从WMS信息泄露和GDPR看清本质

数据将是除了税务以外另外一个电商大坎坷！

Facebook的事件在上半年成为全球都在关注的重大事件，给每一个互联网的运营者敲了一个警钟：

1、不要随便泄露用户的个人信息，不然可能会搬起石头砸自己的脚。

2、用户在使用互联网的时候也不要随便乱注册一些信息，要注意自己个人信息的保密，谨防信息诈骗等不良事件的发生。

3、任何信息化产业企业和个人都应该对自己运营数据做足够的保障。

4、时刻关注内部数据安全和漏洞。

紧随着而来的亚马逊WMS卖家令牌信息违规泄露事件，据说这次的审查是由德国账号审核团队先开始执行处理，慢慢到整个欧洲和全球站点。

虽然每年快到销售旺季的时候，平台都会大批将违规的卖家账号进行老旧账一起清算:暂停销售、审查店铺、冻结店铺等，但是这次事件最先开始的理由不是常见的侵权、刷单、假货、产品质量投诉等问题，而是是以卖家使用不当的令牌授权导致信息泄露作为最先开始的处置，说明事情没那么简单。

在今年七月份的时候，亚马逊的官方团队曾经给所有正规的软件运营服务商以及卖家都发过一封邮件，告知亚马逊将在8月30日为截至日期，提醒所有的登记在案服务商进行规范自己的请求方式，并且要求服务商审查自己的业务接口，及时做好调整，通知旗下服务的客户进行及时的验证，便于亚马逊更好的验证各个API的请求合规化。做了配合和通知客户的服务商都算是比较专业和诚信的服务商。

目前市面上有几种API的请求场景：

a、卖家自用型：这种目前被各方神仙说的像是违禁品一样，其实这种授权方式在前面几年都是非常流行和常用的授权方式，当时流传的是此WMS授权方式是否有关联问题，后来经过长时间证实，API是不会强关联的，店铺关联的指标是多个维度的集合。目前为止，超级卖家和自己组建研发团队的电商卖家，可能大部分都是以此方式进行请求，也是被平台许可的，唯一的麻烦是：作为一个电商卖家，谁手上没有那么几个套账号，而账号多了，如何进行在同一个业务中进行处理？操作不当，将会带来灾难性的结果。这对卖家来说，除了研发上面的成本，在账号保护上面也要额外的成本。相信有自己建立研发团队的卖家都会有这个顾虑和情况发生。理想的状态下就是一个平台就一套店铺，那么自用型的API对接，在确保令牌不会在多个业务方使用，以及绝对内部安全情况下，是可以使用的。

b、开发者应用授权模式：这种是针对服务性机构，有专门的团队机构，完善的处理流程，能够及时处理突发状况和隐患能力，有法律承担责任的公司所使用的。比如软件、工具、物流海外仓系统、海关系统、支付系统、财务系统等。通过此授权方式进行授权的卖家后台都能显示对应开发者的服务商信息和授权记录，而对应的开发者也绝对都是在平台进行备案登记过的。大部分都是给与服务聚合或者网页应用的服务商。

c、授权开发者模式：这种模式和开发者应用模式类似，主要的区别在于是用来鉴别开发者的类型。这种举个形象的例子，有一些大卖家自己建立研发团队可能研发成本太高，需要长期投入和运营管理成本，而市面上有很多的外包公司，可以提供需求定制，这种为了防止外包团队长时间获得公司内部令牌而可以进行使用此种授权，用于区分。使用卖家自用型的多店铺卖家使用此种方式其实比较安全。

具体的授权模式对比，外面已经有很多描述做的很形象了，这里文章的主题提到的《通用数据保护条例》（General Data Protection Regulation，简称GDPR）才是卖家和各个服务商互联网服务型企业更加注意的事情，虽然GDPR是欧盟条例，但是每个国家都是有自己国家的数据保护条例条款的。

继VAT问题持续升级后，GDPR也将是焦点问题

【注册协议和隐私政策的规范和承诺！】

作为服务机构，只要是存在数据记录，存储使用，那么就一定有注册协议和隐私政策声明，大家可以看到不管是国内的 腾讯、阿里、JD还是国外的google、yahoo、amazon、ebay在用户注册的时候都是有注册条例和隐私声明的。注意：这里的服务机构除了卖家所对应的服务商，卖家本身对于平台和买家也是一种服务商。

注意：这里的服务商并不要片面的认为只是为卖家提供服务的对象，其实卖家本身也是一直服务商，而卖家对应的服务对象是你们的平台，你们的买家客户，他们的隐私数据也存在你们手上。

【如何选择和规范隐私服务】

特别要注意的是隐私声明中，专业规范的公司会按照国际规范进行详尽的列出注册用户所被存储收集的任何隐私数据的清单和使用用途，并且严格遵守和不断随着业务的需要进行调整和公布隐私声明的细节情况；

所有用户最关心的是用户数据自由权和知情权（这个在5月份GDPR中个人数据隐私条例中占据最大），数据隐私自由将是会直接在隐私条例中申明：

注册用户是否允许拥有自己决定删除数据、转移数据的权力，以及数据存储的范围。任何隐私数据的拥有者都可以要求存储与自身数据相关的信息进行指定的存留和清除。

如果有这些声明，描述清晰，任何修改和公布都是在易查到的地方进行显示，并且在签收使用协议或者买卖合同的时候，也需要明确表明数据的保密条例，才算是一个基本符合规范的互联网服务型公司，在全球适用。

在这些基础上，再去甄别授权服务商的服务能力和安全保护。并不一定是国外的服务商就一定没问题，关键在于看此服务商的规范，和业务所涉猎的范围，以及盈利模式来源。

Amazon这么操作的目的很显然，首选是希望大家正视他们的数据协议规则，其次能够在后面清晰的识别各个运营服务商，所以现在对这部分MWS卖家账号进行封存处理，要求这部分MWS卖家提供泄漏过密钥的记录，同时规范所有请求的服务商，找出非法使用卖家密钥的不正规服务。

归纳总结

经过上面的一番分析，其实大家所要关注和留意的是，你的数据的泄露是否违法了！各种授权模式都是存在有各自的用途，而如果卖家本身的使用不当，在使用过程中产生数据泄露问题，那么也会祸及自身，再直接一点，就算没有授权任何的WMS的API方，卖家依然有可能会产生数据泄露而封店的风险。因为一切你的使用不当，数据被盗用，比如你因为业务总会将买家的信息进行传输给第三方服务机构进行处理。而任何一个第三方的泄露，都可能对你进行牵连。平台为了保证自己的数据安全，自然就会切断你的一些数据供应。因此卖家对自身的数据使用也需要有一定的认知和保障能力，比如防止内部的数据泄露，防止数据迁移的时候在前后乱用数据而导致的侵犯你们国外买家的隐私而引发的违法行为。在自身的数据安全和数据合理化操作过程中做到知法懂法守法的去做事情。才不会引发重大的事态和代价，就算用的是合规的服务商不管是工具、服务、软件也好，卖家本身也一定要做规范的事情，强行使用他人隐私进行牟利，带来的将会是严格制裁。

比如提供数据让不合法第三方服务商去直接联系你的客户改评价，那么这就算是泄露隐私；

又比如通过他人售卖的隐私数据进行联系对方做营销，骚扰对方影响他人的行为，属于操纵隐私牟利；

在这以重运营重产品的时代，有些捷径是不能碰的那就一定要划清界限，税务问题是一个，数据问题是一个，将来指不定还有什么，而要走的长远，做的安全，还需要多多把控关键性的点。