近年來，越來越多的中國企業(yè)開始走出國門，進入國際市場。據(jù)統(tǒng)計，2019年，中國出海企業(yè)數(shù)量超7000家，涉及游戲、零售、媒體、高科技制造以及金融服務(wù)等多個領(lǐng)域 。與此同時，近年來全球消費者數(shù)據(jù)泄露事件有增無減，迫使多國頒布更為嚴格的個人數(shù)據(jù)保護法規(guī)。這給中國企業(yè)的海外運營之路帶來了合規(guī)和法律遵從方面的重重挑戰(zhàn)。自歐盟正式實施《通用數(shù)據(jù)保護條例》（GDPR）的2018年至今，在歐盟國家開展業(yè)務(wù)的中國和全球企業(yè)遭遇了合規(guī)方面的顯著壓力，合規(guī)成本大幅提高。而今年，另一項嚴格且具有全球示范效應(yīng)的數(shù)據(jù)隱私法案--美國的《加利福尼亞州消費者隱私法案》（CCPA）即將開始施行。中國出海企業(yè)需要充分了解它的影響，并采取主動的應(yīng)對措施，降低合規(guī)風(fēng)險，避免類似2018年時的措手不及。

為何CCPA動關(guān)大局

CCPA是美國加州政府為保護加州居民的隱私權(quán)益而設(shè)立的法案。考慮到加州是世界第五大經(jīng)濟體，與GDPR類似，CCPA的影響范圍將是全球性的，將對所有在加州有業(yè)務(wù)的企業(yè)產(chǎn)生影響。根據(jù)加州司法部（State of California Department of Justice）所公布的情況說明書，營利性企業(yè)如果收集加州居民的個人信息，并滿足以下任何一條，則需要合規(guī) ：

·年總收入超過2500萬美元。

·購買、獲取、出售達到或超過5萬個消費者、家庭或設(shè)備的信息。

·50%或以上的年收入來自于消費者個人信息的出售。

CCPA已于2020年1月1日生效，并將于2020年7月1日起正式實施。企業(yè)若違規(guī)，每次不合規(guī)事件可處以高達7500美元的罰金。更值得注意的是：所謂每次事件是按照每位消費者的信息計算的。這意味著，如果有十萬個消費者的信息儲存在企業(yè)的數(shù)據(jù)庫中，不合規(guī)的潛在罰金可能會高達7億5千萬美元！

隱私保護已成全球趨勢

在消費者隱私保護方面，Akamai發(fā)現(xiàn)了三個值得注意的趨勢：

1.消費者對隱私保護的期望不斷提高

由于社會和經(jīng)濟活動愈發(fā)移至線上，人們對隱私和數(shù)據(jù)的保護意識正不斷加強，越來越多的消費者期望企業(yè)能夠采取強有力的措施保護好自己的隱私數(shù)據(jù)。德勤的一項研究表明，70%的消費者會避免從他們認為沒有很好保護個人信息的商家那里購買商品 。此外，Akamai的一項關(guān)于消費者對數(shù)據(jù)隱私所持態(tài)度的調(diào)查（Akamai‘s Consumer Attitudes Toward Data Privacy Survey）發(fā)現(xiàn)，66%的消費者希望政府通過更多的立法來保護個人數(shù)據(jù)隱私 。

更具挑戰(zhàn)性的問題在于，消費者在希望自己的隱私得到保護的同時，往往也希望商家了解他們的需求與偏好，并在多個數(shù)字化渠道提供個性化服務(wù)。因此，如果企業(yè)可以構(gòu)建并采用一套平衡的措施來處理這兩種截然不同的挑戰(zhàn)，他們就將在這個高度數(shù)字化的市場環(huán)境中占據(jù)優(yōu)勢。

2.更多國家/地區(qū)采用更嚴格的隱私保護法規(guī)

在這樣的大背景下，越來越多的國家和地區(qū)開始實施更嚴格的隱私保護法案。根據(jù)聯(lián)合國發(fā)布的數(shù)據(jù)，全球已有132個國家/地區(qū)立法保護數(shù)據(jù)和隱私 。而GDPR、CCPA以及其他類似法案主要定義了數(shù)據(jù)和隱私保護的七個方面--即許可（Consent）、反對（Objection）、訪問（Access）、清除（Erasure）、移動性（Portability）、安全（Security）和信息泄露通知（Breach notification） 。

