作者简介 PROFILE
汤洪煜
数据安全专家CIPM, CISA, PMP, Prince2
现任职于德勤(宁波)风险咨询部门
曾任职于多家四大会计师事务所风险咨询部门
为多家国际知名跨境支付和跨境电商企业提供咨询服务
目录
1/跨境电商业务
1.1/跨境电商业务模式
1.2/跨境电商业务中的数据
2/跨境数据安全
2.1/数据出境的概念
2.2/政府对数据出境安全的态度
2.3/数据出境安全要求的应对措施
3/跨境电商企业面临数据出境安全要求的挑战与机遇
4/建议与总结
1
跨境电商业务
1.1 跨境电商业务模式
根据跨境电商海关监管方式,可以将跨境电商的业务模式分为跨境贸易电子商务模式(9610),保税跨境贸易电子商务模式(1210),跨境电商B2B直接出口模式(9710)和跨境电子商务出口海外仓模式(9810)。
“9610”
适用于境内个人或电子商务企业通过电子商务交易平台实现交易。
“1210”
适用于境内个人或电子商务企业在经海关认可的电子商务平台实现跨境交易,并通过海关特殊监管区域或保税监管场所进出的电子商务零售进出境商品。
“9710”
适用于由境内企业通过跨境电商平台与境外企业达成交易后,通过跨境物流将货物直接出口至境外企业。
“9810”
适用于境内企业先将货物通过跨境物流出口至海外仓,通过跨境电商平台实现交易后从海外仓送达境外购买者。
1.2 跨境电商业务中的数据
纵观跨境电商的所有业务模式,跨境电商企业在各个业务活动中或多或少的收集并且处理个人信息,这些个人信息主要来源于客户,员工和供应商。
信息系统承载的数据,并对数据进行处理,用于支撑电子商务业务,包括CRM, Trustpilot, ERP,WMS等在内的业务系统收集并处理着大量的个人信息和业务数据,除了上述提及的基本个人信息以外,还可能包括订单、税号、IP地址、支付流水号、银行卡号等众多数据。
据《希腊航运新闻》等媒体报道称,装配运营智能机器人、自动分拣机等智能设备,打造自动化传输、分拣线,进行智能分仓等是提升仓储智能化水平的未来趋势。由此可见,在海外仓变得越来越智能的情况下,企业所收集到的个人信息将不单单只在信息系统中进行处理,同时也包括一些智能设备都将收集并处理客户的个人信息。
2
跨境数据安全
2.1 数据出境的概念
何种模式的跨境电商都可能存在数据“传出去”和“收进来”两种形式。
“传出去”
指网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据,提供给位于境外的机构、组织、个人。
“收进来”
以欧盟的GDPR为例,是指个人数据从处理行为受GDPR管辖的个人数据控制者/处理者(数据传输方)向不受GDPR管辖的控制者/(次级)处理者(数据接收方)传输。
通过对GDPR和国家网信办在2022年9月1日发布并实施的《数据出境安全评估办法》的解读,可以将以下三种类型均定义为数据跨境传输。
1
系统交互
数据收集与存储在境内/管辖区内,为了信息系统运维和业务运营目的,传输到境外/管辖区外的全球系统。
2
直接录入
收集境内/管辖区内的数据,并直接存储在全球集中系统上。
3
海外访问
数据收集和存储在境内/管辖区内的系统,由境外/管辖区外的人员远程登录到境内/管辖区内的系统并对数据进行访问。
2.2 政府对数据出境安全的态度
在中国,高层领导人始终强调数据是国家基础性战略资源,没有数据安全就没有国家安全。
在宁波当地,2022年11月28日上午,汤飞帆市长主持召开市政府第25次常务会议,组织学习《数据安全法》,他指出进入数字经济时代,数据已成为国家核心战略资源和社会重要财富。数据安全是事关国家安全、经济社会发展和公民切身利益的重大课题,并且强调增强数据安全意识,加强数据安全保护,统筹数据的安全和发展三大要点。
华伟常务副市长特别强调了要加强跨境数据流动的监管和开放,促进跨境数据的安全和有序流动。
