(网经社讯)7月2日,国家互联网信息办公室(以下简称“网信办”)下属网络安全审查办公室(以下简称“网安办”)发布公告,对某国内知名网约车平台互联网企业启动网络安全审查,审查期间该平台停止新用户注册。该消息一出,即引起高度关注。在网安办启动网络安全审查的一周后,网信办随即于7月10日发布《网络安全审查办法(修订草案征求意见稿)》(以下简称“修订草案征求意见稿”),规定“掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。”
正当社会各界认为网信办和网安办的监管已是一记重拳之后,7月16日,一则“七部门进驻调查”的消息纷纷刷屏,正所谓“字数越少,信息量越大”,网信办会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监管总局等部门联合进驻该网约车平台企业,“七龙珠”的超规格参与,向原本就暗流涌动的市场投入一颗巨石引发千重浪,不少企业暂停甚至撤回赴美上市计划。本次多部门合力开展网络安全审查,进一步证明了监管的强硬态度、力度和范围。面对本次如此高规格的安全审查以及释放出来的强监管信号,涉及大量数据运营的互联网企业该何去何从。
随着大数据时代的到来,数据审查与合规愈发成为监管重点。数据收集、使用、管理和流转过程中涉及的国家安全和个人隐私问题触碰着监管者和企业的敏感神经。尽管本次受监管的商业平台属于境内的网络服务交易平台,涉及国家地理、道路、交通、人员出行等敏感信息,跨境电商企业绝不能掉以轻心,亟需关注数据审查和监管合规的最新发展,关注相关立法进展及实务动向。跨境电商作为大数据时代中的“重数据资产”企业,掌握海量用户购买消费记录和隐私信息,及涉及信息出境问题,更应该注重日常数据运营及国外上市的合法合规。本文拟从跨境电商日常数据运营环节出发,结合《网络安全法》、《网络安全审查办法(修订草案征求意见稿)》、以及个人信息出境有关规范性文件的梳理,分析跨境电商企业在数据审查和合规中常见的监管要求。
跨境电商业务涉及数据环节简析
在跨境电商活动全生命周期流程中,境内外消费者、跨境电商企业、支付机构、平台企业、物流企业等主体在线上及线下场景深度交织,形成诸多主体之间的数据交互关系。
以某出口跨境电商巨头为例,独立站沉淀的数据成为企业的护城河。该企业把握住自己的私域流量池,Similar Web数据显示,该平台独立站的直接流量占了37.12%,目前拿下了全球快时尚品牌移动端一半的日用户活跃数。一件基于其自身和第三方数据设计的新产品,在网站上架后,即刻开始获取用户行为数据(如多少人浏览了产品细节,多少人将产品加入了购物车)。基于浏览、点击和销售,数据经过算法处理后立即更新到工厂车间,如需更多面料则会自动下单订购。算法还会更新权重,将产品推荐给更多画像相似的用户。最后,该出口跨境电商企业凭借数据分析演化成了一个很懂消费者的智能大脑。
我们通过下表简要分析跨境电商经营过程中经历的数据收集、数据使用、数据管理和数据流转环节。
跨境电商活动全生命周期流程与数据紧密相关,对用户信息的分析利用和掌握成为跨境电商企业的重要竞争内核,数据信息成为企业的重要估值标准。不少跨境电商出口企业因受制于原有第三方平台对核心数据的掌控,纷纷在境外设立独立站,以便获悉准确的数据用户画像,做到用户沉淀。
跨境电商如何在合法合规的前提下,最大化利用信息和数据,便成为备受瞩目的法律议题。
《网络安全审查办法》
对跨境电商企业的监管
如上文所述,跨境电商业务中涉及大量包括个人信息在内的重要数据,跨境电商企业在日常业务或上市过程中是否同样会受到网络安全审查,是当下跨境电商从业者关注的话题。以下,我们将分析《网络安全审查办法》对跨境电商企业的监管。
1、《网络安全审查办法》与《网络安全审查办法(修订草案征求意见稿)》重要条款对比
2、《网络安全审查办法(修订草案征求意见稿)》监管范围:
我们总结修订草案征求意见稿的监管范围如下:
① 关键信息基础设施运营者采购网络产品和服务
按照《网络安全法》以及《关键信息基础设施安全保护条例(征求意见稿)》,“关键信息基础设施”是指一旦遭到破坏、丧失功能或数据泄露,可能严重危害国家安全、国计民生、公共利益的网络设施和信息系统。《网络安全法》第三十一条和《关键信息基础设施安全保护条例(征求意见稿)》第十八条均列举了可能被识别为关键信息基础设施的行业和领域,包括政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位;电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位;国防科工、大型装备、化工、食品药品等行业领域科研生产单位;广播电台、电视台、通讯社等新闻单位和其他重点单位。(行业和领域内部的细分可参考《关键信息基础设施业务判定表》)
