个人如何做跨境电商跨境电商什么是sgs，sgs联系方式

一、做外贸需要什么条件，怎么学习？
既然你学了这么多年，你一定学到了很多知识。我建议你采用毛主席的策略：从战争中学习。在实际外贸中成长。1.破解外贸三大关键秘密与普通内贸相比，外贸确实是一个完全不同的行业，复杂的手续和各种专业术语让人望而生畏。但是，只要从外贸最关键的三个特征入手，就可以破解外贸的所有秘密。想象一个真实的外贸操作，宁波工厂的外贸业务员王先生，和英国伦敦的一个商人做生意。不难想象我们会遇到的困难：1 。通常情况下，买卖双方并不见面。通过电话、传真、邮件等方式洽谈交易。好在电脑和互联网的发展让这个过程越来越容易。通过网站、电子邮件、QQ或MSN即时聊天软件、数码照片、相机等渠道，我们可以轻松地交流、展示产品和讨价还价，就像大家坐在一张会议桌前一样。2.交易周期很长。一批货物通常以最划算的方式从宁波运到伦敦，即装在集装箱里，由远洋货轮从宁波港运到伦敦港(如果一方不是海港，就要加一些铁路或公路运输) 。目前这个过程海运只需要25天左右，加上备货、卸货、内陆运输的时间，往往在一个月以上。所以现在谈的往往是买家一个月甚至更久之后才能收到的货。因此，卖方收回货款的时间也需要大约时间。事实上，对于一些季节性家居产品或节日消费品，长期合同通常会提前几个月甚至一年进行谈判。3.交易成本高。即使是走海路，费用还是很高。一个集装箱货物(约30立方米或20吨)从宁波到伦敦的海运费要一万多人民币。偏远、偏僻或小港口地区价格较高。此外，还有一些办理进出口手续的费用和结汇的银行费用，这些费用往往是固定的，与交易量关系不大。这样，对于小额交易来说，显然是不划算的。为了平摊费用，交易量大显然更划算。这也是国际贸易的一个特点——量大。国际贸易货物多为大宗批发，常用“集装箱”作为交易量单位。4.中间环节很多。从宁波到伦敦，货物将经过许多环节。比如很多商品出口前必须强制检验，由国家进出口商品检验检疫局操作；向经营进出口的买卖双方海关申报；由远洋运输公司运输；通过银行收款；向税务机关纳税；同样，我们国家也特别管制外汇，属于国家外汇管理局，通过外汇收支申报统一管理。由于外贸具有双方不见面、收发货周期长、距离远、量大、金额高、中间环节多的特点，自然风险会比较大，一旦出了问题，损失也大。因此，几百年来，国际贸易界据此制定了贸易惯例和协议，包括国际通行的货物质量标准、价格计算、买卖双方的责任和权力等。以最大程度保证交易秩序。同时，银行业、国际货运业、保险业也有非常成熟完善的合作经营。然而，还有一个重要的问题——大量货物的运输和储存费用昂贵。从工厂到客户，涉及的环节很多，不可能有业主全程监督和把关。特别是在国际贸易中，有很多层层倒卖，批量倒卖。如果都是实物交接，不仅会大大增加运输和仓储成本，还会增加货物在装卸过程中的损耗。最好的办法就是简化实物转运的流程，让货物只经过四个环节：工厂——装货码头仓库
外贸关键秘诀之一：跟单交易所谓跟单交易，就是用一套跟单单据来代表货物。以这套单据为交易对象。谁拿到这套单据，谁就是货物的主人。这样货物尽量不动，单据随便卖，随便改。由单证持有人决定何时以及如何最终处置货物。这组文档通常包括几个核心文档：1 .提单(提单，缩写为B/L) 2 。发票。与普通发票的概念不同，外贸中的“发票”是指自己制作的列明货物名称、数量、价格的签字单据。3.装箱单。一份由我自己签署的文件，上面列有货物的体积、重量和包装。4.描述货物的其他文件，如证明货物质量的检验证书、证明原产地的原产地证书等。在所有单证中，提单是最重要的，因为它是货物所有权的证明——具有国际公认法律效力的物权凭证。发票和装箱单可以自己准备。其他检验证书、原产地证书等。由国家相应机构如进出口商品检验检疫局或双方认可的机构如私人检验公司和货运公司等出具。根据商品的特点和买家的要求。从某种意义上说，外贸经营者处理的不是一堆堆的物品，而是一堆堆的纸片。因此，一个外贸业务员完成一笔交易，甚至都没有看到商品的外观，这一点都不奇怪——他所要做的就是小心翼翼地处理那一摞纸。不难想象，由于大部分贸易都是基于单据而非实物交易，即使货物本身是完美的，单据也是有瑕疵的——比如数据错误，缺少一个相关的证明单据等等。-很可能交易会失败。另一方面，即使货物有瑕疵，单据齐全，最初的交易仍然可以顺利进行。当然，这也带来了一些风险，比如伪造证件进行诈骗。但是诈骗本身在全世界都是犯罪行为，都有相应的措施来查处。简而言之，单据在对外贸易中的作用是决定性的。要树立“外贸其实就是买卖一套单据”的观念，才能理解国际贸易中很多特殊专业的操作。市场竞争非常激烈，在许多情况下，价格成为交易成功与否的唯一因素。我们经常看到外商以低于国内销售成本的价格出口商品。他们疯了吗？不会，即使价格低于进价，外贸还是有利润的。这就是外贸的第二个关键秘密：退税制度。外贸的第二个关键秘密：退税制度退税是外贸中的一个重要概念，也是