2.3 数据出境安全要求的应对措施
1.“传出去”的数据
尤其是面向于跨境进口的电商企业,具备下列条件之一即可:
(1) 事先通过国家网信部门组织的安全评估;
(2) 按照国家网信部门的规定经专业机构进行个人信息保护认证;
(3) 按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
(4) 法律、行政法规或者国家网信部门规定的其他条件。
2.“收进来”的数据
主要是面向于跨境出口的电商企业,以欧盟为例,在此类情形下,需满足:
(1) GDPR规定了“充分性认定(Adequacy Decision)”,其本质上就是白名单。如果经欧盟委员审核,认为第三国已经确定达到充分的保护标准时,那么这个国家就在欧盟的“充分性认定”之列,数据便可以向该国转移。
(2) 适当的保障措施(Appropriate Safeguards),确保存在充分的数据保护,亦可合法进行数据跨境传输,目前企业传输数据较为常见的保障措施是约束性企业规则(BCR)和标准合同条款(SCC)。
(3) GDPR特殊情形下的例外规定(Derogations for Specific Situations),如数据主体的明确同意、履行合同所必需、为公共利益目的、行使法律诉求等。
3
跨境电商企业面临数据出境安全要求的挑战与机遇
1
挑战
未将足够的资源投入到法规所要求的技术层面的落实
企业投入大量的资源在业务运营上,但还未将足够的资源投入到法规所要求的技术层面的落实。
专业技术人员的短缺
在宁波,由于专业技术人员的短缺,尤其是对于隐私保护技术,如多方安全计算、联邦学习和可信执行环境的落地实施,缺乏专业技术人员的配合,使得跨境电商企业面临技术控制失效的窘境。
企业运营成本的增加
跨境电商企业为了满足法规的遵从性,势必会带了企业运营成本的增加,包括上述提到的技术投入,以及数据安全体系的建立,也将为跨境电商企业带来不小的成本压力。
数据安全的意识还处于萌芽状态
目前宁波跨境电商行业环境来看,数据安全的意识还处于萌芽状态,虽然有部分头部企业已经付诸于数据安全体系建设行动中,但是大部分企业任然陷在数据安全管控要求的迷茫和混沌之中。对于如何解读要求,可采取的方式还未形成良好的意识形态。
2
机遇
可以提高盈利能力,增强自身企业和品牌的竞争力
IAPP(国际隐私专业协会)表明,人们对隐私和数据的保护意识正不断加强,越来越多的消费者期望企业能够采取强有力的措施保护好自己的隐私数据。加强数据安全管控表面上看似是增加了企业的运营成本,但是在一项调查中,三分之一的组织已经认识到,通过改善隐私等措施增加消费者信任可以提高盈利能力,增强自身企业和品牌的竞争力。
4
建议与总结
建议宁波当地的跨境电商企业根据自身特点和需要,对“传出去”和“收进来”所涉及的欧盟跨境数据传输和中国数据出境安全体系下的要求做出相应的合规安排,以防范大额行政罚款的风险以及失去消费者信任的风险。
在数据安全法律环境逐步完善的当下,提高对相关法规的识别和解读能力是当务之急。
宁波的跨境电商企业可以联合内部法务合规部门,外部律所和咨询机构的力量,识别出适用于自身企业的要求,并对其进行充分解读,发现与之差距并逐步完善。
企业也可将数据安全体系建设纳入进组织的战略规划中,并制定落实计划,为企业的安全和稳定发展做有效保障。
Reference:
澎湃浙江:宁波市政府常务会议组织学习《数据安全法》宁波市政府常务会议组织学习《数据安全法》 (thepaper.cn)
央广网:数字经济时代 数据安全关乎国家安全 数字经济时代 数据安全关乎国家安全 (baidu.com)
新起点、新征程:《数据安全法》时代下的数据安全与发展新起点、新征程:《数据安全法》时代下的数据安全与发展|专业文章|威科先行·法律信息库 (wkinfo.com.cn)
供稿:德勤(宁波)风险咨询部门汤洪煜
-END-
点击查看往期内容
