2023年,中国跨境电商进出口总额2.38万亿元,成为我国拉动外贸增长的新动能。跨境电商因其高效便捷的优势成为众多企业拓展海外市场的重要途径。数字时代的跨境出海贸易并非传统商品跨境交易,尤其是在“数字安全”愈发受到各国重视的大背景,跨境电商企业需要高度重视跨境交易的数据合规和隐私安全问题,深入了解各国关于行业数据合规及隐私安全的法律监管要求,提前合理规避“雷区”,避免造成巨大的法律风险。
关键词:跨境电商 数据安全 隐私合规
跨境电商企业合规涵盖商品/服务合规、知识产权保护合规、平台运营操作合规、数据合规、税务合规、贸易合规等方面。
主要由四大主要角色构成:一是跨境电商企业,负责销售商品给国外消费者;二是第三方经营者,如淘宝国际版、京东全球购等平台,助力跨境电商公司更好地展示和销售商品;三是境内服务商,提供物流、支付、清关等服务,确保跨境电商业务顺畅;四是跨境电子商务的消费者,他们通过跨境电商平台购买国外商品。这些角色共同推动了跨境电商行业的繁荣发展。
本文主要从跨境电商企业(即卖方)角度出发,分析其必须提前应对的数据合规和隐私安全法律风险。
跨境电商从进出口方向分为出口跨境电商和进口跨境电商,从交易模式方面分为B2B跨境电商和B2C跨境电商。在跨境电商的经营过程中,企业通常采取两大主流策略:一是选择入驻大型电商平台,二是自主搭建并运营独立的在线商店。
(一)电商平台
电商平台,如亚马逊、eBay等,是一个集结了众多卖家和买家的在线市场。这些平台提供了商品展示、交易处理、支付结算等一系列功能,使得卖家能够轻松地将自己的产品推向全球市场。以亚马逊为例,一个卖家可以通过注册成为亚马逊商家,上传自己的产品图片、描述和价格,然后利用亚马逊的物流、支付和客户服务系统来完成订单处理和客户沟通。这种方式下,卖家无需自行搭建和维护网站,只需要专注于产品的质量和市场推广。
(二)独立站SaaS服务
独立站SaaS服务就如同卖家的私人助手,能协助卖家快速搭建并运营自己的在线商店。这些服务提供一系列强大的功能,比如网站设计、商品管理、订单处理和支付等功能,让卖家能够轻松地拥有一个完全定制化的在线销售平台,例如Shopify这样的知名服务商,卖家可以轻松选择各种现成的网站模板,然后根据自己的喜好和需求进行个性化设置,此外,Shopify还提供了现成的插件和工具,这些工具能够帮卖家做营销、分析数据等工作。
两种模式下,卖家都需要在遵循平台规则的同时,确保商品质量、交易安全以及符合各国法律法规。这是因为跨境电商涉及到不同国家和地区的消费者,不同地区的法律法规、消费习惯和文化差异都可能对卖家的经营产生影响。因此,卖家需要密切关注市场动态和政策变化,及时调整经营策略,以确保业务的合规性和可持续性。
(一)国内对跨境电商企业数据合规和隐私安全的监管要求
随着《数据安全法》和《个人信息保护法》的正式实施,企业被赋予了明确的法定义务,即在进行数据处理活动时必须确保数据的安全与合规。若企业未能履行这些合规要求,特别是在涉及数据跨境传输时,将面临严重的违法风险。以下是对国内数据跨境传输相关规范的梳理,旨在帮助企业深入理解并遵守这些法律法规,从而有效降低潜在的法律风险:
(二)国外对跨境电商企业数据合规和隐私安全的监管要求
因为跨境电商属于国际贸易,跨境电商的进出口业务必须符合相关的国际贸易规则,此外跨境电商企业还应了解目标市场国家的贸易政策和技术标准,以满足不同国家或地区的具体相关要求。下面介绍几个常见的境外法条。
(1)欧盟《通用数据保护条例》
2016年,欧盟通过一项涵盖个人信息保护的综合性法律。《通用数据保护条例》(GDPR)于2018年生效,取代了之前的数据保护条令(DPD)。这项法律的主要目标是针对整个欧盟的数据提供独立的、统一的法律,从而增强最初由DPD提供的个人隐私保护。在跨境传输信息时,应特别关注GDPR。需要在其子公司之间进行跨境信息传输的组织有两种方式来遵守欧盟法规。
