在跨境电子商务交易过程中，应该如何保护个人或企业的信息？

2022年9月1日，《数据出境安全评估办法》(以下简称《办法》)正式生效。《办法》规定，“本办法施行前已经开展的数据退出活动不符合本办法规定的，应当自本办法施行之日起6个月内完成整改。”目前，半年整改期已过半。

在跨境电商零售进口中，由于交易的一方位于国外，必然涉及到数据出境的问题。比如在9610的进口模式下，不给出消费者在国外的联系方式和地址是无法投递快递的。作为跨境电商平台，如果没有开展数据出境合规相关工作，应该花时间充分评估是否属于需要数据出境安全评估的范围。

除了数据出境，个人信息保护和数据合规也一直是近年来国家关注的焦点，应该是跨境电商平台日常运营的重点关注点。我结合自己服务跨境电商平台的经验，谈谈跨境电商平台在个人信息和数据安全方面的合规点。需要说明的是，本文只是个人经验，并不全面，遇到具体法律问题仍需具体分析研究。

一、个人信息处理的原则

在跨境电商平台收集和处理的数据中，最重要也是最具法律风险的是消费者的个人信息。在个人信息保护的法律层面上，个人信息的处理包括个人信息的收集、存储、使用、处理、传输、提供、披露和删除。

《个人信息保护法》第一章规定了个人信息的处理原则，在理论上与其他法律有较大区别。个人信息保护的相关原则是跨境电商平台在处理所有个人信息时应当关注和考虑的内容。尤其是目前我国个人信息和数据安全法律法规的制定还处于起步阶段。在法律法规没有规定的地方，应遵循相关原则处理个人信息。

其中，有些原则是显而易见的，如:

合法性原则:处理个人信息时，应当严格遵守法律、行政法规的规定，采取合法方式，不得非法处理个人信息。

合法性原则:处理个人信息的行为必须是合法的，处理者不得以欺骗等不正当手段或在信息主体完全不知情的情况下处理其个人信息。

质量原则:个人信息处理者应当保证其处理的个人信息的质量，避免因个人信息的不准确、不完整而对个人权益造成不利影响。结合个人信息保护法和国内外的法律实践，我认为作为跨境电商平台，在处理个人信息时，核心是把握两点。

最低限度必要性原则

这个原则主要有以下含义。

第一，要有明确合理的目的。

个人信息的处理应该是有目的的，而不是因为不知道有什么用，觉得技术上有办法，就先去收集。目的也要明确，不宜使用“提供更好的服务”、“改善用户体验”等宽泛笼统的表述。

对于电商平台来说，其基本功能服务是“购买商品”，收集个人信息的目的一般包括注册用户、下单购买商品、支付、配送、提供客服、处理纠纷等。

此外，电子商务平台及其相关合作伙伴还将向用户提供额外服务，涉及用户个人信息的处理。提供这些服务时，目的要明确。比如天猫隐私政策中写明，天猫的处理行为“在您单独同意的情况下，将您的账户信息提供给第三方”，目的是“使您能够方便地注册第三方账户或直接在第三方登录”，这样就更明确了。

第二，个人信息处理活动必须与处理目的直接相关。

“直接相关”是指个人信息加工行为应在加工目的范围内，并具有密切的相关性。比如，如果平台告知消费者其以经销商品为目的收集了个人手机号、住址等个人信息，但其向消费者发送了平台上其他商品的广告，则与处理目的没有直接关系。

第三，最小化。

最小化意味着对个人信息的处理应限制在实现特定目的所必需的范围内。在个人信息可以收集和处理的情况下，尽量少收集和处理。

《关于常见移动互联网应用必备个人信息范围的规定》第五条第(六)项规定，网络购物必备个人信息包括:

1.注册用户的手机号码；

2.收货人的名称、地址和电话号码；

3.支付时间、支付金额、支付渠道等支付信息。

对于一般的电商平台来说，达到基本的网购目的，获取用户的上述信息就足够了。用户的位置信息、地址簿信息等。都是不需要收集的个人信息。

当然，跨境电商平台可以收集的个人信息并不仅限于此。一方面，由于跨境电商的特殊性，用户需要提供其他信息，尤其是跨境电商的报关要求，跨境电商平台必须获取消费者的身份证信息。另一方面，为了给用户提供更广泛的服务，平台也可以基于明确、合法、合理的目的收集其他个人信息，并充分履行告知义务。

