《個人信息保護法》視角下的跨境電商生態數據合規問題_風聞

走出去智库-走出去智库官方账号-2021-09-15 19:29

2021-09-15

走出去智庫觀察

****近來，跨境電商忽視數據安全和數據合規的風險逐漸顯露。2021年5月，網絡安全專家SafetyDetectives發現了一個位於中國的AWS ElasticSearch數據庫，其中涉及大量虛假評論的店鋪和買家賬號，約20萬至25萬人的私密信息泄露。這一數據庫也被視為今年亞馬遜封店潮的開端。

走出去智庫（CGGT）特約法律專家、金杜律師事務所合夥人馮曉鵬認為，目前跨境電商行業中關鍵信息基礎設施運營者的範圍仍未落定，考慮到跨境電商企業在日常業務中涉及體量較大的個人（敏感）信息，仍然有可能被認定為關鍵信息基礎設施運營者，相應地則可能需要履行個人數據本地化的義務。為了降低個人信息出境風險，建議跨境電商企業參照《信息安全技術—數據出境安全評估指南（徵求意見稿）》的相關規定框架進行內部自查，並建立完善的用户信息保護制度。

跨境電商企業如何做好跨境數據合規管理？今天，走出去智庫（CGGT）刊發金杜律師事務所馮曉鵬和李思然的文章，供關注跨境數據合規的讀者參考。

要點

CGGT，CHINA GOING GLOBAL THINKTANK

****1、海關驗核“三單數據”的過程，涉及到大量消費者個人用户的原始數據和交易生產數據（ERP數據），海關作為國家機關處理個人信息時，受到《個保法》的監管。

2、個人信息處理者向中華人民共和國境外提供個人信息的，應當向個人告知境外接收方的名稱或者姓名、聯繫方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規定權利的方式和程序等事項，並取得個人的單獨同意。

3、支付企業在處理用户敏感信息時要具有特定的目的和充分的必要性，並採取嚴格保護措施，並通過簽訂個人信息及用户隱私協議等方式符合“取得個人單獨同意”、“向個人告知處理敏感個人信息的必要性及影響”等的合規要求。

正文

CGGT，CHINA GOING GLOBAL THINKTANK

文/馮曉鵬李思然

金杜律師事務所

2021年8月20日，經第十三屆全國人大常委會第三十次會議審議後，《中華人民共和國個人信息保護法》（以下簡稱“《個保法》”）獲得通過並公佈。2021年11月1日起生效實施後，《個保法》將與《網絡安全法》、《數據安全法》一起構建我國網絡空間治理和數據保護的法律體系。不同於《網絡安全法》側重於網絡空間綜合治理、《數據安全法》作為數據領域的基礎性法律主要圍繞數據處理活動展開，《個保法》從自然人個人信息的角度出發，給個人信息上了一把“法律安全鎖”。

在跨境電商活動全生命週期流程中，海關等政府部門、境內外消費者、跨境電商企業、平台企業、境內服務商等主體在線上及線下場景深度交織，形成諸多主體之間的數據交互關係。消費者每一筆交易衍生的交易電子數據、支付、物流信息等個人信息，是跨境電商交易閉環的重要組成部分。跨境電商生態中各主體對該個人信息的處理，離不開《個保法》的規制。

在《數據安全法》頒佈通過後，筆者曾就網絡安全審查制度，以及個人信息出境的法律規定對跨境電商數據運營的影響發表文章[1]。本文筆者將繼續以跨境電商領域為着眼點，以上述跨境電商生態主體為對象，分析新頒佈的《個保法》中有關數據收集、使用、傳輸的規定會對跨境電商生態參與主體產生哪些影響。

一、適用範圍與重要定義

《個保法》開篇明義，規定“在中華人民共和國境內處理自然人個人信息的活動，適用本法”，也同時規定了一定的域外適用效力。該法第三條第二款規定，“以向境內自然人提供產品或者服務為目的”的在中華人民共和國境外處理中華人民共和國境內自然人個人信息的活動，或者屬於“分析、評估境內自然人的行為”，也適用本法。對於該等境外的個人信息處理者，《個保法》第五十三條進一步要求應當在中國境內設立專門機構或者指定代表，負責處理個人信息保護相關事務，並將有關機構或者代表的信息報送履行個人信息保護職責的部門。

《個保法》提出，個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。個人信息處理者是指在個人信息處理活動中自主決定處理目的、處理方式的組織、個人。

