7月2日,国家互联网信息办公室网络安全审查办公室(以下简称网信办)发布公告,对国外某知名网约车平台互联网公司启动网络安全审查。 审核期间,平台停止新用户注册。 消息一出,引起极大关注。 在网信办启动网络安全审查一周后,国家网信办于7月10日发布了《网络安全审查办法(修订征求意见稿)》(以下简称“修订征求意见稿”),规定“拥有100万以上用户个人信息的运营者欲在美国公开的,必须向网信办报送网络安全审查”。
正当各界人士感慨国家网信办的监管已是沉重打击时,7月16日,一则“七部门介入调查”的新闻接连充斥荧屏。 俗话说“字数越少,信息量越大”。 许多公司暂停甚至撤回了赴美上市计划。 此次多部门联合网络安全审查,进一步证明了监管的强硬态度、力度和范围。 面对如此高级别的安全审查和此次释放的强烈监管信号,涉及大规模数据运营的互联网企业该怎么办?
随着大数据时代的到来,数据审核与合规日益成为监管重点。 数据收集、使用、管理和流通过程中涉及的国家安全和个人隐私问题触动监管机构和企业的敏感神经。 虽然此次监管的经营平台是国内网络服务交易平台,涉及国家地理、道路、交通、人员出行等敏感信息,但跨境电商企业切不可掉以轻心,紧急关注数据审核和监管合规方面的最新进展,以及相关立法进展和实践动向。 作为大数据时代的“数据重资产”企业,跨境电商企业应更加关注日常数据运营和赴美上市的合法合规性,以掌握海量用户订单消费记录和隐私信息,以及信息导出问题。 本文拟从跨境电商的日常数据运营出发,结合《网络安全法》、《网络安全审查办法(修订草案征求意见稿)》以及对个人信息出境相关规范性文件的梳理,分析跨境电商企业在数据审查和合规方面的常见监管要求。
跨境电商业务涉及的数据链路简介
在跨境电商活动的全生命周期过程中,境内外消费者、跨境电商企业、支付机构、平台企业、物流企业等主体与线上线下场景深度交织,产生众多主体之间的数据交互。
以某出口跨境电商巨头为例,独立网站沉淀的数据已成为企业的护城河。 该公司已经放松了自己的私域流量池。 网络数据显示,该平台独立站直接流量占比37.12%,目前拥有全球快潮品牌联通日活跃用户的一半。 基于自身和第三方数据设计的新产品在网站上发布后立即开始收集用户行为数据(例如有多少人浏览了产品详细信息以及有多少人将产品添加到购物车)。 基于浏览、点击和销售,数据经过算法处理后立即更新到鞋厂车间。 如果需要更多面料,将手动下订单。 算法会更新权重,将产品推荐给更多拥有相似肖像的用户。 最终,出口跨境电商凭借数据分析,进化成为一个懂消费者的智能大脑。
我们用下表来简单分析一下跨境电商运营过程中所经历的数据采集、数据使用、数据管理和数据流通环节。
跨境电商活动的整个生命周期过程都与数据密切相关。 用户信息的分析和掌握已成为跨境电商企业竞争的重要核心,数据信息已成为企业重要的市场价值标准。 不少跨境电商出口企业囿于原有第三方平台对核心数据的控制,纷纷在海外建立独立网站,以了解准确的数据用户画像,实现用户积累。
跨境电商如何在合法合规的前提下最大限度地利用信息和数据,成为备受期待的法律议程。
《网络安全审查办法》
跨境电商企业监管
如上所述,跨境电商业务涉及大量包括个人信息在内的重要数据。 跨境电商企业在日常经营或上市过程中是否也会受到网络安全审查,是目前跨境电商从业者关心的话题。 下面,我们就《网络安全审查办法》中对跨境电子商务企业的监管进行分析。
《网络安全审查办法》与《网络安全审查办法(修订征求意见稿)》重要条款对比
《网络安全审查办法(征求意见稿修订稿)》监管范围:
我们将修订征求意见稿的监管范围总结如下:
①关键信息基础设施运营商采购网络产品和服务
