消费者个人信息的数据安全和隐私保护合规攻略

消费者个人信息的数据安全和隐私保护合规攻略

当前中国企业出海的大环境日益严峻，特别是针对智能物联网企业、互联网企业对消费者个人信息的数据安全和隐私保护的质疑声浪日渐高涨。

一、消费者数据安全和隐私保护是中国物联网企业出海的必修课

当前中国企业出海的大环境日益严峻，特别是针对智能物联网企业、互联网企业对消费者个人信息的数据安全和隐私保护的质疑声浪日渐高涨。最近，印度查封了59款中国App；美国的“净网”行动以及特朗普政府针对抖音海外版TikTok、微信的禁令，在政治和意识形态导向的背后，人为给中国企业设置出海标准的意图已是板上钉钉。中国企业出海要考量不同地区有不同的法律、立场、利益、制度和文化，在世界各国日益重视高科技产品的数据和隐私保护的今天，必须充分重视物联网产品的消费者个人信息的数据安全和隐私保护问题。

二、主要市场的物联网产品数据合规的法律

物联网技术不可避免会有大量重要和个人数据的交换和分析。消费者在享受物联网产品的便利化、智能化的同时也在日益担心企业和个人数据的安全与个人隐私保护。

欧洲和美国是中国物联网产品出海的主要销售地。中国企业出海必须熟悉当地的法律法规，特别是一些敏感健康数据产品例如健康穿戴产品、基因产品等的准入规则以及认证。

1. 欧盟“一般数据保护条例”（GDPR）

2018年5月25日，GDPR正式实施后对个人数据保护树立新的法律标准和合规要求。近两年来，全球各国都在参照GDPR加强本国的数据立法。由此而来，针对企业也产生了新的合规要求：内部组织机构变革（DPO）、外部和内部审计（供应商、客户的新合规要求）、内部文件和外部文件的合规（制度、合同、隐私政策等）、系统硬件和物理安全要求（特别是脱敏和匿名化）、内部GDPR内训和测试。

2. 美国《加州消费者隐私法案》（CCPA）

2020年1月1日，美国《加州消费者隐私法案》（CCPA）正式生效，促使企业改善用户数据的处理模式，其一大特点即为惩罚性赔偿的金额高昂，号称为最“贵”的数据保护法。

CCPA秉持着偏向消费者的立场，侧重规范数据的商业化利用。对于数据的使用“原则上允许，有条件禁止”。从适用对象上看，CCPA 约束的是处理加州居民个人数据的营利性实体。同时，CCPA也对州外企业的违法行为产生法律效力，即公司在加州没有办公室或雇员，但在加州做生意也可能受CCPA 约束。