2022 년 9 월 1 일' 데이터 출국안전평가방법' (이하' 방법') 이 정식으로 발효되었다. "방법" 은 "본 방법 시행 전에 이미 전개된 데이터 탈퇴 활동은 본 방법 규정에 부합하지 않으며, 본 방법 시행일로부터 6 개월 이내에 시정을 완료해야 한다" 고 규정하고 있다. 현재, 반년 정류 기간은 이미 반이 넘었다.

국경을 넘나드는 전기상 소매 수입에서는 거래 당사자가 외국에 있기 때문에 반드시 데이터 출국 문제가 관련되어 있다. 예를 들어, 96 10 의 수입 모드에서 소비자의 해외 연락처와 주소를 제공하지 않으면 택배를 배달할 수 없습니다. 국경을 넘나드는 전자 상거래 플랫폼으로서, 데이터 출국 규정 준수 관련 작업이 수행되지 않은 경우, 데이터 출국 안전 평가가 필요한 범위에 속하는지 충분히 평가해야 합니다.

데이터 출국 외에도 개인 정보 보호 및 데이터 규정 준수도 최근 몇 년 동안 국가의 관심의 초점이 되어 왔으며, 국경을 넘나드는 전자 상거래 플랫폼의 일상적인 운영에 중점을 두어야 합니다. 국경을 넘나드는 전자 상거래 플랫폼을 서비스한 경험을 결합하여 국경을 넘나드는 전자 상거래 플랫폼의 개인 정보 및 데이터 보안에 대한 규정 준수 지점에 대해 이야기합니다. (데이비드 아셀, Northern Exposure (미국 TV 드라마), 자기관리명언) 이 글은 개인적인 경험일 뿐 포괄적이지 않다는 점을 설명해야 한다. 구체적인 법적 문제에 부딪히면 여전히 구체적인 분석 연구가 필요하다는 것이다.

첫째, 개인 정보 처리 원칙

국경을 넘나드는 전자상거래 플랫폼에서 수집하고 처리한 데이터 중 가장 중요하고 법적 위험이 있는 것은 소비자의 개인 정보입니다. 개인 정보 보호의 법적 차원에서 개인 정보 처리에는 개인 정보 수집, 저장, 사용, 처리, 전송, 제공, 공개 및 삭제가 포함됩니다.

"개인 정보 보호법" 제 1 장은 개인 정보 처리 원칙을 규정하고 있으며, 이론적으로는 다른 법률과 큰 차이가 있다. 개인 정보 보호와 관련된 원칙은 국경을 넘나드는 전자 상거래 플랫폼이 모든 개인 정보를 처리할 때 주의를 기울이고 고려해야 하는 내용이다. 특히 현재 우리나라의 개인 정보 및 데이터 보안 법규 제정은 아직 초기 단계에 있다. 법률 법규에 규정이 없는 곳에서는 관련 원칙에 따라 개인 정보를 처리해야 한다.

이러한 원칙 중 일부는 다음과 같이 분명합니다.

합법성 원칙: 개인 정보를 처리할 때는 법률, 행정 법규의 규정을 엄격히 준수하고 합법적인 방식을 취하고 개인 정보를 불법으로 처리해서는 안 됩니다.

합법성 원칙: 개인 정보를 처리하는 행위는 합법적이어야 하며, 처리자는 사기 등 부당한 수단이나 정보 주체가 전혀 모르는 상황에서 개인 정보를 처리해서는 안 됩니다.

품질 원칙: 개인 정보 처리기는 자신이 처리하는 개인 정보의 품질을 보장하고 개인 정보의 부정확성과 불완전성으로 인해 개인의 권익에 악영향을 미치지 않도록 해야 합니다. 개인 정보 보호법과 국내외 법률 관행과 함께 국경을 넘나드는 전자 상거래 플랫폼으로서 개인 정보를 처리할 때 핵심은 두 가지를 파악하는 것이라고 생각합니다.

최소한의 필요성 원칙

이 원칙은 주로 다음과 같은 의미를 가지고 있다.

첫째, 명확하고 합리적인 목적이 있어야 한다.

개인 정보 처리는 목적이 있어야 한다. 무슨 소용이 있는지 모르기 때문이 아니라 기술적으로 방법이 있다고 생각하기 때문에 먼저 수집해야 한다. 목적도 명확해야 한다.' 더 나은 서비스 제공',' 사용자 경험 개선' 등 광범위한 표현을 사용해서는 안 된다.

전자상거래 플랫폼의 경우 기본 기능 서비스는' 상품 구매' 이며, 개인 정보 수집의 목적은 일반적으로 사용자 등록, 구매 상품 주문, 지불, 배송, 고객 서비스 제공, 분쟁 처리 등이다.

