前沿观察,

《个人信息保护法》视角下的跨境电商生态数据合规问题

所在网站 :    中国   |   中文
澳大利亚
比利时
中国
中国香港特别行政区
德国
意大利
日本
新加坡
西班牙
阿联酋
英国
美国
全球
2021年8月20日,经第十三届全国人大常委会第三十次会议审议后,《中华人民共和国个人信息保护法》(以下简称"《个保法》")获得通过并公布。2021年11月1日起生效实施后,《个保法》将与《网络安全法》、《数据安全法》一起构建我国网络空间治理和数据保护的法律体系。不同于《网络安全法》侧重于网络空间综合治理、《数据安全法》作为数据领域的基础性法律主要围绕数据处理活动展开,《个保法》从自然人个人信息的角度出发,给个人信息上了一把"法律安全锁"。

在跨境电商活动全生命周期流程中,海关等政府部门、境内外消费者、跨境电商企业、平台企业、境内服务商等主体在线上及线下场景深度交织,形成诸多主体之间的数据交互关系。消费者每一笔交易衍生的交易电子数据、支付、物流信息等个人信息,是跨境电商交易闭环的重要组成部分。跨境电商生态中各主体对该个人信息的处理,离不开《个保法》的规制。

在《数据安全法》颁布通过后,笔者曾就网络安全审查制度,以及个人信息出境的法律规定对跨境电商数据运营的影响发表文章[1]。本文笔者将继续以跨境电商领域为着眼点,以上述跨境电商生态主体为对象,分析新颁布的《个保法》中有关数据收集、使用、传输的规定会对跨境电商生态参与主体产生哪些影响。

一、 适用范围与重要定义

《个保法》开篇明义,规定"在中华人民共和国境内处理自然人个人信息的活动,适用本法",也同时规定了一定的域外适用效力。该法第三条第二款规定,"以向境内自然人提供产品或者服务为目的"的在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,或者属于"分析、评估境内自然人的行为",也适用本法。对于该等境外的个人信息处理者,《个保法》第五十三条进一步要求应当在中国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构或者代表的信息报送履行个人信息保护职责的部门。

《个保法》提出,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。个人信息处理者是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。

另外,《个保法》对个人信息进行分类,并针对不同类型规定不同的处理规则,见下表。

个人信息

分类

处理规则

普通个人信息

以电子或者其他方式记录

与已识别或可识别的自然人有关

不包括匿名化处理后的信息

合法、正当、必要、诚信、公开、透明

明确告知、明示同意

最小范围收集

最短保存期限

敏感个人信息

包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息

上述处理规则以及

特定目的、充分必要、严格保护措施

取得个人的单独同意

明确告知必要性及对个人权益的影响

特殊敏感信息

不满十四周岁未成年人的个人信息

上述处理规则以及

 取得未成年人监护人的同意

 制定专门的个人信息处理规则

二、 海关等政府主管部门处理个人信息

海关总署发布的第2018年第165号公告(以下简称"第165号公告"),要求自2019年1月1日起,参与跨境电子商务零售进口业务的跨境电商平台企业应当向海关开放包括订单号、商品名称、交易金额、币制、收款人相关信息、商品展示链接地址、支付交易流水号、验核机构、交易成功时间等支付相关原始数据,供海关验核。与公告配套出台的还有《跨境电子商务零售进口统一版信息化系统原始数据实时获取方案》(以下简称"获取方案"),对网络通道、开放数据接口、原始数据的安全要求、接口内容等具体内容,做了详细的规定。

海关验核"三单数据"的过程,涉及到大量消费者个人用户的原始数据和交易生产数据(ERP数据),海关作为国家机关处理个人信息时,受到《个保法》的监管。
根据《个保法》,处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。这意味着,海关在收集、使用行政相对人个人信息时,应符合我国有关收集、使用个人信息的法律法规,不得以非法目的收集个人信息。这既包括了"目的合法",也包括了"程序合法",且还延伸到主体合法、依据合法、内容合法、形式合法、使用合法等从信息收集到信息利用的各个环节。

值得注意的是,根据《民法典》第一千零三十五条第四款[2],海关在收集个人信息时不违反法律、行政法规的规定和双方的约定。海关收集的行政相对人个人信息,如果是通过双方约定而获得的,信息主体在知情的情况下做出"同意"意思表示,就成为海关收集和使用其个人信息的正当性基础,海关的行为也应遵循双方的约定;另一方面,如果在收集和处理该个人信息时存在不需要用户授权同意的情形时,个人"让渡"部分个人信息给政府,使得个人信息具备了公共管理价值,海关应当依据法律法规,获得合法性基础。

