走进来智库查看
近来,跨境电商无视数据安全以及数据合规的告急逐渐显示。2021年5月,收集安全各人SafetyDetectives发明了一个位于中国的AWS ElasticSearch数据库,个中触及大度作假指摘的店铺以及买家账号,约20万至25万人的私密信息泄漏。这一数据库也被视为本年亚马逊封店潮的起源。
走进来智库(CGGT)特约公法各人、金杜讼师事情所共同人冯晓鹏以为,今朝跨境电商行业中枢纽信息根底办法经营者的范围仍未落定,思虑到跨境电商企业正在凡是生意中触及体量较大的集体(敏锐)信息,仍然有大概被认定为枢纽信息根底办法经营者,相映地则大概须要实验集体数据要地化的责任。为了升高集体信息出境告急,提议跨境电商企业参考《信息安全本领—数据出境安全评估指南(搜求观点稿)》的相干规矩框架施行内部自查,并建立完满的用户信息损坏制度。
跨境电商企业若何做好跨境数据合规办理?此日,走进来智库(CGGT)刊发金杜讼师事情所冯晓鹏以及李思然的文章,供存眷跨境数据合规的读者参照。
要 点
CGGT,CHINA GOING GLOBAL THINKTANK
1、海关验核“三复数据”的历程,触及到大度破费者集体用户的原始数据以及买卖损耗数据(ERP数据),海关算作国家机关处置集体信息时,受到《个保法》的监管。
2、集体信息处置者向中华群众共以及国境外供给集体信息的,理应向集体告诉境外领受方的称号大概姓名、关连办法、处置想法、处置办法、集体信息的品种和集体向境外领受方利用本律例定权力的办法以及法式等事项,并博得集体的零丁批准。
3、支拨企业正在处置用户敏锐信息时要拥有一定的想法以及充分的须要性,并采用矜重损坏办法,并经过订立集体信息及用户隐私协议等办法契合“博得集体零丁批准”、“向集体告诉处置敏锐集体信息的须要性及作用”等的合规要求。
正 文
CGGT,CHINA GOING GLOBAL THINKTANK
文/冯晓鹏李思然
金杜讼师事情所
2021年8月20日,经第十三届世界人大常委会第三十次聚会审议后,《中华群众共以及国集体信息损坏法》(以下简称“《个保法》”)取得经过并颁布。2021年11月1日起失效实行后,《个保法》将与《收集安全法》、《数据安全法》一统构建我国收集空间处置以及数据损坏的公法编制。分歧于《收集安全法》着重于收集空间分析处置、《数据安全法》算作数据范畴的根底性公法主要缭绕数据处置震动进展,《个保法》从当然人集体信息的角度归来,给集体信息上了一把“公法安全锁”。
正在跨境电商震动全生命周期过程中,海关等当局部门、境内外破费者、跨境电商企业、平台企业、境外敷务商等主体正在线上及线了局景深度交织,变成诸多主体之间的数据交互联系。破费者每一笔买卖衍生的买卖电子数据、支拨、物流信息等集体信息,是跨境电商买卖闭环的主要组成全体。跨境电商生态中各主体对于该集体信息的处置,离没有开《个保法》的规制。
正在《数据安全法》发布经过后,笔者曾经就收集安全检查制度,和集体信息出境的公法规矩对于跨境电商数据经营的作用宣布文章[1]。本文笔者将连续以跨境电商范畴为着眼点,以上述跨境电商生态主体为工具,分解新发布的《个保法》中相关数据网络、利用、传输的规矩会对于跨境电商生态到场主体孕育哪些作用。
1、合用范围与主要定义
《个保法》开篇明义,规矩“正在中华群众共以及国境内处置当然人集体信息的震动,合用本法”,也同时规矩了特定的域外合用着力。该法第三条第二款规矩,“以向境内当然人供给产物大概办事为想法”的正在中华群众共以及国境外处置中华群众共以及国境内当然人集体信息的震动,大概属于“分解、评估境内当然人的动作”,也合用本法。对付该等境外的集体信息处置者,《个保法》第五十三条进一步要求理应正在中国境内创造异常机构大概指定代表,担任处置集体信息损坏相干事情,并将相关机构大概代表的信息报送实验集体信息损坏责任的部门。
《个保法》提出,集体信息的处置席卷集体信息的网络、保存、利用、加工、传输、供给、秘密、节略等。集体信息处置者是指正在集体信息处置震动中自主确定处置想法、处置办法的构造、集体。
其它,《个保法》对于集体信息施行分类,并针对于分歧类别规矩分歧的处置法则,见下表。