总体而言,若企业运营的网络设备遭到破坏、丧失功能或者数据泄露后,可能严重危害到国家安全、国计民生、公共利益的,则这些企业很有可能会被认定为关键信息基础设施运营者。那么,其在采购网络产品和服务时需要注意,如果所采购的产品或服务有可能影响到国家安全的,就可能会受此修订草案征求意见稿的规制。
② 数据处理者开展数据处理活动,影响或可能影响国家安全的
修订草案征求意见稿明确要求“数据处理者开展数据处理活动,影响或可能影响国家安全的”应进行网络安全审查,该制度是《数据安全法》第二十四条“数据安全审查制度”具体监管体现。
③ 掌握超过100万用户个人信息的运营者赴国外上市
根据《国家网络安全检查操作指南》在认定关键信息基础设施时的考量因素分析得知,在认定个人信息数量时,以个人信息主体数量为参考维度,包括“注册用户数超过1000万”、“活跃用户(每日至少登录一次)数超过100万”、“造成超过100万人个人信息泄露”等。鉴于《国家网络安全检查操作指南》与修订草案征求意见稿具有类似的立法目的,即对可能影响个人数量较多的实体或者活动(包括但不限于赴国外上市)进行严格监管,以保障经济和民生利益,意见稿中的“100万用户个人信息”指100万自然人个人信息的可能性较高。
综上,考虑到跨境电商企业在日常业务中涉及体量较大的个人(敏感)信息,如用户在购物时注册需提供的姓名、电话、地址等,该企业有可能被认定为关键信息基础设施运营者。鉴于修订草案征求意见稿新增数据处理者为监管对象主体,因此我们理解,即使跨境电商企业不落入或者不确定是否落入关键信息基础设施运营者范围,若开展数据处理行为且达到影响或可能影响国家安全的标准,也有较高概率落入修订草案征求意见稿的监管范围。
3、监管的审查时间与审查因素
根据修订草案征求意见稿的规定,网络安全审查办公室应当自收到审查申报材料起,10个工作日内确定是否需要审查并书面通知运营者。
修订草案征求意见稿新增国家安全风险的考量因素,主要是核心数据、重要数据或者大量个人信息被窃取、泄露、损毁、非法利用或出境的风险,以及国外上市后关键信息基础设施,核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险。
如果认为需要开展网络安全审查的,自向运营者发出书面通知之日起30个工作日内完成初步审查,情况复杂的可以延长15个工作日。网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门自收到审查结论建议之日起15个工作日内向运营者书面回复意见。网络安全审查工作机制成员单位意见不一致的,按照特别审查程序处理,特别审查程序一般应当在3个月内完成,情况复杂的可以延长。
4、 跨境电商企业的合规建议
对于跨境电商企业而言,数据合规势在必行。面对严格的监管趋势,企业应当完善用户信息的个人信息保护制度及数据安全制度,根据法律要求和行业良好实践及时审视自身的合规状况。对此,我们提出以下建议:
个人信息出境规范性文件对跨境电商的监管
除了上述的采购活动、数据处理以及赴国外上市事项,跨境电商数据出境也是监管重点问题之一。跨境电商平台数据是否存在跨境传输场景,所涉的个人信息是否为不可跨境传输的信息类型?对于数据接收方是否做到审慎评估对方数据保护能力?(例如跨境电商平台的服务器布署,以及在主播在境外“扫货”时开启直播是否涉及数据的跨境传输问题等)该合规问题都需要跨境电商企业关注。
以下将分析跨境电商“本地信息布署+跨境运输评估”的监管模式。
1、个人信息的境内储存原则
《网络安全法》第三十七条规定,关键信息基础设施的运营者在中国境内运营中收集和产生的个人信息和重要数据应当在境内储存。虽然目前跨境电商行业中关键信息基础设施运营者的范围仍未落定,考虑到跨境电商企业在日常业务中涉及体量较大的个人(敏感)信息,仍然有可能被认定为关键信息基础设施运营者,相应地则可能需要履行个人数据本地化的义务。《个人信息和重要数据出境安全评估办法(征求意见稿)》第2条规定,网络运营者在中华人民共和国境内运营中收集和产生的个人信息,应当在境内储存。
