白鲸出海—让中国互联网服务世界
{{user_info.user_name}}
您当前是白鲸会员
开通VIP,享受更多服务
会员到期时间:{{user_info.expire_date*1000 | formatDatebyDay}}
合作查看次数: {{users_vip_equities.view_cooperation || 0}}次
合作发布次数: {{users_vip_equities.release_cooperation || 0}}次
公司查看次数: {{users_vip_equities.view_company || 0}}次
榜单下载次数: {{users_vip_equities.download_rank || 0}}次
报告下载次数: {{users_vip_equities.download_book || 0}}次
鲸币数量:{{user_info.jingbi}}
发布
当前位置:白鲸出海 > 资讯 > 正文

印度封杀中国APP 谈谈出海印度企业的风险应对策略

互联网出海法律队长  •  •  原文链接

编辑:王捷 魏彤

白鲸出海注:本文是资深出海法律顾问 Jackie Wong (微信公众号ID:Legal-Jackie)发布在白鲸出海的专栏文章,转载须保留本段文字,并注明作者和来源。商业转载/使用请前往资深出海法律顾问 Jackie Wong 主页联系,寻求作者授权。

背景介绍

6 月 29 日印度政府信息技术部宣布 59 个 APP 将在印度被禁用,其中包括抖音和微信。此次禁用给出的理由为名单上的应用有损“印度主权和完整、印度国防、国家安全和公共秩序”(印度信息技术法案第六十九条第一款)。

简要原因分析

1.之前已有迹象

在此次封杀 59 个应用之前,之前的“移除中国应用”和抵制TikTok事件已经引起很大水花。当时借 YouTube 和 TikTok 网红大战的由头,大量水军涌入应用商店给中国厂商的应用 TikTok 打差评并发布攻击性侮辱性评价,一度把 TikTok 评分拉至 1.3 分。

2.隐私数据合规层面

印度政府以该国信息技术法案第六十九条第一款为基准,以及《2009 年信息技术(阻止公众获取信息的程序和保障措施)规则》的相关规定,认为公布的 59 款来自中国的应用有“在安卓和 iOS 系统上存在数据滥用情况,这些应用以未经授权的方式窃取用户数据秘密传输到印度境外的服务器。”的行为。同时印度政府宣称,收到了许多“公民对数据安全性以及与某些应用程序操作有关的隐私风险的担忧”。

3.网络安全、国家安全层面

印度电子和信息技术部对于此次事件的声明直接把数据合规问题上升到了国家案情层面:“对印度国家安全防卫有敌意的分子对于这些数据的汇编、挖掘和分析的,最终会影响印度的主权和完整性,这是一个非常深刻和紧迫的问题,需要采取紧急措施。”

在印度,在一些特殊的“必要及紧急”的情况下,例如涉及主权及领土完整,边防与国家安全等问题的,允许中央政府命令中介网络服务提供商(Intermediary)对任何网站进行全站屏蔽。这次事件也正是印度政府借国家安全理由之名,对外来 APP 下手的一个例证。

对出海印度企业的扼要启发与风险应对策略

(一)就本事件下目前各方的对策或可以进行的应对

1.大使馆发声

截至昨天,中国驻印度使馆发言人嵇蓉参赞已就印度阻止部分中国手机应用发表声明,“中方对此表示强烈关注,坚决反对。”“印方措施选择性地特定针对部分中国应用程序,歧视性地采取限制,理由模糊牵强,程序有违公正公开,滥用国家安全例外,涉嫌违反世贸组织相关规则,与国际贸易和电子商务发展大趋势背道而驰,更无益于印度消费者利益和促进市场竞争。” 印方的回应尚不得而知。

2.是否能进行上诉?法律层面能进行何种应对?

去年四月 TikTok 就曾被印度马德拉斯高等法院下达禁令,经过字节跳动的上诉、最高院听证、发回重审,一个月内,TikTok 就重回印度应用商店(前情摘要:印度马德拉斯高等法院(MadrasHigh Court)认为:“TikTok 上存在相当多的色情内容,对印度青少年的身心造成了极大的损害”,并提及了 TikTok 造成了诱导自杀的负面影响,例举了一个 15 岁家住孟买的女孩,由于沉溺 TikTok,被奶奶责骂以后,一怒之下自杀轻生的例子。于是,该法院要求当地中央政府对 TikTok 下达禁令(Injunction),要求限制媒体通过),。而本次封杀由印度政府信息技术部发出,非法院所为,无法通过向最高法院上诉来组织该禁令生效,似乎封死了之前踏出的一条验证好的解决路径。

