2024年跨境电商隐私合规白皮书.pdf

《2024年跨境电商隐私合规白皮书.pdf》由会员分享，可在线阅读，更多相关《2024年跨境电商隐私合规白皮书.pdf（26页珍藏版）》请在咨信网上搜索。

跨境电商跨境电商隐私合规白皮书隐私合规白皮书Cross-border e-commerce privacy compliance white paper跨境电商跨境电商隐私合规白皮书隐私合规白皮书Cross-border e-commerce privacy compliance white paper目录目录引言.1一.隐私合规的价值.2（一）隐私合规概念界定.21.数据定义.22.隐私数据定义.23.地域间界定方法和概念差异.34.隐私数据泄露.35.隐私合规.4（二）隐私合规的全球背景.41.隐私立法潮流.42.隐私违规判罚案例统计概览.53.以隐私合规之名竖高墙.7（三）隐私泄露事件反思.71.企业数据泄露事件反思.72.私人照片泄露事件反思.8（四）隐私合规的价值.81.微观层面：数据保护惠及商家、平台和用户三方.82.中观层面：促进行业可持续发展.93.宏观层面：推动国家经济增长和国际形象提升.9二.隐私合规的困境.9（一）创新带来的隐私挑战.9（二）地区差异带来的法域冲突.10（三）隐私合规成本大幅提升.111.罚没成本高.112.合规投入大.123.运营消耗巨.134.创新枷锁生.13三.隐私合规的趋势.13（一）国家间、区域间数据流转规则逐渐明确.13（二）国际数据治理的规定范围更加精细.13（三）各国、各区域数据主体的数据权利愈加完善.14（四）各国、各区域数据法案执法范围逐步扩大.14（五）各国完善数据立法配套制度框架.14四.隐私合规的实践.14（一）借鉴 GRC 框架，构建成熟的管理、技术、运营体系.14（二）抓住跨境电商隐私合规要点.151.电商业务场景下的同意管理.162.定向营销.163.第三方数据共享.164.数据安全.17跨境电商跨境电商隐私合规白皮书隐私合规白皮书Cross-border e-commerce privacy compliance white paper（三）建立完善隐私成熟度评估体系.17五 跨境电商行业建议.19（一）市场层面.191.推动行业自律和标准制定.192.加强与用户的沟通和互动.193.推动与其他企业的合作和交流.19（二）政府层面.191.完善法律法规和监管机制.192.提供指导和支持.193.加强国际合作和交流.19（三）全球治理层面.191.积极参与国际组织和倡议.192.遵守国际规则和原则.193.关注全球治理动态和趋势.20六、总结.20参考资料.20鸣谢.22跨境电商跨境电商隐私合规白皮书隐私合规白皮书Cross-border e-commerce privacy compliance white paper1引言引言作为全球贸易新旧动能转换的重要组成部分，跨境电子商务逐步成为推动经济增长和新旧动能转换的关键动力。国家发改委在 2022 年发表的大力推动我国数字经济健康发展分析文章中明确提出我国要“大力发展跨境电商，打造跨境电商产业链和生态圈。”近十年，国内的互联网快速发展，同样的模式复制到出海场景，尤其是跨境电子商务，水土不服现象频发。一方面，爆点事件频发，引发各国、各区域的隐私合规意识提升；另一方面，各国、各区域内部，国与国之间、区域与区域之间的科技、互联网发展速度差异，为保护各自在数字经济国际竞争中的主动地位，各国各区域已经或纷纷立法，保护数字隐私。科技创新催生业务创新，业务创新带动科技创新，DNA 双螺旋模式驱动数字经济高速发展。数据就是构成这个 DNA 双螺旋的基本元素，数据在电子商务和数字经济中日益重要的作用。数据驱动的经济为创造财富和应对发展挑战带来了新的机遇，但也引发了与数据隐私和安全、跨境数据流动、市场集中度和税收等相关的各种潜在关切。随着数字经济的高速发展，在各个行业，各个企业，各个机构，各国各区域政府都汇集了海量的大数据，数据湖技术应运而生、应运而蓬勃发展。这些数据湖可以被挖掘和分析，以找出本来隐藏不显的模式和相关性。其结果可被输入到某些系统中，这种系统使用人工智能、机器学习和自动化决策以升级系统元素甚至整个系统。由阿里巴巴、亚马逊、苹果、Facebook、谷歌、微软、SAP、腾讯等公司运营的平台，已经将大数据作为商业模式的核心。监管机构、监管人员和消费者越来越多地关注安全、隐私和个人数据的所有权及其使用影响。