另外，《個保法》對個人信息進行分類，並針對不同類型規定不同的處理規則，見下表。

（點擊查看大圖）

二、海關等政府主管部門處理個人信息

海關總署發佈的第2018年第165號公告（以下簡稱“第165號公告”），要求自2019年1月1日起，參與跨境電子商務零售進口業務的跨境電商平台企業應當向海關開放包括訂單號、商品名稱、交易金額、幣制、收款人相關信息、商品展示鏈接地址、支付交易流水號、驗核機構、交易成功時間等支付相關原始數據，供海關驗核。與公告配套出台的還有《跨境電子商務零售進口統一版信息化系統原始數據實時獲取方案》（以下簡稱“獲取方案”），對網絡通道、開放數據接口、原始數據的安全要求、接口內容等具體內容，做了詳細的規定。

海關驗核“三單數據”的過程，涉及到大量消費者個人用户的原始數據和交易生產數據（ERP數據），海關作為國家機關處理個人信息時，受到《個保法》的監管。****

根據《個保法》，處理個人信息應當遵循合法、正當、必要和誠信原則，不得通過誤導、欺詐、脅迫等方式處理個人信息。這意味着，海關在收集、使用行政相對人個人信息時，應符合我國有關收集、使用個人信息的法律法規，不得以非法目的收集個人信息。這既包括了“目的合法”，也包括了“程序合法”，且還延伸到主體合法、依據合法、內容合法、形式合法、使用合法等從信息收集到信息利用的各個環節。

值得注意的是，根據《民法典》第一千零三十五條第四款[2]，海關在收集個人信息時不違反法律、行政法規的規定和雙方的約定。海關收集的行政相對人個人信息，如果是通過雙方約定而獲得的，信息主體在知情的情況下做出“同意”意思表示，就成為海關收集和使用其個人信息的正當性基礎，海關的行為也應遵循雙方的約定；另一方面，如果在收集和處理該個人信息時存在不需要用户授權同意的情形時，個人“讓渡”部分個人信息給政府，使得個人信息具備了公共管理價值，海關應當依據法律法規，獲得合法性基礎。

除此以外，海關在收集、使用個人信息時，應當是海關開展行政執法所需要的，不得超過業務範圍開展信息收集活動，不應當超過海關工作的實際需求。在處理信息時，例如數據處理量、儲存時限、加工程度、使用範圍等，不得過度處理，必須與海關執法工作的基本目的相適應。在達到執法目的之後，必須要立刻停止信息蒐集工作和信息傳輸工作。

同時，海關處理個人信息時應當遵循公開、透明原則，公開個人信息處理規則，明示處理的目的、方式和範圍。作為國家機關，海關為履行法定職責處理個人信息時，應當依照《個保法》規定履行告知義務，告知將妨礙國家機關履行法定職責的除外；處理個人信息有法律、行政法規規定應當保密或者不需要告知的情形的，可以不向個人告知《個保法》第十七條規定的事項。[3]告知包括海關作為個人信息處理者的聯繫方式，對個人信息加工處理的方式、信息使用範圍、使用方式和使用期限、信息查詢方式、信息知情範圍和信息安全管理措施、個人信息轉移和處置以及個人信息泄露的責任等規則。海關必須對個人信息的收集、保存和使用方式以明確、易懂、合理的方式公開，以“明示”的形式作出，而意思表示的口頭形式、書面形式和特別形式等均可視為明示。

《個保法》規定個人信息處理者應當對其個人信息處理活動負責，並採取必要措施保障所處理的個人信息的安全。****海關作為所採集個人信息的控制者，應採取充分且必要的技術措施和內部管理措施，確保個人信息收集、處理、流轉、使用的質量及安全。****海關應結合“金關”工程建設，根據“科技興關”與“依法把關”的部署，建設更好更安全的信息儲存系統，建立穩健、安全的個人信息存儲系統，使其具有云服務器加密儲存、信息匿名處理等技術。結合“從嚴治關”的理念，健全海關個人信息管理制度，需要明確具體的負責人和權限、調取使用數據的流程及範圍等，並建立完備覆蓋個人信息收集、儲存、使用、泄露後救濟的規章制度以應對個人信息事務的各項細節。[4]

最後，海關如發生個人信息泄露、被竊取、濫用、篡改等事件，海關需要對信息主體承擔相應的賠償並作出補救措施，涉及工作人員也應當承擔法律責任。

三、跨境電商平台企業保護個人信息

根據《商務部發展改革委財政部海關總署税務總局市場監管總局關於完善跨境電子商務零售進口監管有關工作的通知》（商財發〔2018〕486號）（以下簡稱“486號文”），跨境電商平台為交易雙方（消費者和跨境電商企業）提供網頁空間、虛擬經營場所、交易規則、交易撮合、信息發佈等服務，設立供交易雙方獨立開展交易活動的信息網絡系統。