(点击检察大图)
二、海关等当局主管部门处置集体信息
海关总署揭晓的第2018年第165号通告(以下简称“第165号通告”),要求自2019年1月1日起,到场跨境电子商务批发进口生意的跨境电商平台企业理应向海关封闭席卷定单号、商品称号、买卖金额、币制、收款人相干信息、商品揭示链接地方、支拨买卖流水号、验核机构、买卖乐成时光等支拨相干原始数据,供海关验核。与通告配套出台的还有《跨境电子商务批发进口一致版信息化系统原始数据时刻猎取规划》(以下简称“猎取规划”),对于收集通道、封闭数据接口、原始数据的安全要求、接口实质等全部实质,做了精细的规矩。
海关验核“三复数据”的历程,触及到大度破费者集体用户的原始数据以及买卖损耗数据(ERP数据),海关算作国家机关处置集体信息时,受到《个保法》的监管。
根据《个保法》,处置集体信息理应遵守合法、合法、须要以及竭诚准则,没有得经过误导、哄骗、强制等办法处置集体信息。这意味着,海关正在网络、利用行政相对于人集体信息时,应契合我共有关网络、利用集体信息的公法律例,没有得以作歹想法网络集体信息。这既席卷了“想法合法”,也席卷了“法式合法”,且还蔓延到主体合法、按照合法、实质合法、大局合法、利用合法等从信息网络到信息运用的各个关节。
值得留神的是,根据《平易近法典》第一千零三十五条第四款[2],海关正在网络集体信息时没有违反公法、行政律例的规矩以及两边的商定。海关网络的行政相对于人集体信息,假设是经过两边商定而取得的,信息主体正在知情的状况下做出“批准”道理示意,就成为海关网络以及利用其集体信息的合法性根底,海关的动作也应遵守两边的商定;另一方面,假设正在网络以及处置该集体信息时生存没有须要用户授权批准的状况时,集体“让渡”全体集体信息给当局,使得集体信息具备了众人办理价值,海关理应按照公法律例,取得合法性根底。
除此之外,海关正在网络、利用集体信息时,理应是海关进步行政司法所须要的,没有得逾越生意范围进步信息网络震动,没有理应逾越海关处事的理论须要。正在处置信息时,比如数据处置量、储藏时限、加工水准、利用范围等,没有得适度处置,必需与海关司法处事的根底想法相符合。正在到达司法想法之后,必需要当场休止信息收集处事以及信息传输处事。
同时,海关处置集体信息时理应遵守秘密、透明准则,秘密集体信息处置法则,明示处置的想法、办法以及范围。算作国家机关,海关为实验法定责任处置集体信息时,理应凭据《个保法》规矩实验告诉责任,告诉将阻碍国家机关实验法定责任的之外;处置集体信息有公法、行政律例规矩理应失密大概没有须要告诉的状况的,也许没有向集体告诉《个保法》第十七条文定的事项。[3]告诉席卷海关算作集体信息处置者的关连办法,对于集体信息加工处置的办法、信息利用范围、利用办法以及利用刻日、信息盘诘办法、信息知情范围以及信息安全办理办法、集体信息转化以及从事和集体信息泄漏的负担等法则。海关必需对于集体信息的网络、遗失以及利用办法以清爽、易懂、正当的办法秘密,以“明示”的大局作出,而道理示意的口头大局、书面大局以及稀奇大局等都可视为明示。
《个保法》规矩集体信息处置者理应对于其集体信息处置震动担任,并采用须要办法保险所处置的集体信息的安全。海关算作所收罗集体信息的掌握者,应采用充分且须要的本领办法以及内部办理办法,确保集体信息网络、处置、流转、利用的质量及安全。海关应贯串“金关”工程修建,根据“科技兴关”与“照章把关”的摆设,修建更好更安全的信息储藏系统,建立稳重、安全的集体信息保存系统,使其拥有云办事器加密储藏、信息匿名处置等本领。贯串“从严治关”的观念,健壮海关集体信息办理制度,须要清爽全部的担任人以及权力、调取利用数据的过程及范围等,并建立齐备揭开集体信息网络、储藏、利用、泄漏后帮助的规章制度以应付集体信息事情的各项细节。[4]
最终,海关如产生集体信息泄漏、被夺取、滥用、改动等事宜,海关须要对于信息主体负担相映的抵偿并作出挽回办法,触及处事人员也理应负担公法负担。
三、跨境电商平台企业损坏集体信息
