近年來，越來越多的中國企業開始走出國門，進入國際市場。據統計，2019年，中國出海企業數量超7000家，涉及游戲、零售、媒體、高科技制造以及金融服務等多個領域[1]。與此同時，近年來全球消費者數據泄露事件有增無減，迫使多國頒布更為嚴格的個人數據保護法規。這給中國企業的海外運營之路帶來了合規和法律遵從方面的重重挑戰。自歐盟正式實施《通用數據保護條例》(GDPR)的2018年至今，在歐盟國家開展業務的中國和全球企業遭遇了合規方面的顯著壓力，合規成本大幅提高。而今年，另一項嚴格且具有全球示范效應的數據隱私法案——美國的《加利福尼亞州消費者隱私法案》(CCPA)即將開始施行。中國出海企業需要充分了解它的影響，并采取主動的應對措施，降低合規風險，避免類似2018年時的措手不及。

為何CCPA動關大局

CCPA是美國加州政府為保護加州居民的隱私權益而設立的法案。考慮到加州是世界第五大經濟體，與GDPR類似，CCPA的影響范圍將是全球性的，將對所有在加州有業務的企業產生影響。根據加州司法部(State of California Department of Justice)所公布的情況說明書，營利性企業如果收集加州居民的個人信息，并滿足以下任何一條，則需要合規[2]：

•  年總收入超過2500萬美元。
•  購買、獲取、出售達到或超過5萬個消費者、家庭或設備的信息。
•  50%或以上的年收入來自于消費者個人信息的出售。

CCPA已于2020年1月1日生效，并將于2020年7月1日起正式實施。企業若違規，每次不合規事件可處以高達7500美元的罰金。更值得注意的是：所謂每次事件是按照每位消費者的信息計算的。這意味著，如果有十萬個消費者的信息儲存在企業的數據庫中，不合規的潛在罰金可能會高達7億5千萬美元!

隱私保護已成全球趨勢

在消費者隱私保護方面，Akamai發現了三個值得注意的趨勢：

1. 消費者對隱私保護的期望不斷提高

由于社會和經濟活動愈發移至線上，人們對隱私和數據的保護意識正不斷加強，越來越多的消費者期望企業能夠采取強有力的措施保護好自己的隱私數據。德勤的一項研究表明，70%的消費者會避免從他們認為沒有很好保護個人信息的商家那里購買商品[3]。此外，Akamai的一項關于消費者對數據隱私所持態度的調查(Akamai's Consumer Attitudes Toward Data Privacy Survey)發現，66%的消費者希望政府通過更多的立法來保護個人數據隱私[4]。

更具挑戰性的問題在于，消費者在希望自己的隱私得到保護的同時，往往也希望商家了解他們的需求與偏好，并在多個數字化渠道提供個性化服務。因此，如果企業可以構建并采用一套平衡的措施來處理這兩種截然不同的挑戰，他們就將在這個高度數字化的市場環境中占據優勢。

2. 更多國家/地區采用更嚴格的隱私保護法規

在這樣的大背景下，越來越多的國家和地區開始實施更嚴格的隱私保護法案。根據聯合國發布的數據，全球已有132個國家/地區立法保護數據和隱私[5]。而GDPR、CCPA以及其他類似法案主要定義了數據和隱私保護的七個方面——即許可(Consent)、反對(Objection)、訪問(Access)、清除(Erasure)、移動性(Portability)、安全(Security)和信息泄露通知(Breach notification)[6]。

全球數據保護和隱私立法情況

盡管這些法案在大方向上有相似之處，但如果仔細研究就會發現，它們在信息保護程度和實現方面有很多不同。例如，CCPA要求支持用戶Opt-out(退出許可)，而GDPR要求Opt-in(加入許可);CCPA要求為消費者提供“不允許出售我的數據”選項，而GDPR并不要求。全球零售企業需要為不同地區的用戶提供不同的信息管理策略、用戶界面和接口。為了避免業務合規風險，達到GDPR合規的企業不可以簡單地認為他們在其他地區也是合規的。

3. 網絡攻擊加劇隱私保護挑戰

近年來，大規模用戶數據泄露事件屢見不鮮。2013年，惡意軟件釣魚攻擊導致美國某知名零售商泄露大量用戶數據，讓消費者開始認識到此類事件的嚴重性。后來的幾年里，媒體又相繼報道了多起由用戶數據泄露導致的大額合規罰金事件。在這些事件中，常見的網絡攻擊方式包括釣魚攻擊、Web應用漏洞攻擊和頁面腳本篡改等，令企業防不勝防。此外，受到此類威脅的不是只有大型企業，中小型企業也難以獨善其身。根據Akamai全球互聯網平臺的數據，零售、金融、媒體和游戲行業由于掌握著大量高價值的用戶信息，往往更容易受到網絡攻擊的“青睞”。

不僅如此，傳統企業的快速數字化轉型以及在線業務的全渠道覆蓋也加劇了信息安全方面的挑戰。網站、移動應用程序、物聯網賦能的自助服務終端……能夠觸及消費者的數字化渠道正不斷增加。這些渠道往往使用不同的技術堆棧和網絡連接技術，并且用戶數據分布全球各地。這些因素使得用戶信息的存儲和管理變成“孤島”，也讓關鍵用戶數據資產的安全防護變得異常復雜。基于數據隱私對業務產生的深刻影響，業界普遍認為，這種挑戰需要上升到董事會層面予以討論和處理。

中國出海企業如何做好準備

總體而言，中國出海企業需要從用戶信息生命周期管理、用戶數字渠道管理及核心基礎設施三個層面，審視其管理和保護用戶數據的措施，并確保采用行業最佳實踐。

首先，企業需要審視在用戶信息的收集、存儲、訪問、使用、清除等各個階段，是否已采取了合適的措施確保合規。第二，面向用戶的數字渠道，如網站、移動應用、應用程序接口等需要能夠抵御復雜的應用層攻擊，防止用戶信息竊取。第三，企業需要確保他們所使用的應用托管基礎設施也具備相應的網絡信息安全防護能力及合規性。

此外，更為重要的是，隨著用戶數據管理水平的不斷提高，企業需要尋找靈活的、面向未來的技術架構，在行業合規和業務創新不斷變革的過程中，保持業務敏捷性并降低成本。作為備受業界認可的用戶身份管理和信息安全方案領域的領導廠商，Akamai將為中國企業的出海之路保駕護航。

免責聲明：本文旨在傳遞基本信息并僅以教育為目的，非就任何文中涉及的事項提供任何法律建議或意見。如需尋求相關事項的法律建議，請咨詢律師。
 

李文濤

Akamai亞太區架構師經理

[1]http://www.199it.com/archives/985551.html

[2]https://oag.ca.gov/system/files/attachments/press_releases/CCPA%20Fact%20Sheet%20%2800000002%29.pdf

[3]https://www2.deloitte.com/content/dam/insights/us/articles/consumer-data-privacy-strategies/DUP_970-Building-consumer-trust_MASTER.pdf

[4]https://www.akamai.com/us/en/multimedia/documents/report/akamai-research-consumer-attitudes-toward-data-privacy.pdf

[5]https://unctad.org/en/Pages/DTL/STI_and_ICTs/ICT4D-Legislation/eCom-Data-Protection-Laws.aspx

[6]https://blogs.akamai.com/2019/09/how-can-akamai-identity-cloud-help-with-regulatory-compliance.html