不过截至目前,本文作者已经得知一些印度律师已经摩拳擦掌跃跃欲试联系各位受害企业,代表其与印度政府进行 argue,乃至于试图说服政府撤销该决定。

3.与合作伙伴、供应商的潜在合同风险排查

对正在进行的合作伙伴,上下游供应商的合同履行情况、主要条款进行梳理与排查

4.产品内隐私数据合规风险排查

对收集、处理、存储印度用户数据的情况进行摸排,数据存储情况与回传问题(后文进行具体说明)

5.产品对外层面的应对

包括但不限于在网站页面产品页面上及时提供告示、通知,做好预案, 考虑加入出厂预装大礼包等。

出海印度的除了短视频、社交软件、游戏外,还有很大一部分是硬件企业, 目前中国出海印度的手机厂商,有部分在出厂时预装了中国的 APP,这次 6 月 29 日的行政命令也没有涉及的这个方面,虽然并不是大多数,但如果出海 APP 企业继续想打开印度市场,绑定硬件渠道也可以考虑。

6.用户与合作伙伴的安抚措施,运营马力全开

在下架时期,新用户无法获取,新的商业模式无法展开,只能尽量避免已有用户流失和已有的合作伙伴。虽然广告收入被影响很大,但此时的当地运营成本不能节省。

(二)出海印度企业需要考虑的风险点

1. 政策风险

需要动态关注当地政府监管及合规要求。与欧美、日本、澳加等有着完善法律体制的发达国家相比,作为明星出海地区的东南亚地域以及新兴的中东、非洲等地区,无论是法律制度、法律环境还是执法力度相对而言是不甚完善的,易变性较大,本土化执法特点明显,对法务支持人员的要求更为灵活,需要及时把握政策变化的趋势及风向。

例如印度已经出现过政府会对涉及宗教、政治、色情等敏感内容,并可能引起社会动荡的信息的链接或网站进行屏蔽或封锁的事件(但一般政府会屏蔽具体的网页,极少情况下才会进行全站屏蔽)。

2. 数据隐私与网络安全合规

虽然此次的数据滥用和非法传输境外很大程度上只是一个盖在政治理由上的随机面纱,但在印度 2019 个人数据保护法案草案已经通过国会审核,正在不断提供对个人数据的保护力度的背景下,出海印度的企业为预防整体风险,也需要对数据隐私合规重视起来。

对于互联网服务和产品来说,商业模式中涉及大量的用户数据的数据,更要注重个人数据合规体系的搭建,例如在产品设计时,需要用户事先明确同意后才能获取其个人信用信息,并采用技术措施进行加密保护,防止泄露等。

1)跨境数据传输风险

如我们在《漫谈《印度2019 个人数据保护法案》之二:新法案的核心结构与部分关键内容概述》中的分析,在 2018 印度个人数据保护法案中,要求了数据受托人“应确保在印度的服务器或数据中心上至少存储一份本法适用的个人数据服务副本”,除非政府行使职权将“某些类别的个人数据”指定为免于本地存储需求。根据 2018 法案的要求,个人数据只可以法案规定下的情况下才能向印度境外传输,包括例如经过 DPA 批准的示范条款和集团内部数据传输安排,或经过数据主体的同意的情况,又或者是在政府发现接收国提供“适当”保护的情况下进行。而一般被由政府定义为重要的个人数据基本上是很难转移到印度境外的。

而在 2019 新法案中,则删除了要求将所有个人数据的“副本”保留在印度的服务器上,然后才转移到印度境外(除非中央政府特别豁免)的规定。需要注意的是,新法案仍然保留了对于“敏感个人数据”与“关键个人数据”的限制。从整体来说,也在比较大的程度上减少了本地化和数据传输限制的范围。即:

对于敏感的个人数据,可转移到印度境外(大多数情况下必须获得数据主体的明确同意),但此类敏感的个人数据应继续存储在印度。

关于敏感数据界定值得注意的是,密码已从新法案中敏感个人数据的定义中删除。

对于关键的个人数据:只能在印度境内进行处理,并为该等数据的境外转移的严格本地化要求提供了例外条件:

(1)在必要情况下,向从事提供公共医疗卫生服务或紧急服务的个人或实体传输;

