跨境数据合规 |《个人信息保护法》视角下的跨境电商生态数据合规问题【走出去智库】
近来,跨境电商忽视数据安全和数据合规的风险逐渐显露。2021年5月,网络安全专家SafetyDetectives发现了一个位于中国的AWS ElasticSearch数据库,其中涉及大量虚假评论的店铺和买家账号,约20万至25万人的私密信息泄露。这一数据库也被视为今年亚马逊封店潮的开端。
走出去智库(CGGT)特约法律专家、金杜律师事务所合伙人冯晓鹏认为,目前跨境电商行业中关键信息基础设施运营者的范围仍未落定,考虑到跨境电商企业在日常业务中涉及体量较大的个人(敏感)信息,仍然有可能被认定为关键信息基础设施运营者,相应地则可能需要履行个人数据本地化的义务。为了降低个人信息出境风险,建议跨境电商企业参照《信息安全技术—数据出境安全评估指南(征求意见稿)》的相关规定框架进行内部自查,并建立完善的用户信息保护制度。
跨境电商企业如何做好跨境数据合规管理?今天,走出去智库(CGGT)刊发金杜律师事务所冯晓鹏和李思然的文章,供关注跨境数据合规的读者参考。
要 点
CGGT,CHINA GOING GLOBAL THINKTANK
1、海关验核“三单数据”的过程,涉及到大量消费者个人用户的原始数据和交易生产数据(ERP数据),海关作为国家机关处理个人信息时,受到《个保法》的监管。
2、个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。
3、支付企业在处理用户敏感信息时要具有特定的目的和充分的必要性,并采取严格保护措施,并通过签订个人信息及用户隐私协议等方式符合“取得个人单独同意”、“向个人告知处理敏感个人信息的必要性及影响”等的合规要求。
正 文
CGGT,CHINA GOING GLOBAL THINKTANK
文/冯晓鹏 李思然
金杜律师事务所
2021年8月20日,经第十三届全国人大常委会第三十次会议审议后,《中华人民共和国个人信息保护法》(以下简称“《个保法》”)获得通过并公布。2021年11月1日起生效实施后,《个保法》将与《网络安全法》、《数据安全法》一起构建我国网络空间治理和数据保护的法律体系。不同于《网络安全法》侧重于网络空间综合治理、《数据安全法》作为数据领域的基础性法律主要围绕数据处理活动展开,《个保法》从自然人个人信息的角度出发,给个人信息上了一把“法律安全锁”。
在跨境电商活动全生命周期流程中,海关等政府部门、境内外消费者、跨境电商企业、平台企业、境内服务商等主体在线上及线下场景深度交织,形成诸多主体之间的数据交互关系。消费者每一笔交易衍生的交易电子数据、支付、物流信息等个人信息,是跨境电商交易闭环的重要组成部分。跨境电商生态中各主体对该个人信息的处理,离不开《个保法》的规制。
在《数据安全法》颁布通过后,笔者曾就网络安全审查制度,以及个人信息出境的法律规定对跨境电商数据运营的影响发表文章[1]。本文笔者将继续以跨境电商领域为着眼点,以上述跨境电商生态主体为对象,分析新颁布的《个保法》中有关数据收集、使用、传输的规定会对跨境电商生态参与主体产生哪些影响。
一、适用范围与重要定义
《个保法》开篇明义,规定“在中华人民共和国境内处理自然人个人信息的活动,适用本法”,也同时规定了一定的域外适用效力。该法第三条第二款规定,“以向境内自然人提供产品或者服务为目的”的在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,或者属于“分析、评估境内自然人的行为”,也适用本法。对于该等境外的个人信息处理者,《个保法》第五十三条进一步要求应当在中国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构或者代表的信息报送履行个人信息保护职责的部门。
《个保法》提出,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。个人信息处理者是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。
另外,《个保法》对个人信息进行分类,并针对不同类型规定不同的处理规则,见下表。
(点击查看大图)
二、海关等政府主管部门处理个人信息
海关总署发布的第2018年第165号公告(以下简称“第165号公告”),要求自2019年1月1日起,参与跨境电子商务零售进口业务的跨境电商平台企业应当向海关开放包括订单号、商品名称、交易金额、币制、收款人相关信息、商品展示链接地址、支付交易流水号、验核机构、交易成功时间等支付相关原始数据,供海关验核。与公告配套出台的还有《跨境电子商务零售进口统一版信息化系统原始数据实时获取方案》(以下简称“获取方案”),对网络通道、开放数据接口、原始数据的安全要求、接口内容等具体内容,做了详细的规定。
海关验核“三单数据”的过程,涉及到大量消费者个人用户的原始数据和交易生产数据(ERP数据),海关作为国家机关处理个人信息时,受到《个保法》的监管。