全球數(shù)據(jù)保護和隱私立法情況

盡管這些法案在大方向上有相似之處，但如果仔細研究就會發(fā)現(xiàn)，它們在信息保護程度和實現(xiàn)方面有很多不同。例如，CCPA要求支持用戶Opt-out（退出許可），而GDPR要求Opt-in（加入許可）；CCPA要求為消費者提供“不允許出售我的數(shù)據(jù)”選項，而GDPR并不要求。 全球零售企業(yè)需要為不同地區(qū)的用戶提供不同的信息管理策略、用戶界面和接口。為了避免業(yè)務(wù)合規(guī)風(fēng)險，達到GDPR合規(guī)的企業(yè)不可以簡單地認為他們在其他地區(qū)也是合規(guī)的。

3.網(wǎng)絡(luò)攻擊加劇隱私保護挑戰(zhàn)

近年來，大規(guī)模用戶數(shù)據(jù)泄露事件屢見不鮮。2013年，惡意軟件釣魚攻擊導(dǎo)致美國某知名零售商泄露大量用戶數(shù)據(jù)，讓消費者開始認識到此類事件的嚴重性。后來的幾年里，媒體又相繼報道了多起由用戶數(shù)據(jù)泄露導(dǎo)致的大額合規(guī)罰金事件。在這些事件中，常見的網(wǎng)絡(luò)攻擊方式包括釣魚攻擊、Web應(yīng)用漏洞攻擊和頁面腳本篡改等，令企業(yè)防不勝防。此外，受到此類威脅的不是只有大型企業(yè)，中小型企業(yè)也難以獨善其身。根據(jù)Akamai全球互聯(lián)網(wǎng)平臺的數(shù)據(jù)，零售、金融、媒體和游戲行業(yè)由于掌握著大量高價值的用戶信息，往往更容易受到網(wǎng)絡(luò)攻擊的“青睞”。

不僅如此，傳統(tǒng)企業(yè)的快速數(shù)字化轉(zhuǎn)型以及在線業(yè)務(wù)的全渠道覆蓋也加劇了信息安全方面的挑戰(zhàn)。網(wǎng)站、移動應(yīng)用程序、物聯(lián)網(wǎng)賦能的自助服務(wù)終端……能夠觸及消費者的數(shù)字化渠道正不斷增加。這些渠道往往使用不同的技術(shù)堆棧和網(wǎng)絡(luò)連接技術(shù)，并且用戶數(shù)據(jù)分布全球各地。這些因素使得用戶信息的存儲和管理變成“孤島”，也讓關(guān)鍵用戶數(shù)據(jù)資產(chǎn)的安全防護變得異常復(fù)雜?；跀?shù)據(jù)隱私對業(yè)務(wù)產(chǎn)生的深刻影響，業(yè)界普遍認為，這種挑戰(zhàn)需要上升到董事會層面予以討論和處理。

中國出海企業(yè)如何做好準備

總體而言，中國出海企業(yè)需要從用戶信息生命周期管理、用戶數(shù)字渠道管理及核心基礎(chǔ)設(shè)施三個層面，審視其管理和保護用戶數(shù)據(jù)的措施，并確保采用行業(yè)最佳實踐。

首先，企業(yè)需要審視在用戶信息的收集、存儲、訪問、使用、清除等各個階段，是否已采取了合適的措施確保合規(guī)。第二，面向用戶的數(shù)字渠道，如網(wǎng)站、移動應(yīng)用、應(yīng)用程序接口等需要能夠抵御復(fù)雜的應(yīng)用層攻擊，防止用戶信息竊取。 第三，企業(yè)需要確保他們所使用的應(yīng)用托管基礎(chǔ)設(shè)施也具備相應(yīng)的網(wǎng)絡(luò)信息安全防護能力及合規(guī)性。

此外，更為重要的是，隨著用戶數(shù)據(jù)管理水平的不斷提高，企業(yè)需要尋找靈活的、面向未來的技術(shù)架構(gòu)，在行業(yè)合規(guī)和業(yè)務(wù)創(chuàng)新不斷變革的過程中，保持業(yè)務(wù)敏捷性并降低成本。作為備受業(yè)界認可的用戶身份管理和信息安全方案領(lǐng)域的領(lǐng)導(dǎo)廠商，Akamai將為中國企業(yè)的出海之路保駕護航。
責(zé)任編輯:pj