(2)中央政府可根据草案的规定,允许向某一国家或某一国家的任何实体或某一国际组织传输,并且中央政府认为这种传输并不损害国家的安全和战略利益。

同时,法案允许政府对何为“关键个人数据”进行定义,且对政府进行此类指定的权力没有任何限制,即政府具有比较大的自由裁量权。

2)调整了合理处理个人数据的法律依据

关于处理个人数据的合法依据,在 2018 法案中,与 GDPR 不同的一点是,没有把“基于合同必要性”作为合法处理的基础,虽然在 2019 新法案中,仍然没有把“履行合同义务”作为处理依据写进去,但是对“合理目的”的法律依据进行了调整,这对可能在某些需要履行合同的情况下而处理数据的行为是一个非常有利的信息。

根据 2018 年法案的规定,允许数据受托人出于合理目的(例如检举揭发、网络与信息安全等)可以在未经用户同意的情况下处理个人数据,但同时需要考虑到各个利益相关方的之间的平衡以及数据主体和环境的合理期望等因素处理(例如公共利益)。同时也规定了该合理目的除了已经在法案中列举出来的,还“可以由法规进行规定”,新法案还将合理目的的扩展到包括“搜索引擎的运营”。

出于就业的目的,新法案的处理理由要比 2018 年法案所规定的要窄,新法案不再允许数据受托人基于就业目的处理敏感的个人数据。

(三)平台合规

应用出海身在应用商店的屋檐下,不得不紧跟其开发者政策。本次 59 个应用被封杀,经测试,其中一些 App 已经在印度 Google play 上消失,是被下架还是主动认怂下架目前还无法确认,但连政府层面出手都要借助平台,可见平台的重要性。

从“处罚”速度的角度说,应用一旦违规,平台的反应速度比政府法院可是要快得多。一旦被下架,内买、广告投放和下载数据都会受到影响。更不要说整个开发者账号被封的可怕程度了。

在平台合规角度需要注意以下方面:

内容合规。保证自身内容和规制保证用户生成的内容(UGC)都不落入受限内容的范围,包括危害儿童、不当内容、金融服务、赌博、非法活动、未获批准的药物成分。

-确保不侵犯他人知识产权,做好商标专利版权等的授权许可、不仿冒、不蹭爆款

-不全面照抄爆款,保证应用有最基本的功能,保证用户预期的使用体验

-梳理涉及的数据流向,保护用户隐私,完善形式上的隐私政策,-如有敏感个人信息和儿童信息收集,隐私政策中需就相关内容进行陈述

-审慎获取用户的设备权限

-注意应用分级,真实填写应用分级表单,注意不同国家地区的具体法律规定,确保应用功能、界面、交互、广告等方面均符合给出的分级。

-明确家庭计划对应用内容和广告的要求,审慎选择加入

-应用提交被拒后请按要求整改后再次提交

-广告内容需适合目标受众如儿童、广告不得干扰设备功能、广告不得仿冒其他应用界面或通知来诱导点击、注意广告获取用户信息和数据收集时应遵守个人信息政策等

(四) 资质牌照

重视当地资质/牌照要求

出海项目需要关注当地政策法规的各类特殊要求,特别是大型的出海项目。尤其需要关注这三方面:

1)该业务进入目标市场是否有外资准入限制;

2)出海企业在当地经营实体的选择、优劣势对比及税收优惠政策比较;

3)该业务是否有特殊牌照申请要求。

(五)系统布局企业知识产权保护战略

出海企业尤其需要注重知识产权的全球化布局策略,小到域名、字号、logo,大到商标、专利、版权(包括软著、游戏程序、美术作品、字体等)“三位一体”的布局模式,出海企业需要有计划、有步骤、有目标地在不同国家、不同地区地推进主体产品在主要国家的落地申请与布局。一方面,不仅确保自身在服务所涉及的主要地区和国籍拥有对应的权利,另一方面,还能有效阻止对方的恶意抢注或竞争对手的进攻,巩固自身的知识产权壁垒,实现健康出海。

(六)投资策略

详见昨天的分析: 《印度封杀 59 个中国 APP,背后博弈逻辑是什么?》


文章信息来自于出海互联网法律观察 ,不代表白鲸出海官方立场,内容仅供网友参考学习。对于因本网站内容所引起的纠纷、损失等,白鲸出海均不承担侵权行为的连带责任。如若转载请联系原出处

友情提醒:白鲸出海目前仅有微信群与QQ群,并无在Telegram等其他社交软件创建群,请白鲸的广大用户、合作伙伴警惕他人冒充我们,向您索要费用、骗取钱财!


分享文章

扫一扫 在手机阅读、分享本文

203483
{{votes}}
分享文章

扫一扫 在手机阅读、分享本文

203483
{{votes}}

要回复文章请先登录注册

与CEO聊合作

(备注姓名、公司及职位)