跨境电商 合规「跨境解决方案」

2021年3月颁布的《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》明确指出要加快发展跨境电商。2020年发布的《中共中央印发《法治社会建设实施纲要（2020－2025年）》指出完善跨境电商制度，规范跨境电子商务经营者行为。跨境电商产业被予以重要部署，而就跨境电商发展中所涉及到的数据安全和个人信息保护方面的法律问题，近几年我国也陆续出台了相应的法律予以规范。跨境电商作为一种适应时代需要的新型商业形态，在促进经济发展方面无疑起到重要作用，但是随着数据相关方面法律法规的出台，跨境电商经营者也正在面临着新的合规要求。

一、跨境电商及其数据合规要求

1.跨境电商定义

跨境电子商务（以下简称跨境电商），是指分属不同关境的交易主体，通过电子商务平台达成交易、进行支付结算，并通过跨境物流送达商品、完成交易的一种国际商业活动。【1】

2.跨境电商参与主体

《国务院办公厅转发商务部等部门关于实施支持跨境电子商务零售出口有关政策意见的通知》（国办发［2013］89号）规定，经营主体分为三类：一是自建跨境电子商务销售平台的电子商务出口企业，二是利用第三方跨境电子商务平台开展电子商务出口的企业，三是为电子商务出口企业提供交易服务的跨境电子商务第三方平台。

《商务部、发展改革委、财政部、海关总署、税务总局、市场监管总局关于完善跨境电子商务零售进口监管有关工作的通知（商财发〔2018〕486号）》规定，跨境电商零售进口主要包括以下参与主体：（一）跨境电商零售进口经营者：自境外向境内消费者销售跨境电商零售进口商品的境外注册企业，为商品的货权所有人；（二）跨境电商第三方平台经营者：在境内办理工商登记，为交易双方（消费者和跨境电商企业）提供网页空间、虚拟经营场所、交易规则、交易撮合、信息发布等服务，设立供交易双方独立开展交易活动的信息网络系统的经营者；（三）境内服务商：在境内办理工商登记，接受跨境电商企业委托为其提供申报、支付、物流、仓储等服务，具有相应运营资质，直接向海关提供有关支付、物流和仓储信息，接受海关、市场监管等部门后续监管，承担相应责任的主体；（四）消费者：跨境电商零售进口商品的境内购买人。通过以上两份文件分析，跨境电商参与主体主要为跨境电商企业（含自建销售平台的跨境电商企业）、跨境电商第三方平台（含服务提供商）、消费者。本文将跨境电商企业及跨境电商第三方平台统称为跨境电商经营者。

3. 跨境电商经营者面临的数据合规总体要求

我国就数据合规方面法律有《中华人民共和国刑法》（简称《刑法》）、《中华人民共和国网络安全法》（简称《网安法》）（2017年6月1日生效）、《中华人民共和国民法典》（简称《民法典》）（2021年1月1日生效）、《中华人民共和国数据安全法》（简称《数安法》）（2021年9月1日生效）、《中华人民共和国个人信息保护法》（简称《个保法》）（2021年11月1日生效），基本形成了“四法一典”为核心基础的数据保护法律支柱框架。分别来说，《刑法》从打击犯罪的层面、《网安法》从网络安全的层面、《数安法》从数据安全流通的层面，《民法典》和《个保法》从保护公民个人信息、隐私的层面对跨境电商经营者数据合规方面进行着全方位的规制。

二、跨境电商个人信息处理方面要点分析

《海关总署公告2016年第26号关于跨境电子商务零售进出口商品有关监管事宜》【2】规定，电子商务企业应当对购买跨境电子商务零售进口商品的个人（订购人）身份信息进行核实，并向海关提供由国家主管部门认证的身份有效信息。无法提供或者无法核实订购人身份信息的，订购人与支付人应当为同一人。无论是从上述规范要求来看，还是从商品买卖交易本身分析，跨境电商经营者均需收集包括个人信息在内的各类数据。

《个保法》第四条规定个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等，故跨境电商经营者只要涉及上述个人信息的全流程的任意环节即为个人信息处理者，就应当按照《个保法》相关要求履行相应的义务。

1.基本原则

跨境电商经营者在处理个人信息时，应当遵循一些基本的原则，避免在个人信息处理中出现方向性问题。若法律规定没有对个人信息进行具体规定，也可以遵循下述基本原则进行灵活处理。

2.分类处理不同个人信息

获悉了消费者的各类个人信息后，跨境电商经营者需按照规定对于不同类别的个人信息，进行不同方式的保护及分类分级有针对性的处理。

三、跨境电商数据安全方面要点分析

跨境电商经营者在进行跨境电子商务交易过程中，收集和掌握了大量包含个人信息在内的数据，跨境电商经营者应当切实履行好数据保护的职责，防止数据安全事故的发生。

四、跨境电商数据跨境流通方面要点分析

五、跨境电商数据合规总体思路

随着国家对跨境电商数据方面的要求趋向严格及相关法律法规制度越发完善，跨境电商的发展需要特别关注发展过程中数据合规风险问题。为了规避数据尤其是个人信息方面的合规风险，跨境电商经营者应当从以下几个方面进行数据合规方面的工作安排：

第一，跨境电商经营者应转变思想，将数据合规作为经营中面临的法律风险中的重要一环。数据已经成为国家的战略性生产要素资源，所以数据尤其个人信息保护一定会成为监管的重点，企业务必要开始重视企业的数据合规建设，为企业的长远发展打下良好的法律基础。

第二，跨境电商经营者应熟悉国内外相关数据法律法规的的要求并配套建立相应的制度、采取相应技术措施。按照我国数据、个人信息保护方面的法律法规的规定，针对不同的数据应当建立与之相对应的管理制度和技术措施，来保护数据的安全并依法对数据进行处理。例如，涉及支付方面的敏感信息需进行特别的保护。

第三，跨境电商经营者根据其业务的跨境性特点，应当特别关注数据跨境流通的问题。跨境电商本身就是一种跨境的贸易行为，无法避免数据的跨境流通，所以跨境电商经营者应当按照国家的相关规定对数据跨境进行合规操作。尤其是跨境电商第三方平台，此类平台一般掌握着大量的个人信息，其中可能存在重要数据、核心数据抑或敏感个人信息，此类数据的跨境需要尤为注意合规的问题，做好数据的分类管理，避免不可跨境的数据非法跨境流通。

第四，跨境电商经营者应引入包括律师事务所在内的第三方服务机构对数据合规进行全生命周期合规检视。跨境电商掌握的数据存在数据流转冗长、数据种类繁多和数据数量庞大等特点，跨境电商经营者依靠自身的力量无法完全解决数据合规风险问题。加之按照相关法律规定跨境电商需要进行各种评估并建立与其自身实操相匹配的合规体系，这都需要专业的服务机构提供协助与设计。

注释

1 上海自贸区“跨境通”将上线 首试跨境电子商务，详见https://www.chinanews.com.cn/gn/2013/10-07/5347229.shtml，最后一次访问2021年12月14日。

2 《海关总署公告2014年第12号 增列“跨境贸易电子商务”海关监管方式代码》、《海关总署公告2018年第165号 关于实时获取跨境电子商务平台企业支付相关原始数据有关事宜》也有类似的相关规定。

3 《关键信息基础设施安全保护条例》第二条本条例所称关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

特别声明：以上仅代表笔者个人观点，不代表策略律师及策略律师事务所出具的任何形式之法律意见。如有意向就相关议题进一步交流探讨，欢迎与本所联系！