2022年9月1日,《數據出境安全評估辦法》(以下簡稱《辦法》)正式生效。《辦法》規定,“本辦法施行前已經開展的數據退出活動不符合本辦法規定的,應當自本辦法施行之日起6個月內完成整改。”目前,半年整改期已過半。
在跨境電商零售進口中,由於交易的壹方位於國外,必然涉及到數據出境的問題。比如在9610的進口模式下,不給出消費者在國外的聯系方式和地址是無法投遞快遞的。作為跨境電商平臺,如果沒有開展數據出境合規相關工作,應該花時間充分評估是否屬於需要數據出境安全評估的範圍。
除了數據出境,個人信息保護和數據合規也壹直是近年來國家關註的焦點,應該是跨境電商平臺日常運營的重點關註點。我結合自己服務跨境電商平臺的經驗,談談跨境電商平臺在個人信息和數據安全方面的合規點。需要說明的是,本文只是個人經驗,並不全面,遇到具體法律問題仍需具體分析研究。
壹、個人信息處理的原則
在跨境電商平臺收集和處理的數據中,最重要也是最具法律風險的是消費者的個人信息。在個人信息保護的法律層面上,個人信息的處理包括個人信息的收集、存儲、使用、處理、傳輸、提供、披露和刪除。
《個人信息保護法》第壹章規定了個人信息的處理原則,在理論上與其他法律有較大區別。個人信息保護的相關原則是跨境電商平臺在處理所有個人信息時應當關註和考慮的內容。尤其是目前我國個人信息和數據安全法律法規的制定還處於起步階段。在法律法規沒有規定的地方,應遵循相關原則處理個人信息。
其中,有些原則是顯而易見的,如:
合法性原則:處理個人信息時,應當嚴格遵守法律、行政法規的規定,采取合法方式,不得非法處理個人信息。
合法性原則:處理個人信息的行為必須是合法的,處理者不得以欺騙等不正當手段或在信息主體完全不知情的情況下處理其個人信息。
質量原則:個人信息處理者應當保證其處理的個人信息的質量,避免因個人信息的不準確、不完整而對個人權益造成不利影響。結合個人信息保護法和國內外的法律實踐,我認為作為跨境電商平臺,在處理個人信息時,核心是把握兩點。
最低限度必要性原則
這個原則主要有以下含義。
第壹,要有明確合理的目的。
個人信息的處理應該是有目的的,而不是因為不知道有什麽用,覺得技術上有辦法,就先去收集。目的也要明確,不宜使用“提供更好的服務”、“改善用戶體驗”等寬泛籠統的表述。
對於電商平臺來說,其基本功能服務是“購買商品”,收集個人信息的目的壹般包括註冊用戶、下單購買商品、支付、配送、提供客服、處理糾紛等。
此外,電子商務平臺及其相關合作夥伴還將向用戶提供額外服務,涉及用戶個人信息的處理。提供這些服務時,目的要明確。比如天貓隱私政策中寫明,天貓的處理行為“在您單獨同意的情況下,將您的賬戶信息提供給第三方”,目的是“使您能夠方便地註冊第三方賬戶或直接在第三方登錄”,這樣就更明確了。
第二,個人信息處理活動必須與處理目的直接相關。
“直接相關”是指個人信息加工行為應在加工目的範圍內,並具有密切的相關性。比如,如果平臺告知消費者其以經銷商品為目的收集了個人手機號、住址等個人信息,但其向消費者發送了平臺上其他商品的廣告,則與處理目的沒有直接關系。
第三,最小化。
最小化意味著對個人信息的處理應限制在實現特定目的所必需的範圍內。在個人信息可以收集和處理的情況下,盡量少收集和處理。
《關於常見移動互聯網應用必備個人信息範圍的規定》第五條第(六)項規定,網絡購物必備個人信息包括:
1.註冊用戶的手機號碼;
2.收貨人的名稱、地址和電話號碼;
3.支付時間、支付金額、支付渠道等支付信息。
對於壹般的電商平臺來說,達到基本的網購目的,獲取用戶的上述信息就足夠了。用戶的位置信息、地址簿信息等。都是不需要收集的個人信息。