《個保法》第五十八條增設了平台企業保護個人信息的“守門人義務”，要求提供重要互聯網平台服務、用户數量巨大、業務類型複雜的個人信息處理者，應當履行下列義務：

1. 按照國家規定建立健全個人信息保護合規制度體系，成立主要由外部成員組成的獨立機構對個人信息保護情況進行監督；

2. 遵循公開、公平、公正的原則，制定平台規則，明確平台內產品或者服務提供者處理個人信息的規範和保護個人信息的義務；

3. 對嚴重違反法律、行政法規處理個人信息的平台內的產品或者服務提供者，停止提供服務；

4. 定期發佈個人信息保護社會責任報告，接受社會監督。

我們建議跨境電商平台在提供系統服務時，應建立健全個人信息保護合規制度體系，將個人信息保護合規要求嵌入產品全生命週期管理，按《個保法》要求更新合規義務清單，排查合規風險盲點。同時內部應任命專門人員負責個人信息保護合規事宜，並下設數據合規部門，完善配套合規指引，依法守護企業數據合規紅線。對嚴重違反法律、行政法規處理個人信息的平台內的產品或者服務提供者，停止提供服務。

四、跨境電商企業傳輸個人信息出境

****1.個人信息的境內儲存原則

《個保法》明確了個人信息跨境提供的基本規則。在此之前，《網絡安全法》[5]、《個人信息和重要數據出境安全評估辦法（徵求意見稿）》[6]等均規定了個人信息的境內儲存原則。

《個保法》第四十條規定，關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者，應當將在中華人民共和國境內收集和產生的個人信息存儲在境內。確需向境外提供的，應當通過國家網信部門組織的安全評估；法律、行政法規和國家網信部門規定可以不進行安全評估的，從其規定。

《關鍵信息基礎設施安全保護條例》中規定，重要行業、領域的主管部門和監督管理部門負責認定該行業、領域的關鍵信息基礎設施。目前跨境電商行業中關鍵信息基礎設施運營者的範圍仍未落定，考慮到跨境電商企業在日常業務中涉及體量較大的個人（敏感）信息，仍然有可能被認定為關鍵信息基礎設施運營者，相應地則可能需要履行個人數據本地化的義務。

《個人信息保護法》在《網絡安全法》第三十七條規定的基礎上，增加了“處理個人信息達到國家網信部門規定數量的個人信息處理者”這一主體，使得個人信息境內儲存原則承擔的主體範圍擴大。即使不構成關鍵信息基礎設施運營者，跨境電商若所處理的個人信息達到了國家網信部門所規定的數量，仍然需要履行個人數據本地化的義務。對於數量標準，可供參考的是《個人信息和重要數據出境安全評估辦法（徵求意見稿）》第九條的相關規定，其要求出境信息中含有或累計含有50萬人以上的個人信息應報請行業主管或監管部門組織安全評估。但就《個人信息保護法》下的該等數量標準，尚有待網信部門後續出台進一步的細化規定。

因此，對於涉及密集個人數據的跨境電商企業而言，無論是否會被歸類為關鍵信息基礎設施運營者，都有可能履行個人信息跨境傳輸要求的義務。

****2.個人信息出境主要規制框架

《網絡安全法》對個人信息出境的安全評估做出原則性規定，“因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規另有規定的，依照其規定。”[7]。而2019年公佈的《個人信息出境安全評估辦法（徵求意見稿）》對安全評估框架、評估流程、評估材料申報要求等做了較明確的規定[8]。本次《個人信息保護法》正式確立了個人信息出境的條件。

《個保法》第三十八條規定，個人信息處理者因業務等需要，確需向中華人民共和國境外提供個人信息的，應當具備下列條件之一：

（一）依照本法第四十條的規定通過國家網信部門組織的安全評估；

（二）按照國家網信部門的規定經專業機構進行個人信息保護認證；

（三）按照國家網信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務；

（四）法律、行政法規或者國家網信部門規定的其他條件。

個人信息處理者應當採取必要措施，保障境外接收方處理個人信息的活動達到本法規定的個人信息保護標準。

同時，個人信息處理者向中華人民共和國境外提供個人信息的，應當向個人告知境外接收方的名稱或者姓名、聯繫方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規定權利的方式和程序等事項，並取得個人的單獨同意。

個人信息處理者應當事前進行個人信息保護影響評估，並對處理情況進行記錄

****3.個人信息違法出境的法律責任

《個保法》對違法行為加大懲處力度，設置了嚴格的法律責任。例如，違反本法規定處理個人信息，或者處理個人信息未履行本法規定的個人信息保護義務的，情節嚴重的，由省級以上履行個人信息保護職責的部門責令改正，沒收違法所得，並處五千萬元以下或者上一年度營業額百分之五以下罰款，並可以責令暫停相關業務或者停業整頓、吊銷相關業務許可或者營業執照（第六十六條）。《個保法》還增加了“記入信用檔案”的處罰機制（第六十七條），相比於《網絡安全法》等相關規定，《個保法》對個人信息相關的違法行為處罰力度更大。

