《个人信息保护法》视角下的跨境电商生态数据合规问题（下）

《个保法》明确了个人信息跨境提供的基本规则。在此之前，《网络安全法》、《个人信息和重要数据出境安全评估办法（征求意见稿）》等均规定了个人信息的境内储存原则。

《个保法》第四十条规定，关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估；法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。

《关键信息基础设施安全保护条例》中规定，重要行业、领域的主管部门和监督管理部门负责认定该行业、领域的关键信息基础设施。目前跨境电商行业中关键信息基础设施运营者的范围仍未落定，考虑到跨境电商企业在日常业务中涉及体量较大的个人（敏感）信息，仍然有可能被认定为关键信息基础设施运营者，相应地则可能需要履行个人数据本地化的义务。

《个人信息保护法》在《网络安全法》第三十七条规定的基础上，增加了“处理个人信息达到国家网信部门规定数量的个人信息处理者”这一主体，使得个人信息境内储存原则承担的主体范围扩大。即使不构成关键信息基础设施运营者，跨境电商若所处理的个人信息达到了国家网信部门所规定的数量，仍然需要履行个人数据本地化的义务。对于数量标准，可供参考的是《个人信息和重要数据出境安全评估办法（征求意见稿）》第九条的相关规定，其要求出境信息中含有或累计含有50万人以上的个人信息应报请行业主管或监管部门组织安全评估。但就《个人信息保护法》下的该等数量标准，尚有待网信部门后续出台进一步的细化规定。

因此，对于涉及密集个人数据的跨境电商企业而言，无论是否会被归类为关键信息基础设施运营者，都有可能履行个人信息跨境传输要求的义务。

《网络安全法》对个人信息出境的安全评估做出原则性规定，“因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。”。而2019年公布的《个人信息出境安全评估办法（征求意见稿）》对安全评估框架、评估流程、评估材料申报要求等做了较明确的规定。本次《个人信息保护法》正式确立了个人信息出境的条件。

《个保法》第三十八条规定，个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：

● 依照本法第四十条的规定通过国家网信部门组织的安全评估；

● 按照国家网信部门的规定经专业机构进行个人信息保护认证；

● 按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；

● 法律、行政法规或者国家网信部门规定的其他条件。

个人信息处理者应当采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。

同时，个人信息处理者向中华人民共和国境外提供个人信息的，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。

个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录。

《个保法》对违法行为加大惩处力度，设置了严格的法律责任。例如，违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、吊销相关业务许可或者营业执照（第六十六条）。《个保法》还增加了“记入信用档案”的处罚机制（第六十七条），相比于《网络安全法》等相关规定，《个保法》对个人信息相关的违法行为处罚力度更大。

为了降低个人信息出境风险，我们建议跨境电商企业参照《信息安全技术—数据出境安全评估指南（征求意见稿）》的相关规定框架进行内部自查，并建立完善的用户信息保护制度。

对于跨境电商零售进口而言，目前“以境内跨境电商平台为核心、以支付机构为辅助服务”的模式已将大量“金额小、频率高、反应快”跨境电商支付更多依托于第三方支付机构的“快捷通道方式”。支付企业在处理用户敏感信息时要具有特定的目的和充分的必要性，并采取严格保护措施，并通过签订个人信息及用户隐私协议等方式符合“取得个人单独同意”、“向个人告知处理敏感个人信息的必要性及影响”等的合规要求。