是目前外贸业务中利润的主要来源。为便于管理，国家假定所有产品均为国内流通与消费，因此普遍征收增值税，税率高达售价的6%～17%不等。正规情况下，国内采购或出口前的价格均为含税价，即已经缴纳了增值税的价格。而产品用于出口的话，这部分税就不应征收了，已经征收的可以按照程序部分或全部退返给出口商。假如你从国内工厂购进彩电一批，价格为含税价1170元，其中1000元就是净价，170元是已缴增值税。按照国家的规定，彩电类产品的出口退税率为17%，也就是说，彩电出口以后，税务局将退返170元给出口商。这样一来，即使出口商以平本价即1170元出口，仍可得到退税款170元作为利润收入。在这种情况下，如果出口者出于竞争考虑，从170元中拿出一部分来贴补降价，即使以低于进价1170元的价格出售，也还是有利润的。外贸交易通常货值比较高，相应的退税金也很可观。当然，国家对退税管理也很严格的，与外汇管理紧密结合。出口前需从外汇管理局部门领取《出口退税核销单》，申报出口总金额。核销单还需海关盖章确认货物确实已经出口。在收到国外买家支付的货款以后，凭银行收据，连同核销单到外汇管理局办理核销，再凭增值税发票等到税务局办理退税事宜，领取退税金。因此，外贸利润的来源，相当程度上来源于国家出口退税制度中的出口退税，这是外贸最显著的特点之一，也与大多数外贸业务员日常操作息息相关。外贸关键秘密之三：信用证交易国际贸易中买卖双方相距遥远，背景各异货物筹备交接以及货款的支付周期都很长。因此商业信用就成了一个很大的难题。作为出口商，担心备齐了大宗货物以后，买家变卦怎么办？货物千里迢迢运到国外，客户不要了怎么办？或者要了不给钱怎么办？自然希望买家能够先支付货款，有了保障然后再备货交货。作为进口商，担心出口商无法按时交货怎么办？货物质量、数量不合格怎么办？自然希望卖家先把货物交付了，核查无误再给钱。这个矛盾，当然也可以通过买家支付部分预付款或订金的方式协商解决，但毕竟非上上策，一来买家奖金占用比较大，二来真有什么纠纷了，双方无论对错都损失，不利公平。于是就产生了一种外贸特有的操作方式：信用证。信用证的产生，正是以外贸“单证交易”特性为基础的。所谓信用证，通俗说来就是买卖双方事先商定交易条件，如品名、数量、质量标准、价格、交货时间等。然后买家找一家银行（通常就是买家的开户行，或有一定的担保）作为“中间人”，把这些交易条件提交银行，银行据以出具一份文件作为买卖双方交易的依据。银行作为中间人的责任，就是监督交易行为。卖方根据文件来备货出货，然后把代表货物的全套单证交付银行。银行审核单证无误以后，直接支付货款。有银行作为中间人，买卖双方就不再直接进行钱货交易，而是分别与银行打交道。卖家不及时、按质按量交货，就拿不到钱；买家不付钱，就拿不到货。反之，有银行作保，只要卖家交了货，就一定能拿到钱。这种方式，既不占用买家资金，又给予了卖家很好的信用保证。这份用以证明双方商业信用的文件，就叫做信用证。信用证最基本的一般有四个关系方： 1．进口商—-负责向自己的开户银行申请开立信用证，叫做信用证申请人。2．进口商的银行—-负责开立信用证并审核单据、拨付款项，叫做信用证开证行。3．出口商—-负责根据信用证出货，享有信用证保障的付款，叫做信用证受益人。4．出口商的银行—-负责替出口商领取信用证、转交单证并与开证行接洽，叫做通知行。此外，最终负责拨款的银行叫做信用证偿付行，一般就是开证行；也可以由另外的银行先行垫付并收取少量费用，叫做信用证议付行，一般也就是通知行。信用证是外贸中最重要的也是最常见的工具。国际商会为规范信用证的使用而制定了统一的标准《UCP500》即《国际跟单信用证统一规定》，作为使用及仲裁的依据。关于信用证的实际操作，我们会在本书第五节《高手篇：信用证全攻略》中做实例讲解。通过对外贸的三个关键秘密：单证交易、退税制度和信用证结算的了解，我们基本上就掌握了外贸的精髓。现在我们终于可以比较清楚地理解一个标准的出口操作案例流程了：寻找客户—-签订合同—-客户开出信用证—-根据信用证备货—-货物办理商检、报关后交付货物运输公司并取得提单—-根据信用证备齐全套单据—-单据交付国外银行，国外银行审核无误后拨付货款至国内银行—-根据国内银行的收款凭证至外汇管理局办理核销—-至税务局办理退税—-结束。有了基本的外贸常识，接下来最后一步准备工作，就是打造做外贸的两个必备利器：电脑和英语。二、利器速成法—-电脑与英语因为外贸中买卖双方互不见面，作为现代最便捷有效的办公工具与联系方式的电脑和互联网，重要性不言而喻。