CCPA与全球消费者隐私保护对中国出海企业意味着什么？

李文涛，Akamai亚太区架构师经理

近年来，越来越多的中国企业开始走出国门，进入国际市场。据统计，2019年，中国出海企业数量超7000家，涉及游戏、零售、媒体、高科技制造以及金融服务等多个领域 。与此同时，近年来全球消费者数据泄露事件有增无减，迫使多国颁布更为严格的个人数据保护法规。这给中国企业的海外运营之路带来了合规和法律遵从方面的重重挑战。自欧盟正式实施《通用数据保护条例》（GDPR）的2018年至今，在欧盟国家开展业务的中国和全球企业遭遇了合规方面的显著压力，合规成本大幅提高。而今年，另一项严格且具有全球示范效应的数据隐私法案——美国的《加利福尼亚州消费者隐私法案》（CCPA）即将开始施行。中国出海企业需要充分了解它的影响，并采取主动的应对措施，降低合规风险，避免类似2018年时的措手不及。

为何CCPA动关大局

CCPA是美国加州政府为保护加州居民的隐私权益而设立的法案。考虑到加州是世界第五大经济体，与GDPR类似，CCPA的影响范围将是全球性的，将对所有在加州有业务的企业产生影响。根据加州司法部（State of California Department of Justice）所公布的情况说明书，营利性企业如果收集加州居民的个人信息，并满足以下任何一条，则需要合规 ：

• 年总收入超过2500万美元。
• 购买、获取、出售达到或超过5万个消费者、家庭或设备的信息。
• 50%或以上的年收入来自于消费者个人信息的出售。

CCPA已于2020年1月1日生效，并将于2020年7月1日起正式实施。企业若违规，每次不合规事件可处以高达7500美元的罚金。更值得注意的是：所谓每次事件是按照每位消费者的信息计算的。这意味着，如果有十万个消费者的信息储存在企业的数据库中，不合规的潜在罚金可能会高达7亿5千万美元！

隐私保护已成全球趋势

在消费者隐私保护方面，Akamai发现了三个值得注意的趋势：

1、消费者对隐私保护的期望不断提高

由于社会和经济活动愈发移至线上，人们对隐私和数据的保护意识正不断加强，越来越多的消费者期望企业能够采取强有力的措施保护好自己的隐私数据。德勤的一项研究表明，70%的消费者会避免从他们认为没有很好保护个人信息的商家那里购买商品 。此外，Akamai的一项关于消费者对数据隐私所持态度的调查（Akamai's Consumer Attitudes Toward Data Privacy Survey）发现，66%的消费者希望政府通过更多的立法来保护个人数据隐私。

更具挑战性的问题在于，消费者在希望自己的隐私得到保护的同时，往往也希望商家了解他们的需求与偏好，并在多个数字化渠道提供个性化服务。因此，如果企业可以构建并采用一套平衡的措施来处理这两种截然不同的挑战，他们就将在这个高度数字化的市场环境中占据优势。

2、更多国家/地区采用更严格的隐私保护法规

在这样的大背景下，越来越多的国家和地区开始实施更严格的隐私保护法案。根据联合国发布的数据，全球已有132个国家/地区立法保护数据和隐私 。而GDPR、CCPA以及其他类似法案主要定义了数据和隐私保护的七个方面——即许可（Consent）、反对（Objection）、访问（Access）、清除（Erasure）、移动性（Portability）、安全（Security）和信息泄露通知（Breach notification）。

尽管这些法案在大方向上有相似之处，但如果仔细研究就会发现，它们在信息保护程度和实现方面有很多不同。例如，CCPA要求支持用户Opt-out（退出许可），而GDPR要求Opt-in（加入许可）；CCPA要求为消费者提供“不允许出售我的数据”选项，而GDPR并不要求。 全球零售企业需要为不同地区的用户提供不同的信息管理策略、用户界面和接口。为了避免业务合规风险，达到GDPR合规的企业不可以简单地认为他们在其他地区也是合规的。

3、网络攻击加剧隐私保护挑战

近年来，大规模用户数据泄露事件屡见不鲜。2013年，恶意软件钓鱼攻击导致美国某知名零售商泄露大量用户数据，让消费者开始认识到此类事件的严重性。后来的几年里，媒体又相继报道了多起由用户数据泄露导致的大额合规罚金事件。在这些事件中，常见的网络攻击方式包括钓鱼攻击、Web应用漏洞攻击和页面脚本篡改等，令企业防不胜防。此外，受到此类威胁的不是只有大型企业，中小型企业也难以独善其身。根据Akamai全球互联网平台的数据，零售、金融、媒体和游戏行业由于掌握着大量高价值的用户信息，往往更容易受到网络攻击的“青睐”。

不仅如此，传统企业的快速数字化转型以及在线业务的全渠道覆盖也加剧了信息安全方面的挑战。网站、移动应用程序、物联网赋能的自助服务终端……能够触及消费者的数字化渠道正不断增加。这些渠道往往使用不同的技术堆栈和网络连接技术，并且用户数据分布全球各地。这些因素使得用户信息的存储和管理变成“孤岛”，也让关键用户数据资产的安全防护变得异常复杂。基于数据隐私对业务产生的深刻影响，业界普遍认为，这种挑战需要上升到董事会层面予以讨论和处理。

中国出海企业如何做好准备

总体而言，中国出海企业需要从用户信息生命周期管理、用户数字渠道管理及核心基础设施三个层面，审视其管理和保护用户数据的措施，并确保采用行业最佳实践。

首先，企业需要审视在用户信息的收集、存储、访问、使用、清除等各个阶段，是否已采取了合适的措施确保合规。第二，面向用户的数字渠道，如网站、移动应用、应用程序接口等需要能够抵御复杂的应用层攻击，防止用户信息窃取。 第三，企业需要确保他们所使用的应用托管基础设施也具备相应的网络信息安全防护能力及合规性。

此外，更为重要的是，随着用户数据管理水平的不断提高，企业需要寻找灵活的、面向未来的技术架构，在行业合规和业务创新不断变革的过程中，保持业务敏捷性并降低成本。作为备受业界认可的用户身份管理和信息安全方案领域的领导厂商，Akamai将为中国企业的出海之路保驾护航。