近年來，越來越多的中國企業(yè)開始走出國門，進(jìn)入國際市場。據(jù)統(tǒng)計(jì)，2019年，中國出海企業(yè)數(shù)量超7000家，涉及游戲、零售、媒體、高科技制造以及金融服務(wù)等多個(gè)領(lǐng)域 。與此同時(shí)，近年來全球消費(fèi)者數(shù)據(jù)泄露事件有增無減，迫使多國頒布更為嚴(yán)格的個(gè)人數(shù)據(jù)保護(hù)法規(guī)。這給中國企業(yè)的海外運(yùn)營之路帶來了合規(guī)和法律遵從方面的重重挑戰(zhàn)。自歐盟正式實(shí)施《通用數(shù)據(jù)保護(hù)條例》（GDPR）的2018年至今，在歐盟國家開展業(yè)務(wù)的中國和全球企業(yè)遭遇了合規(guī)方面的顯著壓力，合規(guī)成本大幅提高。而今年，另一項(xiàng)嚴(yán)格且具有全球示范效應(yīng)的數(shù)據(jù)隱私法案--美國的《加利福尼亞州消費(fèi)者隱私法案》（CCPA）即將開始施行。中國出海企業(yè)需要充分了解它的影響，并采取主動(dòng)的應(yīng)對措施，降低合規(guī)風(fēng)險(xiǎn)，避免類似2018年時(shí)的措手不及。

為何CCPA動(dòng)關(guān)大局

CCPA是美國加州政府為保護(hù)加州居民的隱私權(quán)益而設(shè)立的法案。考慮到加州是世界第五大經(jīng)濟(jì)體，與GDPR類似，CCPA的影響范圍將是全球性的，將對所有在加州有業(yè)務(wù)的企業(yè)產(chǎn)生影響。根據(jù)加州司法部（State of California Department of Justice）所公布的情況說明書，營利性企業(yè)如果收集加州居民的個(gè)人信息，并滿足以下任何一條，則需要合規(guī) ：

·年總收入超過2500萬美元。

·購買、獲取、出售達(dá)到或超過5萬個(gè)消費(fèi)者、家庭或設(shè)備的信息。

·50%或以上的年收入來自于消費(fèi)者個(gè)人信息的出售。

CCPA已于2020年1月1日生效，并將于2020年7月1日起正式實(shí)施。企業(yè)若違規(guī)，每次不合規(guī)事件可處以高達(dá)7500美元的罰金。更值得注意的是：所謂每次事件是按照每位消費(fèi)者的信息計(jì)算的。這意味著，如果有十萬個(gè)消費(fèi)者的信息儲存在企業(yè)的數(shù)據(jù)庫中，不合規(guī)的潛在罰金可能會高達(dá)7億5千萬美元！

隱私保護(hù)已成全球趨勢

在消費(fèi)者隱私保護(hù)方面，Akamai發(fā)現(xiàn)了三個(gè)值得注意的趨勢：

1.消費(fèi)者對隱私保護(hù)的期望不斷提高

由于社會和經(jīng)濟(jì)活動(dòng)愈發(fā)移至線上，人們對隱私和數(shù)據(jù)的保護(hù)意識正不斷加強(qiáng)，越來越多的消費(fèi)者期望企業(yè)能夠采取強(qiáng)有力的措施保護(hù)好自己的隱私數(shù)據(jù)。德勤的一項(xiàng)研究表明，70%的消費(fèi)者會避免從他們認(rèn)為沒有很好保護(hù)個(gè)人信息的商家那里購買商品 。此外，Akamai的一項(xiàng)關(guān)于消費(fèi)者對數(shù)據(jù)隱私所持態(tài)度的調(diào)查（Akamai‘s Consumer Attitudes Toward Data Privacy Survey）發(fā)現(xiàn)，66%的消費(fèi)者希望政府通過更多的立法來保護(hù)個(gè)人數(shù)據(jù)隱私 。

更具挑戰(zhàn)性的問題在于，消費(fèi)者在希望自己的隱私得到保護(hù)的同時(shí)，往往也希望商家了解他們的需求與偏好，并在多個(gè)數(shù)字化渠道提供個(gè)性化服務(wù)。因此，如果企業(yè)可以構(gòu)建并采用一套平衡的措施來處理這兩種截然不同的挑戰(zhàn)，他們就將在這個(gè)高度數(shù)字化的市場環(huán)境中占據(jù)優(yōu)勢。

2.更多國家/地區(qū)采用更嚴(yán)格的隱私保護(hù)法規(guī)

在這樣的大背景下，越來越多的國家和地區(qū)開始實(shí)施更嚴(yán)格的隱私保護(hù)法案。根據(jù)聯(lián)合國發(fā)布的數(shù)據(jù)，全球已有132個(gè)國家/地區(qū)立法保護(hù)數(shù)據(jù)和隱私 。而GDPR、CCPA以及其他類似法案主要定義了數(shù)據(jù)和隱私保護(hù)的七個(gè)方面--即許可（Consent）、反對（Objection）、訪問（Access）、清除（Erasure）、移動(dòng)性（Portability）、安全（Security）和信息泄露通知（Breach notification） 。

