本期专栏将聚焦企业在目的国的数据合规,讨论跨境电商出口企业如何保证自己在出海时所收集到的线上个人信息数据符合目的国法律规范。
当前,全球主要经济体均出台了各自的数据保护法律法规,我国出台了《个人信息保护法》和《数据安全法》,美国以加利福尼亚州的《加州消费者隐私法案》(CCPA)为最典型代表,欧盟、日本等也分别出台了《通用数据保护条例》(GDPR)、《个人信息保护法》等。
Q1:为什么跨境电商企业格外需要注意数据合规?
A:这是基于跨境电商企业的业务特性而产生的。
其一,在传统出口贸易中,外贸企业通常与企业客户对接交易,所能传递的信息多是二者往来贸易所必须的商业数据;而跨境电商出口企业却可以通过跨境电商平台,获取到消费者个人敏感信息,如姓名、电话、住址、偏好等。
其二,传统外贸交易呈现出订单量大但频次低的特点,这也与跨境电商平台成交数据、浏览数据全天候高速累加的情况存在显著差异。一个每年处理几百至上千条客户数据的传统中型外贸企业,离《数据出境安全评估办法》中申报数据出境安全评估的10万人门槛相差甚远。但对于一家中等规模的亚马逊卖家而言,一年处理的消费者订单数据很可能超过10万条。
其三,传统外贸市场集中,所需遵守的数据要求相对单一。而跨境电商一键销往全球,要同时适配欧盟、北美、东南亚等不同地区的数据法规,合规复杂度远高于传统外贸。
以上跨境电商出口特点叠加,使得数据风险显著提升。
需要特别说明的是:以上分析主要针对B2C模式的跨境电商出口企业(直接面向终端消费者)。如果您的跨境电商业务是B2B模式(如通过阿里国际站等平台进行企业间的批发交易),则数据合规风险与传统外贸较为相似——主要处理的是企业联系人的商业信息而非消费者个人敏感数据,合规负担相对较轻,可酌情参考本期关于数据合规的内容。
Q2:跨境电商出口企业的数据合规风险,主要集中在哪些环节?
A:对于跨境电商出口企业而言,数据的合规要求及其风险贯穿数据的全生命周期。主要集中在数据收集、数据存储与保护、数据处理与使用、数据传输这四个环节。下面将会对这四个环节的合规风险逐一详解。
Q3:收集用户数据时,跨境电商出口企业需要注意什么?
A:数据采集,是数据合规的第一关。虽然线上个人信息等数据的保护主要依赖各国家或地区的内部法律,而各国家或地区对数据收集的具体规则存在差异,但总体来看,基本均需遵循“合法、正当、必要”的原则。
“合法”,是指用户数据的收集必须符合法律的明确规定,具体到实际操作中,这要求跨境电商出口企业需采取有效措施以保证获取用户合法有效的授权同意(如以显著且易于感知的方式突出信息收集规则、明确赋予用户拒绝收集其个人信息的选项、明确告知用户所收集数据的使用范围和存储期限等)。
“正当”与“必要”,是指数据收集必须有清晰、合理的目的,且遵循最小化原则——即数据收集应限于实现目的的最小范围。例如,如若出口企业发货只需要用户的姓名、地址、联系方式时,就不应收集用户的工作情况、家庭情况等信息。
Q4:数据存储环节有哪些风险?
A:跨境电商出海企业在存储用户数据时,可能出现数据泄露、未响应用户删除请求、数据存储超期等常见问题。
为应对这些问题,建议企业做好对应工作:
- 采取必要安全保护措施,特别是做好数据加密、访问控制等工作。欧盟GDPR第32条、中国《个人信息保护法》第51条均将加密列为必要的安全技术措施,这是防止所存储数据被窃取和篡改的基本手段之一。
- 做好数据分级分类。综合评估所获取信息,将其区分为一般业务数据、个人敏感信息、重要数据,并针对不同信息采取差异化的存储方式。
- 严控数据留存期限。订单数据在完成财务对账和售后保修期后,应进行匿名化或删除处理,不超期存储。
Q5:在处理与使用用户个人信息的过程中,企业应遵循什么规则?
A:企业处理与使用个人信息的规则,简单来说,就是应当在已向用户披露的目的和范围内使用数据,不得将数据用于未获用户同意的目的,也不得超出用户的授权范围。
典型的非法数据使用场景包括:超范围泄露个人信息、委托他人处理个人信息、非法交易个人信息、与第三方私自共享个人信息。
Q6:数据跨境传输是企业最头疼的问题,该如何应对?
A:数据的跨境传输,是跨境电商交易不可避免的环节。比如,一位境外消费者在亚马逊购买中国卖家的羽绒服,从下单到收货过程中,姓名、地址、联系方式等信息会出现多次跨国传输。若羽绒服非国产,数据还可能会流向制造商所在的其他国家。
与难以避免的数据跨境流动需求相矛盾的是,各主要国家和地区的法律均对数据跨境传输设置了不同程度的限制。为此,跨境电商企业可采取的应对路径主要有如下几种:
(一)建议优先考虑数据本地化存储
数据不出境,就可以从源头上避免跨境传输所伴随着的合规风险。对于俄罗斯、越南等强制要求公民个人信息本地化存储的国家而言,本地化存储是企业的必然动作。对于非强制性要求的国家和地区而言,企业也可以考虑在当地部署服务器、云节点等,将用户个人信息等留存于目标国境内。
(二)按照数据分级,最小化跨境传输范围
仅传输完成交易所必需的最少信息,屏蔽冗余敏感字段,严控非必要数据出境,减少不必要的风险。
(三)注意特定国家数据传输规定
通常情况下,企业需采取必要的安全审查手段与保障措施。以欧盟为例,根据GDPR,企业可通过签署标准合同条款(SCC)实现合规传输,这也是目前大多数中国卖家的实际选择。对于大型跨国企业,还可考虑申请约束性公司规则(BCR),但对中小卖家而言这一规则并不必要。
原标题:《跨境电商出海合规指南》系列专题第五期:数据保护——个人信息的“安全阀”
来源:山东贸促
延伸阅读:
跨境电商出海合规指南第一期:合规入门——跨境电商出口合规“总纲”
跨境电商出海合规指南第二期:出口报关——跨境电商出口的“第一道关口”
