软件产品的GDPR合规改造,要点和流程大部分企业的出海,必然伴随着软件的出海。或者产品介绍网站,或者产品附带的APP,或者是内部管理系统。即便依托亚马逊、eBay、速卖通、Shopee等电商平台,很多企业的订单处理、售后服务依然是一套自称体系的软件进行管理。这些软件中包含了大量的个人信息,就必然带来数据合规问题。相对于国内宽松的数据合规监管,企业出海面临的是严厉而且陌生的数据监管环境。数据合规首先或者主要就是软件的合规,出海企业首先要面临的是软件合规改造,无论是网站、APP或者系统。各国的法律差异巨大,每个国家都适配是个艰巨甚至不可能的任务。GDPR作为数据合规的标杆,软件如果能满足GDPR的要求,也即能满足大部分国家的大部分合规要求。因此,软件的合规改造可以GDPR为基准,在不同的国家单独作相应的适配。根据GDPR要求,结合软件产品研发、运行、迭代全生命周期,具体的软件实现过程中的合规要求如下:
上述合规要求依然是一个粗略的框架,改造应围绕上述需求制定相应的改造计划。企业出海不同产品的改造侧重点不同。以下是主流软件产品的改造要点:
要做到真正合规,软件系统的改造工程量巨大,甚至不亚于新开发一套系统。
要成立专门的团队,要有合规、产品、开发、市场、销售、售后等各个部门的深度参与。
大致的流程如下:
卓建律师事务所数据合规团队是国内最早从事数据合规业务的律师事务所之一,卓建数据合规研究院是律所为数据合规成立的专门机构,数据合规团队有近20名DPO律师,在个人信息保护、数据出境和数据资产交易方面积累了大量的客户和案例。
李兰兰律师,广东卓建律师事务所高级合伙人,卓建数据合规中心主任,广东省律师协会合规与风控法律专业委员会主任,深圳市律师协会数据合规法律专业委员会主任,拥有20多年法律服务经验,现专注于企业合规和数字治理设计,是国内最早从事数据合规业务的律师之一。欧盟《数据法案》(DA)核心内容及企业合规要求
GDPR 软件产品开发合规指南
十个GDPR处罚案例:访问权、处理目的、敏感数据、存储期限和系统安全
欧盟《人工智能法案》(AI Act)核心内容及企业合规要求
车企出海欧盟的数据合规要求
智能设备出口欧盟的合规要求
SaaS软件出海数据合规(2):数据处理者的合规要求
夜雨聆风