根据《个保法》,处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。这意味着,海关在收集、使用行政相对人个人信息时,应符合我国有关收集、使用个人信息的法律法规,不得以非法目的收集个人信息。这既包括了“目的合法”,也包括了“程序合法”,且还延伸到主体合法、依据合法、内容合法、形式合法、使用合法等从信息收集到信息利用的各个环节。
值得注意的是,根据《民法典》第一千零三十五条第四款[2],海关在收集个人信息时不违反法律、行政法规的规定和双方的约定。海关收集的行政相对人个人信息,如果是通过双方约定而获得的,信息主体在知情的情况下做出“同意”意思表示,就成为海关收集和使用其个人信息的正当性基础,海关的行为也应遵循双方的约定;另一方面,如果在收集和处理该个人信息时存在不需要用户授权同意的情形时,个人“让渡”部分个人信息给政府,使得个人信息具备了公共管理价值,海关应当依据法律法规,获得合法性基础。
除此以外,海关在收集、使用个人信息时,应当是海关开展行政执法所需要的,不得超过业务范围开展信息收集活动,不应当超过海关工作的实际需求。在处理信息时,例如数据处理量、储存时限、加工程度、使用范围等,不得过度处理,必须与海关执法工作的基本目的相适应。在达到执法目的之后,必须要立刻停止信息搜集工作和信息传输工作。
同时,海关处理个人信息时应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。作为国家机关,海关为履行法定职责处理个人信息时,应当依照《个保法》规定履行告知义务,告知将妨碍国家机关履行法定职责的除外;处理个人信息有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知《个保法》第十七条规定的事项。[3]告知包括海关作为个人信息处理者的联系方式,对个人信息加工处理的方式、信息使用范围、使用方式和使用期限、信息查询方式、信息知情范围和信息安全管理措施、个人信息转移和处置以及个人信息泄露的责任等规则。海关必须对个人信息的收集、保存和使用方式以明确、易懂、合理的方式公开,以“明示”的形式作出,而意思表示的口头形式、书面形式和特别形式等均可视为明示。
《个保法》规定个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。海关作为所采集个人信息的控制者,应采取充分且必要的技术措施和内部管理措施,确保个人信息收集、处理、流转、使用的质量及安全。海关应结合“金关”工程建设,根据“科技兴关”与“依法把关”的部署,建设更好更安全的信息储存系统,建立稳健、安全的个人信息存储系统,使其具有云服务器加密储存、信息匿名处理等技术。结合“从严治关”的理念,健全海关个人信息管理制度,需要明确具体的负责人和权限、调取使用数据的流程及范围等,并建立完备覆盖个人信息收集、储存、使用、泄露后救济的规章制度以应对个人信息事务的各项细节。[4]
最后,海关如发生个人信息泄露、被窃取、滥用、篡改等事件,海关需要对信息主体承担相应的赔偿并作出补救措施,涉及工作人员也应当承担法律责任。
三、跨境电商平台企业保护个人信息
根据《商务部 发展改革委 财政部 海关总署 税务总局 市场监管总局关于完善跨境电子商务零售进口监管有关工作的通知》(商财发〔2018〕486号)(以下简称“486号文”),跨境电商平台为交易双方(消费者和跨境电商企业)提供网页空间、虚拟经营场所、交易规则、交易撮合、信息发布等服务,设立供交易双方独立开展交易活动的信息网络系统。
《个保法》第五十八条增设了平台企业保护个人信息的“守门人义务”,要求提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:
2. 遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;
3. 对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;
4. 定期发布个人信息保护社会责任报告,接受社会监督。
我们建议跨境电商平台在提供系统服务时,应建立健全个人信息保护合规制度体系,将个人信息保护合规要求嵌入产品全生命周期管理,按《个保法》要求更新合规义务清单,排查合规风险盲点。同时内部应任命专门人员负责个人信息保护合规事宜,并下设数据合规部门,完善配套合规指引,依法守护企业数据合规红线。对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务。
四、跨境电商企业传输个人信息出境
1. 个人信息的境内储存原则
《个保法》明确了个人信息跨境提供的基本规则。在此之前,《网络安全法》[5]、《个人信息和重要数据出境安全评估办法(征求意见稿)》[6]等均规定了个人信息的境内储存原则。
《个保法》第四十条规定,关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。
《关键信息基础设施安全保护条例》中规定,重要行业、领域的主管部门和监督管理部门负责认定该行业、领域的关键信息基础设施。目前跨境电商行业中关键信息基础设施运营者的范围仍未落定,考虑到跨境电商企业在日常业务中涉及体量较大的个人(敏感)信息,仍然有可能被认定为关键信息基础设施运营者,相应地则可能需要履行个人数据本地化的义务。