根据《商务部 繁华鼎新委 财政部 海关总署 税务总局 墟市监管总局对于完满跨境电子商务批发进口监管相关处事的告诉》(商财发〔2018〕486号)(以下简称“486号文”),跨境电商平台为买卖两边(破费者以及跨境电商企业)供给网页空间、假造筹备场面、买卖法则、买卖说合、信息揭晓等办事,创造供买卖两边独立进步买卖震动的信息收集系统。
《个保法》第五十八条增设了平台企业损坏集体信息的“守门人责任”,要求供给主要互联网平台办事、用户数目辽阔、生意类别繁复的集体信息处置者,理应实验下列责任:
1. 根据国家规矩建立健壮集体信息损坏合规制度编制,创制主要由外部成员组成的独立机构对于集体信息损坏状况施行监视;
2. 遵守秘密、平正、刚正的准则,拟定平台法则,清爽平台内产物大概办事供给者处置集体信息的榜样以及损坏集体信息的责任;
3. 对于重要违反公法、行政律例处置集体信息的平台内的产物大概办事供给者,休止供给办事;
4. 按期揭晓集体信息损坏社会负担讲述,采用社会监视。
咱们提议跨境电商平台正在供给系统办事时,应建立健壮集体信息损坏合规制度编制,将集体信息损坏合规要求嵌入产物全生命周期办理,按《个保法》要求更新合规责任清单,排查合规告急盲点。同时内部应录用异常人员担任集体信息损坏合规事宜,并下设数据合规部门,完满配套合规诱导,照章守卫企业数据合规红线。对于重要违反公法、行政律例处置集体信息的平台内的产物大概办事供给者,休止供给办事。
四、跨境电商企业传输集体信息出境
1.集体信息的境内储藏准则
《个保法》清爽了集体信息跨境供给的根底法则。正在此以前,《收集安全法》[5]、《集体信息以及主要数据出境安全评估方法(搜求观点稿)》[6]等均规矩了集体信息的境内储藏准则。
《个保法》第四十条文定,枢纽信息根底办法经营者以及处置集体信息到达国家网信部门规矩数目的集体信息处置者,理应将正在中华群众共以及国境内网络以及孕育的集体信息保存正在境内。确需向境外供给的,理应经过国家网信部门构造的安全评估;公法、行政律例以及国家网信部门规矩也许没有施行安全评估的,从其规矩。
《枢纽信息根底办法安全损坏规则》中规矩,主要行业、范畴的主管部门以及监视办理部门担任认定该行业、范畴的枢纽信息根底办法。今朝跨境电商行业中枢纽信息根底办法经营者的范围仍未落定,思虑到跨境电商企业正在凡是生意中触及体量较大的集体(敏锐)信息,仍然有大概被认定为枢纽信息根底办法经营者,相映地则大概须要实验集体数据要地化的责任。
《集体信息损坏法》正在《收集安全法》第三十七条文定的根底上,推广了“处置集体信息到达国家网信部门规矩数目的集体信息处置者”这一主体,使得集体信息境内储藏准则负担的主体范围扩张。即使没有变成枢纽信息根底办法经营者,跨境电商若所处置的集体信息到达了国家网信部门所规矩的数目,仍然须要实验集体数据要地化的责任。对付数目规范,可供参照的是《集体信息以及主要数据出境安全评估方法(搜求观点稿)》第九条的相干规矩,其要求出境信息中含有或累计含有50万人以上的集体信息应报请行业主管或监管部门构造安全评估。但就《集体信息损坏法》下的该等数目规范,尚有待网信部门后续出台进一步的细化规矩。
所以,对付触及聚集集体数据的跨境电商企业而言,不管是否会被归类为枢纽信息根底办法经营者,都有大概实验集体信息跨境传输要求的责任。
2.集体信息出境主要规制框架
《收集安全法》对于集体信息出境的安全评估做出准则性规矩,“因生意须要,确需向境外供给的,理应根据国家网信部门会同国务院相关部门拟定的方法施行安全评估;公法、行政律例尚有规矩的,凭据其规矩。”[7]。而2019年颁布的《集体信息出境安全评估方法(搜求观点稿)》对于安全评估框架、评估过程、评估质料呈报要求等做了较清爽的规矩[8]。本次《集体信息损坏法》正式树立了集体信息出境的条件。
《个保法》第三十八条文定,集体信息处置者因生意等须要,确需向中华群众共以及国境外供给集体信息的,理应具备下列条件之一:
(一)凭据本法第四十条的规矩经过国家网信部门构造的安全评估;
(二)根据国家网信部门的规矩经专科机构施行集体信息损坏认证;
(三)根据国家网信部门拟定的规范公约与境外领受方签定公约,商定两边的权力以及责任;
(四)公法、行政律例大概国家网信部门规矩的其他条件。
