消費者個人信息的數據安全和隱私保護合規攻略

消費者個人信息的數據安全和隱私保護合規攻略

當前中國企業出海的大環境日益嚴峻，特別是針對智能物聯網企業、互聯網

企業對消費者個人信息的數據安全和隱私保護的質疑聲浪日漸高漲。

一、消費者數據安全和隱私保護是中國物聯網企業出海的必修課

當前中國企業出海的大環境日益嚴峻，特別是針對智能物聯網企業、互聯

網企業對消費者個人信息的數據安全和隱私保護的質疑聲浪日漸高漲。最近，

印度查封了59款中國App；美國的“凈網”行動以及特朗普政府針對抖音海

外版TikTok、的禁令，在政治和意識形態導向的背后，人為給中國企業設

置出海標準的意圖已是板上釘釘。中國企業出海要考量不同地區有不同的法

律、立場、利益、制度和文化，在世界各國日益重視高科技產品的數據和隱私

保護的今天，必須充分重視物聯網產品的消費者個人信息的數據安全和隱私保

護問題。

二、主要市場的物聯網產品數據合規的法律

物聯網技術不可避免會有大量重要和個人數據的交換和分析。消費者在享

受物聯網產品的便利化、智能化的同時也在日益擔心企業和個人數據的安全與

個人隱私保護。

歐洲和美國是中國物聯網產品出海的主要銷售地。中國企業出海必須熟悉

當地的法律法規，特別是一些敏感健康數據產品例如健康穿戴產品、基因產品

等的準入規則以及認證。

1.歐盟“一般數據保護條例”（GDPR）

2018年5月25日，GDPR正式實施后對個人數據保護樹立新的法律標準

和合規要求。近兩年來，全球各國都在參照GDPR加強本國的數據立法。由此

而來，針對企業也產生了新的合規要求：內部組織機構變革（DPO）、外部

和內部審計（供應商、客戶的新合規要求）、內部文件和外部文件的合規（制

度、合同、隱私政策等）、系統硬件和物理安全要求（特別是脫敏和匿名

化）、內部GDPR內訓和測試。

2.美國《加州消費者隱私法案》（CCPA）

2020年1月1日，美國《加州消費者隱私法案》（CCPA）正式生效，促

使企業改善用戶數據的處理模式，其一大特點即為懲罰性賠償的金額高昂，號

稱為最“貴”的數據保護法。

CCPA秉持著偏向消費者的立場，側重規范數據的商業化利用。對于數據

的使用“原則上允許，有條件禁止”。從適用對象上看，CCPA約束的是處理

加州居民個人數據的營利性實體。同時，CCPA也對州外企業的違法行為產生

法律效力，即公司在加州沒有辦公室或雇員，但在加州做生意也可能受CCPA

約束。

此外，CCPA中還有許多細分行業的立法，例如金融領域中的《金融隱私

權法案》（RFPA）對銀行雇員披露金融記錄及聯邦立法機構獲得個人金融記錄

的方式進行限制；醫療領域中的《健康保險隱私及責任法案》（HIPAA）規定

了個人健康信息只能被特定的、法案中明確的主體使用并披露，個人可以控制

了解其本人的健康信息，但要遵循一定程序標準；消費者信用領域的《公平信

用報告法》規定了消費者個人對信用調查報告的權利，規范消費者信用調查/報

告機構對于報告的制作、傳播、對違約記錄的處理等事項，明確消費者信用調

查機構的經營方式等。

綜上，無論是GDPR還是CCPA此類新法規體系在歐美的適用，不僅對中

國企業，對其他擬進入這個市場的企業一致提出新的準入法規要求。我們的物

聯網出海企業必須適應新的商業規則，修好這門數據合規和隱私保護必修課。

三、物聯網企業出海數據合規攻略

在物聯網企業的行業特點和風險全面判斷的基礎上，結合數據合規的實務

經驗，我們建議物聯網出海企業在以下幾個方面加強數據合規體系，持續維持

并達到銷售地市場對數據合規和隱私保護的最低標準。

1.中國企業必須重視消費者個人信息安全和隱私保護問題

GDPR對一般違法的處罰上限為該企業上一年度全球收入的2%或1000萬

歐元（適用高者）；對嚴重違法的處罰上限為該企業上一年度全球收入的4%

或2000萬歐元（適用高者）。截至2020年5月，違反GDPR案件已經達到

234起，總額為467476268歐元。

主要違法事由包括：數據處理的法律依據不足、沒有足夠的技術和組織措

施來確保信息安全、不符合一般數據處理原則、沒有充分保障數據主體的權

利、未充分履行信息義務、與監管部門合作不足、未充分履行數據泄露通知義

務、沒有委任數據保護官、數據處理協議不充分等。

2020年2月18日，美國CCPA法案迎來了首例集體訴訟。原告是一批購

買Ring安全設備的消費者，聲稱該公司違反了CCPA的規定，未能實施足夠

的安全措施，并將其消費者的個人信息共享給未經授權的第三方。這起訴訟是

第一起明確適用CCPA規定提起的訴訟，該起訴訟的處罰結果備受關注。

這些教訓可以成為中國物聯網企業出海的經驗。高昂的也促使企業需

要重視物聯網產品對消費者的數據安全和隱私保護。

2.必須建立符合法律體系監管消費者數據隱私保護的組織架構

消費者數據隱私保護的組織架構能更好地完善產品隱私設計、響應消費者

隱私保護需求。在企業的組織架構中，建議應對跨國經營的企業設立專職或兼

職的首席數據（隱私）安全官（DPO），管理企業的數據隱私事務。

DPO的法定職責范圍具體包括：全面負責公司數據合規和用戶隱私保護各

項工作；制定和完善公司產品數據保護制度，定期對數據保護狀況進行風險評

估，對制度執行情況進行監督；定期對公司數據合規保護工作向CEO/董事會

進行匯報；定期針對參與數據處理活動人員開展培訓以及提高相關人員合規意

識的工作；負責推動數據合規管理方案的設計、更新和執行，如：數據分級管

理、數據安全管控流程等；配合相關監管部門的檢查、問詢；組織對數據泄露

等風險事件的緊急處置等。

3.必須采取合理必要的技術安全和法律合規措施切實保護消費者隱私

建議在物聯網產品的技術白皮書和用戶手冊中設置專章，向消費者闡明產

品在設計、安全標準、合規體系、跨境傳輸中采取的保護消費者隱私的詳盡措

施。

4.通過技術和法律兩方面審計數據合規

建議企業通過技術和法律合規兩個方面，對物聯網產品是否在以下數據處

理方面初步達到數據和隱私保護的要求，進行定期數據合規審計。具體包括：

合理透明的數據處理、對個人數據的有限必要的收集、對個人數據進行匿名化

處理、提供給公眾與數據主體的隱私保護的渠道、設定專門制度和機制保護數

據主體權利的行使、提供兒童數據保護、對數據泄露有預警有報告、對數據傳

輸提供安全合規的措施。