跨境电商在海外运营时会面临哪些数据保护/隐私合规风险？

在跨境电商的出海经营过程中，可能会涉及通过自营电商网站平台、第三方跨境电商平台、自营APP等收集海外消费者的个人信息，包括但不限于消费者姓名、电子邮箱、电话号码、收获地址、支付账户等。同时，在跨境电商提供售后服务过程中，也可能涉及收集和处理上述海外消费者的个人信息。此外，一些全球化运营的企业还涉及将收集到的个人信息在全球范围内进行传输。在此背景下，跨境电商企业不仅需要遵守中国有关的网络安全与数据保护法规，更需要遵守业务所在国家/地区个人信息及隐私保护规则，避免违规处罚风险。根据我们的观察，很多中国电商平台海外市场均在加快自身数据保护监管的立法步伐，监管规则也是日新月异，即使是同一个国家范围内，不同的地区也可能制定更为精细化的监管规则，对运营者提出更高标准的合规义务要求。例如，如跨境电商在美国市场开展经营活动，除联邦层面的法律法规外，还需要特别留意州层面的法规要求，例如《加州消费者隐私法案》﹙CPPA﹚﹑《加州隐私权法案》﹙CPRA﹚﹑《康涅狄格州数据隐私法案》﹙CTDPA﹚等。此外，电商平台应关注特定领域的合规义务要求，例如美国《儿童在线隐私保护法》﹙COPPA﹚中的监管要求。

结合既往处罚案例，跨境电商企业在开展海外运营的过程中，常见的数据合规挑战包括：

• 隐私政策、隐私政策界面设计不符合海外市场当地的法律法规要求；

• 个人信息处理全流程风险控制要点部署不到位，例如采集个人信息场景未能充分告知个人信息主体（消费者）、个人信息永久存储等；

• 在与第三方合作方之间的数据交互未能充分进行合规风险管理；

• 对从事的数据跨境传输活动未能排查清楚事实情况和/或履行数据跨境传输合规措施；

• 个人信息主体权益响应不到位，遭致客诉、处罚乃至诉讼；

• 开发新业态和新技术﹙例如算法、AIGC等﹚时未能充分保护个人信息安全；

• 未履行对特殊群体（例如儿童）的个人信息保护特殊要求。

值得关注的是，近年来，跨境电商平台在海外因数据安全问题面临的行政处罚与民事诉讼案例层出不穷。2022年，Shein的前控股股东Zoetop因未妥善处理用户数据泄露问题而被美国罚款190万美元。另一家大型中国出海电商平台也同样因为违规收集个人信息、个人信息安全问题接连在美国、加拿大被提起集体诉讼。如此种种由数据合规引发的处罚、诉讼事件无疑是一把达摩克利斯之剑，让中国跨境电商的海外发展面临巨大的域外司法挑战。

为避免上述违规事件再次发生，跨境电商企业在出海过程中，需要格外注意对海外市场数据保护法规要求的研究。对照法规要求，对自身个人信息收集处理事实情况排查（DataMapping）,摸清数据流转关键环节；根据法规要求，设置隐私政策、隐私政策界面，避免因管理不到位引起不合规事件。