對(duì)于出海產(chǎn)品經(jīng)理而言，該如何學(xué)習(xí)國(guó)際化數(shù)據(jù)合規(guī)知識(shí)？本文總結(jié)了出海產(chǎn)品需要注意的相關(guān)內(nèi)容以及數(shù)據(jù)合規(guī)知識(shí)，希望對(duì)你有所幫助。

一、國(guó)際化業(yè)務(wù)及數(shù)據(jù)合規(guī)背景

數(shù)據(jù)跨國(guó)傳輸，數(shù)據(jù)合規(guī)，這兩個(gè)話題很多人并不陌生。

但也讓很多國(guó)內(nèi)出海企業(yè)對(duì)它感到擔(dān)憂和頭疼，特別是在跨境電商、跨境物流、國(guó)際SaaS等公司，業(yè)務(wù)通常都是服務(wù)全球范圍，用戶會(huì)來自多個(gè)國(guó)家，當(dāng)客戶的交易或買賣在海外完成時(shí)，難免會(huì)涉及到海外消費(fèi)者和員工信息的收集和處理，國(guó)際公司為了統(tǒng)一管理業(yè)務(wù)和員工，就少不了跨境主體之間的數(shù)據(jù)傳輸。

以前我覺得數(shù)據(jù)傳輸非常簡(jiǎn)單，就像兩個(gè)服務(wù)器之間 相互 Send/Receive一樣，但這些年在跨境電商領(lǐng)域做產(chǎn)品經(jīng)理，有過一些國(guó)際化業(yè)務(wù)/產(chǎn)品方案上的接觸后，才漸漸知道它的一些知識(shí)，但也僅冰山一角。

跨國(guó)的數(shù)據(jù)傳輸沒有那么容易，或者說國(guó)內(nèi)企業(yè)在海外收集用戶數(shù)據(jù)，存儲(chǔ)，處理，傳輸，都不是簡(jiǎn)單的系統(tǒng)行為，而是需要基于本土國(guó)家安全政策的約束、引導(dǎo)在，去做綜合的解決方案。比如海外本土?xí)O(shè)定很多法律條例，像歐盟GDPR，一旦公司被發(fā)現(xiàn)偷偷將海外用戶信息傳輸?shù)絿?guó)內(nèi)，就會(huì)面臨高額的罰款。

所以，對(duì)于一家全球化的公司而言，做好本土的數(shù)據(jù)合規(guī)是非常有必要的事情，而于產(chǎn)品經(jīng)理來說，若了解部分出海的法律政策，熟悉合規(guī)業(yè)務(wù)下的產(chǎn)品設(shè)計(jì)方案，后續(xù)在國(guó)際化領(lǐng)域，就顯得非常有優(yōu)勢(shì)。

二、海外公司，通常會(huì)遇到哪些合規(guī)問題？

比較典型的有兩類，一類是通過搭建網(wǎng)站或App，通過這樣的產(chǎn)品直接服務(wù)海外的消費(fèi)者的公司，比如像Temu、Shein、Shopify等，海外用戶在他們的平臺(tái)上購(gòu)買下單前，一定需要完成注冊(cè)，填寫用戶個(gè)人信息，比如姓名、電話、收件地址等。

另外一類，是不直接面向消費(fèi)者，而是作為跨境服務(wù)的中間商，比如像跨境物流、跨境ERP這樣的公司，不會(huì)直接面向消費(fèi)者收集用戶數(shù)據(jù)，但是會(huì)有數(shù)據(jù)上的接收，用來協(xié)助商家完成包裹履約等。

而這樣的公司，如果業(yè)務(wù)涉及到歐洲地區(qū)，就會(huì)受到《歐盟通用數(shù)據(jù)保護(hù)條例》的約束：

• 保護(hù)用戶隱私，尊重用戶選擇權(quán)；
• 用戶需要知道會(huì)被收集什么信息，用于什么目的；
• 可自由授權(quán)和解除，以及數(shù)據(jù)的刪除
• 不允許數(shù)據(jù)的跨境傳輸