集体信息处置者理应采用须要办法,保险境外领受方处置集体信息的震动到达本律例定的集体信息损坏规范。
同时,集体信息处置者向中华群众共以及国境外供给集体信息的,理应向集体告诉境外领受方的称号大概姓名、关连办法、处置想法、处置办法、集体信息的品种和集体向境外领受方利用本律例定权力的办法以及法式等事项,并博得集体的零丁批准。
集体信息处置者理应事进步行集体信息损坏作用评估,并对于处置状况施行纪录
3.集体信息不法出境的公法负担
《个保法》对于不法动作加大惩罚力度,树立了矜重的公法负担。比如,违反本律例定处置集体信息,大概处置集体信息未实验本律例定的集体信息损坏责任的,情节重要的,由省级以上实验集体信息损坏责任的部门责令纠正,没收不法所得,并处五绝对元以下大概上一年度交易额百分之五以下罚款,并也许责令憩息相干生意大概休业整理、吊销相干生意答应大概交易派司(第六十六条)。《个保法》还推广了“记入诺言档案”的处理体制(第六十七条),比拟于《收集安全法》等相干规矩,《个保法》对于集体信息相干的不法动作处理力度更大。
(点击检察大图)
为了升高集体信息出境告急,咱们提议跨境电商企业参考《信息安全本领—数据出境安全评估指南(搜求观点稿)》的相干规矩框架施行内部自查,并建立完满的用户信息损坏制度。
五、境外敷务商处置敏锐集体信息
以支拨企业为例,跨境电商的第三方支拨生意进步过程中每每会触及到敏锐集体信息的处置,比如用户的金融产物利用风气以及破费风气数据,并贯串既有的平台数据对于用户施行分解并变成用户画像,基于用户画像针对于用户进步金融营销震动,为用户供给引荐其大概感趣味的商品大概金融办事。对付该等金融数据的处置,大概对于用户的集体信息权力孕育特定的作用。
根据《个保法》,支拨企业正在处置敏锐集体信息须要按照的法则主要席卷:
·需拥有一定的想法以及充分的须要性,并采用矜重损坏办法。
·须要博得集体的零丁批准;公法、行政律例尚有规矩需博得书面批准的,大概规矩处置敏锐集体信息应博得相干行政答应大概作出其他限制的,从其规矩。
·正在告诉实质方面,需稀奇向集体告诉处置敏锐集体信息的须要性和对于集体权力的作用。
正在《个保法》发布出台以前,《数据安全法》、《非银行支拨机构规则(搜求观点稿)》、《信息安全本领 集体信息安全榜样》等公法律例也对于支拨企业的用户集体隐私数据损坏提出要求,相干规矩施行梳理以下。
(点击检察大图)
对付跨境电商批发进口而言,今朝“以境内跨境电商平台为当中、以支拨机构为协助办事”的模式已将大度“金额小、频次高、反应快”跨境电商支拨更多依托于第三方支拨机构的“赶快通道办法”。支拨企业正在处置用户敏锐信息时要拥有一定的想法以及充分的须要性,并采用矜重损坏办法,并经过订立集体信息及用户隐私协议等办法契合“博得集体零丁批准”、“向集体告诉处置敏锐集体信息的须要性及作用”等的合规要求。
六、结语
也许等待,后续随着监管司法动作的没有懈推进,集体信息合法权力受损坏、集体信息处置震动受榜样、集体信息正当运用受匆匆进的数字处置回生态将愈发幼稚。与此同时,《集体信息损坏法》对于海关等当局部门、跨境电商企业、平台企业、境外敷务商等主体都提出了新的合规要求。对于《集体信息损坏法》及配套榜样编制的深切认得,以及一套幼稚集体信息损坏合规制度编制,对于跨境电商全生态链的主体来讲,将是重中之重。
脚注:
[1]https://mp.weixin.qq.com/s/q4DD4LaQ4LTQuuf3ZTIV3w,见《论收集安全检查及集体信息出境新规对于跨境电商数据经营之作用》
[2]《平易近法典》第一千零三十五条 处置集体信息的,理应遵守合法、合法、须要准则,没有得适度处置,并契合下列条件:(一)征得该当然人大概其监护人批准,不过公法、行政律例尚有规矩的之外;(二)秘密处置信息的法则;(三)明示处置信息的想法、办法以及范围;(四)没有违反公法、行政律例的规矩以及两边的商定。
集体信息的处置席卷集体信息的网络、保存、利用、加工、传输、供给、秘密等。