“告知-同意”规则

告知+同意是个人信息保护的基本规则，平台要注意以下几点。

第一，公开透明。

指公开个人信息处理规则，说明处理的目的、方法和范围。作为跨境电商平台，主要实现方式是制定隐私政策(或个人信息保护政策)并公开。

跨境电子商务平台应:

1.隐私政策应以单独的书面形式发布，而不是作为用户协议、用户说明和其他文档的一部分。

2.在用户使用服务之前，特别是在应用首次运行时，应该通过弹出窗口和其他明显的方式提示用户阅读隐私政策。

3.隐私政策应该易于访问。进入主功能界面后，用户点击4次以内(含)即可进入隐私政策。

二、告知+同意

跨境电商平台在处理个人信息时，原则上必须遵守告知和同意规则，在依法告知并征得信息主体同意后，方可处理个人信息。

平台在开发app、小程序、设计页面时，要时刻关注整个过程中处理了哪些个人信息，是否遵循“告知+同意”的流程。还需要注意的是，《个人信息保护法》规定“个人同意处理个人信息的，应当在个人完全知情的前提下，由个人自愿、明确表示同意。”这里的“明确”要求你不能同意涉及用户个人信息的内容，比如隐私政策。

此外，《个人信息保护法》还规定，向第三方提供个人信息、处理个人敏感信息、向境外提供个人信息时，也应当征得个人同意。“个别同意”要求将相应场景的同意与其他同意区分开来，不能隐藏在其他事项中，可以通过一揽子授权获得个别同意或接受。以上事项不能只放在用户注册时的一般隐私条款里。

第三，知情同意规则的例外。

《个人信息保护法》也有关于知情同意规则例外的具体规定。在这些情况下，不需要个人同意。比如根据行政、司法机关依法提出的要求，以及履行其他法定义务的需要，* * *享有个人信息。跨境电子商务平台最有可能使用“为订立和履行个人作为一方当事人的合同所必需的”。

然而，应该指出的是:

1.在这种情况下，虽然不需要征得同意，但告知义务还是应该履行的。

2.目前，对“履行合同的必要”的定义仍有争议，对电子商务中如何适用通知同意规则的例外也缺乏具体意见。建议平台在设计页面和开发功能时，尤其是对于消费者等个人用户的个人信息，仍应以“告知+同意”作为处理个人信息的基本操作流程，并以需要履行合同为由，谨慎省略相关步骤。

对于平台经常遇到的问题，商家要求获取消费者个人信息进行营销。在我看来，向商家提供消费者信息属于向第三方提供个人信息，营销明显超出履行购买商品合同的必要范围，应当要求消费者另行同意。根据相关规范和实践习惯，建议通过弹窗明确单独告知此事，并要求消费者单独点击同意。在弹出的窗口中，姓名，联系方式，处理目的，处理方法等。应当明确告知获取消费者个人信息的商家。如上所述，这里的治疗目的要说的充分清楚。至于如何避免个人同意的过程过于生硬，引起消费者的反感，就要考验平台公司的产品经理了。

第二，敏感的个人信息

敏感个人信息是指一旦泄露或被非法使用，将容易导致自然人人格尊严受到侵犯或人身、财产安全受到危害的个人信息，包括生物特征识别、宗教信仰、特定身份、医疗健康、财务账目、行踪等信息，以及未满14周岁的未成年人的个人信息。

《信息安全技术个人信息安全规范》(GB/T 35273—2020)更详细地列出了敏感的个人信息:

跨境电商平台在处理敏感个人信息时，应当注意:

1.能不收就不收，除非非常必要，尽量不要提供给别人。根据法律法规，个人敏感信息保护比较严格，处理要求也比较麻烦。公司应实施加密等安全措施，还应提前评估个人信息保护的影响，并制定相应的内部管理制度和操作规程。