全球數(shù)據(jù)保護(hù)和隱私立法情況

盡管這些法案在大方向上有相似之處，但如果仔細(xì)研究就會發(fā)現(xiàn)，它們在信息保護(hù)程度和實(shí)現(xiàn)方面有很多不同。例如，CCPA要求支持用戶Opt-out（退出許可），而GDPR要求Opt-in（加入許可）；CCPA要求為消費(fèi)者提供“不允許出售我的數(shù)據(jù)”選項(xiàng)，而GDPR并不要求。 全球零售企業(yè)需要為不同地區(qū)的用戶提供不同的信息管理策略、用戶界面和接口。為了避免業(yè)務(wù)合規(guī)風(fēng)險(xiǎn)，達(dá)到GDPR合規(guī)的企業(yè)不可以簡單地認(rèn)為他們在其他地區(qū)也是合規(guī)的。

3.網(wǎng)絡(luò)攻擊加劇隱私保護(hù)挑戰(zhàn)

近年來，大規(guī)模用戶數(shù)據(jù)泄露事件屢見不鮮。2013年，惡意軟件釣魚攻擊導(dǎo)致美國某知名零售商泄露大量用戶數(shù)據(jù)，讓消費(fèi)者開始認(rèn)識到此類事件的嚴(yán)重性。后來的幾年里，媒體又相繼報(bào)道了多起由用戶數(shù)據(jù)泄露導(dǎo)致的大額合規(guī)罰金事件。在這些事件中，常見的網(wǎng)絡(luò)攻擊方式包括釣魚攻擊、Web應(yīng)用漏洞攻擊和頁面腳本篡改等，令企業(yè)防不勝防。此外，受到此類威脅的不是只有大型企業(yè)，中小型企業(yè)也難以獨(dú)善其身。根據(jù)Akamai全球互聯(lián)網(wǎng)平臺的數(shù)據(jù)，零售、金融、媒體和游戲行業(yè)由于掌握著大量高價(jià)值的用戶信息，往往更容易受到網(wǎng)絡(luò)攻擊的“青睞”。

不僅如此，傳統(tǒng)企業(yè)的快速數(shù)字化轉(zhuǎn)型以及在線業(yè)務(wù)的全渠道覆蓋也加劇了信息安全方面的挑戰(zhàn)。網(wǎng)站、移動(dòng)應(yīng)用程序、物聯(lián)網(wǎng)賦能的自助服務(wù)終端……能夠觸及消費(fèi)者的數(shù)字化渠道正不斷增加。這些渠道往往使用不同的技術(shù)堆棧和網(wǎng)絡(luò)連接技術(shù)，并且用戶數(shù)據(jù)分布全球各地。這些因素使得用戶信息的存儲和管理變成“孤島”，也讓關(guān)鍵用戶數(shù)據(jù)資產(chǎn)的安全防護(hù)變得異常復(fù)雜?；跀?shù)據(jù)隱私對業(yè)務(wù)產(chǎn)生的深刻影響，業(yè)界普遍認(rèn)為，這種挑戰(zhàn)需要上升到董事會層面予以討論和處理。

中國出海企業(yè)如何做好準(zhǔn)備

總體而言，中國出海企業(yè)需要從用戶信息生命周期管理、用戶數(shù)字渠道管理及核心基礎(chǔ)設(shè)施三個(gè)層面，審視其管理和保護(hù)用戶數(shù)據(jù)的措施，并確保采用行業(yè)最佳實(shí)踐。

首先，企業(yè)需要審視在用戶信息的收集、存儲、訪問、使用、清除等各個(gè)階段，是否已采取了合適的措施確保合規(guī)。第二，面向用戶的數(shù)字渠道，如網(wǎng)站、移動(dòng)應(yīng)用、應(yīng)用程序接口等需要能夠抵御復(fù)雜的應(yīng)用層攻擊，防止用戶信息竊取。 第三，企業(yè)需要確保他們所使用的應(yīng)用托管基礎(chǔ)設(shè)施也具備相應(yīng)的網(wǎng)絡(luò)信息安全防護(hù)能力及合規(guī)性。

此外，更為重要的是，隨著用戶數(shù)據(jù)管理水平的不斷提高，企業(yè)需要尋找靈活的、面向未來的技術(shù)架構(gòu)，在行業(yè)合規(guī)和業(yè)務(wù)創(chuàng)新不斷變革的過程中，保持業(yè)務(wù)敏捷性并降低成本。作為備受業(yè)界認(rèn)可的用戶身份管理和信息安全方案領(lǐng)域的領(lǐng)導(dǎo)廠商，Akamai將為中國企業(yè)的出海之路保駕護(hù)航。
責(zé)任編輯:pj