根据《网络安全法》和《关键信息基础设施安全保护规则(征求意见稿)》,“关键信息基础设施”是指损坏、丧失功能、泄露数据等可能严重危害国家安全、国计民生、公共利益的网络设施和信息系统。 《网络安全法》第三十一条和《关键信息基础设施安全保护规则(征求意见稿)》第十八条均列出了可以认定为关键信息基础设施的行业和领域,包括能源、金融、交通、水利、医疗、教育、社会保障、环保、公用事业等行业的政府机关和单位; 中国联通、广电网、互联网等信息网络以及提供云计算、大数据等小型公共信息网络服务的单位; 行业内科研、生产单位; 广播电台、电视台、通讯社等新闻单位和其他重点单位。 (行业、领域内细分参见《关键信息基础设施业务判断表》)
一般来说,如果企业运营的网络设备损坏、丧失功能、数据泄露,可能严重危害国家安全、国计民生、公共利益,则该企业很可能被认定为关键信息基础设施运营者。 这样,他们在购买在线产品和服务时就需要注意。 购买的产品或者服务可能影响国家安全的,可以按照本修订草案征求意见予以规范。
②数据处理者进行影响或可能影响国家安全的数据处理活动
修订草案征求意见稿明确要求“数据处理者进行影响或者可能影响国家安全的数据处理活动”应当接受网络安全审查。 该制度是对《数据安全法》第二十四条“数据安全审查制度”的具体监管。
③ 拥有超100万用户个人信息的运营商赴美上市
根据《国家网络安全检测操作手册》在认定关键信息基础设施时,将个人信息主体数量作为确定个人信息数量的参考维度跨境电商进口流程图,包括“注册用户数超过1000万”、“活跃用户数(每天至少登录一次)超过100万”、“导致10万人以上个人信息被盗”等。鉴于《国家网络安全检测操作手册》与修订征求意见稿的立法目的相近,也就是说,为严格监管可能影响大量个人(包括但不限于赴美上市)的实体或活动,保障经济民生利益,征求意见稿中的“100万用户个人信息”更有可能指的是100万自然人的个人信息。
综上,考虑到跨境电商企业在日常业务中涉及大量个人(敏感)信息,例如用户注册购物时需要提供的姓名、电话、地址等,该企业可能被认定为关键信息基础设施运营者。 鉴于修订草案征求意见稿新增数据处理者作为监管主体,我们了解到,虽然跨境电商企业不属于关键信息基础设施运营者范围或不确定是否属于关键信息基础设施运营者范围,但如果其进行数据处理活动且符合影响或可能影响国家安全的标准,则有较大概率属于修订草案征求意见稿的监管范围。
监管审查时间和审查激励
根据修订征求意见稿的规定,网络安全审查办公室应当自收到审查申请材料之日起10个工作日内作出是否需要审查的决定,并书面通知运营者。
修订草案征求意见稿增加了新的国家安全风险激励措施,主要是核心数据、重要数据或大量个人信息被泄漏、泄露、毁损、非法使用或输出境外的风险,以及关键信息基础设施在美国上市后,核心数据、重要数据或大量个人信息被美国政府影响、控制或恶意利用的风险。
认为需要进行网络安全审查的,可以自向运营者发出书面通知之日起30个工作日内完成初步审查,情况复杂的可以延长15个工作日。 网络安全审查机制成员单位和相关关键信息基础设施保护部门应当自收到审查结论和建议之日起15个工作日内书面回复运营者。 网络安全审查工作机制成员单位不同意的,按照非常审查程序处理。 特别审查程序一般应在3个月内完成,情况复杂的可以延长。
跨境电商企业合规建议
对于跨境电商企业来说,数据合规势在必行。 面对严格的监管趋势,企业应建立个人信息保护制度和用户信息的数据安全制度,并根据法律要求和行业良好实践,及时考虑自身的合规状况。 对此,我们提出以下建议:
个人信息出境规范性文件监管跨境电子商务
不仅是上述采购活动、数据处理和在美国上市,跨境电商数据出口也是重点监管问题之一。 跨境电商平台数据是否存在跨境传输场景,涉及的个人信息是否属于不能跨境传输的信息? 数据接收方是否仔细评估了对方的数据保护能力? (例如跨境电商平台的服务器部署、主播在国外“扫货”时直播是否涉及跨境数据传输等)这一合规问题需要跨境电商企业关注。
下面将对跨境电商“本地信息部署+跨境运输评估”的监管模式进行分析。
个人信息境内存储原则
