正当社会各界认为网信办和网安办的监管已是一记重拳之后,7月16日,一则“七部门进驻调查”的消息纷纷刷屏,正所谓“字数越少,信息量越大”,网信办会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监管总局等部门联合进驻该网约车平台企业,“七龙珠”的超规格参与,向原本就暗流涌动的市场投入一颗巨石引发千重浪,不少企业暂停甚至撤回赴美上市计划。本次多部门合力开展网络安全审查,进一步证明了监管的强硬态度、力度和范围。面对本次如此高规格的安全审查以及释放出来的强监管信号,涉及大量数据运营的互联网企业该何去何从。
跨境电商业务涉及数据环节简析
在跨境电商活动全生命周期流程中,境内外消费者、跨境电商企业、支付机构、平台企业、物流企业等主体在线上及线下场景深度交织,形成诸多主体之间的数据交互关系。
以某出口跨境电商巨头为例,独立站沉淀的数据成为企业的护城河。该企业把握住自己的私域流量池,SimilarWeb数据显示,该平台独立站的直接流量占了37.12%,目前拿下了全球快时尚品牌移动端一半的日用户活跃数。一件基于其自身和第三方数据设计的新产品,在网站上架后,即刻开始获取用户行为数据(如多少人浏览了产品细节,多少人将产品加入了购物车)。基于浏览、点击和销售,数据经过算法处理后立即更新到工厂车间,如需更多面料则会自动下单订购。算法还会更新权重,将产品推荐给更多画像相似的用户。最后,该出口跨境电商企业凭借数据分析演化成了一个很懂消费者的智能大脑。
我们通过下表简要分析跨境电商经营过程中经历的数据收集、数据使用、数据管理和数据流转环节。
跨境电商如何在合法合规的前提下,最大化利用信息和数据,便成为备受瞩目的法律议题。
《网络安全审查办法》
对跨境电商企业的监管
1
《网络安全审查办法》与《网络安全审查办法(修订草案征求意见稿)》重要条款对比
2
《网络安全审查办法(修订草案征求意见稿)》监管范围:
我们总结修订草案征求意见稿的监管范围如下:
①关键信息基础设施运营者采购网络产品和服务
按照《网络安全法》以及《关键信息基础设施安全保护条例(征求意见稿)》,“关键信息基础设施”是指一旦遭到破坏、丧失功能或数据泄露,可能严重危害国家安全、国计民生、公共利益的网络设施和信息系统。《网络安全法》第三十一条和《关键信息基础设施安全保护条例(征求意见稿)》第十八条均列举了可能被识别为关键信息基础设施的行业和领域,包括政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位;电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位;国防科工、大型装备、化工、食品药品等行业领域科研生产单位;广播电台、电视台、通讯社等新闻单位和其他重点单位。(行业和领域内部的细分可参考《关键信息基础设施业务判定表》)
总体而言,若企业运营的网络设备遭到破坏、丧失功能或者数据泄露后,可能严重危害到国家安全、国计民生、公共利益的,则这些企业很有可能会被认定为关键信息基础设施运营者。那么,其在采购网络产品和服务时需要注意,如果所采购的产品或服务有可能影响到国家安全的,就可能会受此修订草案征求意见稿的规制。
②数据处理者开展数据处理活动,影响或可能影响国家安全的
修订草案征求意见稿明确要求“数据处理者开展数据处理活动,影响或可能影响国家安全的”应进行网络安全审查,该制度是《数据安全法》第二十四条“数据安全审查制度”具体监管体现。
③掌握超过100万用户个人信息的运营者赴国外上市
3
根据修订草案征求意见稿的规定,网络安全审查办公室应当自收到审查申报材料起,10个工作日内确定是否需要审查并书面通知运营者。
修订草案征求意见稿新增国家安全风险的考量因素,主要是核心数据、重要数据或者大量个人信息被窃取、泄露、损毁、非法利用或出境的风险,以及国外上市后关键信息基础设施,核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险。
4
跨境电商企业的合规建议
对于跨境电商企业而言,数据合规势在必行。面对严格的监管趋势,企业应当完善用户信息的个人信息保护制度及数据安全制度,根据法律要求和行业良好实践及时审视自身的合规状况。对此,我们提出以下建议:
个人信息出境规范性文件对跨境电商的监管
以下将分析跨境电商“本地信息布署+跨境运输评估”的监管模式。
个人信息的境内储存原则
《网络安全法》第三十七条规定,关键信息基础设施的运营者在中国境内运营中收集和产生的个人信息和重要数据应当在境内储存。虽然目前跨境电商行业中关键信息基础设施运营者的范围仍未落定,考虑到跨境电商企业在日常业务中涉及体量较大的个人(敏感)信息,仍然有可能被认定为关键信息基础设施运营者,相应地则可能需要履行个人数据本地化的义务。《个人信息和重要数据出境安全评估办法(征求意见稿)》第2条规定,网络运营者在中华人民共和国境内运营中收集和产生的个人信息,应当在境内储存。
个人信息出境主要规制框架
根据《网络安全法》及2017年、2019年先后公布两部关于数据出境安全评估办法的征求意见稿的规定,经营者在将个人信息出境之前,应当依法办理安全评估手续。具体而言,《网络安全法》对个人信息出境的安全评估做出原则性规定,“因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”。而2019年公布的《个人信息出境安全评估办法(征求意见稿)》系专门针对个人信息出境,且相比2017年公布的《个人信息和重要数据出境安全评估办法(征求意见稿)》而言,2019年的征求意见稿对安全评估框架、评估流程、评估材料申报要求等做了较大调整。因此,以下主要以2019年公布的《个人信息出境安全评估办法(征求意见稿)》(以下简称“《2019年征求意见稿》”)为基础,梳理个人信息出境前的安全评估手续及注意点。
根据《2019年征求意见稿》第三条规定,个人信息出境前,网络运营者应当向所在地省级网信部门申报个人信息出境安全评估。根据《网络安全法》第七十六条的规定,“网络运营者”是指网络的所有者、管理者和网络服务提供者。
根据《2019年征求意见稿》第六条规定,在个人信息出境安全评估过程中,网信部门重点评估以下内容:
①是否符合国家有关法律法规和政策规定。
②信息出境合同条款能否充分保障个人信息主体合法权益。
③合同能否得到有效执行。
④网络运营者或接收者是否有损害个人信息主体合法权益的历史、是否发生过重大网络安全事件。
⑤网络运营者获得个人信息是否合法、正当。
⑥其他应当评估的内容。
从内容上来看,网信部门重点评估点在于网络运营者获取个人信息的合法正当性、以及网络运营者与境外接收者对个人信息主体合法权益的保护能力、个人信息出境合同的可执行性。反之,如果网络运营者或接收者无力保障个人信息安全,或者网络运营者或接收者发生较大数据泄露、数据滥用等事件时,网信部门可以要求网络运营者暂停或终止向境外提供个人信息。
个人信息违法出境的法律责任
总结
网安办一系列网络安全审查行动,有效地激活了网络安全审查制度。《网络安全审查办法(修订草案征求意见稿)》将数据处理活动和国外上市纳入到网络安全审查制度,防范新型国家安全风险。个人信息出境规范性文件也使得网络运营者在数据跨境转移时将面临“安全评估义务”。相信伴随着《数据安全法》9月1日的生效,数据安全审查会越来越频繁,对于防范新型国家安全风险具有重要意义,跨境电商企业也应当加强合规风险意识,采取合规措施。