本文旨在更好帮助跨境电商产业把握发展机遇，将挑战转化为内生动力，规范企业运营，行业标准，甚或治理建议。在此背景下，纵观全球合规过去、现在和未来，第一章探讨了隐私合规的价值。第二章阐述了隐私合规的困境。第三章讨论了隐私合规趋势。第四章探讨了隐私合规的实践。第五章给出了跨境电商行业建议。跨境电商跨境电商隐私合规白皮书隐私合规白皮书Cross-border e-commerce privacy compliance white paper2一一.隐私合规的价值隐私合规的价值（一）（一）隐私合规概念界定隐私合规概念界定1.1.数据定义数据定义“数据”是指任何以电子或者其他方式对信息的记录。2.2.隐私数据定义隐私数据定义本文隐私数据，涵盖个人数据、个人信息、敏感数据等定义（各国各区域立法称呼不同），我们对比分析以下主要法域对隐私数据的定义：欧盟通用数据保护条例1（GDPR）第四条规定，“个人数据”指的是任何已识别或可识别的自然人（数据主体）相关的信息；一个可识别的自然人是一个能够被直接或间接识别的个体，特别是通过诸如姓名、身份编号、地址数据、网上标识或者自然人所特有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份而识别个体。加州消费者隐私法2（CCPA）加州隐私权法案（CPRA）规定，个人信息个人信息是指直接或间接地识别，关联，描述，或能够合理地联系到一个特定的消费者或家庭的信息。包括但不限于：a.标识符：真实姓名；昵称；邮寄地址；电子邮箱；唯一个人或网络标识符；IP 地址；账 户名；社保号码；驾照或护照号码；其他持续的或可能性的标识符用于标识一个特定消费者，家庭或设备；b.1798.80 条款中定义的个人信息：个人签名；州身份证件号码；身体特征或描述；保险单号码；教育信息；就业信息；银行账号，信用卡号，借记卡号以及其他的财务信息；医疗信息或医疗保险信息；c.受加州或联邦法律保护的特征信息，例如种族，国籍，宗教，性别，性取向；d.交易信息：包括个人资产记录，购买的商品和服务，其他购买或消费的记录以及倾向；e.生物计量信息：包括基因，心理，行为以及生物特征，可提取模型的行为模式信息，或其他标识符信息，例如：指纹，人脸模型，声纹；虹膜、视网膜扫描；笔迹，步态或其他物理模型；睡眠，健康或活动信息；f.网络活动信息：浏览历史，搜索历史，或消费者与网站，应用或广告的交互信息；g.地理位置信息；h.声音，电的，视觉，热感，嗅觉或其他类似的信息；i.职业或就业相关的信息；j.非公开的教育信息；k.基于任何以上信息的推测建立的画像信息，反映特定消费者的喜好、特征、心理趋向、倾向、行为、态度、智力、能力和天赋等。注：个人信息不包括公开信息，公开信息是指可以从联邦、州或当地政府记录中获取的信息。中华人民共和国民法典第一千零三十四条规定 自然人的个人信息受法律1通用数据保护条例（General Data Protection Regulation，简称 GDPR）为欧洲联盟的条例，前身是欧盟在1995 年制定的计算机数据保护法。2018 年 5 月 25 日，欧洲联盟出台通用数据保护条例2CCPA，即 2018 年颁布并于 2020 年 1 月 1 日生效的加州消费者隐私法。CPRA，即加州隐私权法案，于 2023 年 1 月 1 日生效。这是两部关于保护加州居民个人信息的立法。它们旨在加强个人隐私权，提高企业对消费者个人信息的保护水平。CCPA 的出台旨在加强加州消费者隐私权和数据安全保护，被认为是美国当前最严格的消费者数据隐私保护立法跨境电商跨境电商隐私合规白皮书隐私合规白皮书Cross-border e-commerce privacy compliance white paper3保护。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。中华人民共和国个人信息保护法第四条规定：个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。其中“匿名化”是指个人信息经过处理无法识别特定自然人且不能复原的过程。3.3.地域间界定方法和概念差异地域间界定方法和概念差异从 GDPR、CCPA、中国的个人信息保护法以及民法典中关于个人信息的定义来看，虽然都致力于保护自然人的个人信息权益，但具体的界定方法、概念的内涵存在差异。首先，GDPR 和中国的个人信息保护法在定义上较为类似，都致力于保护所有可识别和已识别的自然人相关的个人信息。