近年来,中国相继颁布实施《中华人民共和国数据安全法》、《个人信息保护法》、《促进和规范数据跨境流动规定》和《网络数据安全管理条例》等法律法规,逐步建立起相对完善的具有中国特色的数据出境分层监管机制。中国跨境电商网上“买”“卖”全球的背后,离不开数据在全球范围的跨境流动,而数据跨境流动又因涉及数据安全、个人信息保护等变得较为复杂。
因此,数据又该如何安全有序流动是保证我国跨境电商主体出海业务合规的核心。跨境电商蓝皮书(2025)将数据处理者分为特殊主体和普通主体,并分别讨论具体的数据出境合规路径。
1.关键信息基础设施运营者
《关键信息基础设施安全保护条例》定义了“关键信息基础设施”,涵盖公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的重要网络设施、信息系统,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
理论上关键信息基础设施运营者跨境流动的数据可能包括重要数据、个人信息、一般数据等。《网络安全法》第37条和《中华人民共和国数据安全法》(以下称数据安全法)第31条规定了关键信息基础设施运营者跨境流动重要数据和个人信息的,应当进行安全评估。《促进和规范数据跨境流动规定》进一步明确关键信息基础设施运营者跨境提供重要数据或者个人信息的,原则上应当通过国家网信部门的数据出境安全评估。
国家互联网信息办公室发布《促进和规范数据跨境流动规定》的同日亦公布了《数据出境安全评估申报指南(第二版)》。其中的数据出境安全评估申报表明确列出“跨境电商”作为拟出境数据情况涉及行业或领域之一。这将有利于中国相关政府部门掌握跨境电商行业的数据出境安全评估情况。根据《数据出境安全评估办法》《促进和规范数据跨境流动规定》《数据出境安全评估申报指南(第二版)》,数据处理者申报数据出境安全评估需要提交的材料包括数据出境安全评估申报表、与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件、数据出境风险自评估报告等材料。
针对《网络安全法》和《数据安全法》未涉及的关键信息基础设施运营者跨境流动一般数据的,《促进和规范数据跨境流动规定》第2条特别宣示性规定国际贸易、跨境运输等活动中收集处理的非个人信息和非重要数据的一般数据出境,无需申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
2.自由贸易试验区主体
《促进和规范数据跨境流动规定》第6条规定中国的自由贸易试验区可以自行制定区内需要纳入数据出境安全评估、个人信息保护认证、数据出境标准合同管理范围的数据清单(即负面清单),负面清单之外的数据出境无需适用前述监管机制。例如:福建发布的《中国(福建)自由贸易试验区平潭片区数据跨境流动一般数据清单(试行)》规定跨境旅游、跨境电商、跨境直播、国际航运4个领域下15个应用场景的一般数据清单,通过风险评估备案后即可开展数据出境。其中跨境电商领域包括跨境电商商品和订单管理场景、供应链物流管理场景、售后和客服管理场景、统计分析管理场景。
1.普通主体跨境流动重要数据
《数据安全法》第21条强调中国对重要数据加强保护。《网络数据安全管理条例》第62条明确定义重要数据为“特定领域、特定群体、特定区域或者达到一定精度和规模,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据”。
《促进和规范数据跨境流动规定》第2条规定,没有被相关部门、地区告知或公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。2024年2月8日发布的《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》的附录A亦规定“仅影响组织自身或公民个体的数据,一般不作为重要数据”。笔者认为跨境电商行业的数据一般不会构成重要数据,但跨境电商平台企业需留意个人信息主体数量是否达到100万人,达到的建议参照重要数据进行管理。
2.普通主体跨境流动个人信息
根据《个人信息保护法》第38条第1款,向中国境外提供个人信息的合法路径有三:路径一,通过网信部门的数据出境安全评估;路径二,按照规定取得个人信息保护认证,或者符合数据出境标准合同相关规定;路径三,法律法规或国家网信部门规定的其他条件。其中路径一和路径二属于数据出境的前置程序,当具有相应情形时,数据处理者应当依法满足相应的前置程序要求,数据处理者没有自行选择出境合法路径的权利。
路径一:通过网信部门的数据出境安全评估。普通主体适用本路径的情形为自当年1月1日起累计向中国境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。
路径二:按照规定取得个人信息保护认证或符合数据出境标准合同相关规定。虽然《个人信息保护法》实施后中国已颁布《关于实施个人信息保护认证的公告》,但由于有权认证专业机构、认证标准、认证流程等尚不明确,目前实践中,较少有数据处理者通过取得个人信息保护认证开展跨境流动个人信息活动。截至2024年11月,中国网络安全审查认证和市场监管大数据中心表示,共收到个人信息保护认证申请意向104个,颁发个人信息保护认证证书7张。但相关公开信息未表明该等个人信息保护认证是否包含数据出境活动。
路径三:“其他条件”。《网络数据安全管理条例》第35条指出“其他条件”包括:①为订立、履行个人作为一方当事人的合同,确需向中国境外提供个人信息;②依据合法的劳动规章制度和集体合同实施跨境人力资源管理,确需向中国境外提供员工个人信息;③为履行法定职责或者法定义务,确需向中国境外提供个人信息;④紧急情况下为保护自然人的生命健康和财产安全,确需向中国境外提供个人信息。在《网络数据安全管理条例》颁布前实施的《促进和规范数据跨境流动规定》还列举了条件①下的情形包括“跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等”。
——内容来自跨境电商蓝皮书(2025)中的《跨境电商视角下数据跨境流动监管2.0阶段的合规路径分析和适用》
作者:苗凯,北京市隆安律师事务所上海分所律师,研究领域:数据合规、跨境电商、争议解决。
