在跨境電子商務交易過程中,我們應該如何去保護個人或企業的信息?
2022年9月1日,《數據出境安全評估辦法》(以下簡稱《評估辦法》)生效實施,《評估辦法》規定,“本辦法施行前已經開展的數據出境活動,不符合本辦法規定的,應當自本辦法施行之日起6個月內完成整改。”目前,半年整改期已過了將近壹半時間。
在跨境電商零售進口中,因交易的壹方位於境外,勢必會涉及數據出境問題。比如在9610進口模式下,不把消費者的聯系方式、地址等給到境外,就沒法交付快遞發貨。作為跨境電商平臺,如果還沒有開展數據出境合規相關工作,應抓緊時間充分評估自身是否屬於需要數據出境安全評估的範圍。
除了數據出境,個人信息保護和數據合規壹直是近年國家關註的重點,應當是跨境電商平臺日常經營中重點註意事項。我根據服務跨境電商平臺時的壹些體會,談談跨境電商平臺在個人信息和數據安全方面的合規要點。需要說明的是,本文僅是個人體會,並不全面,遇到具體的法律問題還是需要具體分析、研究。
壹、個人信息處理的原則
跨境電商平臺收集、處理的數據中,最主要,也是法律風險最大的就是消費者的個人信息。在個人信息保護法律層面,個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等行為。
《個人信息保護法》第壹章規定了處理個人信息的原則,與其他法律中原則更多屬於理論層面不同,個人信息保護的相關原則,是跨境電商平臺處理所有個人信息時都應關註、考慮的內容。特別是目前,我國個人信息和數據安全的法律法規制定還處於起步階段,在法律法規尚未規定的地方,就應遵循相關原則進行個人信息的處理。
在這其中,有些原則是顯而易見的,例如:
合法原則:在對個人信息進行處理活動時,應嚴格遵循法律、行政法規的規定,采取合法的方式,不得違法處理個人信息。
正當原則:處理個人信息的行為必須是正當的,處理者不應當通過不公正的方法,如通過欺騙或者在信息主體完全不知情的情況下來處理其個人信息。
質量原則:個人信息處理者應當保證其所處理的個人信息的質量,避免因為個人信息的不準確、不完整對個人權益造成不利影響結合《個人信息保護法》和國內外的法律實踐,我認為作為跨境電商平臺在處理個人信息時,總結概況下來,最核心的是應把握住兩點。
(壹)最小必要原則
該原則主要有以下幾層含義。
第壹,應當具有明確、合理的目的。
處理個人信息要有目的,不能是不知道有什麽用途,感覺技術上有途徑,就先收集起來。目的還應當明確,不宜使用“提供更好服務”、“改善用戶體驗”這種寬泛、籠統的表述。
對於電子商務平臺而言,其基本功能服務為“購買商品”,收集個人信息的目的壹般包括註冊用戶、完成商品下單、支付、配送、提供客服及爭議處理等。
除此之外,電商平臺及其相關合作方,也會向用戶提供附加服務,涉及用戶個人信息的處理。在提供這些服務時,更應目的明確。比如《天貓隱私政策》中的表述,天貓的處理行為“經您單獨同意後向第三方提供您的賬戶信息”,目的為“使您可以便捷地實現第三方賬戶的註冊或第三方處直接登錄”,就比較清楚。
第二,個人信息處理活動必須與處理目的直接相關。
“直接相關”指個人信息處理行為都應當是在該處理目的之內的,具有密切的關聯性。比如平臺向消費者表示向其收集了個人的手機號、住址等個人信息,是以配送商品為目的,但卻向其發送平臺其他商品的廣告,就不屬於與處理目的直接相關。
第三,最小化。
最小化指個人信息處理應限制在為實現特定目的所必不可少的範圍內,可以收集、處理,也可以不收集、處理個人信息時,盡量不收集、處理,夠用即可。
《常見類型移動互聯網應用程序必要個人信息範圍規定》第五條第(六)項規定,網上購物類,必要個人信息包括:
1.註冊用戶移動電話號碼;
2.收貨人姓名(名稱)、地址、聯系電話;
3.支付時間、支付金額、支付渠道等支付信息。