具体包括个人身份信息，如姓名、地址、身份证号码等；个人偏好信息，如购物习惯、浏览记录等；以及个人的网络身份信息，如用户名、密码等。同时，二者都将匿名化信息排除在个人信息保护范围之外。相比之下，CCPA 则采用定义、列举、排除并行的方法对个人信息进行界定，它更强调“合理性”。具体来说，CCPA 规定下的个人信息包括：识别信息（如姓名、地址、电话号码等）、健康信息、财务信息等。同时，CCPA 也明确排除了一些不适用的信息类型，例如：公开信息、匿名信息等。值得注意的是 CCPA 排除适用的信息类型远多于 GDPR 与个人信息保护法。综上所述，GDPR、CCPA、中国的个人信息保护法以及民法典都对个人信息保护做出了规定，虽然具体界定方法和概念内涵存在差异，但都以保护自然人的个人信息权益为主要目标。4.4.隐私数据泄露隐私数据泄露GDPR 规定，个人数据泄露是指数据处理者意外或非法破坏、丢失、更改、未经授权的披露或访问传输、存储或以其他方式处理的个人数据。在无正当理由的情况下将个人数据传输到不被授权接收这些数据的第三方。这种泄露可能会导致个人隐私的侵犯，给个人带来不利的后果。GDPR 强调了数据处理者的责任，要求其采取适当的措施来保护个人数据的安全。CCPA 规定，个人数据泄露是指未经授权获取计算机化信息，损害了个人信息的安全性、保密性或完整性，但不包括某些善意取得。未经授权的访问、获取、使用、披露、修改或破坏个人信息的行为。与 GDPR 相比，CCPA 的定义更加具体，涵盖了更多的情况。此外，CCPA 还强调了个人数据的可识别性，即使数据经过处理或匿名化，只要能够重新识别个人身份，仍属于个人数据。中国的民法典规定，个人信息受到法律保护，任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。个人信息包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码等。民法典没有关于个人数据泄露的具体定义，但其规定了隐私权的概念和保护措施。中国的个人信息保护法第五十一条规定，个人信息处理者应采取措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个 人跨境电商跨境电商隐私合规白皮书隐私合规白皮书Cross-border e-commerce privacy compliance white paper4信息泄露、篡改、丢失因自身管理不善或者疏漏导致个人信息发生泄露的情形是信息泄露。此规定注重个体权益的保护，并给个人信息处理者提出了相应的处理措施建议。关注规避侵犯个人信息权利的潜在人员构成以及个人信息内容类型并给予解决相关争议的途径和方向。5.5.隐私合规隐私合规GDPR 规定，隐私保护是指个人数据的处理过程不得侵犯自然人的基本权利，包括个人数据的收集、使用、存储、传输、处理等环节。GDPR 强调了数据处理者对个人数据的责任，要求他们采取适当的措施来保护个人数据的安全，包括但不限于加密、匿名化等。此外，GDPR 还规定了隐私保护的最低标准，包括数据处理者在收集、使用个人数据时必须告知个人数据的处理目的、范围、是否与第三方共享等，并需要获得个人的授权同意。CCPA 规定，隐私保护是指个人信息的收集、使用、存储、传输、处理等环节应当符合法律、法规的规定，不得侵犯他人的合法权益。与 GDPR 相比，CCPA 的定义更加具体，涵盖了更多的情况。此外，CCPA 还从实质辨别角度强调了个人信息的可识别性，即使数据经过处理或匿名化，只要能够重新识别个人身份，仍属于应当保护的个人数据。中国的民法典规定，自然人享有隐私权，任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。隐私权包括私人生活安宁和不愿为他人知晓的私密空间、私密活动和私密信息等。与 GDPR 和 CCPA 相比，民法典更加注重隐私权的保护，规定了更广的保护范围，如禁止任何组织或者个人侵扰他人的生活安宁和私密空间等。中国的个人信息保护法规定，任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息；不得从事危害国家安全、公共利益的个人信息处理活动。它主要在于注重个体的权益，重点关注谁可能会侵犯个人信息权利、侵犯了什么样的个人信息权利，并且给出了解决相关争议的途径和方向。