数据监管新要求,电子商务法时代跨境电商将走向何方?
作者:宁宣凤 王峰 吴涵 戴梦皓 黎辉辉
作者介绍请详见文末
近日,海关总署发布了2018年第165号公告(下称“第165号公告”),要求自2019年1月1日起,参与跨境电子商务零售进口业务的跨境电商平台企业应当向海关开放包括订单号、商品名称、交易金额、币制、收款人相关信息、商品展示链接地址、支付交易流水号、验核机构、交易成功时间等支付相关原始数据,供海关验核。与公告配套出台的还有《跨境电子商务零售进口统一版信息化系统原始数据实时获取方案》(下称“获取方案”),对网络通道、开放数据接口、原始数据的安全要求、接口内容等具体内容,做了详细的规定。在《电子商务法》公布后不久,作为跨境电商最主要监管机构的海关也紧随其后颁布此新规,并与《电子商务法》同时生效,颇耐人寻味。新的监管要求会对现有跨境电商监管模式带来哪些影响,未来的跨境电商监管的趋势又是如何,且看本文一一分解。
Part.1
现有海关跨境电商监管模式和存在的漏洞
1
现有海关跨境电商主要监管途径——企业注册登记与进口单证真实性一致性审查
自海关总署2014年第56号公告[1]始,至现行的海关总署2016年第26号公告[2],海关对跨境电商业务的监管模式基本一脉相承,即分别通过企业注册登记及进口环节三单一致性审查的模式,从企业管理和货物通关两个环节实现对跨境电商交易主体和进口的监管。具体操作模式如下:
企业注册登记
对于从事跨境电商业务的经营企业、平台企业、支付企业和物流企业,均需向海关办理注册登记,并提供如下相关信息:
营业执照;
企业基本情况登记表;
在2018年4月13日后,按海关总署2018年第27号公告[3]规定,支付企业还需向海关提交相关资质证书,如金融许可证和支付业务许可证。
进口单证
真实性一致性审核
对于跨境电商零售货物,在进口申报前跨境电商企业应核实订购人身份信息,经营/平台企业、支付企业和物流企业应分别向海关传输订单、支付、物流信息进行一致性比对,具体流程如下图:
从理论上讲,这样的设计似乎从主体和货物申报两个方面都具有有效的管控,能够有效防范借用跨境电商形式规避海关监管的可能。但是现实却事与愿违,目前的监管架构由于以下原因,面对 “刷单”等违反海关监管行为,却充满了无力感。
2
实际操作中的监管盲点
单证信息
真实性管控徒有其表
根据海关的监管要求,跨境电商企业应当对订购人身份信息进行核实,并向海关提供由国家主管部门认证的身份有效信息。但是,在实践中,仅仅基于身份有效信息的核实往往只能起到核实网传身份信息属实,而无法做到将订购人真实身份与网传信息匹配。这就给了不法分子可乘之机。如在被称为“刷单第一案”的广州志都供应链管理有限公司走私案中,志都公司所采取的手段即为通过网络以不法手段获取他人真实的身份信息,并借此虚构订单和物流单证向海关进行申报。从监管的角度,上述虚假订单由于所采用的身份信息均为真实存在的自然人身份信息,除非与本人一一核实,实际上根本无法辨别其真伪。不仅是订单信息,在物流信息的确认上,由于同样使用单一的身份信息核实模式,因此,根本无法起到与订单信息交叉匹配双重核实的目的。唯一能够起到多重交叉验证功能的支付信息,却又存在以下海关监管漏洞,成了更致命的风险点。
支付管理漏洞频频
漏洞一
主体资格审核缺失