熟练掌握电脑知识和技巧，能为你顺利开展外贸节省下大笔费用。Office文档和制表软件是最基本的，此外，还有最常见的图片查看和修改软件ACDSee，功能更大的 Photoshop，国际贸易公司喜欢用的PDF格式（电子书）文件浏览器 AdobeReader等—-电子书最大的好处是不大容易在文件网络传输中修改、变形、缺漏或感染电脑病毒。而最为重要的是学会在网上查找资料，收集信息。这个工作贯穿整个外贸过程，是关键所在。本书也会根据教程进展陆续介绍其中的技巧。首先要了解的就是重要工具—搜索引擎。所谓搜索引擎，就是网上信息的“向导软件” 。这个软件根据人想了解的内容—-内容的“关键词”—-比如“五金工具”、“运输公司”、“外贸技巧”、“出口商检申报”等等，在浩如烟海的互联网世界中寻找相关的信息网页，这些网页的地址告诉你，由你去浏览并查找所需信息。这样的软件网上有很多，目前都是免费使用的，比如最著名的Google 。在互联网地址中填入 http://www.google.com 即可进入这个搜索引擎了。在Google的搜索栏中填入你想了解的信息的关键词，点击[搜索]，奇妙的互联网世界就此开启。类似的搜索引擎还有很多，功能也不大一样。比如http://www..com，一个擅长寻找中文信息的搜索引擎。此外，搜索引擎自身的功能也很多，仍以Google为例，就有图片搜索等功能，输入关键词“插座”，你能直接看到大量不同插座的图片，并根据这些图片所在的网页了解更多内容，比如这些插座的规格型号、生产厂家和联系方法等。这种信息收集的方式对寻找厂家或了解你的竞争对手情况极为有效。熟练运用搜索引擎，能无限放大你的能力，使一个新人也能迅速成为“无所不知”的行家里手。另一个关键点是外语—-主要是英语。这也是很多非国际贸易专业的人士打算从事外贸时关心与犹豫的问题。英语不行，可以做外贸吗？或者英语要达到什么程度才行呢？这个问题应该从两方面去看。一方面，做生意本身就是一门交流的艺术，讨价还价、竞争协作，相互沟通理解越深对生意就越有帮助—-尤其咱们中国人，讲究人情世故，推崇做生意先做朋友的经营之道。从这方面看，英语自然越流利越好。但并不是说非要像英语专业毕业的学生那样高的水平才能去做外贸。以做生意为目的的英语本身就是工具，能用就行。不妨想想那些与外国人直接做买卖的小贩们，比如北京早年间的秀水东街，中越、中苏边境贸易，以及那些满世界跑的温州人，他们的外语能有多好？可凭借临时学的几十个单词，一些简单固定的句子，加上比划和按一通计算器，生意做得一点也不小。毕竟是买卖人，语言交流能基本明白就行，先凑合着，以后边做边学，现学现用，进步比在学校里啃书本要快得多。从这方面看，不必因英语而退却。口语方面，掌握常用的几句问候交际，与数量、时间、日期、好坏等百来个数量词形容词，再加上与你的产品相关的一些名词，即可开工干活。反正重要东西自然会落在纸上，以书面形式出具，碰到不懂的地方临时查查字典即可。书面上就更好办，用电脑解决。著名的翻译软件《金山词霸》和《金山快译》，前者能准确翻译单词，后者能大致翻译句子和文章—-虽然在语法句型上多有错误，但好歹能知道个大概意思，自己再略作修改就行了。英语不好的人常常会犯“中国式英语”的错误，即按照中文的语法堆砌查到的英文单词，这的确会闹笑话，可那又如何？“你的良心的大大地坏了”是个狗屁不通的日本式中文，可是每个人都知道它说的啥。这就是“实用”的“艺术” 。当然，涉及合同等重要文件，就需要非常谨慎。好在外贸的合同有比较固定的格式，经多年使用完善，其条款基本已经滴水不漏，只需要把商品名称、数量金额交货时间什么的相应更改即可。关于这些常用外贸单证的格式，本书会给出范本。事实上，外贸的同行们已经总结出了几乎囊括你可能碰到的任何情况的英语范本例句。在日常的书面和口头交流中，照搬即可。这样的例句，在搜索引擎中输入关键字“外贸英语”或“外贸常用英语”即可查到。在外贸行业的专门论坛，例如阿里巴巴网商人论坛http://club.china.com中更有细致详尽的分类。因此，不必畏难语言关。英语水平高固然好，水平差一样可以硬着头皮上。电脑和英语，是外贸的两样必备利器。水平越高，路子越顺畅。以申请出口权或代理、挂靠、备案等方式获取外贸“通行证”，选定经销的产品，了解了外贸的原理，准备好必需的工具，便可以纵横四海了。

文章插图
二、NMN国内现在都是走什么模式做的？NMN当下只能通过走跨境电商的形式，保税仓发货才是合规的。保税仓即是用来存储在保税区内未交付关税的货物的多功能仓储库房。保税区是一国海关设置的或经海关批准注册、受海关监督和管理的可以较长时间存储商品的区域。跨境商品NMN目前均是采用这种形式来发货，NMN保税仓发货需要的首先得拥有NMN在产地国的销售许可证，食品流通许可证，保证产品资质齐全的情况下才可以入驻保税仓。美国高瑞莱NMN工厂有FDA备案认证，GMP认证，产品有SGS检测，且有美国食品流通的食品销售许可证。所以能进保税仓，正品保证。
