對于出海產品經理而言，該如何學習國際化數據合規知識？本文總結了出海產品需要注意的相關內容以及數據合規知識，希望對你有所幫助。

一、國際化業務及數據合規背景

數據跨國傳輸，數據合規，這兩個話題很多人并不陌生。

但也讓很多國內出海企業對它感到擔憂和頭疼，特別是在跨境電商、跨境物流、國際SaaS等公司，業務通常都是服務全球范圍，用戶會來自多個國家，當客戶的交易或買賣在海外完成時，難免會涉及到海外消費者和員工信息的收集和處理，國際公司為了統一管理業務和員工，就少不了跨境主體之間的數據傳輸。

以前我覺得數據傳輸非常簡單，就像兩個服務器之間 相互 Send/Receive一樣，但這些年在跨境電商領域做產品經理，有過一些國際化業務/產品方案上的接觸后，才漸漸知道它的一些知識，但也僅冰山一角。

跨國的數據傳輸沒有那么容易，或者說國內企業在海外收集用戶數據，存儲，處理，傳輸，都不是簡單的系統行為，而是需要基于本土國家安全政策的約束、引導在，去做綜合的解決方案。比如海外本土會設定很多法律條例，像歐盟GDPR，一旦公司被發現偷偷將海外用戶信息傳輸到國內，就會面臨高額的罰款。

所以，對于一家全球化的公司而言，做好本土的數據合規是非常有必要的事情，而于產品經理來說，若了解部分出海的法律政策，熟悉合規業務下的產品設計方案，后續在國際化領域，就顯得非常有優勢。

二、海外公司，通常會遇到哪些合規問題？

比較典型的有兩類，一類是通過搭建網站或App，通過這樣的產品直接服務海外的消費者的公司，比如像Temu、Shein、Shopify等，海外用戶在他們的平臺上購買下單前，一定需要完成注冊，填寫用戶個人信息，比如姓名、電話、收件地址等。

另外一類，是不直接面向消費者，而是作為跨境服務的中間商，比如像跨境物流、跨境ERP這樣的公司，不會直接面向消費者收集用戶數據，但是會有數據上的接收，用來協助商家完成包裹履約等。

而這樣的公司，如果業務涉及到歐洲地區，就會受到《歐盟通用數據保護條例》的約束：

• 保護用戶隱私，尊重用戶選擇權；
• 用戶需要知道會被收集什么信息，用于什么目的；
• 可自由授權和解除，以及數據的刪除
• 不允許數據的跨境傳輸

具體是怎么影響到業務的呢？比如國內某App在歐盟的一個國家上線，當地客戶對它進行注冊，填寫一系列的基本信息時，用戶有權知道你們會收集哪些信息、用來做什么、存儲哪里、有沒有權利取消，且收集后要有官方認可的隱私協議。因此很多海外產品會單獨針對本土部署服務器、 Cookie 授權、隱私協議等，其次，當用戶不需要你這款產品后，用戶有權利選擇取消數據授權，并且在用戶注銷后刪除數據，如果你繼續保留或傳輸給到其他不被認可國家，那就會受到政策監管，如果被投訴就會非常麻煩。

所以，產品經理在面對海外業務時如果涉及到用戶個人信息收集的地方，就需要敏銳地察覺到，你們的數據和服務器在不在海外？產品如何讓用戶感知數據收集？如何讓用戶同意？用戶同意后如何取消整個鏈路上授權？產品方案和頁面要如何設計。

另外，中國目前尚不屬于歐盟認可的數據安全國度，被歐盟認可的數據安全國度包括：安道爾、阿根廷、加拿大（僅限商業組織）、法羅群島、根西島、以色列、曼島、澤西島、新西蘭、瑞士、烏拉圭和日本。所以如果需要做跨境傳輸，就需要用到其他的方式；

三、跨境傳輸，歐盟認可的安全措施是什么？

被歐盟認可的數據梳理方式，目前有很多方式，以下內容來源于網絡上「趙曉鵬博士」法律的知識文檔，并不來源個人，僅供參考和學習。當然，我自己學習下來，感覺就三類處理方式；

