《个人信息保护法》视角下的跨境电商生态数据合规问题(下)

007pig

点击“蓝字”关注我们
7 J+ N4 L  v9 a$ o9 k$ ~, N
上期回顾

↓↓↓

; E+ S+ v! A+ O7 k9 e; A* `7 z《个人信息保护法》视角下的跨境电商生态数据合规问题（上）

↑↑↑

9 `" ], F" ^; |, T' {# [- G: u点击阅读

6 P8 o5 z" O. ^8 j% U3 C4 ~1 |/ T4

跨境电商企业传输个人信息出境

% V# ^! p$ L0 _. k0 n01

个人信息的境内储存原则
# k& t6 s+ ]% p
《个保法》明确了个人信息跨境提供的基本规则。在此之前，《网络安全法》、《个人信息和重要数据出境安全评估办法（征求意见稿）》等均规定了个人信息的境内储存原则。
, r' W0 F  s2 p( D0 k+ b
" A8 d+ ]" G; G; Z3 {! U: U+ B《个保法》第四十条规定，关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估；法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。

《关键信息基础设施安全保护条例》中规定，重要行业、领域的主管部门和监督管理部门负责认定该行业、领域的关键信息基础设施。目前跨境电商行业中关键信息基础设施运营者的范围仍未落定，考虑到跨境电商企业在日常业务中涉及体量较大的个人（敏感）信息，依旧有可能被认定为关键信息基础设施运营者，相应地则可能需要履行个人数据本地化的义务。
9 l% p7 d8 U& G. ~) g
《个人信息保护法》在《网络安全法》第三十七条规定的基础上，增加了“处理个人信息达到国家网信部门规定数量的个人信息处理者”这一主体，使得个人信息境内储存原则承担的主体范围扩大。即使不构成关键信息基础设施运营者，跨境电商若所处理的个人信息达到了国家网信部门所规定的数量，依旧需要履行个人数据本地化的义务。对于数量标准，可供参考的是《个人信息和重要数据出境安全评估办法（征求意见稿）》第九条的相关规定，其要求出境信息中含有或累计含有50万人以上的个人信息应报请行业主管或监管部门组织安全评估。但就《个人信息保护法》下的该等数量标准，尚有待网信部门后续出台进一步的细化规定。

因此，对于涉及密集个人数据的跨境电商企业而言，无论是否会被归类为关键信息基础设施运营者，都有可能履行个人信息跨境传输要求的义务。
, `) o" O& A- S" J# {% V8 h
02
4 p/ y; c& R0 Y- K1 A6 Y
个人信息出境主要规制框架
5 K1 I  W! a8 [; _/ }/ R0 [0 d/ M
$ M, ^# E( }, l《网络安全法》对个人信息出境的安全评估做出原则性规定，“因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。”。而2019年公布的《个人信息出境安全评估办法（征求意见稿）》对安全评估框架、评估流程、评估材料申报要求等做了较明确的规定。本次《个人信息保护法》正式确立了个人信息出境的条件。

2 X* X0 I, C. K《个保法》第三十八条规定，个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：
7 ?1 b# F' H4 |! I7 X" b
● 依照本法第四十条的规定通过国家网信部门组织的安全评估；
4 M  ]; a' v( j4 Y
● 按照国家网信部门的规定经专业机构进行个人信息保护认证；

0 a3 ?; y6 H( L6 m' s● 按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；

● 法律、行政法规或者国家网信部门规定的其他条件。
0 d& G5 ?6 k$ u: P, T
5 r2 J0 y; \+ L$ j% P, A4 a' v个人信息处理者应当采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。
: k3 |; k- O# n" I  c$ j
同时，个人信息处理者向中华人民共和国境外提供个人信息的，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。