虽然中国人民银行相继于2010年6月和2015年12月分别公布了《非金融机构支付服务管理办法》[4]和《非银行支付机构网络支付业务管理办法》[5],对网络第三方支付企业设置了准入门槛,但是在2016年26号公告施行后,长期以来海关对于跨境电商支付企业在注册登记阶段即存在着欠缺,对支付企业的注册标准等同于一般企业,并不要求审核其网络第三方支付的资格,这导致不少根本不符合中国人民银行第三方支付机构资格的企业也滥竽充数。目前,虽然海关已通过2018年第27号公告亡羊补牢,并要求既往已登记的支付企业补交相关证明,但即使是取得了相关第三方支付资质的企业,其对支付订单和支付主体的监管,依然存在着不小的风险。
漏洞二
支付实名制任重道远
诚然,根据《非银行支付机构网络支付业务管理办法》第六条的相关规定,第三方支付企业有义务建立起客户识别机制。同时,根据该《管理办法》第十一条的规定,还需对同一身份开设的账户进行关联管理,建立起对用户身份的交叉验证,以对账户进行分类管理。可是,在实践中,不少第三方支付企业,尤其是中小企业,由于种种原因,实名制进展也差强人意。以实名制要求最低的I类账户而言,其不需要面对面建立账户,仅需身份证开立账户,身份真实验证用途极为有限。虽然I类账户支付额度不得超过1,000元,但是对于多以小额贸易模式(单笔不超过2,000元人民币)呈现的跨境电商零售货物,这一额度也绰绰有余,足以帮助不法分子完成老鼠搬家式的操作。如在志都公司案中,志都公司即是通过类似手段,利用某第三方支付公司生成虚假支付单,完成向海关的虚假申报。
漏洞三
对支付企业的监管鞭长莫及
不同于海关传统意义上管理的实际负责货物进出口信息申报的企业,跨境电商支付企业向海关提供的支付信息并非海关法意义上的申报信息。因此,即使支付企业提供的支付单信息不实,目前海关基于现行的法律法规也难以给予合适的行政处罚,仅能暂停其开展跨境贸易电子商务业务[6]。
而对于以上问题,随着《电子商务法》和第165号公告的监管新规出台,在某些方面预计能够显著改善。
Part.2
监管新规带来的新变化
1
交易穿行测试和交叉验证成为可能
根据《获取方案》,海关从跨境电商平台企业抓取的信息包括了交易发起的原始请求、支付企业的原始响应、可在央行认可机构验证的交易流水号、对应的验核机构等贯穿整个交易链中的关键信息。这些信息作为《电子商务法》第三十一条所规定的电子商务平台上发布的商品和服务信息、交易信息,跨境电商平台经营者有义务保证其完整性和可用性,这也让海关的数据抓取要求不至于成为“纸上谈兵”。同时,根据《电子商务法》第五十三条的要求,电子支付服务提供者应当确保电子支付指令的完整性、一致性、可跟踪稽核和不可篡改,因此,虽然第165号公告和《获取方案》所要求的数据提供方仅是跨境电商平台企业,但有了支付的发起端和终结端数据以及可进行支付数据验核的验核机构信息,海关在最为关键的支付多重交叉验证上,终于取得了有力的抓手,能够基于相关数据构建起一个完整的交易链结构,并通过数据穿行测试和交叉验证发现每笔交易中可能存在的风险点。
2
海关对跨境电商的监管将更为积极主动
在第165号公告中,相对于以往的跨境电商监管中要求跨境电商企业履行的“传输”义务,海关对数据的获取变成了要求企业开放数据,供海关实时验核。从过去被动依赖企业报送数据,到海关主动抓取数据,这也代表着海关在能够取得更为有效可靠的数据来源的前提下,对于跨境电商的监管也将更为积极主动。以往海关所仰赖的跨境电商进口清单核放数据中,由于进口人为自然人,每批货物金额小,货物较为分散,下单主体核实交易真实性的难度相当大,对于货物最终的流向控制也困难重重。海关如要对此类案件进行调查,需要花费大量的人力物力与精力,而收获却很可能不成比例,但在新模式下,由于海关可以主动抓取交易平台的相关交易信息,那么基于各交易平台和经营企业的数据动态分析,很容易发现跨境电商订单交易、资金支付中存在的异常点,诸如:
