对于出海产品经理而言，该如何学习国际化数据合规知识？本文总结了出海产品需要注意的相关内容以及数据合规知识，希望对你有所帮助。

一、国际化业务及数据合规背景

数据跨国传输，数据合规，这两个话题很多人并不陌生。

但也让很多国内出海企业对它感到担忧和头疼，特别是在跨境电商、跨境物流、国际 SaaS 等公司，业务通常都是服务全球范围，用户会来自多个国家，当客户的交易或买卖在海外完成时，难免会涉及到海外消费者和员工信息的收集和处理，国际公司为了统一管理业务和员工，就少不了跨境主体之间的数据传输。

以前我觉得数据传输非常简单，就像两个服务器之间 相互 Send/Receive 一样，但这些年在跨境电商领域做产品经理，有过一些国际化业务 / 产品方案上的接触后，才渐渐知道它的一些知识，但也仅冰山一角。

跨国的数据传输没有那么容易，或者说国内企业在海外收集用户数据，存储，处理，传输，都不是简单的系统行为，而是需要基于本土国家安全政策的约束、引导在，去做综合的解决方案。比如海外本土会设定很多法律条例，像欧盟 GDPR，一旦公司被发现偷偷将海外用户信息传输到国内，就会面临高额的罚款。

所以，对于一家全球化的公司而言，做好本土的数据合规是非常有必要的事情，而于产品经理来说，若了解部分出海的法律政策，熟悉合规业务下的产品设计方案，后续在国际化领域，就显得非常有优势。

二、海外公司，通常会遇到哪些合规问题？

比较典型的有两类，一类是通过搭建网站或 App，通过这样的产品直接服务海外的消费者的公司，比如像 Temu、Shein、Shopify 等，海外用户在他们的平台上购买下单前，一定需要完成注册，填写用户个人信息，比如姓名、电话、收件地址等。

另外一类，是不直接面向消费者，而是作为跨境服务的中间商，比如像跨境物流、跨境 ERP 这样的公司，不会直接面向消费者收集用户数据，但是会有数据上的接收，用来协助商家完成包裹履约等。

而这样的公司，如果业务涉及到欧洲地区，就会受到《欧盟通用数据保护条例》的约束：

保护用户隐私，尊重用户选择权；

用户需要知道会被收集什么信息，用于什么目的；

可自由授权和解除，以及数据的删除

不允许数据的跨境传输

具体是怎么影响到业务的呢？比如国内某 App 在欧盟的一个国家上线，当地客户对它进行注册，填写一系列的基本信息时，用户有权知道你们会收集哪些信息、用来做什么、存储哪里、有没有权利取消，且收集后要有官方认可的隐私协议。因此很多海外产品会单独针对本土部署服务器、 Cookie 授权、隐私协议等，其次，当用户不需要你这款产品后，用户有权利选择取消数据授权，并且在用户注销后删除数据，如果你继续保留或传输给到其他不被认可国家，那就会受到政策监管，如果被投诉就会非常麻烦。

所以，产品经理在面对海外业务时如果涉及到用户个人信息收集的地方，就需要敏锐地察觉到，你们的数据和服务器在不在海外？产品如何让用户感知数据收集？如何让用户同意？用户同意后如何取消整个链路上授权？产品方案和页面要如何设计。

另外，中国目前尚不属于欧盟认可的数据安全国度，被欧盟认可的数据安全国度包括：安道尔、阿根廷、加拿大（仅限商业组织）、法罗群岛、根西岛、以色列、曼岛、泽西岛、新西兰、瑞士、乌拉圭和日本。所以如果需要做跨境传输，就需要用到其他的方式；

三、跨境传输，欧盟认可的安全措施是什么？

被欧盟认可的数据梳理方式，目前有很多方式，以下内容来源于网络上「赵晓鹏博士」法律的知识文档，并不来源个人，仅供参考和学习。当然，我自己学习下来，感觉就三类处理方式；

