近幾年各國對數據隱私的要求越來越嚴格,海外多個區域市場陸續出臺數據隱私保護相關政策,如歐盟的 GDPR,美國加州的 CCPA 等。海外市場整體監管趨嚴,不斷在向出海開發者釋放出合規風險的信號。一旦觸碰紅線,無論是大中小開發者,一律面臨承擔高額罰款的風險,同時也很容易讓企業陷於信任危機的負面輿論中。
本期白鯨課堂公開課,白鯨出海邀請 Mintegral SDK產品負責人王敬元從政策概要、應對措施、未來趨勢與建議三個方面切入,分析不同隱私保護政策對企業的影響,幫助出海企業應對隱私保護政策,規避出海風險。
海外隱私保護政策有哪些?
本期公開課列舉了三個具有適用範圍較廣、影響較大的法規政策,分別是:GDPR、CCPA、COPPA。
歐盟通用數據保護條例(以下簡稱 GDPR)於 2018 年 5 月 25 日正式生效,它的核心是保障歐盟公民對自身的個人數據有更多的控制權,進而簡化企業監管環節,以便歐盟公民和企業都可以從數字經濟中充分受益。
GDPR 對全球的公司都具有約束力,只要開發者的產品會服務到歐盟地區用戶,或開發者的數據服務部署在歐盟地區,就要受到 GDPR 的制約。GDPR 被稱之為迄今為止覆蓋面最廣以及最嚴格的全球性數據隱私保護法規。而且它的處罰力度也非常大,對違法企業的罰金最高可達 2000 萬歐元(約合 1.5 億元人民幣)或者其全球營業額的 4%。
COPPA(《兒童在線隱私保護法》)法案保護的群體是 13 歲以下的兒童。COPPA 雖是部美國的法案,但據其規定,只要符合美國管轄下的網站、美國伺服器上託管的網站、總部設在美國領土的所有者的網站、美國市場上的商業網站,這四個特徵之一,就會受到約束。
加州消費者隱私法案(以下簡稱 CCPA)是美國最全面的隱私法之一,旨在使加州公民可以更好地控制自己的個人信息。CCPA 條例規定用戶具有信息訪問權、刪除權、選擇退出的權利。與 GDPR 相比, CCPA 一個顯著的特點在於要求企業允許用戶選擇退出,而不是要求企業在收集用戶信息之前獲得用戶的明確同意。它更側重消費者的立場,側重規範數據的商業化利用。而 GDPR 的條款設計主要基於監管者的立場,以保護基本人權為出發點。不同法規在要求上有區別,因此開發者在產品設計時也要注意區分,有所側重。
如何才能做到數據合規?
平常我們首次打開 APP 時,一般都會彈出一個窗口來提示我們是否同意產品收取隱私信息。出海企業也要為產品建立完整的用戶隱私處理流程。用戶首次登錄彈出隱私政策提示信息,詢問用戶是否同意收集其個人信息,提供同意和不同意按鈕,並支持用戶在使用產品過程中改變授權狀態。
現如今的隱私法案通常都是實行連坐制度的,不僅開發者自己要合規,與開發者合作的 partner 也需要遵守數據合規要求。所以開發者在選擇 partner 時,要去審視其在隱私政策方面的合規性,以減低企業在數據合規方面的風險。
除了要符合這些基本的數據合規要求外,還要注意不同法案側重的細節。以 COPPA 為例,開發者要考慮產品是否為 13 歲以下兒童服務。如果受眾中一部分包含兒童,就需要制定一些邏輯來區分出你的產品用戶中哪些用戶是兒童。然後針對兒童用戶執行符合 COPPA 要求的產品邏輯。
如果產品只服務兒童,產品邏輯就應該完全符合 COPPA 的要求。
任何事物都有兩面性,數據隱私保護政策對出海企業的影響也是兩面的。一方面會給企業帶來挑戰。開發者的合規成本將會變高,對團隊的整體要求會更高。而且數據收集會受限,可能影響到一些企業和團隊的根本利益,其中廣告變現業務受影響最明顯。
另一面則會促進網際網路生態朝著更健康的方向發展。對於希望與用戶建立深入且可信的數位化關係的企業而言,隱私至關重要。因為用戶對個人數據保持隱私和安全的期望越來越高,建立好企業和用戶之間的信任關係能更好地促進企業持續化的發展
數據隱私的要求會越來越嚴?
答案顯然是肯定的。雖然目前看來只是歐美發達國家對數據隱私要求十分嚴格,但隨著用戶生活水平的提高,個人意志的覺醒導致對個人隱私的保護意願越發強烈,全球化的隱私保護是大勢所趨。
對於未來的發展,王敬元建議開發者在產品建立之初就要明確自身的產品受眾,第一時間考慮用戶隱私保護問題。產品應建立完善的數據收集控制體系,明確數據收集的目的,不同目的數據獨立進行控制,提高系統的靈活性。建立健全的技術架構,保障用戶的數據隱私的同時,也能夠及時響應用戶的訴求,同時發生問題時能夠有方案進行補救。
出海企業除了要完成以上的行為規範外,還有最基本的一點,不作惡。開發者不能利用用戶的個人數據來進行不法事宜,不要讓自己的行為影響其他中國出海企業在海外的聲譽。