對壹般的電商平臺,實現基礎的網上購物目的,獲取用戶上面這些信息就夠用了,用戶的位置信息、通訊錄信息等都屬於沒有必要收集的個人信息。
當然,跨境電商平臺可以收集的個人信息並不局限於此。壹方面,因為跨境電商的特殊性,需要用戶提供其他信息,特別是跨境電商進口海關申報要求,跨境電商平臺就必須要獲取消費者的身份證信息。另壹方面,平臺為了給用戶提供更廣泛的服務,基於明確、正當、合理的目的,並充分履行告知等義務,也可以收集其他個人信息。
(二)“告知-同意”規則
告知+同意是個人信息保護的基礎規則,平臺應註意以下幾點。
第壹,公開、透明。
指公開個人信息處理規則,明示處理的目的、方式和範圍。作為跨境電商平臺,最主要的實現途徑,就是制定隱私政策(或稱為個人信息保護政策)並予以公開。
跨境電商平臺應做到:
1. 隱私政策應以單獨成文的形式發布,而不是作為用戶協議、用戶須知等文件中的壹部分存在。
2.要在用戶使用服務前,特別是在App首次運行時,通過彈窗等明顯方式主動提示用戶閱讀隱私政策。
3. 隱私政策應易於訪問,用戶進入主功能界面後,通過4次(含)以內的點擊等操作,能夠訪問到隱私政策。
第二,告知+同意
跨境電商平臺在處理個人信息時,原則上必須遵守告知同意規則,在依法告知並取得信息主體同意後,才能對個人信息進行處理。
平臺在開發APP、小程序、設計頁面時,應時刻註意在整個過程中處理了哪些個人信息,是否都遵循了“告知+同意”的流程。同意的方式也應註意,《個人信息保護法》規定,“基於個人同意處理個人信息的,該同意應當由個人在充分知情的前提下自願、明確作出。”這裏的“明確”就要求對於隱私政策等涉及用戶個人信息的內容,不能采用默認勾選的方式表示同意。
此外,《個人信息保護法》還規定,在向第三方提供個人信息、處理敏感個人信息、向境外提供個人信息等情況時,還應當取得個人單獨同意。“單獨同意”要求將相應場景的同意和其他同意區分開來,不能隱匿在其他事項中,通過壹攬子授權的方式取得個人同意或接受。上述事項,就不能僅僅放在用戶註冊時總的隱私條款裏。
第三,告知同意規則的例外
《個人信息保護法》對告知同意規則例外情形同樣有具體規定,這些情形下,可以不需取得個人同意。比如,按行政、司法機關依法提出的要求,以及其他法定義務履行的必需,***享個人信息。跨境電商平臺最可能利用的是“為訂立、履行個人作為壹方當事人的合同所必需”。
但應註意:
1.此情形下,雖然可以不需取得同意,但仍應履行告知義務。
2.目前對於何為“履行合同所必需”界定尚有爭議,在電子商務中告知同意規則例外怎麽適用也缺乏具體意見。建議平臺在設計頁面、開發功能時,特別是針對消費者等個人用戶的個人信息,還是以“告知+同意”作為基本的處理個人信息處理操作流程,慎重以履行合同所必需為由省略相關步驟。
對於平臺常會遇到的商家要求獲取消費者個人信息用於營銷的問題。我認為,向商家提供消費者信息,屬於向第三方提供個人信息,進行營銷明顯超出了履行購買商品合同所必需範圍,應當要求消費者單獨同意。根據相關規範及實踐習慣,建議以彈窗等方式就此事項明確、單獨告知,並要求消費者單獨點擊同意。在彈窗中,應明確告知獲取消費者個人信息商家的名稱、聯系方式、處理目的、處理方式等。如前文所述,此處的處理目的表述應充分、清晰。至於如何避免單獨同意過程過於生硬,引起消費者反感,就要考驗平臺公司的產品經理了。
二、敏感個人信息
敏感個人信息,指壹旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息。
《信息安全技術 個人信息安全規範》(GB/T 35273—2020)對敏感個人信息作出更加詳細的列舉:
跨境電商平臺處理敏感個人信息時應註意:
1.能不收集就不收集,不是非常必要就盡量不向他人提供。根據法規規定,對敏感個人信息的保護更為嚴格,處理要求相當麻煩。公司應落實加密等安全措施,還應事前進行個人信息保護影響評估、制定相應內部管理制度和操作規程。
