跨境電商(shāng)企業傳輸個人信息出境
個人信息的境内儲存原則
《個保法》明确了個人信息跨境提供的基本規則。在此之前,《網絡安全法》、《個人信息和重要數據出境安全評估辦法(征求意見稿)》等均規定了個人信息的境内儲存原則。
《個保法》第四十條規定,關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者,應當将在中(zhōng)華人民共和國境内收集和産生(shēng)的個人信息存儲在境内。确需向境外(wài)提供的,應當通過國家網信部門組織的安全評估;法律、行政法規和國家網信部門規定可以不進行安全評估的,從其規定。
《關鍵信息基礎設施安全保護條例》中(zhōng)規定,重要行業、領域的主管部門和監督管理部門負責認定該行業、領域的關鍵信息基礎設施。目前跨境電商(shāng)行業中(zhōng)關鍵信息基礎設施運營者的範圍仍未落定,考慮到跨境電商(shāng)企業在日常業務中(zhōng)涉及體(tǐ)量較大(dà)的個人(敏感)信息,仍然有可能被認定爲關鍵信息基礎設施運營者,相應地則可能需要履行個人數據本地化的義務。
《個人信息保護法》在《網絡安全法》第三十七條規定的基礎上,增加了“處理個人信息達到國家網信部門規定數量的個人信息處理者”這一(yī)主體(tǐ),使得個人信息境内儲存原則承擔的主體(tǐ)範圍擴大(dà)。即使不構成關鍵信息基礎設施運營者,跨境電商(shāng)若所處理的個人信息達到了國家網信部門所規定的數量,仍然需要履行個人數據本地化的義務。對于數量标準,可供參考的是《個人信息和重要數據出境安全評估辦法(征求意見稿)》第九條的相關規定,其要求出境信息中(zhōng)含有或累計含有50萬人以上的個人信息應報請行業主管或監管部門組織安全評估。但就《個人信息保護法》下(xià)的該等數量标準,尚有待網信部門後續出台進一(yī)步的細化規定。
因此,對于涉及密集個人數據的跨境電商(shāng)企業而言,無論是否會被歸類爲關鍵信息基礎設施運營者,都有可能履行個人信息跨境傳輸要求的義務。
個人信息出境主要規制框架
《網絡安全法》對個人信息出境的安全評估做出原則性規定,“因業務需要,确需向境外(wài)提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估;法律、行政法規另有規定的,依照其規定。”。而2019年公布的《個人信息出境安全評估辦法(征求意見稿)》對安全評估框架、評估流程、評估材料申報要求等做了較明确的規定。本次《個人信息保護法》正式确立了個人信息出境的條件。
《個保法》第三十八條規定,個人信息處理者因業務等需要,确需向中(zhōng)華人民共和國境外(wài)提供個人信息的,應當具備下(xià)列條件之一(yī):
● 依照本法第四十條的規定通過國家網信部門組織的安全評估;
● 按照國家網信部門的規定經專業機構進行個人信息保護認證;
● 按照國家網信部門制定的标準合同與境外(wài)接收方訂立合同,約定雙方的權利和義務;
● 法律、行政法規或者國家網信部門規定的其他條件。
個人信息處理者應當采取必要措施,保障境外(wài)接收方處理個人信息的活動達到本法規定的個人信息保護标準。
同時,個人信息處理者向中(zhōng)華人民共和國境外(wài)提供個人信息的,應當向個人告知(zhī)境外(wài)接收方的名稱或者姓名、聯系方式、處理目的、處理方式、個人信息的種類以及個人向境外(wài)接收方行使本法規定權利的方式和程序等事項,并取得個人的單獨同意。
個人信息處理者應當事前進行個人信息保護影響評估,并對處理情況進行記錄。
個人信息違法出境的法律責任
