對于出海產(chǎn)品經(jīng)理而言，該如何學習國際化數(shù)據(jù)合規(guī)知識？本文總結(jié)了出海產(chǎn)品需要注意的相關內(nèi)容以及數(shù)據(jù)合規(guī)知識，希望對你有所幫助。

一、國際化業(yè)務及數(shù)據(jù)合規(guī)背景

數(shù)據(jù)跨國傳輸，數(shù)據(jù)合規(guī)，這兩個話題很多人并不陌生。

但也讓很多國內(nèi)出海企業(yè)對它感到擔憂和頭疼，特別是在跨境電商、跨境物流、國際SaaS等公司，業(yè)務通常都是服務全球范圍，用戶會來自多個國家，當客戶的交易或買賣在海外完成時，難免會涉及到海外消費者和員工信息的收集和處理，國際公司為了統(tǒng)一管理業(yè)務和員工，就少不了跨境主體之間的數(shù)據(jù)傳輸。

以前我覺得數(shù)據(jù)傳輸非常簡單，就像兩個服務器之間 相互 Send/Receive一樣，但這些年在跨境電商領域做產(chǎn)品經(jīng)理，有過一些國際化業(yè)務/產(chǎn)品方案上的接觸后，才漸漸知道它的一些知識，但也僅冰山一角。

跨國的數(shù)據(jù)傳輸沒有那么容易，或者說國內(nèi)企業(yè)在海外收集用戶數(shù)據(jù)，存儲，處理，傳輸，都不是簡單的系統(tǒng)行為，而是需要基于本土國家安全政策的約束、引導在，去做綜合的解決方案。比如海外本土會設定很多法律條例，像歐盟GDPR，一旦公司被發(fā)現(xiàn)偷偷將海外用戶信息傳輸?shù)絿鴥?nèi)，就會面臨高額的罰款。

所以，對于一家全球化的公司而言，做好本土的數(shù)據(jù)合規(guī)是非常有必要的事情，而于產(chǎn)品經(jīng)理來說，若了解部分出海的法律政策，熟悉合規(guī)業(yè)務下的產(chǎn)品設計方案，后續(xù)在國際化領域，就顯得非常有優(yōu)勢。

二、海外公司，通常會遇到哪些合規(guī)問題？

比較典型的有兩類，一類是通過搭建網(wǎng)站或App，通過這樣的產(chǎn)品直接服務海外的消費者的公司，比如像Temu、Shein、Shopify等，海外用戶在他們的平臺上購買下單前，一定需要完成注冊，填寫用戶個人信息，比如姓名、電話、收件地址等。

另外一類，是不直接面向消費者，而是作為跨境服務的中間商，比如像跨境物流、跨境ERP這樣的公司，不會直接面向消費者收集用戶數(shù)據(jù)，但是會有數(shù)據(jù)上的接收，用來協(xié)助商家完成包裹履約等。

而這樣的公司，如果業(yè)務涉及到歐洲地區(qū)，就會受到《歐盟通用數(shù)據(jù)保護條例》的約束：

• 保護用戶隱私，尊重用戶選擇權(quán)；
• 用戶需要知道會被收集什么信息，用于什么目的；
• 可自由授權(quán)和解除，以及數(shù)據(jù)的刪除
• 不允許數(shù)據(jù)的跨境傳輸

具體是怎么影響到業(yè)務的呢？比如國內(nèi)某App在歐盟的一個國家上線，當?shù)乜蛻魧λM行注冊，填寫一系列的基本信息時，用戶有權(quán)知道你們會收集哪些信息、用來做什么、存儲哪里、有沒有權(quán)利取消，且收集后要有官方認可的隱私協(xié)議。因此很多海外產(chǎn)品會單獨針對本土部署服務器、 Cookie 授權(quán)、隱私協(xié)議等，其次，當用戶不需要你這款產(chǎn)品后，用戶有權(quán)利選擇取消數(shù)據(jù)授權(quán)，并且在用戶注銷后刪除數(shù)據(jù)，如果你繼續(xù)保留或傳輸給到其他不被認可國家，那就會受到政策監(jiān)管，如果被投訴就會非常麻煩。

所以，產(chǎn)品經(jīng)理在面對海外業(yè)務時如果涉及到用戶個人信息收集的地方，就需要敏銳地察覺到，你們的數(shù)據(jù)和服務器在不在海外？產(chǎn)品如何讓用戶感知數(shù)據(jù)收集？如何讓用戶同意？用戶同意后如何取消整個鏈路上授權(quán)？產(chǎn)品方案和頁面要如何設計。

另外，中國目前尚不屬于歐盟認可的數(shù)據(jù)安全國度，被歐盟認可的數(shù)據(jù)安全國度包括：安道爾、阿根廷、加拿大（僅限商業(yè)組織）、法羅群島、根西島、以色列、曼島、澤西島、新西蘭、瑞士、烏拉圭和日本。所以如果需要做跨境傳輸，就需要用到其他的方式；

三、跨境傳輸，歐盟認可的安全措施是什么？

被歐盟認可的數(shù)據(jù)梳理方式，目前有很多方式，以下內(nèi)容來源于網(wǎng)絡上「趙曉鵬博士」法律的知識文檔，并不來源個人，僅供參考和學習。當然，我自己學習下來，感覺就三類處理方式；

