2021年11月1日，《中华人民共和国个人信息保护法》（以下简称“《个保法》”）生效实施。今后，《个保法》将从自然人个人信息的角度出发，给个人信息上一把“法律安全锁”，并与《网络安全法》、《数据安全法》一起，构建我国网络空间治理和数据保护的法律体系。

本文笔者将以互联网平台企业、跨境电商企业、境内服务商、海关等政府部门为对象，分析《个保法》中有关数据收集、使用、传输的规定会对上述跨境电商生态参与主体产生哪些影响，并提出合规建议。

《个保法》提出，个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。个人信息处理者是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。

另外，《个保法》对个人信息进行分类，并针对不同类型规定不同的处理规则，见下表。

《个保法》第五十八条增设了平台企业保护个人信息的“守门人义务”，要求提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当履行下列义务：

1. 按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督；

2. 遵循公开、公平、公正的原则，制定平台规则，明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务；

3. 对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务；

4. 定期发布个人信息保护社会责任报告，接受社会监督。

我们建议跨境电商平台在提供系统服务时，应建立健全个人信息保护合规制度体系，将个人信息保护合规要求嵌入产品全生命周期管理，按《个保法》要求更新合规义务清单，排查合规风险盲点。同时内部应任命专门人员负责个人信息保护合规事宜，并下设数据合规部门，完善配套合规指引，依法守护企业数据合规红线。对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务。

《个保法》明确了个人信息跨境提供的基本规则。第四十条规定，关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估；法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。对于数量标准，可供参考的是2021年10月29日公开的《数据出境安全评估办法（征求意见稿）》第四条的规定，其要求处理个人信息达到一百万人的个人信息处理者向境外提供个人信息，或者累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息的数据处理者，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。

为了降低个人信息出境风险，我们建议跨境电商企业参照《信息安全技术—数据出境安全评估指南（征求意见稿）》的相关规定框架进行内部自查，并建立完善的用户信息保护制度。

以支付企业为例，跨境电商的第三方支付业务开展流程中往往会涉及到敏感个人信息的处理，例如用户的金融产品使用习惯和消费习惯数据，并结合既有的平台数据对用户进行分析并形成用户画像，基于用户画像针对用户开展金融营销活动，为用户提供推荐其可能感兴趣的商品或者金融服务。对于该等金融数据的处理，可能对用户的个人信息权益产生一定的影响。

根据《个保法》，支付企业在处理敏感个人信息需要遵守的规则主要包括：

● 需具有特定的目的和充分的必要性，并采取严格保护措施。

● 需要取得个人的单独同意；法律、行政法规另有规定需取得书面同意的，或者规定处理敏感个人信息应取得相关行政许可或者作出其他限制的，从其规定。

● 在告知内容方面，需特别向个人告知处理敏感个人信息的必要性以及对个人权益的影响。

对于跨境电商零售进口而言，目前“以境内跨境电商平台为核心、以支付机构为辅助服务”的模式已将大量“金额小、频率高、反应快”跨境电商支付更多依托于第三方支付机构的“快捷通道方式”。支付企业在处理用户敏感信息时要具有特定的目的和充分的必要性，并采取严格保护措施，并通过签订个人信息及用户隐私协议等方式符合“取得个人单独同意”、“向个人告知处理敏感个人信息的必要性及影响”等的合规要求。

海关验核“三单数据”的过程，涉及到大量消费者个人用户的原始数据和交易生产数据（ERP数据），海关作为国家机关处理个人信息时，受到《个保法》的监管。

根据《个保法》，处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。这意味着，海关在收集、使用行政相对人个人信息时，应符合我国有关收集、使用个人信息的法律法规，不得以非法目的收集个人信息。这既包括了“目的合法”，也包括了“程序合法”，且还延伸到主体合法、依据合法、内容合法、形式合法、使用合法等从信息收集到信息利用的各个环节。

值得注意的是，根据民法典第一千零三十五条第四款[1]，海关在收集个人信息时不违反法律、行政法规的规定和双方的约定。海关收集的行政相对人个人信息，如果是通过双方约定而获得的，信息主体在知情的情况下做出“同意”意思表示，就成为海关收集和使用其个人信息的正当性基础，海关的行为也应遵循双方的约定；另一方面，如果在收集和处理该个人信息时存在不需要用户授权同意的情形时，个人“让渡”部分个人信息给政府，使得个人信息具备了公共管理价值，海关应当依据法律法规，获得合法性基础。

除此以外，海关在收集、使用个人信息时，不得超过业务范围开展信息收集活动，不应当超过海关工作的实际需求。在处理信息时，例如数据处理量、储存时限、加工程度、使用范围等，不得过度处理，必须与海关执法工作的基本目的相适应。在达到执法目的之后，必须要立刻停止信息搜集工作和信息传输工作。

《个保法》规定个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。海关作为所采集个人信息的控制者，应采取充分且必要的技术措施和内部管理措施，确保个人信息收集、处理、流转、使用的质量及安全。海关应结合“金关”工程建设，根据“科技兴关”与“依法把关”的部署，建设更好更安全的信息储存系统，建立稳健、安全的个人信息存储系统，使其具有云服务器加密储存、信息匿名处理等技术。结合“从严治关”的理念，健全海关个人信息管理制度，需要明确具体的负责人和权限、调取使用数据的流程及范围等，并建立完备覆盖个人信息收集、储存、使用、泄露后救济的规章制度以应对个人信息事务的各项细节[2]。

可以期待，后续随着监管执法举措的不懈推进，个人信息合法权益受保护、个人信息处理活动受规范、个人信息合理利用受促进的数字治理新生态将愈发成熟。与此同时，《个人信息保护法》对企业、政府部门等主体都提出了新的合规要求。对《个人信息保护法》及配套规范体系的深入认识，和一套成熟个人信息保护合规制度体系，对跨境电商全生态链的主体来说，将是重中之重。

脚注：