此外，个人信息保护法还规定了任何单位不得公开散布含有个人隐私信息的条款，即使运用大数据可推演出来的信息也仍在保护范围之内，包括一些利用大数据推演出来的信息也不得公开传播。综上对比分析，GDPR、CCPA、民法典和个人信息保护法对个人数据、个人信息、隐私的不同概念的具体的内涵和外延都有所不同。这与各个国家和地区既有的法律体系和实际国情有关。跨境电商隐私合规，重在适配各个国家和地区的法律、法规，使用法律、技术和管理等机制来保护个人信息以免受到任何侵害。（二）（二）隐私合规的全球背景隐私合规的全球背景以中美经贸协议知识产权保护为例，无论采用“下架优先于侵权判断”的倒置程序规则、免除善意提交错误下架通知的责任、延长权利人采取后续措施的期限、处罚恶意提交通知或反通知主体或增设吊销经营许可证的法律责任，无疑是一把悬在跨境电商企业头顶的达摩克利斯之剑，昭示着一个不争的事实，跨境电商平台、企业必须正视将会承担双重或多重法律风险。需要了解经营区域的政策、法规、法律。考虑跨境电商企业必须处理大量的用户数据的特性，必须遵守经营区域不同国家和地区各自的隐私合规法规。如若跨境电商企业在数据处理方面违背相关法规，就要承担面临巨大的罚款和法律诉讼的责任。1.1.隐私立法潮流隐私立法潮流在欧美 GDPR、CCPA 为首的两大主流法域影响下，各国隐私数据保护政策纷纷跨境电商跨境电商隐私合规白皮书隐私合规白皮书Cross-border e-commerce privacy compliance white paper5出台，据联合国贸易发展会的最新统计，194 个国家中有 137 个国家和地区通过立法来保护数据和隐私法益，比例高达 71%，其中有 75 个国家设立独立的个人数据保护机构，以保障数据规范的落实与执行。仅欧盟、美国、日本、法国、意大利、加拿大、德国、英国、印度、南非、韩国、俄罗斯、澳大利亚、巴西，14 个地区和国家就有 87 项数据安全法规。此外，还有 9%的国家和地区正在起草相关法律法规。可以看到并预见，各个国家和地区的隐私数据保护立法会逐渐赶超商业步伐，其判罚严格“宁可错杀”的法律法规建构旨在侧重发挥对隐私的保护功能以及对隐私侵犯事件的震慑功能。2.2.隐私违规判罚案例统计概览隐私违规判罚案例统计概览根据 CMS3的统计数据，分析截至 2023 年 3 月累计 27.7 亿欧元罚款。GDPR 执行跟踪报告和 GDPR 执行跟踪网站中的每项罚款均归因于以下九个类别之一：1)数据处理的法律依据不足2)确保信息安全的技术和组织措施不足3)不遵守一般数据处理原则4)数据主体权利未充分履行5)信息义务履行不足6)与监管机构合作不足7)未充分履行数据泄露通知义务8)缺乏数据保护官员的任命9)数据处理协议不足在这些类别中，罚款最多（同时罚款总额第二高）的原因是针对法律依据不足的数据加工活动。第二个最常见的罚款原因是不遵守一般数据处理原则的数据处理活动。第三个原因是因确保信息安全的技术和组织措施不足、未充分履行信息安全保护义务和未充分履行保障数据主体权利而被罚款。3CMS:GDPR 执法数据，CMS Legal Services EEIG is a European Economic Interest Grouping that coordinatesCMS Member Firms.Content Management System 的缩写，意思为“网站内容管理系统”，用来管理网站后台，编辑网站前台。跨境电商跨境电商隐私合规白皮书隐私合规白皮书Cross-border e-commerce privacy compliance white paper6虽然不遵守一般数据处理原则不仅是第二大常见的罚款原因，但对 Meta 处以的极高罚款导致此类违规行为的平均罚款金额明显高于任何其他类型的违规行为。到目前为止，只有很少的罚款是由于缺乏与监管机构的合作、违反数据泄露义务、数据保护官员的参与不足或缺少数据处理协议的情况而被处以的。数据来源：CMS,GDPR 执法跟踪数据库回顾以下几个案例，以便大家思考可能触发的判罚违规类型：案例一：案例一：剑桥分析丑闻，指 8700 万 Facebook 用户数据被不当泄露给政治咨询公司剑桥分析，用于在 2016 年总统大选时支持美国总统特朗普。2020 年 4 月 23 日，美国联邦法院终于批准了 Facebook 与美国联邦贸易委员会就剑桥分析丑闻的 50 亿美元和解协议。