除此以外,海关在收集、使用个人信息时,应当是海关开展行政执法所需要的,不得超过业务范围开展信息收集活动,不应当超过海关工作的实际需求。在处理信息时,例如数据处理量、储存时限、加工程度、使用范围等,不得过度处理,必须与海关执法工作的基本目的相适应。在达到执法目的之后,必须要立刻停止信息搜集工作和信息传输工作。

同时,海关处理个人信息时应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。作为国家机关,海关为履行法定职责处理个人信息时,应当依照《个保法》规定履行告知义务,告知将妨碍国家机关履行法定职责的除外;处理个人信息有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知《个保法》第十七条规定的事项。[3]告知包括海关作为个人信息处理者的联系方式,对个人信息加工处理的方式、信息使用范围、使用方式和使用期限、信息查询方式、信息知情范围和信息安全管理措施、个人信息转移和处置以及个人信息泄露的责任等规则。海关必须对个人信息的收集、保存和使用方式以明确、易懂、合理的方式公开,以"明示"的形式作出,而意思表示的口头形式、书面形式和特别形式等均可视为明示。

《个保法》规定个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。海关作为所采集个人信息的控制者,应采取充分且必要的技术措施和内部管理措施,确保个人信息收集、处理、流转、使用的质量及安全。海关应结合"金关"工程建设,根据"科技兴关"与"依法把关"的部署,建设更好更安全的信息储存系统,建立稳健、安全的个人信息存储系统,使其具有云服务器加密储存、信息匿名处理等技术。结合"从严治关"的理念,健全海关个人信息管理制度,需要明确具体的负责人和权限、调取使用数据的流程及范围等,并建立完备覆盖个人信息收集、储存、使用、泄露后救济的规章制度以应对个人信息事务的各项细节。[4]

最后,海关如发生个人信息泄露、被窃取、滥用、篡改等事件,海关需要对信息主体承担相应的赔偿并作出补救措施,涉及工作人员也应当承担法律责任。

三、 跨境电商平台企业保护个人信息

根据《商务部 发展改革委 财政部 海关总署 税务总局 市场监管总局关于完善跨境电子商务零售进口监管有关工作的通知》(商财发〔2018〕486号)(以下简称"486号文"),跨境电商平台为交易双方(消费者和跨境电商企业)提供网页空间、虚拟经营场所、交易规则、交易撮合、信息发布等服务,设立供交易双方独立开展交易活动的信息网络系统。

《个保法》第五十八条增设了平台企业保护个人信息的"守门人义务",要求提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:
1. 按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;
2. 遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;
3. 对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;
4. 定期发布个人信息保护社会责任报告,接受社会监督。

我们建议跨境电商平台在提供系统服务时,应建立健全个人信息保护合规制度体系,将个人信息保护合规要求嵌入产品全生命周期管理,按《个保法》要求更新合规义务清单,排查合规风险盲点。同时内部应任命专门人员负责个人信息保护合规事宜,并下设数据合规部门,完善配套合规指引,依法守护企业数据合规红线。对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务。

四、 跨境电商企业传输个人信息出境

1. 个人信息的境内储存原则

《个保法》明确了个人信息跨境提供的基本规则。在此之前,《网络安全法》[5]、《个人信息和重要数据出境安全评估办法(征求意见稿)》[]等均规定了个人信息的境内储存原则。

《个保法》第四十条规定,关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。

《关键信息基础设施安全保护条例》中规定,重要行业、领域的主管部门和监督管理部门负责认定该行业、领域的关键信息基础设施。目前跨境电商行业中关键信息基础设施运营者的范围仍未落定,考虑到跨境电商企业在日常业务中涉及体量较大的个人(敏感)信息,仍然有可能被认定为关键信息基础设施运营者,相应地则可能需要履行个人数据本地化的义务。

《个人信息保护法》在《网络安全法》第三十七条规定的基础上,增加了"处理个人信息达到国家网信部门规定数量的个人信息处理者"这一主体,使得个人信息境内储存原则承担的主体范围扩大。即使不构成关键信息基础设施运营者,跨境电商若所处理的个人信息达到了国家网信部门所规定的数量,仍然需要履行个人数据本地化的义务。对于数量标准,可供参考的是《个人信息和重要数据出境安全评估办法(征求意见稿)》第九条的相关规定,其要求出境信息中含有或累计含有50万人以上的个人信息应报请行业主管或监管部门组织安全评估。但就《个人信息保护法》下的该等数量标准,尚有待网信部门后续出台进一步的细化规定。