同一收发货地址被不同人员用于大量收发跨境电商零售货物,且相关人员的身份信息经核查不存在任何关联性的;
同一身份信息被同时用于多处申报跨境电商零售货物,且相关联系方式不匹配的;
被当事人举报非本人进口的跨境电商零售货物的订单;
再基于这些异常点“对症下药”,海关稽查的效率自然会事半功倍。
Part.3
监管新规的改善意见
1
尚待改善和明确之处
虽然可以预见,在监管新规正式施行后,海关对于跨境电商的监管将焕然一新,但是基于目前的业务监管模式和问题点,以及《电子商务法》、《网络安全法》等相关规定的要求,第165号公告新规依然存在以下还可进一步完善和明确之处。
关于支付信息核实和
支付企业的监管有待进一步加强
虽然新规下海关对于支付信息的核实能力相较之前有了实质性的提高,但是根据第165号公告和《获取方案》的规定,海关所获取的支付企业支付信息仍然是间接的,具体核实仍有待于中国人民银行及其授权验核机构的协助,对于I类账户的真实性验核仍存在相当的难度。同时,由于第165号公告的针对对象为跨境电商平台企业,海关对支付信息的管理、核实负有直接监管责任的跨境电商支付企业的监管仍然缺乏有效手段,这同样需要其他政府部门的后续协助。
新规制定
中的法律瑕疵有待弥补
根据《电子商务法》第二十五条的规定,有关主管部门依照法律、行政法规的规定要求电子商务经营者提供有关电子商务数据信息的,电子商务经营者应当提供。这一规定明确了电子商务经营者向相关政府机构履行数据信息提供义务的同时,也明确了数据提供的前提,即相关数据的提供要求应基于法律和行政法规的规定。而此次海关总署以海关总署公告及其附件的形式所公布了数据监管新要求,根据《海关立法工作管理规定》第三条的规定,其法律效力仅为海关总署规范性文件,远低于法律和行政法规的要求。因此从依法行政的角度而言,以总署公告的形式来设定企业的数据提供义务,显然有违《电子商务法》的相关要求,在立法上存在瑕疵,也会对企业后续提供数据造成一定的困扰。
新规与境内外
网络安全法规要求的协调
我们注意到,根据《获取方案》,海关有权从跨境电商平台处抓取、核验的数据中将可能包含《网络安全法》意义下的“个人信息”,例如收款账号、交易流水号等。为确保跨境电商平台交易与支付行为真实性、增强对跨境电商监管的目的,我们理解,海关需要核验的交易与支付信息中也将包含各类个人信息,例如身份识别信息、银行账号、交易信息、流水记录等。因此,为了满足第165号公告和《获取方案》所进行的数据抓取,跨境电商企业将有可能需要进一步协调与境内外网络安全相关法规的要求。
一方面,《网络安全法》“未经被收集者同意,不得向他人提供个人信息”,且此款规定并不包含任何例外情形。虽然《个人信息安全规范》中针对“征得授权同意的例外”提供了若干具体情形以及“法律法规规定的其他情况”的兜底规定,为谨慎合规起见,跨境电商企业及其合作支付企业在实践中可能仍然需要在隐私政策中明确告知消费者,“其部分个人信息将可能需要依照法律法规的要求,提供至有关主管部门”。另一方面,考虑到目前在国内开展跨境电商业务的企业不乏外国/外资企业,如其服务器同样位于中国境外,海关从跨境电商平台中抓取支付相关原始数据时,将有可能引发始于境外的跨境个人数据传输,相应地跨境电商企业将适用其所在地法律法规的规定,承担在相关的跨境数据传输义务;如适用的服务器所在地法律含有数据本地化的要求,跨境电商企业还需要协调不同司法辖区之间的合规义务。
2
海关跨境电商监管的改进建议
鉴于以上问题,我们认为海关跨境电商监管不妨从以下方面着手,加以完善:
加强跨部门合作,
建立综合服务和监管体系