同时,海关总署发布的第2018年第165号公告(下称“第165号公告”),要求自2019年1月1日起,参与跨境电子商务零售进口业务的跨境电商平台企业应当向海关开放包括订单号、商品名称、交易金额、币制、收款人相关信息、商品展示链接地址、支付交易流水号、验核机构、交易成功时间等支付相关原始数据,供海关验核。与公告配套出台的还有《跨境电子商务零售进口统一版信息化系统原始数据实时获取方案》(下称“获取方案”),对网络通道、开放数据接口、原始数据的安全要求、接口内容等具体内容,做了详细的规定。第165号公告和《获取方案》在一定程度上强化了跨境电商企业数据本地化的动机。
2、个人信息出境主要规制框架
根据《网络安全法》及2017年、2019年先后公布两部关于数据出境安全评估办法的征求意见稿的规定,经营者在将个人信息出境之前,应当依法办理安全评估手续。具体而言,《网络安全法》对个人信息出境的安全评估做出原则性规定,“因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”。而2019年公布的《个人信息出境安全评估办法(征求意见稿)》系专门针对个人信息出境,且相比2017年公布的《个人信息和重要数据出境安全评估办法(征求意见稿)》而言,2019年的征求意见稿对安全评估框架、评估流程、评估材料申报要求等做了较大调整。因此,以下主要以2019年公布的《个人信息出境安全评估办法(征求意见稿)》(以下简称“《2019年征求意见稿》”)为基础,梳理个人信息出境前的安全评估手续及注意点。
根据《2019年征求意见稿》第三条规定,个人信息出境前,网络运营者应当向所在地省级网信部门申报个人信息出境安全评估。根据《网络安全法》第七十六条的规定,“网络运营者”是指网络的所有者、管理者和网络服务提供者。
根据《2019年征求意见稿》第六条规定,在个人信息出境安全评估过程中,网信部门重点评估以下内容:
① 是否符合国家有关法律法规和政策规定。
② 信息出境合同条款能否充分保障个人信息主体合法权益。
③ 合同能否得到有效执行。
④ 网络运营者或接收者是否有损害个人信息主体合法权益的历史、是否发生过重大网络安全事件。
⑤ 网络运营者获得个人信息是否合法、正当。
⑥ 其他应当评估的内容。
从内容上来看,网信部门重点评估点在于网络运营者获取个人信息的合法正当性、以及网络运营者与境外接收者对个人信息主体合法权益的保护能力、个人信息出境合同的可执行性。反之,如果网络运营者或接收者无力保障个人信息安全,或者网络运营者或接收者发生较大数据泄露、数据滥用等事件时,网信部门可以要求网络运营者暂停或终止向境外提供个人信息。
值得注意的是,《2019年征求意见稿》第二十条规定,境外机构经营活动中,通过互联网等收集境内用户个人信息,应当在境内通过法定代表人或者机构履行本办法中网络运营者的责任和义务。以跨境电商为例,若某境外服装品牌开通面对中国消费者的电商平台,用户注册时需提供姓名、电话、地址,即可享受全球购服务。服务器布署在境外,收集的信息由总部统一处理,该电商平台构成向我国用户提供商品或服务的情形,很有可能需要按照《2019年征求意见稿》第二十条的规定,在中国境内通过法定代表人或者机构来履行网络运营者的责任。
3、个人信息违法出境的法律责任
《网络安全法》第六十六条对于关键信息基础设施的运营者违反法律规定,在境外储存网络数据,或者向境外提供网络数据的情形,规定了除由有关主管部门责令改正、警告、没收违法所得、罚款之外,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。《2019年征求意见稿》第十八条规定,网络运营者违反本办法规定向境外提供个人信息的,依照有关法律法规进行处理。
4、跨境电商企业的合规建议
为了降低个人信息出境风险,我们建议跨境电商参照相关规制框架进行内部自查,并建立完善的用户信息保护制度。
结合《信息安全技术—数据出境安全评估指南(征求意见稿)》的相关规定,自查报告实施流程及主要内容如下:
总结
网安办一系列网络安全审查行动,有效地激活了网络安全审查制度。《网络安全审查办法(修订草案征求意见稿)》将数据处理活动和国外上市纳入到网络安全审查制度,防范新型国家安全风险。个人信息出境规范性文件也使得网络运营者在数据跨境转移时将面临“安全评估义务”。相信伴随着《数据安全法》9月1日的生效,数据安全审查会越来越频繁,对于防范新型国家安全风险具有重要意义,跨境电商企业也应当加强合规风险意识,采取合规措施。
附录:跨境电商数据有关法律法规梳理