2.敏感个人信息的处理应获得个人的单独同意。对于跨境电商平台来说，必须涉及的个人敏感信息是消费者的身份证信息。在收集身份证信息时，最好有单独的通知和确认选项。

第三，个人信息保护影响评估

《个人信息保护法》规定了个人信息保护影响评估的法定情形和主要内容。根据规定，开展个人信息保护评估是法定义务。有下列情形之一的，个人信息处理者应当事先进行个人信息保护影响评估，并记录处理情况:

(1)处理敏感的个人信息；

(2)使用个人信息进行自动化决策；

(三)委托处理个人信息，向其他个人信息处理者提供个人信息，泄露个人信息；

(四)在境外提供个人信息；

(五)其他对个人权益有重大影响的个人信息处理活动。

跨境电商平台往往会涉及到这些情况。

该法规定，个人信息保护影响评估应当包括以下内容:

(一)处理个人信息的目的和方式是否合法、公正、必要；

(二)对人身权利的影响和安全风险；

(3)所采取的防护措施是否合法、有效并与风险程度相适应。

个人信息保护影响评估的主体没有严格限制，平台有自己的专业能力，可以自行进行。如果觉得自己没有能力和手段进行自我评估，也可以委托第三方机构，比如律师事务所或者咨询公司。

第四，数据退出

什么是数据出口？根据相关法律法规和网信办相关负责人的说法，《评价办法》等法律法规中的数据退出活动主要包括:

1.数据处理器将国内作业中收集和生成的数据传输和存储到海外。

2.数据处理器收集和生成的数据存储在中国，可由海外机构、组织或个人访问或检索。

国内跨境电商平台向境外商家提供的数据，或者境外公司访问国内跨境电商平台收集的数据，都属于数据出口。

《个人信息保护法》规定了个人信息出境的合规路径。如果平台确实需要在境外提供个人信息，可以通过以下四种路径来满足合规要求。

(一)通过安全评估；

(二)开展个人信息保护认证；

(三)按照标准合同与境外接受方签订合同；

(四)法律、行政法规或者国家网信部门规定的其他条件。

这些路径不是平行的，而是有优先级要求的。对于跨境电商平台，首先要对比评估措施，确定自己是否属于安全评估范围。

根据评估办法的规定，有下列情况需要进行安全评估:

(1)数据处理器提供重要的海外数据；

(二)关键信息基础设施运营商；

(3)处理超过654.38+0万人个人信息的数据处理者在境外提供个人信息；

(4)自上一年6月654.38+0日以来向境外提供个人信息654.38+万人或敏感个人信息654.38+0万人的数据处理者向境外提供个人信息；

(五)国家网信部门规定的其他情形。

跨境电商平台应盘点所有数据出境相关情况，统计涉及的个人信息数量是否达到或接近上述标准。如果该公司属于安全评估范围，应在明年2月底前完成相关评估。

如果公司不属于安全评估范围，可以通过开展个人信息保护认证、按照标准合同与境外接收方签订合同等方式开展数据出境活动。至于采用哪种方式，没有强制要求，公司会根据成本和方便程度来选择。

目前，这两种方式的具体操作规定正在逐步制定中。2022年6月4日，165438+国家市场监督管理总局、国家互联网信息办公室新颁布《个人信息保护认证实施细则》，进一步推动个人信息保护认证的有效实施。目前个人信息退出标准合同只是出台征求意见，还没有正式的实施文本。但在与外国投资者签订合同时，可以参照《个人信息出境标准合同条款(征求意见稿)》的内容，约定个人信息保护的相关条款。

_联系信息:

北京华诚(上海)律师事务所龚卓律师

具有十余年的海关法执业经验，主要执业领域为海关法律事务和刑事辩护。

承担了多起重大走私案件的辩护工作，并担任多家知名企业的法律顾问，为其提供专项法律服务。其专业文章多次被《中国海关》杂志、海关法学研究会、中国渔业协会发表。

电话(微信):1896 4028223 _ _ _