《网络安全法》第三十七条规定,关键信息基础设施运营者在境内运营过程中收集、形成的个人信息和重要数据应当在境内存储。 事实上,跨境电商行业关键信息基础设施运营商的范围尚未确定。 考虑到跨境电商企业在日常业务中涉及大量个人(敏感)信息,仍可能被认定为关键信息基础设施运营者。 因此,他们可能需要履行个人数据本地化的义务。 《个人信息和重要数据出境安全评估办法(征求意见稿)》第二条规定,网络运营者在中华人民共和国境内运营中收集形成的个人信息应当在中华人民共和国境内存储。
同时,海关总署发布2018年第165号公告(以下简称“165号公告”),要求自2019年1月1日起,参与跨境电商零售进口业务的跨境电商平台企业应向海关开放支付相关原始数据,包括订单号、商品名称、交易金额、币制、收款人相关信息、商品展示链接地址、支付交易序列号、验证机构、以及交易成功时间,供海关查验。 与公告同时发布的还有《跨境电商零售进口统一信息系统原始数据实时采集方案》(以下简称《采集方案》),对网络通道、开放数据套接字、原始数据安全要求、接口内容等具体内容进行了详细规定。 165号公告和《收购方案》在一定程度上强化了跨境电商企业数据本地化的动力。
个人信息出境的主要监管框架
根据《网络安全法》和2017年、2019年公布的两份数据出境安全评估办法征求意见稿,运营者向境外出境个人信息应依法履行安全评估程序。 具体来说,《网络安全法》原则上规定了个人信息出境的安全评估,“因业务需要确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定”。 2019年发布的《个人信息出境安全评估办法(征求意见稿)》专门针对个人信息出境。 与2017年发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》相比,2019年征求意见稿在安全评估框架、评估流程、评估材料报送要求等方面进行了较大调整。 为此,下面主要根据2019年发布的《个人信息出境安全评估办法(征求意见稿)》(以下简称《2019年征求意见稿》),梳理个人信息出境前的安全评估程序和注意事项。
根据《2019年征求意见稿》第三条,个人信息出境前,网络运营者应当向当地市级网信部门报告个人信息出境安全评估。 根据《网络安全法》第七十六条规定,“网络运营者”是指网络所有者、管理者和网络服务提供者。
根据《2019年征求意见稿》第六条,网信部门在个人信息出境安全评估过程中,将重点评估以下内容:
①是否符合国家相关法律法规及新政的规定。
②信息出境协议条款能够充分保护个人信息主体的合法权益。
③合同能够有效履行。
④网络运营者、接收者是否有损害个人信息主体合法权益的历史,是否发生过重大网络安全事件。
⑤网络运营者获取个人信息是否合法、正当。
⑥其他应当评价的内容。
从内容上看,网信部门重点关注网络运营者获取个人信息的合法性、合法性、网络运营者及境外接收者保护个人信息主体合法权益的能力以及个人信息出境协议的可执行性等。 反之,如果网络运营者或者接收者无法保证个人信息安全,或者网络运营者或者接收者发生重大数据泄露、数据滥用事件,网信部门可以要求网络运营者暂停或者暂停向境外提供个人信息。
值得注意的是,《2019年征求意见稿》第二十条规定,境外机构在经营活动中通过互联网收集境内用户个人信息的,应当通过其境内法定代表人或者机构履行本办法中网络运营者的责任和义务。 以跨境电商为例,如果某海外服装品牌为中国消费者开设电商平台,用户在注册时需要提供姓名、电话号码、地址,才能享受全球购物服务。 服务器部署在海外,采集到的信息由总部统一处理。 该电子商务平台构成向我国用户提供商品或服务的情形。 很有可能跨境电商进口流程图,按照《2019年征求意见稿》第二十条的规定,需要法定代表人或机构履行我国网络运营者的职责。
相关文章
闽公网安备35021102002035号