（點擊查看大圖）

為了降低個人信息出境風險，我們建議跨境電商企業參照《信息安全技術—數據出境安全評估指南（徵求意見稿）》的相關規定框架進行內部自查，並建立完善的用户信息保護制度。****

五、境內服務商處理敏感個人信息

以支付企業為例，跨境電商的第三方支付業務開展流程中往往會涉及到敏感個人信息的處理，例如用户的金融產品使用習慣和消費習慣數據，並結合既有的平台數據對用户進行分析並形成用户畫像，基於用户畫像針對用户開展金融營銷活動，為用户提供推薦其可能感興趣的商品或者金融服務。對於該等金融數據的處理，可能對用户的個人信息權益產生一定的影響。

根據《個保法》，支付企業在處理敏感個人信息需要遵守的規則主要包括：

****·****需具有特定的目的和充分的必要性，並採取嚴格保護措施。

****·****需要取得個人的單獨同意；法律、行政法規另有規定需取得書面同意的，或者規定處理敏感個人信息應取得相關行政許可或者作出其他限制的，從其規定。

****·****在告知內容方面，需特別向個人告知處理敏感個人信息的必要性以及對個人權益的影響。

在《個保法》頒佈出台之前，《數據安全法》、《非銀行支付機構條例（徵求意見稿）》、《信息安全技術個人信息安全規範》等法律法規也對支付企業的用户個人隱私數據保護提出要求，相關規定進行梳理如下。

（點擊查看大圖）

對於跨境電商零售進口而言，目前“以境內跨境電商平台為核心、以支付機構為輔助服務”的模式已將大量“金額小、頻率高、反應快”跨境電商支付更多依託於第三方支付機構的“快捷通道方式”。支付企業在處理用户敏感信息時要具有特定的目的和充分的必要性，並採取嚴格保護措施，並通過簽訂個人信息及用户隱私協議等方式符合“取得個人單獨同意”、“向個人告知處理敏感個人信息的必要性及影響”等的合規要求。

六、結語

可以期待，後續隨着監管執法舉措的不懈推進，個人信息合法權益受保護、個人信息處理活動受規範、個人信息合理利用受促進的數字治理新生態將愈發成熟。與此同時，《個人信息保護法》對海關等政府部門、跨境電商企業、平台企業、境內服務商等主體都提出了新的合規要求。對《個人信息保護法》及配套規範體系的深入認識，和一套成熟個人信息保護合規制度體系，對跨境電商全生態鏈的主體來説，將是重中之重。

腳註：

[1]https://mp.weixin.qq.com/s/q4DD4LaQ4LTQuuf3ZTIV3w，見《論網絡安全審查及個人信息出境新規對跨境電商數據運營之影響》

[2]《民法典》第一千零三十五條處理個人信息的，應當遵循合法、正當、必要原則，不得過度處理，並符合下列條件：（一）徵得該自然人或者其監護人同意，但是法律、行政法規另有規定的除外；（二）公開處理信息的規則；（三）明示處理信息的目的、方式和範圍；（四）不違反法律、行政法規的規定和雙方的約定。

個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等。

[3]《個人信息保護法》第十七條個人信息處理者在處理個人信息前，應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知下列事項：（一）個人信息處理者的名稱或者姓名和聯繫方式；（二）個人信息的處理目的、處理方式，處理的個人信息種類、保存期限；（三）個人行使本法規定權利的方式和程序；（四）法律、行政法規規定應當告知的其他事項。

[4]https://mp.weixin.qq.com/s/WK1rh02e7Y2GoYfMPCEJKQ，見《民法典視野下海關處理行政相對人個人信息的基本規則》

[5]《網絡安全法》第三十七條關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規另有規定的，依照其規定。

[6]《個人信息和重要數據出境安全評估辦法（徵求意見稿）》第二條網絡運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據，應當在境內存儲。因業務需要，確需向境外提供的，應當按照本辦法進行安全評估。

[7]《網絡安全法》第三十七條因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規另有規定的，依照其規定。

[8]《個人信息出境安全評估辦法（徵求意見稿）》第六條個人信息出境安全評估重點評估以下內容：（1）是否符合國家有關法律法規和政策規定；（2）信息出境合同條款能否充分保障個人信息主體合法權益；（3）合同能否得到有效執行；（4）網絡運營者或接收者是否有損害個人信息主體合法權益的歷史、是否發生過重大網絡安全事件；（5）網絡運營者獲得個人信息是否合法、正當；（6）其他應當評估的內容。

來源：中國海關雜誌