个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录。

+ E  s0 m) j- ^03
8 F: J9 v/ L0 A6 [, C/ D
个人信息违法出境的法律责任

《个保法》对违法行为加大惩处力度，设置了严格的法律责任。例如，违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、吊销相关业务许可或者营业执照（第六十六条）。《个保法》还增加了“记入信用档案”的处罚机制（第六十七条），相比于《网络安全法》等相关规定，《个保法》对个人信息相关的违法行为处罚力度更大。

# y* d) Q, j8 A" h0 e7 Q6 Y+ x  |8 r3 r
9 p8 B1 l7 J& d& C, Z+ ^
为了降低个人信息出境风险，我们建议跨境电商企业参照《信息安全技术—数据出境安全评估指南（征求意见稿）》的相关规定框架进行内部自查，并建立完善的用户信息保护制度。
! ?% q, Z$ F. D8 b0 d7 W
; v% U' K& U5 S2 k5
& h) o3 D8 N6 f$ E
( F9 J7 |$ t+ B4 a0 t' a) s. D) l6 Z 境内服务商处理敏感个人信息
  l, u1 P2 H9 R/ V0 {
以支付企业为例，跨境电商的第三方支付业务开展流程中往往会涉及到敏感个人信息的处理，例如用户的金融产品使用习惯和消费习惯数据，并结合既有的平台数据对用户进行分析并形成用户画像，基于用户画像针对用户开展金融营销活动，为用户提供推荐其可能感兴趣的商品或者金融服务。对于该等金融数据的处理，可能对用户的个人信息权益产生一定的影响。
1 E! w7 Y, Q7 y3 S
根据《个保法》，支付企业在处理敏感个人信息需要遵守的规则主要包括：
" u$ ^$ O- w! d8 K2 u$ D/ ]% H
$ \/ x& U2 l. x01
& o6 F$ }  _+ x' A
需具有特定的目的和充分的必要性，并采取严格保护措施。
8 _, {3 n; j9 r
02
$ r. `& a& H* z# Y
5 ~( l. |& t3 v" l( g  p$ ~需要取得个人的单独同意；法律、行政法规另有规定需取得书面同意的，或者规定处理敏感个人信息应取得相关行政许可或者作出其他限制的，从其规定。

03
8 t% ]. T$ E, p. v3 g5 V: ^" B
在告知内容方面，需特别向个人告知处理敏感个人信息的必要性以及对个人权益的影响。

在《个保法》颁布出台之前，《数据安全法》、《非银行支付机构条例（征求意见稿）》、《信息安全技术 个人信息安全规范》等法律法规也对支付企业的用户个人隐私数据保护提出要求，相关规定进行梳理如下：


7 e, M% x& [5 d) s9 e, d
对于跨境电商零售进口而言，目前“以境内跨境电商平台为核心、以支付机构为辅助服务”的模式已将大量“金额小、频率高、反应快”跨境电商支付更多依托于第三方支付机构的“快捷通道方式”。支付企业在处理用户敏感信息时要具有特定的目的和充分的必要性，并采取严格保护措施，并通过签订个人信息及用户隐私协议等方式符合“取得个人单独同意”、“向个人告知处理敏感个人信息的必要性及影响”等的合规要求。

结语

可以期待，后续随着监管执法举措的不懈推进，个人信息合法权益受保护、个人信息处理活动受规范、个人信息合理利用受促进的数字治理新生态将愈发成熟。与此同时，《个人信息保护法》对海关等政府部门、跨境电商企业、平台企业、境内服务商等主体都提出了新的合规要求。对《个人信息保护法》及配套规范体系的深入认识，和一套成熟个人信息保护合规制度体系，对跨境电商全生态链的主体来说，将是重中之重。

（作者单位：金杜律师事务所）



编辑：常相婧
审校：王国秀出品：中国海关传媒中心投稿邮箱：569613217@qq.com（秀米投稿账号同邮箱）
4 l, v7 f) V6 K7 u如需转载请注明来源“中国海关杂志”

" ^% {/ Q9 s* _, c3 q               
原文作者：中国海关杂志