第一類：按照歐盟合規(guī)要求的處理方案

1. 數(shù)據(jù)輸出方與數(shù)據(jù)接收方簽訂數(shù)據(jù)傳輸協(xié)議，并使用歐盟委員會給出的標準數(shù)據(jù)保護條款；
2. 如果是跨國集團內(nèi)部的數(shù)據(jù)傳輸，可以在集團內(nèi)部制定一套所謂的具有約束力的公司規(guī)則 (Binding Corporate Rules)，保證集團內(nèi)部嚴格遵守，并經(jīng)歐盟委員會批準；
3. 某個行業(yè)的協(xié)會擬定一套數(shù)據(jù)保護行為規(guī)則，作為數(shù)據(jù)接收方的行業(yè)協(xié)會成員聲明遵守這套行為規(guī)則，該規(guī)則要經(jīng)過歐盟委員會的事先認可；
4. 對數(shù)據(jù)接收方的數(shù)據(jù)處理流程進行認證，該認證需要每三年更新一次。

第二類：經(jīng)過用戶同意的方案

即便上述四項措施都沒有，如果數(shù)據(jù)處理者能征求到數(shù)據(jù)主體的同意，也可以將其個人數(shù)據(jù)傳輸?shù)街袊?，但是《歐盟通用數(shù)據(jù)保護條例》對同意的流程提出了很高的要求：

1. 該同意必須是自愿的，也就是數(shù)據(jù)主體必須明確給出同意的答復，默認同意不受認可；
2. 必須告知數(shù)據(jù)主體計劃中的數(shù)據(jù)跨境傳輸?shù)哪康牡貒乙约坝纱丝赡軐?shù)據(jù)主體帶來的風險；
3. 同意的內(nèi)容必須要明確，數(shù)據(jù)傳輸?shù)姆绞?、范圍和目的都要在同意書中寫明?/li>

通常這種方式不太可行，因為像國內(nèi)很多電商公司，將用戶數(shù)據(jù)收集后，會把數(shù)據(jù)繼續(xù)傳輸給到跨境物流公司、承運商、報關、清關行等，涉及到多鏈路的共享，而這些又跟隨公司的業(yè)務進行發(fā)展和變化，沒有辦法合同說清楚；另外，GDPR 要求允許用戶對數(shù)據(jù)刪除，如果是這樣，所有的下游數(shù)據(jù)接受者都需要對數(shù)據(jù)進行刪除，難度極大，不可能完成。

第三類：無需用戶同意地處理方式

1. 為了履行與數(shù)據(jù)主體訂立的合同所必需，
2. 為了數(shù)據(jù)主體自己的利益，或者；
3. 為了主張或抗辯數(shù)據(jù)主體的法定權(quán)利。

比如跨境電商中為了目的國清關順暢，一定會需要用到買家的地址、聯(lián)系方式，如果為了保護隱私不允許傳輸就沒有辦法玩轉(zhuǎn)業(yè)務，但這種是有清關合同在，所以某種程度上是合理的，只要保證數(shù)據(jù)不被下載下來，而是通過系統(tǒng)間加密交互即可。

總結(jié)而言，對于全球化的合規(guī)業(yè)務思考來看，要想將歐盟境內(nèi)收集的個人數(shù)據(jù)合規(guī)地傳輸?shù)街袊鴩鴥?nèi)，電商平臺或者海外軟件服務商，最省時省力的方法，是使用歐盟委員會給出的標準數(shù)據(jù)保護條款與國內(nèi)的數(shù)據(jù)接收方簽訂數(shù)據(jù)傳輸協(xié)議。當然，最好的方式是：海外存儲、海外操作，跟國內(nèi)沒有任何數(shù)據(jù)聯(lián)系；

四、產(chǎn)品經(jīng)理需要注意什么

需要了解在歐盟拓展業(yè)務時，那些信息會被列為隱私信息，這些隱私信息歐盟對它的處理要求是什么，這些要求對產(chǎn)品方案或者業(yè)務拓展的時候，有什么需要注意的地方。參考上述文章中的 Cookie、數(shù)據(jù)授權(quán)、協(xié)議說明、解除授權(quán)，數(shù)據(jù)刪除、以及面向 C 端消費者或用戶的頁面交互；

知道數(shù)據(jù)跨境傳輸?shù)姆芍匾?，提升自己整體國際化視野，比如需要知道海外服務器、海外數(shù)據(jù)存儲是目前很多國際化公司全球化的標配，知道數(shù)據(jù)之間的交互，后續(xù)參加跨國會議的時候，可以有針對性的建議和思考；

最后，就是提升自己的專業(yè)性，如果涉及到數(shù)據(jù)跨境傳輸且公司規(guī)模較大，需要注意法務上的風險，產(chǎn)品同學要敏銳注意到公司是否收集了海外用戶個人信息，一定要咨詢專業(yè)的法務同學，與國際法務團隊協(xié)作，把方案完成。

以上便是文章全部內(nèi)容，如果你也是出海產(chǎn)品經(jīng)理，或者對出海感興趣，可以關注公眾號聯(lián)系我，期待一起學習。

資料引用：

• GDPR：https://gdpr-infoeu/art-9-gdpr/
• 法務知識：https://mpweixinqqcom/s/uEcVf_yanOx-iKFKPorqBQ
• 三方解讀：https://learnmicrosoftcom/zh-cn/compliance/regulatory/gdpr?view=o365-worldwide#what-is-the-gdpr