《个人信息保护法》在《网络安全法》第三十七条规定的基础上,增加了“处理个人信息达到国家网信部门规定数量的个人信息处理者”这一主体,使得个人信息境内储存原则承担的主体范围扩大。即使不构成关键信息基础设施运营者,跨境电商若所处理的个人信息达到了国家网信部门所规定的数量,仍然需要履行个人数据本地化的义务。对于数量标准,可供参考的是《个人信息和重要数据出境安全评估办法(征求意见稿)》第九条的相关规定,其要求出境信息中含有或累计含有50万人以上的个人信息应报请行业主管或监管部门组织安全评估。但就《个人信息保护法》下的该等数量标准,尚有待网信部门后续出台进一步的细化规定。
因此,对于涉及密集个人数据的跨境电商企业而言,无论是否会被归类为关键信息基础设施运营者,都有可能履行个人信息跨境传输要求的义务。
2. 个人信息出境主要规制框架
《网络安全法》对个人信息出境的安全评估做出原则性规定,“因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”[7]。而2019年公布的《个人信息出境安全评估办法(征求意见稿)》对安全评估框架、评估流程、评估材料申报要求等做了较明确的规定[8]。本次《个人信息保护法》正式确立了个人信息出境的条件。
《个保法》第三十八条规定,个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:
(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
(四)法律、行政法规或者国家网信部门规定的其他条件。
个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。
同时,个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。
个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录
3. 个人信息违法出境的法律责任
《个保法》对违法行为加大惩处力度,设置了严格的法律责任。例如,违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、吊销相关业务许可或者营业执照(第六十六条)。《个保法》还增加了“记入信用档案”的处罚机制(第六十七条),相比于《网络安全法》等相关规定,《个保法》对个人信息相关的违法行为处罚力度更大。
(点击查看大图)
为了降低个人信息出境风险,我们建议跨境电商企业参照《信息安全技术—数据出境安全评估指南(征求意见稿)》的相关规定框架进行内部自查,并建立完善的用户信息保护制度。
五、境内服务商处理敏感个人信息
以支付企业为例,跨境电商的第三方支付业务开展流程中往往会涉及到敏感个人信息的处理,例如用户的金融产品使用习惯和消费习惯数据,并结合既有的平台数据对用户进行分析并形成用户画像,基于用户画像针对用户开展金融营销活动,为用户提供推荐其可能感兴趣的商品或者金融服务。对于该等金融数据的处理,可能对用户的个人信息权益产生一定的影响。
根据《个保法》,支付企业在处理敏感个人信息需要遵守的规则主要包括:
·需具有特定的目的和充分的必要性,并采取严格保护措施。
·需要取得个人的单独同意;法律、行政法规另有规定需取得书面同意的,或者规定处理敏感个人信息应取得相关行政许可或者作出其他限制的,从其规定。
·在告知内容方面,需特别向个人告知处理敏感个人信息的必要性以及对个人权益的影响。
在《个保法》颁布出台之前,《数据安全法》、《非银行支付机构条例(征求意见稿)》、《信息安全技术 个人信息安全规范》等法律法规也对支付企业的用户个人隐私数据保护提出要求,相关规定进行梳理如下。
(点击查看大图)
对于跨境电商零售进口而言,目前“以境内跨境电商平台为核心、以支付机构为辅助服务”的模式已将大量“金额小、频率高、反应快”跨境电商支付更多依托于第三方支付机构的“快捷通道方式”。支付企业在处理用户敏感信息时要具有特定的目的和充分的必要性,并采取严格保护措施,并通过签订个人信息及用户隐私协议等方式符合“取得个人单独同意”、“向个人告知处理敏感个人信息的必要性及影响”等的合规要求。
六、结语
可以期待,后续随着监管执法举措的不懈推进,个人信息合法权益受保护、个人信息处理活动受规范、个人信息合理利用受促进的数字治理新生态将愈发成熟。与此同时,《个人信息保护法》对海关等政府部门、跨境电商企业、平台企业、境内服务商等主体都提出了新的合规要求。对《个人信息保护法》及配套规范体系的深入认识,和一套成熟个人信息保护合规制度体系,对跨境电商全生态链的主体来说,将是重中之重。
脚注:
[1]https://mp.weixin.qq.com/s/q4DD4LaQ4LTQuuf3ZTIV3w,见《论网络安全审查及个人信息出境新规对跨境电商数据运营之影响》