如之前所提到的,跨境电商零售领域的管理,其实牵涉到多个部门:
部门
领域
公安/网信部门
网络数据安全(线上公民身份信息)的保护
中国人民银行
第三方支付平台的内控管理
海关
跨境电商经营企业和进口货物的管理
市场监督管理部门
网上交易行为的管理
每个领域都环环相扣,缺一不可。仅仅依靠海关一个部门来进行管理,由于其职权所限,实在力不从心。
在此我们建议对于跨境电商零售领域的各监管部门,不妨根据《电子商务法》第七十二条的精神,建立多部门合作的综合服务和监管体系,切实做到信息共享、监管互认、执法互助,提高跨境电子商务服务和监管效率:
信息共享
包括各相关职能部门应当将自身所掌握的相关信息及时和其他部门进行沟通互换,为对方对相关企业的监管提供参照依据。
监管共享
在信息互换的基础之上,根据各相关职能部门自身领域对于各企业的监管分类认定结果,共同对企业的状况做出综合评价,并根据该评价,对企业采取联合激励和联合惩戒措施。
执法互助
对于涉及多个部门管辖领域的违规案件,应当由多个部门配合进行相关的调查和执法。加强对违规行为的约束性惩戒,提高违规成本。
建立起对支付
企业的有效管理机制
如前所述,解决跨境电商监管的核心在于支付信息与个人信息的验核,因此相比于平台企业和经营企业,对于支付企业的监管更为关键。目前根据《电子商务法》的相关规定中,对于支付企业的责任主要集中在支付不符合安全规定对用户造成的损失上,对于支付企业涉及未核实交易信息导致交易信息不真实的责任,则仍有赖于《非银行支付机构网络支付业务管理办法》和《非金融机构支付服务管理办法》的相关规定。而根据《非银行支付机构网络支付业务管理办法》第四十二条和《非金融机构支付服务管理办法》第四十三条的规定,此类违规的处罚相对而言非常轻微(一般而言为责令限期改正,并处3万元罚款)。相比之下,美国对于跨境电商交易的管理,通过《电子资金转移法》(EFTA)等相关规定,对第三方支付企业的管理则要严格得多。如:支付机构必须在成立之日起180日内到FinCEN登记备案,此后必须每两年重新登记一次;要建立严格的客户身份识别程序、制定有效的反洗钱遵循方案,对超过一定额度的现金交易必须要进行详细的记录和申报。对于违规的支付机构,监管机构可以撤销、暂停或终止许可证,同时规定州监管机构可以发布禁止令。他山之石,可以攻玉,这些相关的经验,也是我们可以借鉴的。
Part.4
监管新规下跨境电商企业该做什么
随着《电子商务法》和海关监管新规在明年伊始落地,对于广大跨境电商企业,我们的忠告如下:
1
加强合规意识,防范合规风险
长期以来,在跨境电商领域一直存在着“刷单”、“引流”等的行业乱象,而这些行为大多违反了海关的监管要求,有些甚至可能涉嫌走私犯罪。随着监管新规的落地,海关对于跨境电商业务的监管将大大加强,继续放任此种行为,势必会给企业带来巨大风险。因此,我们建议跨境电商企业应当对现有业务模式基于海关对跨境电商零售业务的监管要求进行梳理,排查风险点,对发现的问题,可以采取主动披露等手段积极向海关汇报,将合规风险降到最小化。
2
加强对交易数据的保存和管理
不论是根据《电子商务法》或是海关的监管新规,跨境电商的交易数据将会是今后海关和其他相关部门的关注重点。而妥善保存数据,不但是《电子商务法》下对于电子商务交易平台和经营者的法定义务,也将是相关企业保护自身利益的关键护身符。在此,我们建议企业应当基于《电子商务法》的相关要求,建立起数据搜集、保存和提供的完善内部流程和专门的应对部门,将交易数据管理作为企业合规管理的重中之重。
3
交易数据的本地化储存