當然,跨境電商平臺可以收集的個人信息並不僅限於此。壹方面,由於跨境電商的特殊性,用戶需要提供其他信息,尤其是跨境電商的報關要求,跨境電商平臺必須獲取消費者的身份證信息。另壹方面,為了給用戶提供更廣泛的服務,平臺也可以基於明確、合法、合理的目的收集其他個人信息,並充分履行告知義務。
“告知-同意”規則
告知+同意是個人信息保護的基本規則,平臺要註意以下幾點。
第壹,公開透明。
指公開個人信息處理規則,說明處理的目的、方法和範圍。作為跨境電商平臺,主要實現方式是制定隱私政策(或個人信息保護政策)並公開。
跨境電子商務平臺應:
1.隱私政策應以單獨的書面形式發布,而不是作為用戶協議、用戶說明和其他文檔的壹部分。
2.在用戶使用服務之前,特別是在應用首次運行時,應該通過彈出窗口和其他明顯的方式提示用戶閱讀隱私政策。
3.隱私政策應該易於訪問。進入主功能界面後,用戶點擊4次以內(含)即可進入隱私政策。
二、告知+同意
跨境電商平臺在處理個人信息時,原則上必須遵守告知和同意規則,在依法告知並征得信息主體同意後,方可處理個人信息。
平臺在開發app、小程序、設計頁面時,要時刻關註整個過程中處理了哪些個人信息,是否遵循“告知+同意”的流程。還需要註意的是,《個人信息保護法》規定“個人同意處理個人信息的,應當在個人完全知情的前提下,由個人自願、明確表示同意。”這裏的“明確”要求妳不能同意涉及用戶個人信息的內容,比如隱私政策。
此外,《個人信息保護法》還規定,向第三方提供個人信息、處理個人敏感信息、向境外提供個人信息時,也應當征得個人同意。“個別同意”要求將相應場景的同意與其他同意區分開來,不能隱藏在其他事項中,可以通過壹攬子授權獲得個別同意或接受。以上事項不能只放在用戶註冊時的壹般隱私條款裏。
第三,知情同意規則的例外。
《個人信息保護法》也有關於知情同意規則例外的具體規定。在這些情況下,不需要個人同意。比如根據行政、司法機關依法提出的要求,以及履行其他法定義務的需要,* * *享有個人信息。跨境電子商務平臺最有可能使用“為訂立和履行個人作為壹方當事人的合同所必需的”。
然而,應該指出的是:
1.在這種情況下,雖然不需要征得同意,但告知義務還是應該履行的。
2.目前,對“履行合同的必要”的定義仍有爭議,對電子商務中如何適用通知同意規則的例外也缺乏具體意見。建議平臺在設計頁面和開發功能時,尤其是對於消費者等個人用戶的個人信息,仍應以“告知+同意”作為處理個人信息的基本操作流程,並以需要履行合同為由,謹慎省略相關步驟。
對於平臺經常遇到的問題,商家要求獲取消費者個人信息進行營銷。在我看來,向商家提供消費者信息屬於向第三方提供個人信息,營銷明顯超出履行購買商品合同的必要範圍,應當要求消費者另行同意。根據相關規範和實踐習慣,建議通過彈窗明確單獨告知此事,並要求消費者單獨點擊同意。在彈出的窗口中,姓名,聯系方式,處理目的,處理方法等。應當明確告知獲取消費者個人信息的商家。如上所述,這裏的治療目的要說的充分清楚。至於如何避免個人同意的過程過於生硬,引起消費者的反感,就要考驗平臺公司的產品經理了。
第二,敏感的個人信息
敏感個人信息是指壹旦泄露或被非法使用,將容易導致自然人人格尊嚴受到侵犯或人身、財產安全受到危害的個人信息,包括生物特征識別、宗教信仰、特定身份、醫療健康、財務賬目、行蹤等信息,以及未滿14周歲的未成年人的個人信息。
《信息安全技術個人信息安全規範》(GB/T 35273—2020)更詳細地列出了敏感的個人信息:
跨境電商平臺在處理敏感個人信息時,應當註意:
1.能不收就不收,除非非常必要,盡量不要提供給別人。根據法律法規,個人敏感信息保護比較嚴格,處理要求也比較麻煩。公司應實施加密等安全措施,還應提前評估個人信息保護的影響,並制定相應的內部管理制度和操作規程。