《個保法》對違法行爲加大(dà)懲處力度,設置了嚴格的法律責任。例如,違反本法規定處理個人信息,或者處理個人信息未履行本法規定的個人信息保護義務的,情節嚴重的,由省級以上履行個人信息保護職責的部門責令改正,沒收違法所得,并處五千萬元以下(xià)或者上一(yī)年度營業額百分(fēn)之五以下(xià)罰款,并可以責令暫停相關業務或者停業整頓、吊銷相關業務許可或者營業執照(第六十六條)。《個保法》還增加了“記入信用檔案”的處罰機制(第六十七條),相比于《網絡安全法》等相關規定,《個保法》對個人信息相關的違法行爲處罰力度更大(dà)。
爲了降低個人信息出境風險,我(wǒ)們建議跨境電商(shāng)企業參照《信息安全技術—數據出境安全評估指南(nán)(征求意見稿)》的相關規定框架進行内部自查,并建立完善的用戶信息保護制度。
境内服務商(shāng)處理敏感個人信息
以支付企業爲例,跨境電商(shāng)的第三方支付業務開(kāi)展流程中(zhōng)往往會涉及到敏感個人信息的處理,例如用戶的金融産品使用習慣和消費(fèi)習慣數據,并結合既有的平台數據對用戶進行分(fēn)析并形成用戶畫像,基于用戶畫像針對用戶開(kāi)展金融營銷活動,爲用戶提供推薦其可能感興趣的商(shāng)品或者金融服務。對于該等金融數據的處理,可能對用戶的個人信息權益産生(shēng)一(yī)定的影響。
根據《個保法》,支付企業在處理敏感個人信息需要遵守的規則主要包括:
01
需具有特定的目的和充分(fēn)的必要性,并采取嚴格保護措施。
02
需要取得個人的單獨同意;法律、行政法規另有規定需取得書(shū)面同意的,或者規定處理敏感個人信息應取得相關行政許可或者作出其他限制的,從其規定。
03
在告知(zhī)内容方面,需特别向個人告知(zhī)處理敏感個人信息的必要性以及對個人權益的影響。
在《個保法》頒布出台之前,《數據安全法》、《非銀行支付機構條例(征求意見稿)》、《信息安全技術 個人信息安全規範》等法律法規也對支付企業的用戶個人隐私數據保護提出要求,相關規定進行梳理如下(xià):
對于跨境電商(shāng)零售進口而言,目前“以境内跨境電商(shāng)平台爲核心、以支付機構爲輔助服務”的模式已将大(dà)量“金額小(xiǎo)、頻(pín)率高、反應快”跨境電商(shāng)支付更多依托于第三方支付機構的“快捷通道方式”。支付企業在處理用戶敏感信息時要具有特定的目的和充分(fēn)的必要性,并采取嚴格保護措施,并通過簽訂個人信息及用戶隐私協議等方式符合“取得個人單獨同意”、“向個人告知(zhī)處理敏感個人信息的必要性及影響”等的合規要求。
可以期待,後續随着監管執法舉措的不懈推進,個人信息合法權益受保護、個人信息處理活動受規範、個人信息合理利用受促進的數字治理新生(shēng)态将愈發成熟。與此同時,《個人信息保護法》對海關等政府部門、跨境電商(shāng)企業、平台企業、境内服務商(shāng)等主體(tǐ)都提出了新的合規要求。對《個人信息保護法》及配套規範體(tǐ)系的深入認識,和一(yī)套成熟個人信息保護合規制度體(tǐ)系,對跨境電商(shāng)全生(shēng)态鏈的主體(tǐ)來說,将是重中(zhōng)之重。
|
Copyright @ 2021 廣州埔江貿易有限公司
聯系人:餘先生(shēng) 電話(huà):15919686214 地址:廣州黃埔區俊雅北(běi)街3号恒大(dà)領秀中(zhōng)心511房 備案号: |
熱線電話(huà)
15919686214
上班時間
周一(yī)到周五(法定假日除外(wài))
8:30-18:30
公司電話(huà)
專員(yuán):餘先生(shēng)
TEL:15919686214