三、唯品国际有假货吗？唯品自营有假货，但数量很少。唯品自营所销售的商品均从品牌方、代理商、品牌分支机构、国际品牌驻中国办事处等正规渠道采购，并与之签订战略正品采购协议。同时，唯品自营对供应商的资质都进行严格审查，营业执照等五证、产品检验报告及品牌授权许可文件，缺一不可。可以这样说吧，在唯品自营上买的商品基本很少遇到过有假货的情况。一般来说买的东西都是质量比较好的，而且唯品自营的商品还有正品保障，所以这方面的问题是不用担心的。在唯品自营的购物时间也蛮久了，感觉还是蛮不错的，退货经历倒是也有几次，不过也没什么大问题，无非就是买回来之后感觉不适合自己，还有就是尺码的问题罢了。退货的时候感觉也是比较简单的，一般就是直接在已购买的页面直接申请就可以了，一般几分钟就能通过了，然后就是等待快递小哥上门取件。如果有什么问题需要咨询客服的话，那么正常情况下人工客服都是很快就能好联系上了。一般的上班时间是早上9点到晚上12点，回复速度相对都比较迅速。总体来说我个人还是比较喜欢唯品自营这种售后服务的，感觉用起来省心多了，不用和客服拐弯抹角的说，不满意就退，很简单的事情。还有售后的很多事情，一时间也说不清楚，你要是想了解，自己去官网上看一下就知道了。
【个人如何做跨境电商跨境电商什么是sgs，sgs联系方式】

文章插图
四、宜购商城是真是假？？什么是宜起购？宜起购品质生活馆是互联网社交营销趋势下应运而生的第三方社交电子商务平台，结合新零售概念，通过用户的关注、分享、沟通、讨论、互动等社交化的元素，通过社交化工具的应用及与社交化媒体、网络的合作，完成企业营销、推广和商品的最终销售,是新型电子商务的重要表现形式之一。宜起购品质生活馆的优势既体现在消费者购买前的店铺选择、商品比较等，又体现在购物过程中通过IM、论坛等与电子商务企业间的交流与互动，也体现在购买商品后消费评价及购物分享等。平台优势？宜起购能在短时间内获得万级忠实粉丝，通过自营团队严格把控从原料、生产、质检、销售到售后等各个环节，与一线大牌制造商合作，为用户提供高品质商品。所有上架商品必须通过全球TOP质检机构，如ITS,SGS等机构认证，才可上架出售。平台严格把控每个供应链关卡，成熟的全球供应商渠道，仓储到配送的全自动化和信息化，从源头上严选好货，让老百姓买的放心，用着安心！资深顾问：dalianjingyi99 宜起购品质生活馆社群+新零售模式，时刻坚守匠人精神，通过与大牌制造商直连，剔除品牌溢价和中间环节，为国人甄选高品质、高性价比的天下优品。即让精选商品与网络社群进行低成本的高效自由连接。“供应链中心化”和“流量社会化”，实现厂家直接供货到消费者手中，去掉中间环节，即减少了厂家的营销成本，又降低了消费者的购买费用。在商品品类上，以用户需求为出发点，对线上线下用户进行调研后选购生活用品。含国内外数千种品牌，上万种商品，开设主题馆、海淘馆等多个类目，涵盖日用品、农产品、母婴、美妆、家居生活、电子产品等，品类齐全，一目了然，方便用户一站式够买。宜起购—品质生活馆，就是要把有品质商品汇集在一起，为用户提供卓越的购物体验。“互联网+”时代，分享经济成为新潮流，消费者基于众享理念的应用和参与，让很多的行业发展带来新的挑战。传统电商对于中小品牌来讲，流量获取和营销成本已经变成不可承受，加上网络社交的成熟，通过社交裂变的电商销售方式成为电商后半场的趋势。平台不在局限初期的微商形式的分享经济，已经转入分享经济2.0时代，更智能的分享经济，是从私域向公域的分享经济，是数据驱动的分享经济，是充分释放社会资源、社会资本、社会能力的集聚、融合、协同模式。分享经济2.0是友好型经济、普惠型经济、信任型经济、协同型经济、体验型经济、生态型经济、WE众经济的融合体。宜起购品质生活馆的微商城上线启用，经过10万用户的不断检验，实现年销售额1.0亿元，并不断技术提升，完善互动模块与服务，为未来发展提供了良好的基础。企业加盟优势：来自国家统计局数据显示，2015年–2017年，整个电商实物交易规模增速分别约为31.6%、25.6%、28.0%，3年电商平均年增速约为28.4%;而2015年–2017年，社会消费品零售增速分别为10.7%、10.4%和10.2%，三年社会消费品零售平均年增速仅为10.4% 。细分产业诸如餐饮产业3年平均增速为10.9% 。速度成了电商相比其他产业发展的强大优势。而据《2017中国社交电商大数据白皮书》显示，宜起购品质生活馆年销售额增速超过300%，实现爆发式增长。