因此,对于涉及密集个人数据的跨境电商企业而言,无论是否会被归类为关键信息基础设施运营者,都有可能履行个人信息跨境传输要求的义务。

2. 个人信息出境主要规制框架
《网络安全法》对个人信息出境的安全评估做出原则性规定,"因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。" [7]。而2019年公布的《个人信息出境安全评估办法(征求意见稿)》对安全评估框架、评估流程、评估材料申报要求等做了较明确的规定[8]。本次《个人信息保护法》正式确立了个人信息出境的条件。

《个保法》第三十八条规定,个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:
(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
(四)法律、行政法规或者国家网信部门规定的其他条件。

个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。

同时,个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。

个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录

3. 个人信息违法出境的法律责任
《个保法》对违法行为加大惩处力度,设置了严格的法律责任。例如,违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、吊销相关业务许可或者营业执照(第六十六条)。《个保法》还增加了"记入信用档案"的处罚机制(第六十七条),相比于《网络安全法》等相关规定,《个保法》对个人信息相关的违法行为处罚力度更大。

法律法规

个人信息违法出境的法律责任

《个人信息保护法》

第六十六条 违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

第六十七条 有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。

《网络安全法》

第六十六条 关键信息基础设施的运营者违反本法第三十七条规定,在境外存储网络数据,或者向境外提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

为了降低个人信息出境风险,我们建议跨境电商企业参照《信息安全技术—数据出境安全评估指南(征求意见稿)》的相关规定框架进行内部自查,并建立完善的用户信息保护制度。

五、 境内服务商处理敏感个人信息

以支付企业为例,跨境电商的第三方支付业务开展流程中往往会涉及到敏感个人信息的处理,例如用户的金融产品使用习惯和消费习惯数据,并结合既有的平台数据对用户进行分析并形成用户画像,基于用户画像针对用户开展金融营销活动,为用户提供推荐其可能感兴趣的商品或者金融服务。对于该等金融数据的处理,可能对用户的个人信息权益产生一定的影响。

根据《个保法》,支付企业在处理敏感个人信息需要遵守的规则主要包括:
需具有特定的目的和充分的必要性,并采取严格保护措施。
需要取得个人的单独同意;法律、行政法规另有规定需取得书面同意的,或者规定处理敏感个人信息应取得相关行政许可或者作出其他限制的,从其规定。
在告知内容方面,需特别向个人告知处理敏感个人信息的必要性以及对个人权益的影响。
在《个保法》颁布出台之前,《数据安全法》、《非银行支付机构条例(征求意见稿)》、《信息安全技术 个人信息安全规范》等法律法规也对支付企业的用户个人隐私数据保护提出要求,相关规定进行梳理如下。

法律法规

相关规定

《数据安全法》

《数据安全法》明确了支付机构应当遵守数据安全法在数据分级分类保护、数据安全保护制度、数据交易、数据安全审查制度、数据跨境流动安全等方面的规定和要求。以个人用户密切关联的数据安全保护为例,《数据安全法》明确了企业开展数据处理活动的安全保护义务,具体包括建立健全全流程数据安全管理制度;采取保障数据安全的必要技术措施;进行数据安全风险监测及处置措施;定期开展风险评估;采取合法、正当方式收集数据,并在法律、行政法规规定的目的和范围内收集、使用数据,不得超过必要限度等。

《非银行支付机构条例(征求意见稿)》(《条例(征求意见稿)》)

《非银行支付机构条例(征求意见稿)》在支付交易处理业务、资料保存、信息收集、使用与处理、信息本地化方面,强化个人信息保护。第三十一条规定,在访问账户上,从事支付交易处理业务的非银行支付机构应以有关认可的安全认证方式访问,且不得留存账户敏感信息。第三十四条沿袭了《网络安全法》和《金融消费者权益保护实施办法》的框架,对支付机构收集、使用与处理用户信息的要求进行了规定。第三十四条第一款明确支付机构在收集、使用用户信息时,应当遵循合法、正当、必要的原则,并经用户明示同意。同时,第三十四条第三款充分保障和尊重了用户的自主决定权,明确要求支付机构不得将用户同意将其个人信息用于营销作为支付机构提供支付服务的前提。此外,第三十四条第四款也强调了支付机构与关联公司共享用户信息的合规要求,要求共享应当经用户明示同意。