违规类型：确保信息安全的技术和组织措施不足案例二：案例二：因处理儿童隐私数据不当，图片分享平台 Instagram 所有者 Meta 被爱尔兰数据隐私监管机构处以创纪录的 4.05 亿欧元（约合 27.9 亿元人民币）罚款。据英国路透社，爱尔兰数据保护委员会的一名发言人对媒体表示，自 2020 年起，该机构主要针对 Instagram 上 13 至 17 岁的青少年用户展开调查，发现这些青少年用户被允许运营企业账户，这会导致他们的电话号码和电子邮件地址被公开。违规类型：确保信息安全的技术和组织措施不足】案例三：案例三：因未允许法国用户便捷地拒绝 cookie 跟踪，法国数据监管机构 CNIL（法国国家信息与自由委员会）对谷歌处以 1.5 亿欧元（约合 10.81 亿人民币）的罚款。因谷歌违反了 GDPR 的两项规定：一是未满足透明度和信息披露的相关要求，比如数据用途、存储时限、个性化广告所需的个人数据类型等重要条款分散在不同的文件里，获取全部披露信息有时需要跳转五到六次，繁杂程度高，有设置障碍之嫌。二是未尽到为个性化广告提供法律依据的义务，主要表现为用户的知情权没有跨境电商跨境电商隐私合规白皮书隐私合规白皮书Cross-border e-commerce privacy compliance white paper7被充分保障。以“个性化广告”段落为例，用户无法从文本中充分了解数据处理过程中可能涉及的其他产品，如谷歌搜索、YouTube、谷歌地图等。违规类型：确保信息安全的技术和组织措施不足，不遵守一般数据处理原则，数据主体权利未充分履行保障，信息安全保护义务履行不足，数据处理协议不透明不足案例四：案例四：因数据共享不透明，2021 年 9 月，爱尔兰数据保护委员会 DPC 向WhatsApp 开出 2.25 亿欧元罚单。爱尔兰数据保护委员认为，WhatsApp 在介绍数据处理方式、隐私政策以及与母公司 Facebook（现更名为 Meta）共享数据方面未能充分提示和说明，违反了 GDPR 的多项规定，因而处以罚款。违规类型：不遵守一般数据处理原则，数据主体权利未充分保障履行，信息安全保护义务履行不足，数据处理协议不足不透明3.3.以隐私合规之名竖高墙以隐私合规之名竖高墙如今许多国家将数字经济视为贸易发展的源动力，为了弥补自身在技术研发上的相对劣势，争先通过严格的数据立法在数据治理的国际博弈中谋求制度先机。特别是以美欧为首的西方国家，为遏制中国互联网等高新技术产业的发展，设立了极其严格的合规标准以提高数据市场准入门槛，增强本国互联网企业同外国巨头的博弈筹码。由此，外国极有可能以“隐私保护”为由否定我国互联网企业的隐私保护措施，从而构建阻碍我国互联网企业扩大海外市场份额的贸易壁垒。美国当地时间 3 月 23 日，TikTok 首席执行官周受资（Shou Zi Chew）受邀出席美国国会举行的听证会，成为全球瞩目的焦点。一方面大众看到的正面，信息透明、用户隐私、未成年人保护、消费者信息安全等成为热议话题（或者是改成“被热议”）。真实的反面另一方面，福布斯采访其中一位众议员公允地说，“我们有隐私立法，有透明度立法，但如果我们只是让这些听证会成为政治舞台，我们就没有做任何事情来保护美国人民。”2020 年 6 月 30 日凌晨消息，印度政府在印度快报印度斯坦时报今日印度等印媒于 29 日晚宣布禁止包括微信、TikTok、美图、百度地图等 59 款中国应用在印使用，这 59 款中国应用将被禁止在移动平台和非移动平台使用，印度快报在报道中显示，印度政府以该国信息技术法案第六十九条第一款为基准，以及2009 年信息技术（阻止公众获取信息的程序和保障措施）规则的相关规定，认为公布的 59 款来自中国的应用有“在安卓和 iOS 系统上存在数据滥用情况，这些应用有以未经授权的方式窃取用户数据秘密传输到印度境外的服务器的行为”。（三）（三）隐私泄露事件反思隐私泄露事件反思1.1.企业数据泄露事件反思企业数据泄露事件反思2023 年 10 月，英国航空公司因 2018 年数据泄露事件，被 ICO 罚款 2000 万英镑，理由是其“未能保护其 40 万以上客户的个人和财务详细信息”，这也是 ICO迄今为止的最大罚单，根据英国航空的说法，数据泄露事件发生在 2018 年 8 月21 日至 9 月 5 日之间。网络攻击者在英国航空公司的网站与移动应用程序中植入了一个病毒版本的 Modernizr JavaScript4库。随后，用户被转到一个虚假欺诈网站，导致约 50 万名用户的多种信息被攻击者窃取。