[3]《集体信息损坏法》第十七条 集体信息处置者正在处置集体信息前,理应以昭著办法、认识易懂的语言可靠、确切、齐全地向集体告诉下列事项:(一)集体信息处置者的称号大概姓名以及关连办法;(二)集体信息的处置想法、处置办法,处置的集体信息品种、遗失刻日;(三)集体利用本律例定权力的办法以及法式;(四)公法、行政律例规矩理应告诉的其他事项。
[4]https://mp.weixin.qq.com/s/WK1rh02e7Y2GoYfMPCEJKQ,见《平易近法典视野下海关处置 行政相对于人集体信息的根底法则》
[5]《收集安全法》第三十七条 枢纽信息根底办法的经营者正在中华群众共以及国境内经营中网络以及孕育的集体信息以及主要数据理应正在境内保存。因生意须要,确需向境外供给的,理应根据国家网信部门会同国务院相关部门拟定的方法施行安全评估;公法、行政律例尚有规矩的,凭据其规矩。
[6]《集体信息以及主要数据出境安全评估方法(搜求观点稿)》第二条 收集经营者正在中华群众共以及国境内经营中网络以及孕育的集体信息以及主要数据,理应正在境内保存。因生意须要,确需向境外供给的,理应根据本方法施行安全评估。
[7]《收集安全法》第三十七条 因生意须要,确需向境外供给的,理应根据国家网信部门会同国务院相关部门拟定的方法施行安全评估;公法、行政律例尚有规矩的,凭据其规矩。
[8]《集体信息出境安全评估方法(搜求观点稿)》 第六条 集体信息出境安全评估中心评估以下实质:(1)是否契合国家相关公法律例以及战术规矩;(2)信息出境公约条目可否充分保险集体信息主体合法权力;(3)公约可否失去无效施行;(4)收集经营者或领受者是否有毁伤集体信息主体合法权力的史乘、是否产生太重大收集安全事宜;(5)收集经营者取得集体信息是否合法、合法;(6)其他理应评估的实质。
起因:中国海关杂志
各人先容
冯晓鹏
北京市金杜讼师事情所共同人,法学博士,兼任中国群众大学海关与外汇公法争论所争论员、华南理工大学学识产权硕士生导师、海关总署企管司网购保税跨境电商生意鼎新各人组成员、海南自在交易港立法委员会智库成员、广州市讼师协会电子商务专科委员会委员、上海市商务委员会以及上海市法学会国际经贸人材实诱导师等职务。
主要执业范畴触及跨境电子商务合规、海关审价、归类争议束缚、电子商务类IPO、进出口关务、税务、外集合规及谋划、学识产权疆域损坏等。拥有逾越20年的海关实务处事体味。正在海联系统处事时期,到场拟定、改动了反走私分析处置规则、海关行政处理实行规则、海关学识产权损坏规则、海关邮递东西监管方法等立法处事;曾经担负海关总署《电子商务法》跨境电子商务立法小组税收征管全体牵头人,到场草拟电子商务法跨境电子商务全体第一稿;到场联邦快递(FedEx)亚太转运焦点通关制度妄图处事等。
2019年,冯晓鹏讼师上榜钱伯斯《2020亚太公法指南》公司/商事:东部沿海(广东)范畴。
2020年,冯晓鹏讼师被钱伯斯《2021亚太公法指南》评为国际交易:海关、出口管理范畴“跨越讼师”;同年,冯晓鹏讼师被《国际金融公法指摘》(IFLR1000)评为“跨越讼师”。
2021年,冯晓鹏讼师被《寰球公法各人》(Global Law Experts)评为“年度最好交易与海关讼师”;同年,被《Benchmark Litigation 中国》评为2021年国际仲裁、合规:当局与律例两大专科范畴的“诉讼之星”,同时又被国际有名公法评级机构LEGALBAND评为区域明星风波榜15强。
跨境电商集体专著《跨境电商通关:经营与合规》(公法出版社2019年7月第1版),第二本跨境电商专著也行将正在中国海关出版社出版。
耽误赏玩
单干、生意磋商:
servicecenter@cggthinktank.com
走进来智库(CGGT)
没有谈大情理,只讲干货。海内外一流投行、公法、会计、告急办理、银行/保障、品牌、人力资源、估值、境外信息谍报以及数据办理9个范畴的专科人士携手。走进来一站式专科实务以及数据信息平台,企业跨境投资并购军师团。
更多信息请拜候:www.cggthinktank.com
版权证实:走进来智库(CGGT)接待转载,请讲授起因:走进来智库(CGGT)。如没有署名起因,CGGT将追查其相干公法负担。