数据合规观察 |《个保法》实施,跨境电商如何做好数据合规管理?【走出去智库】
于11月1日开始施行的《中华人民共和国个人信息保护法》(简称《个保法》)规定,关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估。
走出去智库(CGGT)特约法律专家、金杜律师事务所合伙人冯晓鹏建议,跨境电商平台在提供系统服务时,应建立健全个人信息保护合规制度体系,将个人信息保护合规要求嵌入产品全生命周期管理,按《个保法》要求更新合规义务清单,排查合规风险盲点。同时内部应任命专门人员负责个人信息保护合规事宜,并下设数据合规部门,完善配套合规指引,依法守护企业数据合规红线。
跨境电商企业如何按照《个保法》做好跨境数据合规管理?今天,走出去智库(CGGT)刊发金杜律师事务所冯晓鹏和李思然的文章,供关注跨境数据合规的读者参考。
要 点
CGGT,CHINA GOING GLOBAL THINKTANK
1、为了降低个人信息出境风险,建议跨境电商企业参照《信息安全技术—数据出境安全评估指南(征求意见稿)》的相关规定框架进行内部自查,并建立完善的用户信息保护制度。
2、支付企业在处理用户敏感信息时要具有特定的目的和充分的必要性,并采取严格保护措施,并通过签订个人信息及用户隐私协议等方式符合“取得个人单独同意”、“向个人告知处理敏感个人信息的必要性及影响”等的合规要求。
3、海关在收集、使用个人信息时,不得超过业务范围开展信息收集活动,不应当超过海关工作的实际需求。在处理信息时,例如数据处理量、储存时限、加工程度、使用范围等,不得过度处理,必须与海关执法工作的基本目的相适应。
正 文
CGGT,CHINA GOING GLOBAL THINKTANK
文/冯晓鹏 李思然
金杜律师事务所
2021年11月1日,《中华人民共和国个人信息保护法》(以下简称“《个保法》”)生效实施。今后,《个保法》将从自然人个人信息的角度出发,给个人信息上一把“法律安全锁”,并与《网络安全法》、《数据安全法》一起,构建我国网络空间治理和数据保护的法律体系。
本文笔者将以互联网平台企业、跨境电商企业、境内服务商、海关等政府部门为对象,分析《个保法》中有关数据收集、使用、传输的规定会对上述跨境电商生态参与主体产生哪些影响,并提出合规建议。
一、 《个保法》重要定义
《个保法》提出,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。个人信息处理者是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。
另外,《个保法》对个人信息进行分类,并针对不同类型规定不同的处理规则,见下表。
二、 互联网平台企业保护个人信息
《个保法》第五十八条增设了平台企业保护个人信息的“守门人义务”,要求提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:
1. 按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;
2. 遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;
3. 对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;
4. 定期发布个人信息保护社会责任报告,接受社会监督。
我们建议跨境电商平台在提供系统服务时,应建立健全个人信息保护合规制度体系,将个人信息保护合规要求嵌入产品全生命周期管理,按《个保法》要求更新合规义务清单,排查合规风险盲点。同时内部应任命专门人员负责个人信息保护合规事宜,并下设数据合规部门,完善配套合规指引,依法守护企业数据合规红线。对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务。
三、 跨境电商企业传输个人信息出境
《个保法》明确了个人信息跨境提供的基本规则。第四十条规定,关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。对于数量标准,可供参考的是2021年10月29日公开的《数据出境安全评估办法(征求意见稿)》第四条的规定,其要求处理个人信息达到一百万人的个人信息处理者向境外提供个人信息,或者累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息的数据处理者,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
为了降低个人信息出境风险,我们建议跨境电商企业参照《信息安全技术—数据出境安全评估指南(征求意见稿)》的相关规定框架进行内部自查,并建立完善的用户信息保护制度。
四、 境内服务商处理敏感个人信息
以支付企业为例,跨境电商的第三方支付业务开展流程中往往会涉及到敏感个人信息的处理,例如用户的金融产品使用习惯和消费习惯数据,并结合既有的平台数据对用户进行分析并形成用户画像,基于用户画像针对用户开展金融营销活动,为用户提供推荐其可能感兴趣的商品或者金融服务。对于该等金融数据的处理,可能对用户的个人信息权益产生一定的影响。
根据《个保法》,支付企业在处理敏感个人信息需要遵守的规则主要包括:
● 需具有特定的目的和充分的必要性,并采取严格保护措施。
● 需要取得个人的单独同意;法律、行政法规另有规定需取得书面同意的,或者规定处理敏感个人信息应取得相关行政许可或者作出其他限制的,从其规定。
● 在告知内容方面,需特别向个人告知处理敏感个人信息的必要性以及对个人权益的影响。
对于跨境电商零售进口而言,目前“以境内跨境电商平台为核心、以支付机构为辅助服务”的模式已将大量“金额小、频率高、反应快”跨境电商支付更多依托于第三方支付机构的“快捷通道方式”。支付企业在处理用户敏感信息时要具有特定的目的和充分的必要性,并采取严格保护措施,并通过签订个人信息及用户隐私协议等方式符合“取得个人单独同意”、“向个人告知处理敏感个人信息的必要性及影响”等的合规要求。