其中包括用户姓名与地址、登录信息、支付卡信息、旅行预定详情等5。但是，据 ICO6了解，此次数据泄露早在 2018 年 6 月已经开始。4用于检测用户浏览器中的 HTML5 和 CSS3 特性打造出来的一台精密的现代化机器5引自王文婧井玉倩：数据泄露天价罚单开出英航、万豪将为用户损失买单，2019 年 7 月 12 日https:/ Commissioners Office)是英国为维护信息权利而设立的独立机构跨境电商跨境电商隐私合规白皮书隐私合规白皮书Cross-border e-commerce privacy compliance white paper8无独有偶，万豪国际也同样出现了数据泄露的问题，与英国航空的情况不同，万豪的数据泄露事件还涉及 2015 年 11 月对喜达屋的收购。ICO 在一份声明中说：“在 2014 年，一个未知的攻击者在喜达屋系统中的设备上安装了一段称为 webshell 的代码，使他们能够远程访问和编辑该设备的内容。”而直到 2018 年底，用户数据泄露的情况才被万豪发现。这四年间，全球约 3.39 亿条客座记录中的个人数据泄露。其中，约 3000 万条与欧洲经济区（EEA）的 31 个国家的用户有关，700 万条与英国居民有关。这些数据包括客户姓名、邮寄地址、电话号码、电子邮箱、护照号码、喜达屋首选的客户账户信息、抵离信息、预订日期和沟通偏好等等。此次数据泄露事件引发了很多思考，例如英国律师事务所 Mishcon de Reya 的合伙人尼尔拜利斯思考，在收购一家公司前也需注重对其数据保护政策的尽职调查，尤其是在处理个人数据量和业务结构高风险性的行业企业当中。7从中可以得出，企业作为数据控制持有者需要把保护个体隐私纳入企业管理团队的战略规划、运营各个环节。2.2.私人照片泄露事件反思私人照片泄露事件反思2014 年 8 月 31 日，图片板 4chan 上发布了近 500 张各种名人（主要是女性）的私人照片，并在 Imgur 和 Reddit 等网站和社交网络上被其他用户迅速传播。这次泄密事件被普遍称为“The Fappening8”和“Celebgate9”。这些图像最初被认为是通过破坏苹果云服务套件 iCloud 或 iCloud API 中的安全问题而获得的这使得他们可以无限制地尝试猜测受害者的密码。苹果在一份新闻稿中声称，访问权限是通过鱼叉式网络钓鱼攻击获得的。该事件引起了媒体和名人的不同反应。批评者认为此次泄露是对照片拍摄对象隐私的重大侵犯，而一些被指控的拍摄对象否认了这些图像的真实性。从上例可反思，个人该如何保护自己的隐私？在互联网如此发达的时代，各种社交平台，各种学习打开平台，在打造各自人设、品牌、社交圈的同时，需要时刻保持警惕意识，保护好自己的隐私空间。诚然，个人、企业外，行业、国家层面需要反思顶层立法、行业守法、企业执法及个人隐私保护如何更好落地。（四）（四）隐私合规的价值隐私合规的价值从跨境电商微观主体、行业、国家三个层面分析隐私合规的价值：1.1.微观层面：数据保护惠及商家、平台和用户三方微观层面：数据保护惠及商家、平台和用户三方对于商家，在跨境电商中，商家需要收集和处理大量用户数据以提供服务和改善用户体验。有效地保护用户隐私对于商家来说是至关重要的，它有助于维护品牌形象、减少法律风险，并保持用户的信任和忠诚度。对于平台，跨境电商平台作为用户和商家之间的桥梁，保护用户隐私极其重要，有助于减少法律风险、保持用户和商家的信任及忠诚度，促进平台的长期发展。对于用户，保护用户隐私是用户的根本权益。保护用户隐私是跨境电商应尽的法律义务和社会责任，有助于提升用户的购物体验，维护社会的公平和正义。综上所述，跨境电商的隐私保护对于商家、平台和用户都具有非常重要的价值。只有充分认识到这一点并采取有效的措施来保护用户隐私，才能建立起一个安全、可信赖的跨境电商环境。7引自：郑萃颖万豪在英国被罚 1.6 亿元，因为泄露了 3 千万客人信息，2020 年 11 月 03 日，界面新闻，有改动。8艳照门事件9名人门跨境电商跨境电商隐私合规白皮书隐私合规白皮书Cross-border e-commerce privacy compliance white paper92.2.中观层面：促进行业可持续发展中观层面：促进行业可持续发展在跨境电商行业中，隐私保护不仅是个体企业的行为，更是整个行业可持续发展的关键因素。跨境电商行业的发展依赖于消费者和企业的信任和参与。