2018年宜起购品质生活馆渠道需求旺盛，趋于突围社交平台闭环。随着发展壮大，传统电商已明显不满足于在社交平台的闭环内经营，趋于获取更多的流量。我们将开发独立APP、小程序等入驻第三方交易平台或者通过第三方开发者或服务商在社交电商平台的基础上搭建穿透社交平台闭环，以期多渠道获得用户流量。宜起购坚持质量第一的原则，坚持只做好产品，平台主要精力放在产品的选择、采购以及客户服务上，承诺给客户提供一流的产品，一流的服务，把健康，环保，安全的产品交给客户。2018年宜起购已成功扶持及孵化了100多个品牌，2019年销售目标为100亿，商城合作经销商突破2000家，提供上万种商品，涵盖了美食养生，农特产品，跨境电商，生活方式，新科技体验等几十个领域。宜起购不仅帮助供应商销售产品，宜起购创办的商学院，还为供应商培养各方面人才，让供应商能够从管理到销售再到服务，从执行力到软实力都得到全面的提升，真真正正的做到与供应商合作互利共赢。宜起购秉承着“在一起”的理念，让客户，平台，供应商共同获益，共同成长，我们的企业口号：怀揣梦想的时候我们在一起，奋斗拼搏的路上我们在一起，幸福绽放的时刻我们在一起！
五、GDPR是什么意思GDPR定义GDPR （全称： General Data Protection Regulation），即《通用数据保护条例》，是一项新法律，规定了企业如何收集，使用和处理欧盟公民的个人数据。该条例在2012年1月份就已经起草，经过4年的探讨与协商，欧盟于2016年4月正式通过这一条例并宣布试行，到2018年5月25日正式全面施行。GDPR适用范围1.保护对象：GDPR保护的仅是“个人数据”（personal data），不涉及个人数据以外的其他数据。根据GDPR第4条的规定，个人数据是指，与一个已被识别（identified）或者可被识别（identifiable）的自然人相关的任何信息；可被识别的自然人是指，其可以被直接或者间接识别，尤其是借助姓名、身份证号码、地理位置、在线标识等身份标识，或者通过与其身体、生理、基因、心理、经济或者社会身份相挂钩的一个或者多个因素。这里所指的个人数据仅限于有生命的自然人的个人数据，不包括死者、胎儿等。同时，个人数据的保护不涉及匿名信息，或者经过匿名化处理以致于不再具有可识别性的个人数据。对于表征人种或者种族起源、政治意见、宗教或者哲学信仰、商会会员、基因、生物特征、健康状况、性生活等事项的特殊类别的个人数据（个人敏感数据），GDPR从收集、使用等角度作出了特殊规定。就个人数据的保护而言，GDPR主要适用于电脑（自动化）处理个人数据的行为，不涉及其他类型的处理行为。GDPR第4条规定，对个人数据的自动化处理包括：（1）收集，记录，整理，组织，存储；（2）改编，调整，检索，查阅，利用；（3）通过传输或者传播予以披露、提供；（4）匹配，组合；（5）限制，删除，摧毁。GDPR对个人数据的保护并不绝对，其“序言”部分要求，应当平衡新闻自由、表达自由、商业自由等权利，符合比例原则、法益平衡原则等法律的基本原则。2.管辖范围：GDPR第3条规定，GDPR适用于以下三种情形：（1）数据控制者、数据处理者在欧盟有营业场所的，不论数据处理行为发生在欧盟还是境外；（2）数据控制者、数据处理者未在欧盟设立营业场所，但向欧盟的数据主体提供商品或者服务，或者被追踪的网络行为发生在欧盟的；（3）虽然数据控制者、数据处理者未在欧盟设立营业场所，但是根据国际公法应当适用欧盟成员国法律的。第二种情形是典型的域外管辖，主要针对美国的互联网企业。3.数据主体：在GDPR中，享有数据权利的主体被称为数据主体（data subject）,个人数据所指向之自然人为数据主体。数据主体须为欧盟居民，一般要求具有成员国国籍。4.义务主体：GDPR主要针对两类义务主体，即数据控制者（controller）和数据处理者（processor）。控制者是指单独或者与他人一起，决定个人数据处理之目的和方式的自然人、法人或者其他组织。处理者是指代表控制者，处理个人数据的自然人、法人或者其他组织。GDPR七个基本原则合法，公平，透明三原则：与数据主体个人相关的数据信息应当以合法，公正，透明方式处理；数据收集应当有明确的目的：个人信息收集应当目的特定，明确和合法，任何与上述目的不符合的方式将不能继续处理数据；数据收集的最小化原则：个人数据收集应当仅仅限于一切与数据处理目的相关的必要的数据；准确性：个人数据应当准确，如果需要尽可能保持最新的数据；存储限制：在不超过个人数据处理目的之必要的情形下，允许以数据主体以可识别的形式保存；完整性与机密性：以确保个人数据适度安全的方式处理，包括使用适当的技术或组织措施来对抗未经授权、非法的处理、意外遗失、灭失或损毁的保护措施（“完整性和机密性”）；问责制：控制者（企业或组织）应该对并且能够证明其企业符合GDPR的规定。