第一類：按照歐盟合規要求的處理方案

1. 數據輸出方與數據接收方簽訂數據傳輸協議，并使用歐盟委員會給出的標準數據保護條款；
2. 如果是跨國集團內部的數據傳輸，可以在集團內部制定一套所謂的具有約束力的公司規則 (Binding Corporate Rules)，保證集團內部嚴格遵守，并經歐盟委員會批準；
3. 某個行業的協會擬定一套數據保護行為規則，作為數據接收方的行業協會成員聲明遵守這套行為規則，該規則要經過歐盟委員會的事先認可；
4. 對數據接收方的數據處理流程進行認證，該認證需要每三年更新一次。

第二類：經過用戶同意的方案

即便上述四項措施都沒有，如果數據處理者能征求到數據主體的同意，也可以將其個人數據傳輸到中國，但是《歐盟通用數據保護條例》對同意的流程提出了很高的要求：

1. 該同意必須是自愿的，也就是數據主體必須明確給出同意的答復，默認同意不受認可；
2. 必須告知數據主體計劃中的數據跨境傳輸的目的地國家以及由此可能對數據主體帶來的風險；
3. 同意的內容必須要明確，數據傳輸的方式、范圍和目的都要在同意書中寫明。

通常這種方式不太可行，因為像國內很多電商公司，將用戶數據收集后，會把數據繼續傳輸給到跨境物流公司、承運商、報關、清關行等，涉及到多鏈路的共享，而這些又跟隨公司的業務進行發展和變化，沒有辦法合同說清楚；另外，GDPR 要求允許用戶對數據刪除，如果是這樣，所有的下游數據接受者都需要對數據進行刪除，難度極大，不可能完成。

第三類：無需用戶同意地處理方式

1. 為了履行與數據主體訂立的合同所必需，
2. 為了數據主體自己的利益，或者；
3. 為了主張或抗辯數據主體的法定權利。

比如跨境電商中為了目的國清關順暢，一定會需要用到買家的地址、聯系方式，如果為了保護隱私不允許傳輸就沒有辦法玩轉業務，但這種是有清關合同在，所以某種程度上是合理的，只要保證數據不被下載下來，而是通過系統間加密交互即可。

總結而言，對于全球化的合規業務思考來看，要想將歐盟境內收集的個人數據合規地傳輸到中國國內，電商平臺或者海外軟件服務商，最省時省力的方法，是使用歐盟委員會給出的標準數據保護條款與國內的數據接收方簽訂數據傳輸協議。當然，最好的方式是：海外存儲、海外操作，跟國內沒有任何數據聯系；

四、產品經理需要注意什么

需要了解在歐盟拓展業務時，那些信息會被列為隱私信息，這些隱私信息歐盟對它的處理要求是什么，這些要求對產品方案或者業務拓展的時候，有什么需要注意的地方。參考上述文章中的 Cookie、數據授權、協議說明、解除授權，數據刪除、以及面向 C 端消費者或用戶的頁面交互；

知道數據跨境傳輸的法律重要性，提升自己整體國際化視野，比如需要知道海外服務器、海外數據存儲是目前很多國際化公司全球化的標配，知道數據之間的交互，后續參加跨國會議的時候，可以有針對性的建議和思考；

最后，就是提升自己的專業性，如果涉及到數據跨境傳輸且公司規模較大，需要注意法務上的風險，產品同學要敏銳注意到公司是否收集了海外用戶個人信息，一定要咨詢專業的法務同學，與國際法務團隊協作，把方案完成。

以上便是文章全部內容，如果你也是出海產品經理，或者對出海感興趣，可以關注公眾號聯系我，期待一起學習。

資料引用：

• GDPR：https://gdpr-infoeu/art-9-gdpr/
• 法務知識：https://mpweixinqqcom/s/uEcVf_yanOx-iKFKPorqBQ
• 三方解讀：https://learnmicrosoftcom/zh-cn/compliance/regulatory/gdpr?view=o365-worldwide#what-is-the-gdpr