跨境电商企业传输个人信息出境合规指南
一、境内储存原则与义务主体扩展
根据《个人信息保护法》(以下简称《个保法》),明确要求关键信息基础设施运营者及处理个人信息达到特定数量的主体,需将境内收集的个人信息存储在国内。
《个保法》第四十条规定,跨境电商业务中确需向境外提供个人信息时,必须通过国家网信部门组织的安全评估。即便未被认定为关键信息基础设施运营者,若所处理的个人信息量达到国家规定的标准,跨境电商仍需履行数据本地化义务。
具体而言,《个人信息和重要数据出境安全评估办法(征求意见稿)》曾提出,出境信息涉及50万人以上的个人信息时需报请安全评估,但最终标准尚待国家网信部门进一步明确。
二、个人信息出境的主要规制框架
依据《网络安全法》,个人信息出境应遵循国家网信部门会同国务院有关部门制定的安全评估办法。《个保法》第三十八条进一步明确了个人信息出境条件:
- 通过国家网信部门组织的安全评估;
- 按照规定经专业机构认证个人信息保护能力;
- 与境外接收方签订符合国家标准的合同,明确双方权利义务;
- 满足法律或行政法规规定的其他条件。
此外,个人信息处理者需提前告知个人境外接收方相关信息,并取得单独同意,同时进行事前影响评估并记录处理情况。
三、违法出境的法律责任
《个保法》加大了对违法行为的惩处力度,最高可罚款5000万元或上一年度营业额的5%。情节严重者可能被责令停业整顿甚至吊销营业执照。
建议跨境电商企业参照相关法规意见稿,建立内部自查机制和完善的用户信息保护制度,降低数据出境风险。
四、境内服务商处理敏感个人信息
以支付企业为例,其在跨境电商流程中会处理大量敏感个人信息,如用户金融产品使用习惯、消费偏好等数据。
《个保法》对此类敏感信息处理的规定包括:具有明确目的和必要性、采取严格保护措施、取得单独同意等。处理敏感信息前,还需特别告知其必要性和对个人权益的影响。
当前,跨境电商零售进口模式多依赖第三方支付机构完成“快捷通道方式”支付。因此,支付企业在处理敏感信息时应强化合规操作,确保签订必要协议,充分保障用户隐私权。
综上所述,随着监管措施不断推进,跨境电商全生态链各主体需深入理解《个人信息保护法》及相关配套规范,构建成熟合规体系,推动数字治理新生态发展。
作者简介:冯晓鹏 李思然(金杜律师事务所)
来源:中国海关杂志