具體是怎么影響到業(yè)務(wù)的呢？比如國(guó)內(nèi)某App在歐盟的一個(gè)國(guó)家上線，當(dāng)?shù)乜蛻魧?duì)它進(jìn)行注冊(cè)，填寫一系列的基本信息時(shí)，用戶有權(quán)知道你們會(huì)收集哪些信息、用來做什么、存儲(chǔ)哪里、有沒有權(quán)利取消，且收集后要有官方認(rèn)可的隱私協(xié)議。因此很多海外產(chǎn)品會(huì)單獨(dú)針對(duì)本土部署服務(wù)器、 Cookie 授權(quán)、隱私協(xié)議等，其次，當(dāng)用戶不需要你這款產(chǎn)品后，用戶有權(quán)利選擇取消數(shù)據(jù)授權(quán)，并且在用戶注銷后刪除數(shù)據(jù)，如果你繼續(xù)保留或傳輸給到其他不被認(rèn)可國(guó)家，那就會(huì)受到政策監(jiān)管，如果被投訴就會(huì)非常麻煩。

所以，產(chǎn)品經(jīng)理在面對(duì)海外業(yè)務(wù)時(shí)如果涉及到用戶個(gè)人信息收集的地方，就需要敏銳地察覺到，你們的數(shù)據(jù)和服務(wù)器在不在海外？產(chǎn)品如何讓用戶感知數(shù)據(jù)收集？如何讓用戶同意？用戶同意后如何取消整個(gè)鏈路上授權(quán)？產(chǎn)品方案和頁(yè)面要如何設(shè)計(jì)。

另外，中國(guó)目前尚不屬于歐盟認(rèn)可的數(shù)據(jù)安全國(guó)度，被歐盟認(rèn)可的數(shù)據(jù)安全國(guó)度包括：安道爾、阿根廷、加拿大（僅限商業(yè)組織）、法羅群島、根西島、以色列、曼島、澤西島、新西蘭、瑞士、烏拉圭和日本。所以如果需要做跨境傳輸，就需要用到其他的方式；

三、跨境傳輸，歐盟認(rèn)可的安全措施是什么？

被歐盟認(rèn)可的數(shù)據(jù)梳理方式，目前有很多方式，以下內(nèi)容來源于網(wǎng)絡(luò)上「趙曉鵬博士」法律的知識(shí)文檔，并不來源個(gè)人，僅供參考和學(xué)習(xí)。當(dāng)然，我自己學(xué)習(xí)下來，感覺就三類處理方式；

第一類：按照歐盟合規(guī)要求的處理方案

1. 數(shù)據(jù)輸出方與數(shù)據(jù)接收方簽訂數(shù)據(jù)傳輸協(xié)議，并使用歐盟委員會(huì)給出的標(biāo)準(zhǔn)數(shù)據(jù)保護(hù)條款；
2. 如果是跨國(guó)集團(tuán)內(nèi)部的數(shù)據(jù)傳輸，可以在集團(tuán)內(nèi)部制定一套所謂的具有約束力的公司規(guī)則 (Binding Corporate Rules)，保證集團(tuán)內(nèi)部嚴(yán)格遵守，并經(jīng)歐盟委員會(huì)批準(zhǔn)；
3. 某個(gè)行業(yè)的協(xié)會(huì)擬定一套數(shù)據(jù)保護(hù)行為規(guī)則，作為數(shù)據(jù)接收方的行業(yè)協(xié)會(huì)成員聲明遵守這套行為規(guī)則，該規(guī)則要經(jīng)過歐盟委員會(huì)的事先認(rèn)可；
4. 對(duì)數(shù)據(jù)接收方的數(shù)據(jù)處理流程進(jìn)行認(rèn)證，該認(rèn)證需要每三年更新一次。

第二類：經(jīng)過用戶同意的方案

即便上述四項(xiàng)措施都沒有，如果數(shù)據(jù)處理者能征求到數(shù)據(jù)主體的同意，也可以將其個(gè)人數(shù)據(jù)傳輸?shù)街袊?guó)，但是《歐盟通用數(shù)據(jù)保護(hù)條例》對(duì)同意的流程提出了很高的要求：

1. 該同意必須是自愿的，也就是數(shù)據(jù)主體必須明確給出同意的答復(fù)，默認(rèn)同意不受認(rèn)可；
2. 必須告知數(shù)據(jù)主體計(jì)劃中的數(shù)據(jù)跨境傳輸?shù)哪康牡貒?guó)家以及由此可能對(duì)數(shù)據(jù)主體帶來的風(fēng)險(xiǎn)；
3. 同意的內(nèi)容必須要明確，數(shù)據(jù)傳輸?shù)姆绞?、范圍和目的都要在同意書中寫明?/li>

