RCEP时代,跨境电商应了解的数据合规问题
数据流动是企业进行数字贸易的核心。RCEP 的签署将助力区域内将形成统一的数据保护与流动规则,促进电子商务将加速发展。对于跨境电商企业,RCEP新增的“通过电子方式跨境传输信息”和“数据设施和数据本地化”规则将有助于成员国数字企业的转型。在带来机遇的同时,新的数字贸易规则也对电商企业的数据合规能力建设提出了新要求。
一、RECP中的跨境电商
▲图片来源:亚洲发展银行[1]
RCEP有望刺激跨境电子商务。电子商务的兴起为中小企业提供了机会,从而加强中小电商企业在2022年及以后从疫情中复苏的能力。持续的COVID-19大流行,特别是Delta和Omicron的肆虐,更强化了电子商务在加强区域贸易中的重要性。
RCEP第12章的总体目标是促进电子商务,并为其创造一个支持性的法律、监管和政策环境。这契合了数字经济,电子商务,包括数字金融,电商平台和社交网络公司在RCEP成员国迅速增长的大背景。RCEP第12章涵盖了网络安全、个人隐私、国家安全等内容,赋予了中国在制定未来数字贸易规则方面的领导潜力。
为创造有利于电子商务的区域环境,RCEP成员国的主要义务如下:
具体而言,第12章在无纸化交易、电子认证和电子签名、计算机设施的位置、通过电子方式跨境传输信息、电子商务对话和争端解决等问题均做出具体约定。值得注意的是,中国作为RCEP签署国,在原则上首次做出了对数据设施和数据本地化的约束性承诺[2]。同时RCEP中的例外规则规定,缔约方可以采取保护其安全利益的措施阻止数据跨境流动和要求数据本地化,这与中国目前关于数据跨境流动与存储的理念趋同。
二、数据跨境流通的利益平衡与公共政策考量
1. 自由传输与数据主权的博弈
对于贸易本身,跨境数据共享非常重要,尤其对于以互联网为基础的服务和电子商务,最近的云计算、人工智能(AI)和物联网(IoT)等第四次工业革命技术均依赖于获取存在于多个区域的高质量数据。 对于政府而言,数字技术的进步和数据收集的便利可能会危及消费者的隐私和安全,且数据具备经济资产的属性,因此,数据的跨境自由流动可能会危及国家的经济增长和主权。因此,一些政府对数据实施了控制,例如将数据本地化,禁止数据跨境流动或要求某些数据在本地存储。目前自由传输与数据主权的博弈主要围绕在个人权利、国家安全、与经济发展的框架内[3]。 经济发展:数字经济正在成为重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量,当前社会生产投入要素从最早的土地到劳动力到资本到技术到当前的数据,数据成为整个社会再生产中最重要的切入要素,由此带动了资本、技术和其他一些要素的进一步发展[4]。
三、RCEP背景下跨境电商企业数据合规建议
1. 密切关注数据跨境法律法规的制定与实施 数据跨境流动立法正在制定中,数据分级分类管理规则标准尚不明确,《数据安全管理办法》、《个人信息出境安全评估办法》、《数据处境安全评估办法》 发布征求意见稿,但至今上述办法仍未落地,安全评估细则有待制订,数据跨境流动的具体标准存在一定的不确定性,个人信息保护认证、标准合同以及其他条件也需要进一步明确。电商企业应对相关配套法规的制定与实施密切关注,并可在必要时通过合法途径提出合理建议和意见。 2. 积极加强数据跨境之合规能力建设 对于数据跨境,应增强数据合规审查能力。在RCEP第12章第8条规定,每一缔约方应采取或维持电子商务用户个人信息受到保护的法律框架。电商平台消费者每一笔交易衍生的交易电子数据、支付、物流信息等个人信息,是跨境电商交易闭环的重要组成部分。跨境电商企业对该个人信息的处理和保护,主要依靠缔约方国内的法律框架[9]。 具体而言,根据《个人信息保护法》的规定应梳理、识别电商企业中涉及个人信息处理的各类业务类型,从信息收集、使用、加工、存储、传输、提供等各个环节进行排查,例如,个人信息处理活动是否符合个人的通常预期、是否涉及个人信息跨境提供、是否坚持了“非脱敏信息授权使用,已脱敏信息自由使用,不确定时谨慎使用”的原则等。根据《数据安全法》的规定对于个人信息的跨境流动,可以根据个人信息的敏感程度实施分层级保护,重视对个人隐私的保护。对于电商企业数据的保护,基于其与个人信息的重叠,需要在判断数据权属的基础上调整保护程度,确保数据分级分类管理制度的有效实现。根据《网络安全法》的规定应及时建立、完善自身的数据安全评估机制,在相关部门安全评估之前先对涉及数据安全的行为进行自我评估。并针对审查中发现的问题,制定有效改正措施,降低合规风险。 3. 积极加强数据本地化之合规能力建设
对于数据本地化,应满足数据存储合规要求。尽管RCEP规定“缔约方不得将要求涵盖的人使用该缔约方领土内的计算设施或者将设施置于该缔约方领土之内,作为在该缔约方领土内进行商业行为的条件”,但RCEP中所述的商业行为多与网络信息安全有关,而且允许成员国出于合法的公共政策与安全等原因强制数据本地化。这也意味着,电商企业必须满足当地对数据收集、传输和使用法律法规。
《网络安全法》第 37 条规定,关键信息基础设施的运营者在中国境内收集、产生的个人信息和重要信息应当储存在境内。可能被纳入到关键信息基础设施运营者范围的企业应当考虑将存储相关数据的物理设备置于中国大陆境内,并与境外的设备进行一定的隔离。《个人信息和重要数据出境安全评估办法(征求意见稿)》第2条规定,网络运营者在中华人民共和国境内运营中收集和产生的个人信息,应当在境内储存。
虽然目前跨境电商行业中关键信息基础设施运营者的范围仍未落定,考虑到跨境电商企业在日常业务中涉及体量较大的个人(敏感)信息,仍然有可能被认定为关键信息基础设施运营者,相应地则可能需要履行个人数据本地化的义务[10]。对于在云端储存数据的企业而言,也需要采取一定的本地化措施。比如特斯拉已经在中国建立数据中心,并将陆续增加更多本地数据中心。所有在中国大陆市场销售车辆所产生的数据,都将存储在境内。同时向车主开放车辆信息查询平台,以适应 《网络安全法》有关数据本地化的合规要求。
通过分析与研究RCEP 新增的数字流通与存储规则,可以看到区域性的数据跨境规则正在形成。近几年,无论是国家还是地方,开始探索安全、有序的数据跨境流动。在国家层面,《海南自由贸易港建设总体方案》 要求重点保障关键信息基础设施和数据安全,创新数据出境安全的制度设计,实现数据充分汇聚,培育发展数字经济。在地方层面,《上海市关于高质量落实<区域全面经济伙伴关系协定>(RCEP)的若干措施》提出在工业互联网、智慧城市、5G、区块链等领域,推动RCEP框架下数字经济国际合作。推动虹桥国际中央商务区全球数字贸易港率先成势,加快融入RCEP数字贸易市场网络。以进一步推动跨境电商发展,抢抓RCEP机遇。 在中国积极参与构建全球数据治理规则的时代环境下,RCEP第12章的签署及特殊数据跨境规则及中国跨境数据立法尚未完全建立的现状对企业来说是机遇也是挑战。中国跨境电商企业能否适应国内外关于数据跨境监管合规要求有待时间的进一步检验。
本文转自涉外法律圈,作者魏心舒丨Kelly,转载请获得授权,版权归原作者所有,侵删