第一类：按照欧盟合规要求的处理方案

数据输出方与数据接收方签订数据传输协议，并使用欧盟委员会给出的标准数据保护条款；

如果是跨国集团内部的数据传输，可以在集团内部制定一套所谓的具有约束力的公司规则 ( Binding Corporate Rules ) ，保证集团内部严格遵守，并经欧盟委员会批准；

某个行业的协会拟定一套数据保护行为规则，作为数据接收方的行业协会成员声明遵守这套行为规则，该规则要经过欧盟委员会的事先认可；

对数据接收方的数据处理流程进行认证，该认证需要每三年更新一次。

第二类：经过用户同意的方案

即便上述四项措施都没有，如果数据处理者能征求到数据主体的同意，也可以将其个人数据传输到中国，但是《欧盟通用数据保护条例》对同意的流程提出了很高的要求：

该同意必须是自愿的，也就是数据主体必须明确给出同意的答复，默认同意不受认可；

必须告知数据主体计划中的数据跨境传输的目的地国家以及由此可能对数据主体带来的风险；

同意的内容必须要明确，数据传输的方式、范围和目的都要在同意书中写明。

通常这种方式不太可行，因为像国内很多电商公司，将用户数据收集后，会把数据继续传输给到跨境物流公司、承运商、报关、清关行等，涉及到多链路的共享，而这些又跟随公司的业务进行发展和变化，没有办法合同说清楚；另外，GDPR 要求允许用户对数据删除，如果是这样，所有的下游数据接受者都需要对数据进行删除，难度极大，不可能完成。

第三类：无需用户同意地处理方式

为了履行与数据主体订立的合同所必需，

为了数据主体自己的利益，或者；

为了主张或抗辩数据主体的法定权利。

比如跨境电商中为了目的国清关顺畅，一定会需要用到买家的地址、联系方式，如果为了保护隐私不允许传输就没有办法玩转业务，但这种是有清关合同在，所以某种程度上是合理的，只要保证数据不被下载下来，而是通过系统间加密交互即可。

总结而言，对于全球化的合规业务思考来看，要想将欧盟境内收集的个人数据合规地传输到中国国内，电商平台或者海外软件服务商，最省时省力的方法，是使用欧盟委员会给出的标准数据保护条款与国内的数据接收方签订数据传输协议。当然，最好的方式是：海外存储、海外操作，跟国内没有任何数据联系；

四、产品经理需要注意什么

需要了解在欧盟拓展业务时，那些信息会被列为隐私信息，这些隐私信息欧盟对它的处理要求是什么，这些要求对产品方案或者业务拓展的时候，有什么需要注意的地方。参考上述文章中的 Cookie、数据授权、协议说明、解除授权，数据删除、以及面向 C 端消费者或用户的页面交互；

知道数据跨境传输的法律重要性，提升自己整体国际化视野，比如需要知道海外服务器、海外数据存储是目前很多国际化公司全球化的标配，知道数据之间的交互，后续参加跨国会议的时候，可以有针对性的建议和思考；

最后，就是提升自己的专业性，如果涉及到数据跨境传输且公司规模较大，需要注意法务上的风险，产品同学要敏锐注意到公司是否收集了海外用户个人信息，一定要咨询专业的法务同学，与国际法务团队协作，把方案完成。

以上便是文章全部内容，如果你也是出海产品经理，或者对出海感兴趣，可以关注公众号联系我，期待一起学习。

资料引用：

GDPR：https://gdpr-infoeu/art-9-gdpr/

法务知识：https://mpweixinqqcom/s/uEcVf_yanOx-iKFKPorqBQ

三方解读：https://learnmicrosoftcom/zh-cn/compliance/regulatory/gdpr?view=o365-worldwide#what-is-the-gdpr

本文由 @Lea 原创发布于人人都是产品经理，未经许可，禁止转载

题图来自 Unsplash，基于 CC0 协议