《网络安全法》第三十七条明确要求,关键信息基础设施运营者应当将其在中国境内运营产生或收集的个人信息和重要数据存在中国境内。虽然目前各行业中关键信息基础设施运营者的范围仍未落定,考虑到跨境电商企业在日常业务中涉及体量较大的个人(敏感)信息,仍然有可能被认定为关键信息基础设施运营者,相应地则可能需要履行个人数据本地化的义务。同时,第165号公告和《获取方案》在一定程度上强化了跨境电商企业进行数据本地化的动机,因而是否在中国境内设立数据中心或以租用服务器的方式留存相关交易数据,也是企业平衡商业与合规策略中值得思考的问题。
Part.5
结语
跨境电商零售作为一个新兴的商业领域,其发展显示出了蓬勃的生命力。而与跨境电商交易迅速发展行程鲜明对比的是,我们现有的管理体系略显单薄,有待完善,这也导致了在现行跨境电商模式下存在一系列风险点,但我们相信,随着对该领域的随着国家对于电商产业的重视和对于跨境电商立法工作的关注, 相关规定一定会日趋完善,广大消费者也会从从互联网时代的发展浪潮中大受裨益。
[1] 海关总署公告2014年第56号—《关于跨境贸易电子商务进出境货物、物品有关监管事宜的公告》,2014年7月23日发布,2014年8月1日起施行,2016年4月8日为海关总署公告2016年第26号所废止
[2] 海关总署公告2016年第26号——《海关总署关于跨境电子商务零售进出口商品有关监管事宜的公告》,2016年4月6日发布,2016年4月8日起施行
[3] 海关总署公告2018年第27号——《海关总署关于规范跨境电子商务支付企业登记管理的公告》,2018年4月13日公布,2018年4月13日起施行
[4] 《非金融机构支付服务管理办法》,中国人民银行令〔2010〕第2号,2010年6月14日发布,2010年9月1日起施行
[5] 《非银行支付机构网络支付业务管理办法》,中国人民银行公告〔2015〕第43号,2015年12月28日发布,2016年7月1日起施行
[6] 如上海海关《上海海关关于开展跨境贸易电子商务进口业务的公告》中规定:电商企业、支付企业、物流企业、仓储企业存在下列情形之一的,暂停开展跨境贸易电子商务业务:
(一)不符合业务开展条件的;
(二)发生走私或者进出口侵犯知识产权货物情事的;
(三)有其他违法行为,海关认为需要暂停的。
待重新符合业务开展条件或者经整改验收通过后,由海关根据实际情况确定是否恢复。
本文作者
宁宣凤
合伙人
合规业务部
susan.ning@cn.kwm.com
宁宣凤律师的主要执业领域为网络安全与数据合规。宁律师曾为多家国内外知名企业提供数据合规尽职调查、风险评估、合规体系建设等法律服务。作为国内最早涉足该类法律实务的律师之一,宁律师在为客户提供网络安全与数据合规法律咨询服务方面有着丰富的经验。
王峰
合规业务部
wangfeng3@cn.kwm.com
王峰先生的专业服务主要包括领导国际贸易合规项目,出口管制项目等在中国的实施,以及应对海关总署对企业的进口产品价格评估工作和加工贸易合规性审查,及加工贸易手册的核销项目等,主导了涉及特许权和保修费用等价格构成方面的争议解决和海关行政复议,为多家知名跨国公司在贸易合规方面排忧解难。王峰先生的工作语言为中文和英文。
吴涵
合伙人
合规业务部
wuhan@cn.kwm.com
吴涵律师的主要执业领域为网络安全与数据合规。吴律师曾多次协助客户进行自查并完善网络安全和数据合规体系,为客户提供网络安全和数据合规培训等。 项目涉及金融支付与清算、保险、网约车平台、消费电子、互联网广告、日化等行业。
戴梦皓
资深律师
合规业务部
黎辉辉
律师
合规业务部
感谢关注金杜研究院