2.敏感個人信息的處理應獲得個人的單獨同意。對於跨境電商平臺來說,必須涉及的個人敏感信息是消費者的身份證信息。在收集身份證信息時,最好有單獨的通知和確認選項。
第三,個人信息保護影響評估
《個人信息保護法》規定了個人信息保護影響評估的法定情形和主要內容。根據規定,開展個人信息保護評估是法定義務。有下列情形之壹的,個人信息處理者應當事先進行個人信息保護影響評估,並記錄處理情況:
(1)處理敏感的個人信息;
(2)使用個人信息進行自動化決策;
(三)委托處理個人信息,向其他個人信息處理者提供個人信息,泄露個人信息;
(四)在境外提供個人信息;
(五)其他對個人權益有重大影響的個人信息處理活動。
跨境電商平臺往往會涉及到這些情況。
該法規定,個人信息保護影響評估應當包括以下內容:
(壹)處理個人信息的目的和方式是否合法、公正、必要;
(二)對人身權利的影響和安全風險;
(3)所采取的防護措施是否合法、有效並與風險程度相適應。
個人信息保護影響評估的主體沒有嚴格限制,平臺有自己的專業能力,可以自行進行。如果覺得自己沒有能力和手段進行自我評估,也可以委托第三方機構,比如律師事務所或者咨詢公司。
第四,數據退出
什麽是數據出口?根據相關法律法規和網信辦相關負責人的說法,《評價辦法》等法律法規中的數據退出活動主要包括:
1.數據處理器將國內作業中收集和生成的數據傳輸和存儲到海外。
2.數據處理器收集和生成的數據存儲在中國,可由海外機構、組織或個人訪問或檢索。
國內跨境電商平臺向境外商家提供的數據,或者境外公司訪問國內跨境電商平臺收集的數據,都屬於數據出口。
《個人信息保護法》規定了個人信息出境的合規路徑。如果平臺確實需要在境外提供個人信息,可以通過以下四種路徑來滿足合規要求。
(壹)通過安全評估;
(二)開展個人信息保護認證;
(三)按照標準合同與境外接受方簽訂合同;
(四)法律、行政法規或者國家網信部門規定的其他條件。
這些路徑不是平行的,而是有優先級要求的。對於跨境電商平臺,首先要對比評估措施,確定自己是否屬於安全評估範圍。
根據評估辦法的規定,有下列情況需要進行安全評估:
(1)數據處理器提供重要的海外數據;
(二)關鍵信息基礎設施運營商;
(3)處理超過654.38+0萬人個人信息的數據處理者在境外提供個人信息;
(4)自上壹年6月654.38+0日以來向境外提供個人信息654.38+萬人或敏感個人信息654.38+0萬人的數據處理者向境外提供個人信息;
(五)國家網信部門規定的其他情形。
跨境電商平臺應盤點所有數據出境相關情況,統計涉及的個人信息數量是否達到或接近上述標準。如果該公司屬於安全評估範圍,應在明年2月底前完成相關評估。
如果公司不屬於安全評估範圍,可以通過開展個人信息保護認證、按照標準合同與境外接收方簽訂合同等方式開展數據出境活動。至於采用哪種方式,沒有強制要求,公司會根據成本和方便程度來選擇。
目前,這兩種方式的具體操作規定正在逐步制定中。2022年6月4日,165438+國家市場監督管理總局、國家互聯網信息辦公室新頒布《個人信息保護認證實施細則》,進壹步推動個人信息保護認證的有效實施。目前個人信息退出標準合同只是出臺征求意見,還沒有正式的實施文本。但在與外國投資者簽訂合同時,可以參照《個人信息出境標準合同條款(征求意見稿)》的內容,約定個人信息保護的相關條款。
_聯系信息:
北京華誠(上海)律師事務所龔卓律師
具有十余年的海關法執業經驗,主要執業領域為海關法律事務和刑事辯護。
承擔了多起重大走私案件的辯護工作,並擔任多家知名企業的法律顧問,為其提供專項法律服務。其專業文章多次被《中國海關》雜誌、海關法學研究會、中國漁業協會發表。
電話(微信):1896 4028223 _ _ _