五、 海关等政府主管部门处理个人信息
海关验核“三单数据”的过程,涉及到大量消费者个人用户的原始数据和交易生产数据(ERP数据),海关作为国家机关处理个人信息时,受到《个保法》的监管。
根据《个保法》,处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。这意味着,海关在收集、使用行政相对人个人信息时,应符合我国有关收集、使用个人信息的法律法规,不得以非法目的收集个人信息。这既包括了“目的合法”,也包括了“程序合法”,且还延伸到主体合法、依据合法、内容合法、形式合法、使用合法等从信息收集到信息利用的各个环节。
值得注意的是,根据民法典第一千零三十五条第四款[1],海关在收集个人信息时不违反法律、行政法规的规定和双方的约定。海关收集的行政相对人个人信息,如果是通过双方约定而获得的,信息主体在知情的情况下做出“同意”意思表示,就成为海关收集和使用其个人信息的正当性基础,海关的行为也应遵循双方的约定;另一方面,如果在收集和处理该个人信息时存在不需要用户授权同意的情形时,个人“让渡”部分个人信息给政府,使得个人信息具备了公共管理价值,海关应当依据法律法规,获得合法性基础。
除此以外,海关在收集、使用个人信息时,不得超过业务范围开展信息收集活动,不应当超过海关工作的实际需求。在处理信息时,例如数据处理量、储存时限、加工程度、使用范围等,不得过度处理,必须与海关执法工作的基本目的相适应。在达到执法目的之后,必须要立刻停止信息搜集工作和信息传输工作。
《个保法》规定个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。海关作为所采集个人信息的控制者,应采取充分且必要的技术措施和内部管理措施,确保个人信息收集、处理、流转、使用的质量及安全。海关应结合“金关”工程建设,根据“科技兴关”与“依法把关”的部署,建设更好更安全的信息储存系统,建立稳健、安全的个人信息存储系统,使其具有云服务器加密储存、信息匿名处理等技术。结合“从严治关”的理念,健全海关个人信息管理制度,需要明确具体的负责人和权限、调取使用数据的流程及范围等,并建立完备覆盖个人信息收集、储存、使用、泄露后救济的规章制度以应对个人信息事务的各项细节[2]。
六、结语
可以期待,后续随着监管执法举措的不懈推进,个人信息合法权益受保护、个人信息处理活动受规范、个人信息合理利用受促进的数字治理新生态将愈发成熟。与此同时,《个人信息保护法》对企业、政府部门等主体都提出了新的合规要求。对《个人信息保护法》及配套规范体系的深入认识,和一套成熟个人信息保护合规制度体系,对跨境电商全生态链的主体来说,将是重中之重。
脚注:
1.《民法典》第一千零三十五条 处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;(二)公开处理信息的规则;(三)明示处理信息的目的、方式和范围;(四)不违反法律、行政法规的规定和双方的约定。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。2.https://mp.weixin.qq.com/s/WK1rh02e7Y2GoYfMPCEJKQ,见《民法典视野下海关处理 行政相对人个人信息的基本规则》冯晓鹏
北京市金杜律师事务所合伙人,法学博士,兼任中国人民大学海关与外汇法律研究所研究员、华南理工大学知识产权硕士生导师、海关总署企管司网购保税跨境电商业务改革专家组成员、海南自由贸易港立法委员会智库成员、广州市律师协会电子商务专业委员会委员、上海市商务委员会和上海市法学会国际经贸人才实训导师等职务。
主要执业领域涉及跨境电子商务合规、海关审价、归类争议解决、电子商务类IPO、进出口关务、税务、外汇合规及筹划、知识产权边境保护等。拥有超过20年的海关实务工作经验。在海关系统工作期间,参与制订、修改了反走私综合治理条例、海关行政处罚实施条例、海关知识产权保护条例、海关邮递物品监管办法等立法工作;曾担任海关总署《电子商务法》跨境电子商务立法小组税收征管部分牵头人,参与起草电子商务法跨境电子商务部分第一稿;参与联邦快递(FedEx)亚太转运中心通关制度设计工作等。
2019年,冯晓鹏律师上榜钱伯斯《2020亚太法律指南》公司/商事:东部沿海(广东)领域。
2020年,冯晓鹏律师被钱伯斯《2021亚太法律指南》评为国际贸易:海关、出口管制领域“领先律师”;同年,冯晓鹏律师被《国际金融法律评论》(IFLR1000)评为“领先律师”。
2021年,冯晓鹏律师被《全球法律专家》(Global Law Experts)评为“年度最佳贸易与海关律师”;同年,被《Benchmark Litigation 中国》评为2021年国际仲裁、合规:政府与法规两大专业领域的“诉讼之星”,同时又被国际知名法律评级机构LEGALBAND评为区域明星风云榜15强。
跨境电商个人专著《跨境电商通关:运营与合规》(法律出版社2019年7月第1版),第二本跨境电商专著也即将在中国海关出版社出版。
跨境数据合规 |《个人信息保护法》视角下的跨境电商生态数据合规问题
数据合规观察 | 观千剑而后识器:中美欧个人信息保护制度比较
数据合规观察 | 面临新一轮数据监管浪潮,如何做好个保法、数安法与网安法三法合规联动
数据合规观察 | 腾讯研究院:29个维度对比中美欧个人信息保护法
《美国政策研判和风险预警》是走出去智库(CGGT)出品,跟踪分析美国最新对华政策动向,内容涵盖华府风向标、科技竞争、贸易战、金融市场、实体清单、焦点企业等。如您希望参阅,请给走出去智库公众号后台留言(姓名、单位、职务、电话、邮箱)。
合作、业务咨询:
servicecenter@cggthinktank.com
走出去智库(CGGT)
不谈大道理,只讲干货。国内外一流投行、法律、会计、风险管理、银行/保险、品牌、人力资源、估值、境外信息情报和数据管理9个领域的专业人士联袂。走出去一站式专业实务和数据信息平台,企业跨境投资并购智囊团。
更多信息请访问:www.cggthinktank.com