①组织可以采用一套标准合同条款,这些条款已获准用于将信息传输到欧盟之外的情况。这些条款可在欧盟网站找到并集成到合同中。
②组织可以采用具有约束力的公司规则来管理同一公司内部单位之间的数据传输。这是一个非常耗时的过程,而这些规则必须得到每个将要使用它们的欧盟成员国的批准,所以通过这个方法只被规模非常大的组织所采用。
(2)州隐私法
《加州消费者隐私法案》(CCPA)是各个州先制定的隐私法规,这些法规在全国范围内传播,最终可能成为联邦法律的范本。加州于2018年通过了这项全面的隐私法,该法案以欧盟的GDPR为蓝本,于2020年生效,为消费者提供了下列权利:了解企业正在收集哪些信息以及组织如何使用和共享该信息的权利;内遗忘的权利,允许消费者在某些情况下要求组织删除他们的个人信息;选择不出售其个人信息的权利;行使其隐私权的权利,而不必担心因使用而受到歧视或报复。照此趋势,其他州可能会效仿加州的模式,并在未来几年内推出广泛的隐私法。值得注意的是,2024年2月28日,拜登政府依据《国际紧急经济权利法》(IEEPA)发布了一项保护美国人个人敏感数据免遭“受关注国家”利用的行政命令,从已有的信息可以判断,美国政府决意切断某些敏感数据向中国和其他几个同样被美国视为“外国敌手”的国家的跨境传输。
(3)加拿大隐私法
加拿大法律影响于加拿大居民有关的个人信息的处理。其中最主要的是《个人信息保护和电子文件法》(PIPEDA),它是一项限制商业公司如何收集、使用和披露个人信息的国家法律。总体来说,PIPEDA包含了个人可识别的个人信息,通常不适用于非营利组织、市政当局、学校和医院。
(一)刑事责任风险
如果企业未能确保数据安全和合规性,并因此涉嫌犯罪,那么单位犯罪的认定将变得复杂。司法机关在评估时会考虑多个因素,如企业是否以单位名义实施犯罪、是否经过单位集体决策、是否为单位谋取不正当利益或违法所得是否主要归单位所有,以及单位负责人是否知情等。然而,如果企业在案发前已经建立了有效的内部风险控制和合规管理机制,明确了员工行为的合规边界,并对违规行为设定了明确的惩戒措施,那么员工违反企业规章制度进行的违规操作可能被视为个人行为,而非单位行为。这有助于企业有效隔离合规问题引发的刑事责任风险,减少因员工个人行为导致的单位整体法律风险。
【案例】甘肃省兰州市中级人民法院(2017)甘01刑终89号刑事裁定书
基本事实:
2011年至2013年9月,上诉人郑某、杨某分别担任雀巢(中国)有限公司西北区婴儿营养部市务经理、兰州分公司婴儿营养部甘肃区域经理期间,为了抢占市场份额,推销雀巢奶粉,授意该公司兰州分公司婴儿营养部员工上诉人杨某某、李某某、杜某某、孙某通过拉关系、支付好处费等手段,多次从某医院等多家医院医务人员手中非法获取公民个人信息。上诉人王某某、丁某某、杨某甲利用职务便利,将其在工作中收集的公民个人信息非法转售。
法院认定:
单位犯罪是为本单位谋取非法利益之目的,在客观上实施了由本单位集体决定或者由负责人决定的行为。雀巢公司政策、员工行为规范等证据证实,雀巢公司禁止员工从事侵犯公民个人信息的违法犯罪行为,各上诉人违反公司管理规定,为提升个人业绩而实施犯罪为个人行为”,因此不认定为单位行为。
因此对于跨境电商企业而言,提前搭建并有效落实合规管理体系和内部控制机制,一方面能提升公司治理水平,另一方面也能为潜在的刑事责任法律风险建立防火墙,降低单位因员工的违法行为被牵连承担刑事责任的风险。
(二)民事责任风险
如果跨境电商企业在日常运营中未能充分重视并落实数据安全合规工作,一旦监管部门开展执法检查,企业将面临被动应对的局面。更为严重的是,这些企业在处理数据时往往涉及大量消费者的个人信息。随着《个人信息保护法》的实施,如果消费者的个人信息被滥用或不当泄露,极可能触发广泛的投诉甚至集体诉讼。这种情况将对企业的声誉和经营带来严重影响。因此,跨境电商企业必须高度重视数据安全合规工作,确保消费者的个人信息得到妥善保护。