2.處理敏感個人信息應當取得個人的單獨同意。對於跨境電商平臺,必然要涉及的個人敏感信息就是消費者的身份證信息。在收集身份證信息時,最好有壹個單獨的告知、確認的選項。
三、個人信息保護影響評估
《個人信息保護法》規定了個人信息保護影響評估的法定情形和主要內容。根據規定,開展個人信息保護評估屬於法定義務。有下列情形之壹的,個人信息處理者應當事前進行個人信息保護影響評估,並對處理情況進行記錄:
(壹)處理敏感個人信息;
(二)利用個人信息進行自動化決策;
(三)委托處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息;
(四)向境外提供個人信息;
(五)其他對個人權益有重大影響的個人信息處理活動。
這些情形,跨境電商平臺都常會涉及。
法律規定,個人信息保護影響評估應當包括下列內容:
(壹)個人信息的處理目的、處理方式等是否合法、正當、必要;
(二)對個人權益的影響及安全風險;
(三)所采取的保護措施是否合法、有效並與風險程度相適應。
對於進行個人信息保護影響評估的主體,並沒有嚴格限制,平臺自己有專業能力,可以自己進行。如果感覺自己沒有能力和途徑自行評估,也可以委托第三方機構,比如律師事務所、咨詢公司進行。
四、數據出境
什麽是數據出境?依據相關法規及網信辦有關負責人的表述,《評估辦法》等法規中的數據出境活動主要包括:
1.數據處理者將在境內運營中收集和產生的數據傳輸、存儲至境外。
2.數據處理者收集和產生的數據存儲在境內,境外的機構、組織或者個人可以訪問或者調取。
境內的跨境電商平臺向境外商家提供數據,或者境外公司訪問境內跨境電商平臺收集的數據,都屬於數據出境。
《個人信息保護法》規定了個人信息出境的合規路徑,平臺如確實需要向境外提供個人信息的,可通過以下四條路徑達到合規要求。
(壹)通過安全評估;
(二)進行個人信息保護認證;
(三)按照標準合同與境外接收方訂立合同;
(四)法律、行政法規或者國家網信部門規定的其他條件。
這幾種路徑並非平行關系,而是有先後次序要求。對於跨境電商平臺,首先應該對比《評估辦法》,確定自己是否屬於應進行安全評估的範圍。
按照《評估辦法》的規定,需要進行安全評估的情形有以下幾種:
(壹)數據處理者向境外提供重要數據;
(二)關鍵信息基礎設施運營者;
(三)處理100萬人以上個人信息的數據處理者向境外提供個人信息;
(四)自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息;
(五)國家網信部門規定的其他情形。
跨境電商平臺應盤點所有數據出境有關的情形,統計涉及個人信息數量是否達到或接近上述標準。如果公司屬於需要安全評估範圍,則應在明年2月底之前完成相關評估。
如果公司不屬於需要安全評估範圍,可以通過進行個人信息保護認證、按照標準合同與境外接收方訂立合同這兩種方式進行數據出境活動。至於采取哪種方式,沒有強制要求,由公司根據成本、便捷程度自行選擇。
目前,這兩種方式具體操作的規定在逐步制定之中。2022年11月4日,國家市場監督管理總局、國家互聯網信息辦公室新頒布了《個人信息保護認證實施規則》,進壹步推進個人信息保護認證的有效落地。《個人信息出境標準合同》目前只頒布了征求意見稿,尚無正式實施的文本。但在與外商簽訂合同時,可以參照《個人信息出境標準合同規定(征求意見稿)》的內容,規定個人信息保護相關條款。
_聯系方式:
龔卓 北京華城(上海)律師事務所 律師
具有十余年海關法律實務經驗,主要執業領域為海關法律事務及刑事辯護。
曾在多起重特大走私犯罪案件中承擔辯護工作,並先後擔任多家知名企業的法律顧問,為其提供專項法律服務。撰寫的專業文章多次被《中國海關》雜誌、海關法研究會、中國水產協會等刊載。
電 話(微信):18964028223____