特征或描述；保险单号码；教育信息；就业信息；银行账号，信用卡号，借记卡号以及其他的财务信息；医疗信息或医疗保险信息； c.受加州或联邦法律保护的特征信息，例如种族，国籍，宗教，性别，性取向； d.交易信息：包括个人资产记录，购买的商品和服务，其他购买或消费的记录以及倾向； e.生物计量信息：包括基因，心理，行为以及生物特征，可提取模型的行为模式信息，或其他标识符信息，例如：指纹，人脸模型，声纹；虹膜、视网膜扫描；笔迹，步态或其他物理模型；睡眠，健康或活动信息； f.网络活动信息：浏览历史，搜索历史，或消费者与网站，应用或广告的交互信息； g.地理位置信息； h.声音，电的，视觉，热感，嗅觉或其他类似的信息； i.职业或就业相关的信息； j.非公开的教育信息； k.基于任何以上信息的推测建立的画像信息，反映特定消费者的喜好、特征、心理趋向、倾向、行为、态度、智力、能力和天赋等。 注：个人信息不包括公开信息，公开信息是指可以从联邦、州或当地政府记录中获取的信息。 《中华人民共和国民法典》第一千零三十四条规定自然人的个人信息受法律 1《通用数据保护条例》（GeneralDataProtectionRegulation，简称GDPR）为欧洲联盟的条例，前身是欧盟在1995年制定的《计算机数据保护法》。2018年5月25日，欧洲联盟�台《通用数据保护条例》 2CCPA，即2018年颁布并于2020年1月1日生效的《加州消费者隐私法》。CPRA，即《加州隐私权法案》，于2023年1月1日生效。这是两部关于保护加州居民个人信息的立法。它们旨在加强个人隐私权，提高企业对消费者个人信息的保护水平。CCPA的�台旨在加强加州消费者隐私权和数据安全保护，被认为是美国当前最严格的消费者数据隐私保护立法 保护。 个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。 个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。 《中华人民共和国个人信息保护法》第四条规定：个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。其中“匿名化”是指个人信息经过处理无法识别特定自然人且不能复原的过程。 3.地域间界定方法和概念差异 从GDPR、CCPA、中国的《个人信息保护法》以及《民法典》中关于个人信息的定义来看，虽然都致力于保护自然人的个人信息权益，但具体的界定方法、概念的内涵存在差异。 首先，GDPR和中国的《个人信息保护法》在定义上较为类似，都致力于保护所有可识别和已识别的自然人相关的个人信息。具体包括个人身份信息，如姓名、地址、身份证号码等；个人偏好信息，如购物习惯、浏览记录等；以及个人的网络身份信息，如用户名、密码等。同时，二者都将匿名化信息排除在个人信息保护范围之外。 相比之下，CCPA则采用定义、列举、排除并行的方法对个人信息进行界定，它更强调“合理性”。具体来说，CCPA规定下的个人信息包括：识别信息（如姓名、地址、电话号码等）、健康信息、财务信息等。同时，CCPA也明确排除了一些不适用的信息类型，例如：公开信息、匿名信息等。值得注意的是CCPA排除适用的信息类型远多于GDPR与《个人信息保护法》。 综上所述，GDPR、CCPA、中国的《个人信息保护法》以及《民法典》都对个人信息保护做出了规定，虽然具体界定方法和概念内涵存在差异，但都以保护自然人的个人信息权益为主要目标。 4.隐私数据泄露 GDPR规定，个人数据泄露是指数据处理者意外或非法破坏、丢失、更改、未经授权的披露或访问传输、存储或以其他方式处理的个人数据。在无正当理由的情况下将个人数据传输到不被授权接收这些数据的第三方。这种泄露可能会导致个人隐私的侵犯，给个人带来不利的后果。GDPR强调了数据处理者的责任，要求其采取适当的措施来保护个人数据的安全。 CCPA规定，个人数据泄露是指未经授权获取计算机化信息，损害了个人信息的安全性、保密性或完整性，但不包括某些善意取得。未经授权的访问、获取、使用、披露、修改或破坏个人信息的行为。与GDPR相比，CCPA的定义更加具体，涵盖了更多的情况。此外，CCPA还强调了个人数据的可识别性，即使数据经过处理或匿名化，只要能够重新识别个人身份，仍属于个人数据。 中国的《民法典》规定，个人信息受到法律保护，任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。个人信息包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码等。《民法典》没有关于个人数据泄露的具体定义，但其规定了隐私权的概念和保护措施。 中国的《个人信息保护法》第五十一条规定，个人信息处理者应采取措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人 信息泄露、篡改、丢失因自身管理不善或者疏漏导致个人信息发生泄露的情形是信息泄露。此规定注重个体权益的保护，并给个人信息处理者提出了相应的处理措施建议。关注规避侵犯个人信息权利的潜在人员构成以及个人信息内容类型并给予解决相关争议的途径和方向。 5.隐私合规 GDPR规定，隐私保护是指个人数据的处理过程不得侵犯自然人的基本权利，包括个人数据的收集、使用、存储、传输、处理等环节。GDPR强调了数据处理者对个人数据的责任，要求他们采取适当的措施来保护个人数据的安全，包括但不限于加密、匿名化等。此外，GDPR还规定了隐私保护的最低标准，包括数据处理者在收集、使用个人数据时必须告知个人数据的处理目的、范围、是否与第三方共享等，并需要获得个人的授权同意。 CCPA规定，隐私保护是指个人信息的收集、使用、存储、传输、处理等环节应当符合法律、法规的规定，不得侵犯他人的合法权益。与GDPR相比，CCPA的定义更加具体，涵盖了更多的情况。此外，CCPA还从实质辨别角度强调了个人信息的可识别性，即使数据经过处理或匿名化，只要能够重新识别个人身份，仍属于应当保护的个人数据。 中国的《民法典》规定，自然人享有隐私权，任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。隐私权包括私人生活安宁和不愿为他人知晓的私密空间、私密活动和私密信息等。与GDPR和CCPA相比，《民法典》更加注重隐私权的保护，规定了更广的保护范围，如禁止任何组织或者个人侵扰他人的生活安宁和私密空间等。 中国的《个人信息保护法》规定，任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息；不得从事