数据主体的权利数据主体指，用户、客户、员工等信息透明度和信息机制：数据处理者或控制者必须保证数据主体行使权利的透明度、交流和模式，也就是让用户知道你在收集那些数据，为什么收据数据，用于何种目的，另外也需要让用户可以随时对自己的数据进行控制；数据访问权，控制者应当保证数据主体可以随时访问自己的数据；纠正权：数据主体应当有权要求控制者无不当延误地纠正有关其的不准确个人数据。考虑到处理的目的，数据主体应当有权使不完整的个人数据完整，包括通过提供补充声明的方式；被遗忘权：数据主体有权要求控制者删除其数据，比如谷歌的用户可以要求谷歌移除关于其个人不利的搜索结果；限制处理权：数据主体有权限制数据主体处理其个人数据；关于纠正或删除个人数据或限制处理的通知义务：除非被证明不可能完成或者包含不成比例的工作量，控制者应当将根据对个人数据进行的任何纠正、删除或者处理限制，传达给已向其披露个人数据的接收者。如果数据主体请求，控制者应当通知数据主体这些接收者；反对权：如果为了直接营销的目的而处理个人数据，数据主体有权在任何时候反对有关其的个人数据为进行此类营销而被处理，其中包括与此类直接营销相关的概况分析。如果数据主体反对以直接营销为目的的处理，则个人数据不得再为此目的而被处理；拒绝权和自主决定权；自主化的个人决策分析。数据控制者或数据处理者的义务数据控制者和数据处理者，一般指保存和处理用户数据的公司控制者应该在确定处理手段和在处理的同时，实施适当的技术和组织措施，如匿名化，即目的是实施数据保护原则，如数据最小化，以有效的方式，在处理时实施必要的保障措施，以符合法律要求，保护数据主体的权利；控制者应该实施适当的技术和组织措施以确保，在默认情况下只有对每个特定处理目的有必要的个人数据才能被处理。该义务适用于收集的个人数据的数量，数据处理的程度，数据的存储期限和数据的可及性。特别是，这些措施应确保在没有个人对无限数量自然人的干预下，个人数据在默认情况是不可访问的；在欧盟成员国的范围内指派欧盟代表，可以为合作伙伴，客户或第三方中介等；数据处理者应当以数据控制者名义处理数据；数据处理活动应当有记录；和监督机构合作和配合，应当积极配合监管机构的调查；处理过程的安全性：（a）个人数据的匿名化和加密；（b）数据系统保持持续的保密性、完整性、可用性以及弹性的能力；（c）在发生自然事故或者技术事故发的情况下，存储有用信息以及及时获取个人信息的能力；（d）定期对测试、访问、评估技术性措施以及组织性措施的有效性进行处理，力求确保处理过程的安全性；数据泄露72小时报告义务：在个人数据泄露的情况下，控制者不能不当延误，而且至少应当在知道之时起72 小时以内，根据第55条向监管机构进行通知，除非个人数据的泄露不会导致自然人权利和自由的风险。如果通知迟于72 小时，需要对迟延原因进行解释；与数据主体进行交流：个人数据泄露可能对自然人权利和自由形成很高的风险时，控制者应当毫不延误地就个人数据泄露的主体进行交流；数据保护影响评估以及事先咨询；超过250人公司或处理海量数据的公司必须设置首席数据保护官。###################################################数字化风控咨询专家深入耕耘风控、内控、合规领域的数字化咨询提供GDPR合规的咨询及系统的控制体系

文章插图
六、GDPR实施后，国内物联网企业应当如何应对？前言：在上一篇文章中（深度整理 | 欧盟《一般数据保护法案》（GDPR）核心要点），我为大家分享了GDPR法案的核心要点，便于企业直观的了解到什么是GDPR以及对企业未来业务将会产生什么样的影响。本文将着重针对GDPR中的核心要点来深度分析物联网行业的企业应该如何应对。这里的应对方案涉及到系统架构、人员管理、流程管理、风险评估、业务逻辑、应急响应等众多环节，由于不同企业的具体业务情况不同，以下内容可作为物联网企业自查的一种分析方式。物联网行业的特殊性在于：原来很多设备是不联网的，所以不存在用户隐私泄露的风险。而如今，设备联网是大势所趋，数据的控制者和处理者都会直接或者间接的接触到非常多的个人用户数据，比如：姓名、性别、年龄、身份证号、手机号等等，另一方面，由于需要对设备和用户数据进行运营画像及监控，也会收集到更多关于用户行为的隐私数据。所以，GDPR对物联网企业的影响还是非常深远和重要的青莲云作为一家物联网安全解决方案公司，通过多年来在网络安全、云安全、黑客攻防对抗和数据隐私保护等领域的经验积累，针对GDPR施行后，国内物联网企业的应对思路，总结出以下要点，可以作为企业在实践GDPR合规过程中的参考方向，以此分享出来与大家探讨。