通常這種方式不太可行，因?yàn)橄駠?guó)內(nèi)很多電商公司，將用戶數(shù)據(jù)收集后，會(huì)把數(shù)據(jù)繼續(xù)傳輸給到跨境物流公司、承運(yùn)商、報(bào)關(guān)、清關(guān)行等，涉及到多鏈路的共享，而這些又跟隨公司的業(yè)務(wù)進(jìn)行發(fā)展和變化，沒有辦法合同說清楚；另外，GDPR 要求允許用戶對(duì)數(shù)據(jù)刪除，如果是這樣，所有的下游數(shù)據(jù)接受者都需要對(duì)數(shù)據(jù)進(jìn)行刪除，難度極大，不可能完成。

第三類：無需用戶同意地處理方式

1. 為了履行與數(shù)據(jù)主體訂立的合同所必需，
2. 為了數(shù)據(jù)主體自己的利益，或者；
3. 為了主張或抗辯數(shù)據(jù)主體的法定權(quán)利。

比如跨境電商中為了目的國(guó)清關(guān)順暢，一定會(huì)需要用到買家的地址、聯(lián)系方式，如果為了保護(hù)隱私不允許傳輸就沒有辦法玩轉(zhuǎn)業(yè)務(wù)，但這種是有清關(guān)合同在，所以某種程度上是合理的，只要保證數(shù)據(jù)不被下載下來，而是通過系統(tǒng)間加密交互即可。

B 端产品经理如何快速成长？

产品与业务架构主要是将整个业务工作流进行分层，梳理，然后抽象出一个个需求，将业务需求与产品合情合理的映射起来，最终使业务数据在产品中流动，执行，记录，使用。

查看详情 >

總結(jié)而言，對(duì)于全球化的合規(guī)業(yè)務(wù)思考來看，要想將歐盟境內(nèi)收集的個(gè)人數(shù)據(jù)合規(guī)地傳輸?shù)街袊?guó)國(guó)內(nèi)，電商平臺(tái)或者海外軟件服務(wù)商，最省時(shí)省力的方法，是使用歐盟委員會(huì)給出的標(biāo)準(zhǔn)數(shù)據(jù)保護(hù)條款與國(guó)內(nèi)的數(shù)據(jù)接收方簽訂數(shù)據(jù)傳輸協(xié)議。當(dāng)然，最好的方式是：海外存儲(chǔ)、海外操作，跟國(guó)內(nèi)沒有任何數(shù)據(jù)聯(lián)系；

四、產(chǎn)品經(jīng)理需要注意什么

需要了解在歐盟拓展業(yè)務(wù)時(shí)，那些信息會(huì)被列為隱私信息，這些隱私信息歐盟對(duì)它的處理要求是什么，這些要求對(duì)產(chǎn)品方案或者業(yè)務(wù)拓展的時(shí)候，有什么需要注意的地方。參考上述文章中的 Cookie、數(shù)據(jù)授權(quán)、協(xié)議說明、解除授權(quán)，數(shù)據(jù)刪除、以及面向 C 端消費(fèi)者或用戶的頁(yè)面交互；

知道數(shù)據(jù)跨境傳輸?shù)姆芍匾裕嵘约赫w國(guó)際化視野，比如需要知道海外服務(wù)器、海外數(shù)據(jù)存儲(chǔ)是目前很多國(guó)際化公司全球化的標(biāo)配，知道數(shù)據(jù)之間的交互，后續(xù)參加跨國(guó)會(huì)議的時(shí)候，可以有針對(duì)性的建議和思考；

最后，就是提升自己的專業(yè)性，如果涉及到數(shù)據(jù)跨境傳輸且公司規(guī)模較大，需要注意法務(wù)上的風(fēng)險(xiǎn)，產(chǎn)品同學(xué)要敏銳注意到公司是否收集了海外用戶個(gè)人信息，一定要咨詢專業(yè)的法務(wù)同學(xué)，與國(guó)際法務(wù)團(tuán)隊(duì)協(xié)作，把方案完成。

以上便是文章全部?jī)?nèi)容，如果你也是出海產(chǎn)品經(jīng)理，或者對(duì)出海感興趣，可以關(guān)注公眾號(hào)聯(lián)系我，期待一起學(xué)習(xí)。

資料引用：

• GDPR：https://gdpr-infoeu/art-9-gdpr/
• 法務(wù)知識(shí)：https://mpweixinqqcom/s/uEcVf_yanOx-iKFKPorqBQ
• 三方解讀：https://learnmicrosoftcom/zh-cn/compliance/regulatory/gdpr?view=o365-worldwide#what-is-the-gdpr