《信息安全技术 个人信息安全规范》

新版标准GB/T 35273-2020《信息安全技术 个人信息安全规范》("新版《规范》")就明确提出了对基于不同业务目的所收集的个人信息的汇聚融合和合规监管要求。具体而言,企业在汇聚融合个人信息时,需要遵守个人信息使用目的的限制的相关要求,不能超范围使用个人信息;同时还需要根据汇聚融合后所用的目的,开展个人信息安全影响评估,采取有效的个人信息保护措施。

对于跨境电商零售进口而言,目前"以境内跨境电商平台为核心、以支付机构为辅助服务"的模式已将大量"金额小、频率高、反应快"跨境电商支付更多依托于第三方支付机构的"快捷通道方式"。支付企业在处理用户敏感信息时要具有特定的目的和充分的必要性,并采取严格保护措施,并通过签订个人信息及用户隐私协议等方式符合"取得个人单独同意"、"向个人告知处理敏感个人信息的必要性及影响"等的合规要求。

六、 结语

可以期待,后续随着监管执法举措的不懈推进,个人信息合法权益受保护、个人信息处理活动受规范、个人信息合理利用受促进的数字治理新生态将愈发成熟。与此同时,《个人信息保护法》对海关等政府部门、跨境电商企业、平台企业、境内服务商等主体都提出了新的合规要求。对《个人信息保护法》及配套规范体系的深入认识,和一套成熟个人信息保护合规制度体系,对跨境电商全生态链的主体来说,将是重中之重。


[1]https://mp.weixin.qq.com/s/q4DD4LaQ4LTQuuf3ZTIV3w,见《论网络安全审查及个人信息出境新规对跨境电商数据运营之影响》

[2]《民法典》第一千零三十五条 处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;(二)公开处理信息的规则;(三)明示处理信息的目的、方式和范围;(四)不违反法律、行政法规的规定和双方的约定。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。

[3]《个人信息保护法》第十七条 个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:(一)个人信息处理者的名称或者姓名和联系方式;(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(三)个人行使本法规定权利的方式和程序;(四)法律、行政法规规定应当告知的其他事项。

[4]https://mp.weixin.qq.com/s/WK1rh02e7Y2GoYfMPCEJKQ,见《民法典视野下海关处理 行政相对人个人信息的基本规则》

[5]《网络安全法》第三十七条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。

[6]《个人信息和重要数据出境安全评估办法(征求意见稿)》第二条 网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据,应当在境内存储。因业务需要,确需向境外提供的,应当按照本办法进行安全评估。

[7]《网络安全法》第三十七条 因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。

[8]《个人信息出境安全评估办法(征求意见稿)》    第六条 个人信息出境安全评估重点评估以下内容:(1)是否符合国家有关法律法规和政策规定;(2)信息出境合同条款能否充分保障个人信息主体合法权益;(3)合同能否得到有效执行;(4)网络运营者或接收者是否有损害个人信息主体合法权益的历史、是否发生过重大网络安全事件;(5)网络运营者获得个人信息是否合法、正当;(6)其他应当评估的内容。

最新文章
出版物
本手册是该系列的第五部,分为“综述篇”和“国别篇”两部分,作者汇集了金杜投资、融资、建设工程、并购、贸易、合规管理、争议解决等领域的专业律师,从不同视角侧重分享实务经验和专业见解,为中国企业“走出去”建言献策。

2022/05/14

前沿观察
近日,某外商投资企业前往市场监督管理局变更经营范围时,被告知原来的经营范围表述已不再适用,需要进行调整,且调整范围仅限于“经营范围规范表述查询系统”网站( https://www.jyfwyun.com/ ,以下简称“经营范围查询网站”)中的规范性表述。

2022/05/11

前沿观察
日前,在沪深交易所分别发行了两单单SPV结构的类REITs产品[ 2022年4月21日,一创天恒-国家新媒体产业园区世界集住房租赁资产支持专项计划在上海证券交易所成功发行,该产品为上海证券交易所首单单SPV结构的类REITs;2022年4月28日,渤海汇金-济南城投-泉城更新1期租赁住房资产支持专项计划在深圳证券交易所成功发行,该产品为深圳证券交易所首单租赁住房类资产的单SPV类REITs;但此前在深圳证券交易所发行的招商创融-天虹商场(一期)资产支持专项计划及续发的招商创融-天虹(二期)资产支持专项计划均采用了单SPV结构。],再一次引发了市场对于类REITs项目交易结构的讨论。藉此机会,本文对自2014年市场推出首单类REITs产品以来其交易结构的演变及背后原因进行了总结,并对类REITs项目采用单SPV结构后搭建股债结构可能面临的问题进行讨论。

2022/05/11