国内物联网企业应对GDPR的建议思路：1、企业高管的直接重视2、合理区分数据控制者和数据处理者3、从设计之初保护隐私4、明确的获得客户的数据授权同意5、识别数据的存储位置6、识别数据的类型和风险7、识别数据的使用授权8、识别数据的移植和传输能力9、必要时能够清除个人数据10、具备快速识别并及时报告数据泄露事件的能力11、遵循数据最小化原则12、针对数据进行匿名化处理13、保证网络通信的机密性和数据完整性14、保证网络通信的强身份认证15、重视数据生命周期管理16、重视企业内部的隐私管控17、检查第三方供应商是否符合GDPR18、考虑设置专门的隐私保护人员19、具备其他安全合规性要求20、与专业安全公司保持紧密合作企业高管的直接重视无论是GDPR还是其他安全合规性的法规要求，更多的是与企业的管理/研发流程息息相关。而内部流程的推动更多的依赖企业高管的重视程度和实践决心。推动一项流程的正确实施需要自上而下有序进行，如果企业高管对推动合规性流程的意识不足或者重视程度不够，往往会造成非常多的人力时间成本浪费，也会影响到正常业务的开展进度。所以我们把企业高管的重视程度放在第一位。合理区分数据控制者和数据处理者GDPR中针对控制者和处理者有明确的描述。在实践GDPR中，企业首先要明确自己到底是属于数据的控制者还是处理者，这个定位非常重要。举个例子：如果企业使用Google Analytics（或者其他第三方数据分析服务商）针对网站进行用户行为分析，那么企业就是数据控制者，Google Analytics就是数据处理者。当数据主体（消费者）依据GDPR中的要求执行“被遗忘权”的时候，企业有责任去履行用户的合法要求，企业应当能够删除交给第三方数据分析服务商的用户个人数据。从设计之初保护隐私万丈高楼平地起。道理很简单，安全是IT系统的基石，如果基础的IT系统出现安全漏洞，特别是针对物联网行业，通过批量的远程升级往往都不能解决关于业务逻辑的安全问题。物联网企业在设计系统架构之初就应该把安全因素纳入架构设计范围。让安全从早期介入，才能避免后期因产生安全事故导致更严重的企业损失。明确的获得客户的数据授权同意GDPR在此处也有明确的描述，需要企业用非常明显且直白的方式告诉客户将会采集哪些数据（类似于APP的权限授权），特别是针对未成年人的物联网产品（如儿童手表、儿童故事机等），必须获得监护人的直接授权同意才可以收集相关数据。识别数据存储的位置数据是企业IT资产的一部分。当实践GDPR之前，企业必须要做的一件事就是识别数据存在哪了。物联网的底层架构的是云计算，云计算会用不同的数据存储技术来存储不同类型的数据，比如用Redis来存储缓存数据、用Hadoop来存储离线的大型日志文件、用Cassandra来存储一些碎片化的小文件。企业技术负责人必须清晰的意识到内部用到了哪些数据存储的技术或者组件，不同的组件存储了哪一类数据，识别“数据战场”是数据隐私保护的第一步。识别数据的类型和风险当识别清楚数据存储的位置之后，就需要对数据资产进行风险评估。思考企业所存储的数据种类都有哪些：如个人身份数据、定位数据、行为数据、金融数据？数据的类型有哪些：整型？浮点型？布尔型？图片/视频？不同数据的泄露风险有哪些：如会导致用户信用卡被盗刷？会导致用户遭受垃圾邮件攻击？会导致用户身份被仿冒？会要导致用户行踪被跟踪？等等，依据企业建立的数据风险模型，可以为今后有针对性的部署安全解决方案提供有力支持。识别数据的使用授权在大部分的数据使用场景中，并不是只有企业自己对数据有完全的控制权和处理权。在大数据解决方案中，往往需要借助外部第三方企业的能力来对数据进行深入挖掘和分析，这时，对数据的使用授权管理就极为重要。企业需要明确的知道有哪些数据存在与第三方的数据服务交换或者直接把数据发送给了第三方。当有这种情况出现时，企业就变成了数据的控制者，如果由于第三方服务商出现了数据泄露问题，按照GDPR的法规约定，企业作为控制者也同时存在连带责任。识别数据的移植和传输能力在GDPR中规定，数据主体（消费者）有权力将个人信息向其他个人或组织进行传输。这就要求企业在设计系统架构时，能够支持数据的格式化处理，并且可移植，以及在多个供应商之间共享数据，同时还需要具备数据安全传输的解决方案，以实现在传输的过程之中确保数据的加密性、完整性和严格的双向身份认证。必要时能够清除个人数据数据主体的“被遗忘权”也在GDPR中也作为重点提出。企业必须有能力能够删除一些用户指定的或者用户不再允许使用的数据。企业应当能够具备快速的数据定位能力，并删除定位出来的用户数据，并且将这部分需要被删除的数据通知给第三方的数据服务商（如果这部分数据被第三方使用的话）。具备快速识别并及时报告数据泄露事件的能力这个能力我觉得非常重要，并且有很大的难度。