在数字化大航海时代,跨境电商企业除了货物、资金、人员需接受法律监管外,信息数据同样需接受监管,且因自身业务模式要求,一方面需要遵守数据传输地和接收地的法律规定,另一方面还需受业务经营所在地加入的国际条约、多边协定的限制。而跨境电商平台作为信息数据的收集、接收、中转和传输方,其数据合规的复杂性、专业性和重要性不言而喻。
根据我国网络安全领域的法律规定,数据出境一般分为数据出境安全评估、个人信息保护认证、个人信息出境标准合同三种路径。数据出境安全评估路径已在多省有成功案例,且后续已申报待评估企业数量也高达上百家;个人信息保护认证内容依据为规范性文件和实践指南,尚未有落地实例;《个人信息出境标准合同办法》自23年6月1日正式生效之后,将会为满足条件的企业提供更便捷的出境路径。 本文则围绕国内跨境电商平台如何通过个人信息出境标准合同路径实现数据跨境合规流动进行讨论。
一、跨境电商平台自我评估清单
跨境电商平台如想通过个人信息出境标准合同路径实现数据出境,可先展开以下自查进行初步评估:
(一)是否涉及数据出境场景
为配套《个人信息出境标准合同办法》的实施,国家网信办于2023年5月30日发布并正式实施《个人信息出境标准合同备案指南(第一版)》,指南第一条将个人信息出境的行为定义为上述三种。跨境电商平台在日常经营管理中,若产生上述三类个人信息出境行为,则需依照法律规定进行相应申报、认证或者备案。
(二)是否属于《个人信息出境标准合同办法》适用主体
《个人信息出境标准合同办法》第四条对适用范围进行了详细规定,只有同时满足上述四种情形才可以订立标准合同的方式向境外提供个人信息,且个人信息处理者不得为了满足适用标准合同的条件,采取数量拆分等手段。对于体量较小、收集敏感信息较少的跨境电商平台,在满足上述四种情形的情况下,通过签订标准合同方式实现数据出境将大大减少企业开展数据出境合规工作的难度和工作量。
(三)个人信息保护影响评估内容
(四)是否需重新评估或补签、重签标准合同
如果在合同签订有效期内发生上述三类影响数据出境安全的情形之一,个人信息处理者需要进行重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行相应备案手续。
二、跨境电商平台适用个人信息出境标准合同路径的合规要点
(一)处理个人信息所需遵循的原则
跨境电商平台的数据合规是从境内收集到向境外传输、境外接收的全流程合规过程,仅在数据跨境阶段进行合规建设是不符合目前我国监管法律体系要求的。作为跨境电商平台,涉及数据跨境的合规工作需做在事前、事中、事后,从收集获取到向境外传输,都需严格遵守《个人信息保护法》等相关法律规定的告知-同意、最小必要、严格保护敏感信息、取得向境外传输信息的单独同意和履行平台义务等规定。
需要特别注意的是,国家市场监督管理总局、国家标准化管理委员会于2023年5月23日发布了GB/T 42574—2023 《信息安全技术 个人信息处理中告知和同意的实施指南》,并将于2023年12月1日正式实施此标准。42574标准于个人信息出境告知方式、同意机制等方面较35273标准均进行了改动,结合《个人信息出境标准合同办法》及其《备案指南(第一版)》规定,跨境电商平台需关注涉及处理个人信息出境时告知用户的方式及时机,以及取得单独同意的方式。
(二)信息出境行为和处理信息类别、数量的精准定位
在跨境电商出海浪潮中,不同于Aliexpress全球速卖通、TiktokShop抖音小店等类超大体量的跨境电商平台,较小体量的跨境电商平台可能会因自身业务布局、公司合规体系建设等原因更适合选择个人信息出境标准合同路径去实现数据合规跨境传输。跨境电商平台在寻求通过个人信息出境标准合同路径实现数据合规跨境传输的过程中,务必需对企业日常经营中所涉及的个人信息出境场景进行确认,对企业自身业务即是否收到有关部门的认证通知、是否属于关键信息基础设施运营者进行精准定位,并对日常业务经营中管理收集的个人信息类别属于敏感个人信息还是一般个人信息进行区分,必要时可向北京德和衡律师事务所进行咨询。
(关键信息基础设施定义:《网络安全法》、《关键信息基础设施安全保护条例》、《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》和《信息安全技术 关键信息基础设施边界确定方法》(征求意见稿)等法律法规规定,关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。与此同时,有关部门可视具体情况认定重点行业和领域,在被认定为重点行业和领域后,“行业、领域关键核心业务”“重要的”“一旦遭到破坏、丧失功能或者数据泄露对国家安全、社会稳定带来危害”的网络设施、信息系统则极可能认定为关键信息基础设施。
关键信息基础设施运营者:负责管理、运营关键信息基础设施,且经关键信息基础设施保护工作部门通知认定结果的主体。
敏感信息定义:《个人信息保护法》第二十八条第一款规定,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。)
(三)标准合同的“强制效力”
《个人信息出境标准合同办法》及其《备案指南(第一版)》均在附件部分提供了标准合同范本供个人信息处理者参考,且强调标准合同应当严格按照本办法附件制定,虽然也规定了个人信息处理者可与境外接收方约定其他条款,但特别明确约定条款不得与标准合同相冲突。跨境电商平台在根据企业自身经营模式与境外接收方订立标准合同时,需严格遵循办法规定,不可对标准合同范本中的强制性条款进行改动,应在订立标准合同前对自身作为个人信息处理者的义务、境外接收方义务、个人信息主体权利以及境外接收方法律政策对合同履行的影响等内容进行详细了解和审慎评估。
作者简介
郑赟
北京德和衡(上海)律师事务所执业律师
郑赟,北京德和衡(上海)律师事务所海关团队律师,专注于进出口管制领域,常年为国内大型企业和跨国公司提供包括常年法律服务、专项法律顾问等非诉服务,主要办理国际贸易,进出口管制,数据合规、纳税争议、走私辩护等业务。
手机:18616821816
邮箱:zhengyun@shganzhe.com