如果缺乏对隐私保护的重视，将导致消费者和企业的信心下降，进而影响整个行业的健康发展。因此，行业内的企业应共同遵守隐私保护的原则和规定，建立行业内的信任体系，促进跨境电商行业的可持续发展。3.3.宏观层面：推动国家经济增长和国际形象提升宏观层面：推动国家经济增长和国际形象提升对跨境电商进行隐私保护，于国家的经济增长和国际形象提升具有积极的影响。一方面，隐私保护能够促进跨境电商的健康发展，推动国家经济的增长；另一方面，隐私保护也是国际社会关注的热点问题，一个国家在隐私保护方面的表现，直接影响到国家的国际形象和国际竞争力。因此，国家应加强对跨境电商隐私保护的监管和管理，建立健全相关的法律法规，提升国家在这方面的监管水平，树立良好的国际形象。综上所述，隐私保护在跨境电商微观主体、行业、国家三个层面都具有重要的价值。企业、行业和国家应共同努力，加强对跨境电商隐私保护的重视和实践，从而促进跨境电商行业的健康发展，提升国家的经济增长和国际形象。二二.隐私合规的困境隐私合规的困境（一）（一）创新带来的隐私挑战创新带来的隐私挑战来源：作者自绘来源：作者自绘随着底层的技术进步，5G 网络快速应用，加速物联网、区块链迅速发展；大数据遇到大模型，机器智能摆脱人工；虚拟现实、增强现实，数字人商业普及。业务创新快速迭代。业务创新迭代速度，远远高于行政立法的速度，行业规范紧追步伐。而技术是把双刃剑，在推动业务创新发展的同时，也带来了更多的隐私数据泄露风险。首先，个人数据被大量收集、存储和使用以服务于商业发展。这些数据很可能被用于广告推送、市场分析、商品推荐等。例如，社交网络、在线购物和移动应用跨境电商跨境电商隐私合规白皮书隐私合规白皮书Cross-border e-commerce privacy compliance white paper10程序等都会收集和分析用户的个人数据，包括位置、购买习惯、浏览偏好等。这些数据一方面有利于个性化的推荐和营销策略，另一方面也增加了隐私泄露的风险。其次，新技术也提升了追踪和监视的难度。例如，人工智能技术可以用于个人的追踪和监视，从而侵犯个人隐私。同时，监控和追踪技术、深度学习技术也被广泛应用于从个人数据中推断出更多信息。这些技术的应用可能涉及用户的行为、位置、偏好等敏感信息，如果使用不当或缺乏必要的监管，就可能侵犯个人隐私。此外，新技术的发展也带来了数据安全和隐私保护的挑战。例如，大数据技术被发展应用于公共管理、科学研究、企业营销等各个领域，广泛的应用也带来广泛的数据泄露风险。从宏观的大数据统计来看，2020 年互联网数据泄露总条数约为360 亿条，数据泄露事件给企业造成的平均损失高达 386 万美元。从具体的例子来看，人工智能发展如火如荼，最新消息，人工智能可以根据房间内 WIFI 的信号扫描建模，实时呈现房间里的三维全景。在技术层面是很大的突破，但是无疑是对隐私的巨大威胁不用破解 WIFI，直接通过 WFI 信号扫描，貌似没有违规违法。但是全息建模是否侵犯个人隐私呢？值得企业、行业、国家深思！总之，技术创新对隐私保护带来了新的挑战和机遇。需要采取有效的措施来保护个人隐私，包括建立健全相关的法律法规、加强行业自律和技术创新等。只有这样，才能确保个人数据的安全和隐私权益得到充分保障。（二）（二）地区差异带来的法域冲突地区差异带来的法域冲突欧盟坚持规则先行，重视数据治理和人工智能伦理。由于缺乏全球领先的科技企业，欧盟在数字经济国际竞争中逐渐失去了主动地位，为逆转这一局面，欧盟积极构建数字经济相关监管规则。在数据保护方面，欧盟于 2018 年 6 月正式实施的通用数据保护条例（General Data Protection Regulation，简称 GDPR）堪称最严厉的个人数据保护法，极大提升了隐私保护标准和科技企业合规成本，引领了全球个人隐私保护立法热潮。加州消费者隐私法案（California Consumer Privacy Act，简称 CCPA）是继欧盟一般数据保护条例（GDPR）颁布后又一部数据隐私领域的重要法律。2020 年 7 月 1 日开始正式执行。CCPA 是美国首部关于数据隐私的全面立法。美国目前并没有 GDPR 一类的通用数据保护法律，只在一些特殊行业或领域立法里，有关于隐私保护的内容散落在其中。例如，健康保险流通与责任法案（HIPAA）中提到如何保护患者隐私信息，儿童在线隐私保护法案（COPPA）是专门为保护儿童个人信息制定的联邦法律。