[2]《民法典》第一千零三十五条 处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;(二)公开处理信息的规则;(三)明示处理信息的目的、方式和范围;(四)不违反法律、行政法规的规定和双方的约定。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。
[3]《个人信息保护法》第十七条 个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:(一)个人信息处理者的名称或者姓名和联系方式;(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(三)个人行使本法规定权利的方式和程序;(四)法律、行政法规规定应当告知的其他事项。
[4]https://mp.weixin.qq.com/s/WK1rh02e7Y2GoYfMPCEJKQ,见《民法典视野下海关处理 行政相对人个人信息的基本规则》
[5]《网络安全法》第三十七条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
[6]《个人信息和重要数据出境安全评估办法(征求意见稿)》第二条 网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据,应当在境内存储。因业务需要,确需向境外提供的,应当按照本办法进行安全评估。
[7]《网络安全法》第三十七条 因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
[8]《个人信息出境安全评估办法(征求意见稿)》 第六条 个人信息出境安全评估重点评估以下内容:(1)是否符合国家有关法律法规和政策规定;(2)信息出境合同条款能否充分保障个人信息主体合法权益;(3)合同能否得到有效执行;(4)网络运营者或接收者是否有损害个人信息主体合法权益的历史、是否发生过重大网络安全事件;(5)网络运营者获得个人信息是否合法、正当;(6)其他应当评估的内容。
来源:中国海关杂志
冯晓鹏
北京市金杜律师事务所合伙人,法学博士,兼任中国人民大学海关与外汇法律研究所研究员、华南理工大学知识产权硕士生导师、海关总署企管司网购保税跨境电商业务改革专家组成员、海南自由贸易港立法委员会智库成员、广州市律师协会电子商务专业委员会委员、上海市商务委员会和上海市法学会国际经贸人才实训导师等职务。
主要执业领域涉及跨境电子商务合规、海关审价、归类争议解决、电子商务类IPO、进出口关务、税务、外汇合规及筹划、知识产权边境保护等。拥有超过20年的海关实务工作经验。在海关系统工作期间,参与制订、修改了反走私综合治理条例、海关行政处罚实施条例、海关知识产权保护条例、海关邮递物品监管办法等立法工作;曾担任海关总署《电子商务法》跨境电子商务立法小组税收征管部分牵头人,参与起草电子商务法跨境电子商务部分第一稿;参与联邦快递(FedEx)亚太转运中心通关制度设计工作等。
2019年,冯晓鹏律师上榜钱伯斯《2020亚太法律指南》公司/商事:东部沿海(广东)领域。
2020年,冯晓鹏律师被钱伯斯《2021亚太法律指南》评为国际贸易:海关、出口管制领域“领先律师”;同年,冯晓鹏律师被《国际金融法律评论》(IFLR1000)评为“领先律师”。
2021年,冯晓鹏律师被《全球法律专家》(Global Law Experts)评为“年度最佳贸易与海关律师”;同年,被《Benchmark Litigation 中国》评为2021年国际仲裁、合规:政府与法规两大专业领域的“诉讼之星”,同时又被国际知名法律评级机构LEGALBAND评为区域明星风云榜15强。
跨境电商个人专著《跨境电商通关:运营与合规》(法律出版社2019年7月第1版),第二本跨境电商专著也即将在中国海关出版社出版。
数据合规管理 | 算法合规——解读《互联网信息服务算法推荐管理规定(征求意见稿)》
数据安全观察 | 哪些数据必须本地化存储?数据出境如何做好合规管理?
数据合规观察 | 面临新一轮数据监管浪潮,如何做好个保法、数安法与网安法三法合规联动
数据合规观察 | 腾讯研究院:29个维度对比中美欧个人信息保护法
跨境数据合规 | 合规创造价值:新经济领域(拟)上市企业的若干合规要点分析
《美国政策研判和风险预警》是走出去智库(CGGT)出品,跟踪分析美国最新对华政策动向,内容涵盖华府风向标、科技竞争、贸易战、金融市场、实体清单、焦点企业等。如您希望参阅,请给走出去智库公众号后台留言(姓名、单位、职务、电话、邮箱)。
合作、业务咨询:
servicecenter@cggthinktank.com
走出去智库(CGGT)
不谈大道理,只讲干货。国内外一流投行、法律、会计、风险管理、银行/保险、品牌、人力资源、估值、境外信息情报和数据管理9个领域的专业人士联袂。走出去一站式专业实务和数据信息平台,企业跨境投资并购智囊团。
更多信息请访问:www.cggthinktank.com
版权声明:走出去智库(CGGT)欢迎转载,请注明来源:走出去智库(CGGT)。如不署名来源,CGGT将追究其相关法律责任。