热点解读 | 《个人信息保护法》视角下的跨境电商生态数据合规问题(上)
2021年8月20日,经第十三届全国人大常委会第三十次会议审议后,《中华人民共和国个人信息保护法》(以下简称“《个保法》”)获得通过并公布。2021年11月1日起生效实施后,《个保法》将与《网络安全法》、《数据安全法》一起构建我国网络空间治理和数据保护的法律体系。不同于《网络安全法》侧重于网络空间综合治理、《数据安全法》作为数据领域的基础性法律主要围绕数据处理活动展开,《个保法》从自然人个人信息的角度出发,给个人信息上了一把“法律安全锁”。
在跨境电商活动全生命周期流程中,海关等政府部门、境内外消费者、跨境电商企业、平台企业、境内服务商等主体在线上及线下场景深度交织,形成诸多主体之间的数据交互关系。消费者每一笔交易衍生的交易电子数据、支付、物流信息等个人信息,是跨境电商交易闭环的重要组成部分。跨境电商生态中各主体对该个人信息的处理,离不开《个保法》的规制。
本文将以跨境电商领域为着眼点,以上述跨境电商生态主体为对象,分析新颁布的《个保法》中有关数据收集、使用、传输的规定会对跨境电商生态参与主体产生哪些影响。
适用范围与重要定义
《个保法》开篇明义,规定“在中华人民共和国境内处理自然人个人信息的活动,适用本法”,也同时规定了一定的域外适用效力。该法第三条第二款规定,“以向境内自然人提供产品或者服务为目的”的在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,或者属于“分析、评估境内自然人的行为”,也适用本法。对于该等境外的个人信息处理者,《个保法》第五十三条进一步要求应当在中国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构或者代表的信息报送履行个人信息保护职责的部门。
《个保法》提出,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。个人信息处理者是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。
另外,《个保法》对个人信息进行分类,并针对不同类型规定不同的处理规则,见下表:
海关等政府主管部门处理个人信息
海关总署发布的第2018年第165号公告(下称“第165号公告”),要求自2019年1月1日起,参与跨境电子商务零售进口业务的跨境电商平台企业应当向海关开放包括订单号、商品名称、交易金额、币制、收款人相关信息、商品展示链接地址、支付交易流水号、验核机构、交易成功时间等支付相关原始数据,供海关验核。与公告配套出台的还有《跨境电子商务零售进口统一版信息化系统原始数据实时获取方案》(下称“获取方案”),对网络通道、开放数据接口、原始数据的安全要求、接口内容等具体内容,做了详细的规定。
海关验核“三单数据”的过程,涉及到大量消费者个人用户的原始数据和交易生产数据(ERP数据),海关作为国家机关处理个人信息时,受到《个保法》的监管。
根据《个保法》,处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。这意味着,海关在收集、使用行政相对人个人信息时,应符合我国有关收集、使用个人信息的法律法规,不得以非法目的收集个人信息。这既包括了“目的合法”,也包括了“程序合法”,且还延伸到主体合法、依据合法、内容合法、形式合法、使用合法等从信息收集到信息利用的各个环节。
值得注意的是,根据民法典第一千零三十五条第四款,海关在收集个人信息时不违反法律、行政法规的规定和双方的约定。海关收集的行政相对人个人信息,如果是通过双方约定而获得的,信息主体在知情的情况下做出“同意”意思表示,就成为海关收集和使用其个人信息的正当性基础,海关的行为也应遵循双方的约定;另一方面,如果在收集和处理该个人信息时存在不需要用户授权同意的情形时,个人“让渡”部分个人信息给政府,使得个人信息具备了公共管理价值,海关应当依据法律法规,获得合法性基础。
除此以外,海关在收集、使用个人信息时,应当是海关开展行政执法所需要的,不得超过业务范围开展信息收集活动,不应当超过海关工作的实际需求。在处理信息时,例如数据处理量、储存时限、加工程度、使用范围等,不得过度处理,必须与海关执法工作的基本目的相适应。在达到执法目的之后,必须要立刻停止信息搜集工作和信息传输工作。
同时,海关处理个人信息时应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。作为国家机关,海关为履行法定职责处理个人信息时,应当依照《个保法》规定履行告知义务,告知将妨碍国家机关履行法定职责的除外;处理个人信息有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知《个保法》第十七条规定的事项。告知包括海关作为个人信息处理者的联系方式,对个人信息加工处理的方式、信息使用范围、使用方式和使用期限、信息查询方式、信息知情范围和信息安全管理措施、个人信息转移和处置以及个人信息泄露的责任等规则。海关必须对个人信息的收集、保存和使用方式以明确、易懂、合理的方式公开,以“明示”的形式作出,而意思表示的口头形式、书面形式和特别形式等均可视为明示。
《个保法》规定个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。海关作为所采集个人信息的控制者,应采取充分且必要的技术措施和内部管理措施,确保个人信息收集、处理、流转、使用的质量及安全。海关应结合“金关”工程建设,根据“科技兴关”与“依法把关”的部署,建设更好更安全的信息储存系统,建立稳健、安全的个人信息存储系统,使其具有云服务器加密储存、信息匿名处理等技术。结合“从严治关”的理念,健全海关个人信息管理制度,需要明确具体的负责人和权限、调取使用数据的流程及范围等,并建立完备覆盖个人信息收集、储存、使用、泄露后救济的规章制度以应对个人信息事务的各项细节。
最后,海关如发生个人信息泄露、被窃取、滥用、篡改等事件,海关需要对信息主体承担相应的赔偿并作出补救措施,涉及工作人员也应当承担法律责任。
跨境电商平台企业保护个人信息
根据《商务部 发展改革委 财政部 海关总署 税务总局 市场监管总局关于完善跨境电子商务零售进口监管有关工作的通知》(商财发〔2018〕486号)(以下称“486号文”),跨境电商平台为交易双方(消费者和跨境电商企业)提供网页空间、虚拟经营场所、交易规则、交易撮合、信息发布等服务,设立供交易双方独立开展交易活动的信息网络系统。
《个保法》第五十八条增设了平台企业保护个人信息的“守门人义务”,要求提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:
01
按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。
02
遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务。
03
对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务。
04
定期发布个人信息保护社会责任报告,接受社会监督。
我们建议跨境电商平台在提供系统服务时,应建立健全个人信息保护合规制度体系,将个人信息保护合规要求嵌入产品全生命周期管理,按《个保法》要求更新合规义务清单,排查合规风险盲点。同时内部应任命专门人员负责个人信息保护合规事宜,并下设数据合规部门,完善配套合规指引,依法守护企业数据合规红线。对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务。