CCPACCPA 的出台弥补了美国在数据隐私专门立法方面的出台弥补了美国在数据隐私专门立法方面的空白，它旨在加强加州消费者隐私权和数据安全保护，被认为是美国当前最严格的空白，它旨在加强加州消费者隐私权和数据安全保护，被认为是美国当前最严格的消费者数据隐私保护立法。的消费者数据隐私保护立法。GDPR 强调数据所有者的主体优先性，通过赋予数据权利以提高个人数据保护力度的同时，又限制了企业的数据使用及处理行为。而 CCPA 在注重个人信息保护的基础上，高度重视产业利益，合理地削弱个人对数据信息的绝对控制权，为数据所有者与控制者留有探索创新性数据交易商业模式的空间。具体来说，比如两者对于境外管辖权问题便有着不同规定。GDPR 除了常规的属人、属地管辖之外，还纳入了保护性管辖。对于互联网企业而言，这意味着只要企业向欧盟数据主体提供产品或服务、监控其 行为或处理其数据，都将受到 GDPR的管辖。而 CCPA 虽有扩大管辖范围的趋势，但其综合衡量各方要素，通过设置一定门槛对某些营利性企业统一进行保护性管辖，一定程度上限制了管辖权的过度扩张。不难看出，欧美在数据治理问题上存在着本质性不同，其归因于两者数据保护跨境电商跨境电商隐私合规白皮书隐私合规白皮书Cross-border e-commerce privacy compliance white paper11的差异取向。进一步究其原因，根本在于世界数字技术发展的不平衡。以欧盟为代表的国家或地区，为了弥补自身 技术产业劣势，通过实施严格的数据法案限制外来互联网企业的侵袭以净化本地的数据竞争环境；而以美国为代表的技术优势地区，通过放宽数据规则，致力于实现数据保护与产业发展的良性互动。也正是价值取向的差异，直接决定了各国对于企业数据处理有着不 同的标准及要求。对比分析 GDPR 和 CCPA 在隐私保护的差异：1)适用范围和定义：GDPR 适用于在欧盟境内设立的主体，以及处理欧盟公民个人数据的非欧盟主体。它定义了个人数据包括任何与已识别或可识别的自然人相关的信息。相比之下，CCPA 主要适用于加州居民，定义的“个人信息”范围较广，包括一些难以识别的信息。但其影响力也不容忽视，因为许多在加州开展业务的公司选择遵守 CCPA。2)隐私权利：GDPR 赋予了个人更广泛的隐私权利，包括数据访问权、纠正权、删除权等。而 CCPA 则只赋予了加州居民一些有限的隐私权利，如访问权、改正权和删除权等。GDPR 赋予了个人更多对其数据的控制权，如数据可携权、被遗忘权等。CCPA 则侧重于限制企业出售用户数据的行为。3)数据处理和保护要求：GDPR 要求组织在处理个人数据之前获得明确和肯定的同意。不要求事先获得明确的同意，但允许数据主体选择退出其个人信息的销售。GDPR 要求数据处理者在整个数据处理过程中都要遵守隐私保护原则，包括在数据收集、存储和使用等各个环节。CCPA 则要求在收集、使用和披露个人信息时遵守隐私保护原则。4)跨境数据传输：GDPR 对跨境数据传输有严格的规定，要求数据必须在具有适当隐私保护水平的地方处理。CCPA 则没有此类规定，只要求企业制定合理的隐私政策并获得用户的同意。对于跨境电商企业来说，需要：1)了解适用法规：跨境电商企业应该了解自己在处理个人数据时应当遵守的法律规定，特别是对于同时处理欧盟公民和加州居民的个人数据的企业，需要注意这两方面的法律规定。2)强化数据处理流程：跨境电商企业需要加强个人数据处理流程的合规性，确保在数据收集、存储和使用等各个环节都遵守法律规定。3)重视用户隐私权益：企业应当尊重用户的隐私权益，尤其是对于跨境传输的个人数据，要采取适当的措施保护用户的隐私权，并按照法律规定的要求给予用户相应的隐私权利。4)制定合理的隐私政策：企业应当制定合理的隐私政策，并在收集、使用和披露个人信息时遵守隐私保护原则，确保用户能够明确了解自己的个人信息被如何使用和保护。5)加强培训和教育：企业应当加强员工对隐私保护法规的培训和教育，增强员工的隐私保护意识和能力。总之，跨境电商企业需要关注不同国家和地区的隐私保护法律规定，并采取有效的措施确保个人数据的合规性和安全性，以满足企业发展需要，降低企业经营风险。（三）（三）隐私合规成本大幅提升隐私合规成本大幅提升1.1.罚没成本高罚没成本高在 GDPR 实施 5 周年之际，截止日期为 2023 年 3 月 1 日，CMS 执法跟踪数据库中共记录了 1,576 笔罚款（与 2022 年 GDPR 执法跟踪报告相比增加了 545跨境电商跨境电商隐私合规白皮书隐私合规白皮书Cross