难点有二：1、企业如何能够快速识别到自己的数据产生泄露了？纵观历史上或者近期的数据泄露案例，企业方基本都是后知后觉；2、企业是否有能力（魄力）在GDPR中规定的72小时之内及时向监管方及数据主体报告数据泄露事件？为什么说这个能力很难，相信企业管理者都能够感觉到，其实这并不完全是一个技术能力。遵循数据最小化原则在安全架构设计中有一个重要原则：最小化权限。即针对业务进行风险评估，仅仅提供能够满足业务运行的最小化权限，如尽量少开端口，禁用Root权限等。GDPR中的明确规定了数据最小化的原则，即，尽量少的收集用户数据，能够满足业务需要即可。通俗来讲：功能少了，风险自然就少，在数据安全方面也是同理。针对数据进行匿名化处理GDPR中对“匿名化”有明确的官方定义。其中有两次含义：1、以青莲云的系统架构举例，针对用户和设备不同类型的数据，进行分库/分类加密存储，以避免当出现数据泄露的情况下，一次性泄露全部且完整的用户个人数据；2、针对敏感数据进行匿名化处理，比如记录身份证号时，隐藏中间的生日数据段，避免因数据泄露而直接能够定位或指向某一个可识别的自然人。保证网络通信的机密性和数据完整性这里有两个要点：机密性和完整性。青莲云的系统架构中内置自研的物联网安全接入网关系统，网关不仅仅可以提供多种数据加密方式（AES/DES/SSL等），更能够针对每一个数据包进行安全签名和合法性校验，从而保证数据在加密传输的过程中，能够抵抗黑客发起的设备重放攻击行为，实现安全稳定的物联网数据传输。保证网络通信的强身份认证身份认证一定是双向而非单向的。对于物联网行业来说，身份认证主要包含设备与云端、设备与设备端、客户端与云端、客户端与设备端、云端与第三方接口以及云端本身的身份认证几个方面。在青莲云的系统架构中，也是由物联网安全接入网关系统来实现这一系列身份认证机制，能够抵抗黑客发起的设备伪造及其他数据伪造攻击行为。重视数据生命周期管理针对企业的研发流程，微软提出了SDL（安全开发生命周期），一共分为7个部分，从培训到最终的应急响应。针对数据也是如此，企业应当自查，从定义数据格式到采集数据，再到分析展现，直至持久化存储的生命周期中，是否能够做到安全可控。毕竟在生命周期的不同环节都面临不同的安全风险，能够有效的管理数据生命周期，是企业必备的安全能力之一。此处建议企业技术负责人仔细学习微软的SDL流程。重视企业内部的隐私管控隐私管控不仅仅限于GDPR，企业应当自查是否具备隐私管控的流程或者技术能力。此处包括但不限于：针对数据存储的隐私管控、针对OA系统的隐私管控、针对销售系统的隐私管控、针对办公网络的隐私管控、针对移动办公的隐私管控、针对离职员工的隐私管控、针对存储数据进行硬件销毁的隐私管控能力等。检查第三方供应商是否符合GDPR以青莲云举例：青莲云为物联网企业提供安全可信的物联网私有云/公有云服务，但是无论是公有云还是私有云，青莲云产品作为一套物联网安全软件系统，必须依赖某个云计算IaaS服务商。因此，企业在考虑第三方供应商是否满足GDPR合规要求的同时，不仅要考虑第三方供应商自己的安全能力（青莲云可以提供真正端到端的物联网安全解决方案），更需要考虑底层云计算厂商的GDPR合规性。以云计算代表亚马逊AWS和阿里云来说，两家厂商都有标准的GDPR合规性要求说明，同样值得企业关注。考虑设置专门的隐私保护人员在实践GDPR中，企业不仅仅需要高管人员的重视，同时需要培养专门的隐私保护人员，如首席隐私官（Chief Privacy Officer，CPO），或者是GDPR中明确提出的数据保护官（DPO）。即便企业没有该职位设置，也应当针对技术负责人、核心员工进行专门的隐私保护培训，建立相应的隐私保护流程，以满足GDPR的合规性要求。具备其他安全合规性要求企业的信息安全建设绝非一朝一夕能够完成。在关注GDPR之前，企业应当审视是否满足了国家的其他安全合规要求，比如：网络安全等级保护。至少在物联网应用层面，也应当具备一定的安全防御能力，并不能理解为我用了阿里云，安全就是阿里云来保障，更不能认为我的数据是加密的，就等于安全了。安全漏洞的产生更多的是跟业务逻辑相关，不止体现在针对数据的保护上，青莲云可以为物联网企业提供专门的安全咨询服务（安全培训+安全测试+物联网安全解决方案）。与专业安全公司保持紧密合作术业有专攻，安全来自于长期的经验积累和真实的黑客攻防对抗。很多物联网企业自身不具备组建专业安全团队的能力，企业应当更关注自身的业务和产品发展，并与安全企业建立长期合作伙伴关系：一方面可以提升自身业务的安全防护能力，另一方面也可以通过与安全企业的合作提升员工的安全意识，将安全漏洞扼杀在研发和测试流程中，从而提升量产产品的安全性。