【案例】重庆市第一中级人民法院(2021)渝01民初308号民事调解书
基本事实:
2020年7月14日,重庆市沙坪坝区西部物流园一冷冻仓库部分厄瓜多尔进口冻南美白虾外包装,经新冠病毒核酸检测呈阳性,相关部门迅速组织涉事产品及购买人员进行核酸检测。7月16日,某企业营销策划有限公司将一份名为《重庆已购进口白虾顾客名单》的文章发布在其管理的微信公众号,并附相关名单下载链接。该名单含10979名消费者的住址(具体到小区附近的购买门店)、电话、姓名、身份证号等个人信息。本案中,重庆市消委会作为原告,以某企业营销策划有限公司未经授权擅自发布其个人信息为由,向人民法院提起诉讼,要求某企业营销策划有限公司公开道歉并以行为填补公共利益损害。
法院认定:
维护社会公共利益为公益诉讼制度的本质和目的,即通过公益诉讼使侵权人承担适当民事责任以救济、维护被侵害的社会公共利益,并消弭公共利益继续受损的风险。而被告的行为损害社会公共利益主要表现在破坏了积极、安全、稳定、有序的市场交易环境,调解协议约定由其通过开展消费领域公益宣传活动的方式弥补被其侵害的社会公共利益,即以行为填补损害,不违反法律规定,且具有一定合理性和可行性
(三)行政责任风险
基本事实:滴滴公司共存在16项违法事实,归纳起来主要是8个方面。一是违法收集用户手机相册中的截图信息1196.39万条;二是过度收集用户剪切板信息、应用列表信息83.23亿条;三是过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条;四是过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置(经纬度)信息1.67亿条;五是过度收集司机学历信息14.29万条,以明文形式存储司机身份证号信息5780.26万条;六是在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条;七是在乘客使用顺风车服务时频繁索取无关的“电话权限”;八是未准确、清晰说明用户设备信息等19项个人信息处理目的。
行政处罚结果:
国家互联网信息办公室依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规,对滴滴全球股份有限公司处人民币80.26亿元罚款,对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。
此外,除了前面提到的因忽视数据安全合规工作而可能面临的刑事民事及行政责任外,我们还必须注意到一个不容忽视的趋势:违反境外贸易政策引发的数据纠纷案件正在逐渐增多。
【案例】Meta因违反欧盟GDPR被罚逾4亿美元
基本事实:
2023年5月22日,《华尔街日报》援引知情人士消息称,脸书(Facebook)的母公司Meta因将用户信息发送至美国,被欧盟隐私监管机构罚款13亿美元,超过2021年亚马逊的8亿美元罚款额。这笔罚款是根据欧洲标志性数据隐私法《通用数据保护条例》(GDPR)所征收的最高额罚款。
法院认定:
Meta的侵权行为被认为非常严重,因为它涉及系统性、重复性和持续性的数据转移。根据GDPR 第4条第11 项对于“同意”的定义“数据主体通过一个声明,或者通过某项清晰的确信行动而自由做出的、充分知悉的、不含混的、表明同意对其相关个人数据进行处理的意愿。”一般认为知情同意是个人信息收集的前提,且在各国实践中信息主体同意广泛作为个人信息收集、处理的合法性基础。对于儿童,GDPR 第 8 条规定,只有取得监护主体同意或授权的数据处理才是合法的,即在 GDPR 规则下,监护人不仅有权代为行使儿童享有的同意权,还被赋予以自己的名义对于针对儿童个人信息的收集处理行为做出最终授权的权利。
综上,对于跨境电商企业而言,提前搭建并有效落实合规管理体系和内部控制机制,一方面能提升公司治理水平,另一方面也能为潜在的刑事责任法律风险建立防火墙,降低单位因员工的违法行为被牵连承担刑事责任的风险。
随着国家对数据安全监管力度的不断加强,多个政府部门如网信办、工信部、公安部,以及非官方的消费者保护协会和网络安全治理组织,都在持续强化对数据合规的监管。
1、企业自评估
首先,企业需要详细梳理目标国的法律法规及行业政策,尤其是与企业出海业务紧密相关的法律条款和案例,以明确监管政策对企业业务的影响。接着,企业需进行自查,确保数据出境的合法性。这要求企业对数据进行分类和分级,以明确不同类型数据的出境要求,并依据《数据出境安全评估方法》等法规,对数据进行自评估。自评估需考虑数据的合法性、正当性、必要性,以及数据出境可能带来的风险,如国家安全、公共利益、个人或组织权益的损害。同时,还需考虑是否与境外第三方约定了数据安全保护责任,并评估数据在出境和入境过程中可能遭遇的安全风险。只有当所有数据出境的要求均得到满足,且技术措施能有效降低风险时,数据方可安全出境。对于涉及重要数据的情形,企业可提交至司法部司法协助交流中心进行审核。此外,企业还需遵循政府申报程序,尤其是针对关键信息基础设施运营者,以确保数据出境的合规性。
2、分析合规差异
进行合规差异分析。通过对目标国重点领域的法律规定、行业规则进行比较研究,找到合规要求存在的差异。例如目标国产品安全标准概况以及与中国的差异,目标市场的产品技术法规、标准与中国的差异,目标国市场产品进口程序及相关要求等。向境外提交证据时,应避免完全不考虑《个人信息保护法》和《数据安全法》,直接向境外提交证据的极端做法;如果该证据涉及重要数据,则可能带来违反数据出境监管的处罚后果。
3、跨境电商收集、利用客户信息合规
针对企业出海业务的现状,进行业务流程风险场景的识别。这包括从设立公司、注册及资质获取、商品上架、店铺运营、备货与发货、跨境税务处理、收款到监管数据申报等各个环节,形成一套全面的合规风险框架。以我们服务的一家食品企业出海项目为例,我们分析了可能涉及的合规风险,如产品违法或违反强制性标准、标签与实际不符、食品失效或变质处理不当、食品污染或破损未及时发现以及产品说明或广告违法等。同时,特别注重数据隐私和安全,卖家在处理消费者数据时,必须严格遵守数据隐私和安全法规,确保个人信息安全。在数据共享过程中,应遵循最小化、必要性原则,明确需要分享给第三方的个人数据范围,并评估第三方数据保护能力,最终通过数据处理协议明确责任与义务。卖方作为电商运营的最终负责人,需与平台和第三方明确安全与合规的边界,制定内部规范约束员工行为,并选择与数据敏感程度相匹配的加密措施,以确保跨境电商场景下的数据安全与合规。
“合规是红线,安全是底限”,各国都在不断通过各种立法来规范数字化经济的发展,确保对于数据的主权、维护核心数据资产的安全、保护个人隐私、促进数据必要的合法流动和共享、以及减少广义供应链风险。而面对日益复杂的国际环境和日益严格的监管趋势,合规成为跨境电商出海的必修课。在跨境电子商务交易不可避免牵涉线上消费者个人数据的情况下,对个人信息及隐私的法律保护日益严密。具体而言,跨境电商企业应根据我国的《个人信息保护法》、《数据安全法》等相关法律法规及欧盟的《通用数据保护条例》等国际标准,采取合法、正当方式收集数据,对数据资产情况进行充分了解,建立内部数据分类分级制度并实行对应的保护措施,进行数据安全风险监测及处置,定期开展风险评估,进行内部自查,以保障客户个人信息数据的安全,完善企业的合规建设。
张雪
■ 北京市盈科(深圳)律师事务所 律师
■ 执业领域:劳动争议、民商事经济纠纷争议解决、数字资产与数据合规
排版:陈柏因