또한 전자 상거래 플랫폼 및 관련 파트너는 사용자에게 사용자 개인 정보 처리와 관련된 추가 서비스를 제공합니다. 이러한 서비스를 제공할 때는 목적이 명확해야 한다. 예를 들어, 티몰 개인 정보 보호 정책에 따르면 티몰 처리 행위는 "당신이 단독으로 동의한 경우 제 3 자에게 계정 정보를 제공합니다." 는 "제 3 자 계정을 쉽게 등록하거나 제 3 자에 직접 로그인할 수 있도록" 를 목적으로 합니다.

둘째, 개인 정보 처리 활동은 처리 목적과 직접적인 관련이 있어야 합니다.

"직접 관련" 이란 개인 정보 처리 행위가 처리 목적 범위 내에 있어야 하며 밀접한 관련성을 가져야 한다는 의미입니다. 예를 들어, 플랫폼이 소비자에게 위탁 상품을 목적으로 개인 휴대전화 번호, 주소 등 개인 정보를 수집했다고 알려 주지만, 소비자들에게 플랫폼의 다른 상품에 대한 광고를 보내면 처리 목적과 직접적인 관계가 없다.

셋째, 최소화합니다.

최소화란 개인 정보 처리를 특정 목적을 달성하는 데 필요한 범위로 제한해야 한다는 것을 의미합니다. 개인 정보를 수집하고 처리할 수 있는 경우 가능한 한 적게 수집하고 처리합니다.

"일반적인 모바일 인터넷 응용 프로그램에 필요한 개인 정보 범위에 관한 규정" 제 5 조 (6) 항에 따르면 온라인 쇼핑에 필요한 개인 정보는 다음과 같습니다.

1. 등록된 사용자의 휴대폰 번호

수취인의 이름, 주소 및 전화 번호;

3. 지불 시간, 지불 금액, 지불 채널 등 지불 정보.

일반 전자 상거래 플랫폼의 경우 기본적인 온라인 쇼핑 목적을 달성하려면 사용자의 위 정보를 얻는 것으로 충분합니다. 사용자의 위치 정보, 주소록 정보 등 수집할 필요가 없는 개인 정보입니다.

물론 국경을 넘나드는 전자상거래 플랫폼이 수집할 수 있는 개인 정보는 여기에 국한되지 않는다. 한편, 국경을 넘나드는 전자상인의 특수성으로 인해 사용자는 추가 정보, 특히 국경을 넘나드는 전자상인의 통관 요구 사항으로 인해 국경을 넘나드는 전자상거래 플랫폼은 소비자의 신분증 정보를 얻어야 한다. 반면 사용자에게 보다 광범위한 서비스를 제공하기 위해 플랫폼은 명확하고 합법적이며 합리적인 목적을 바탕으로 추가 개인 정보를 수집하고 통보 의무를 충분히 이행할 수 있습니다.

통보-동의 규칙

공지+동의는 개인 정보 보호의 기본 규칙이며, 플랫폼은 다음 사항에 유의해야 합니다.

첫째, 공개적이고 투명합니다.

개인 정보 처리 규칙을 공개하여 처리의 목적, 방법 및 범위를 설명합니다. 국경을 초월한 전자 상거래 플랫폼으로서, 주요 구현 방식은 프라이버시 정책 (또는 개인 정보 보호 정책) 을 제정하고 공개하는 것이다.

국경 간 전자 상거래 플랫폼은:

1. 개인 정보 보호 정책은 사용자 계약, 사용자 지침 및 기타 문서의 일부가 아닌 별도의 서면으로 게시해야 합니다.

2. 사용자가 서비스를 사용하기 전에, 특히 응용 프로그램이 처음 실행될 때 팝업 창과 기타 명확한 방식으로 사용자에게 개인 정보 보호 정책을 읽도록 요청해야 합니다.

3. 프라이버시 정책은 쉽게 액세스할 수 있어야 합니다. 주요 기능 인터페이스에 들어가면 사용자는 4 회 이내에 클릭 (포함) 하면 개인 정보 보호 정책에 들어갈 수 있습니다.

둘째, 통보+동의

국경을 넘나드는 전자 상거래 플랫폼은 개인 정보를 처리할 때 원칙적으로 통보 및 동의 규칙을 준수해야 하며, 법에 따라 정보 주체의 동의를 받고 나서야 개인 정보를 처리할 수 있습니다.

플랫폼은 app, 애플릿, 디자인 페이지를 개발할 때 전체 과정에서 어떤 개인 정보가 처리되었는지, 그리고 "통보+동의" 프로세스를 따르는지 항상 주의를 기울여야 합니다. 또한' 개인 정보 보호법' 은' 개인이 개인 정보 처리에 동의하는 것은 개인이 완전히 알고 있는 한 개인이 자발적으로 명시적으로 동의해야 한다' 고 규정하고 있다. 여기서' 명확함' 은 프라이버시 정책과 같은 사용자의 개인 정보와 관련된 내용에 동의할 수 없다는 것을 요구한다.

또한 개인 정보 보호법은 제 3 자에게 개인 정보를 제공하고, 개인의 민감한 정보를 처리하고, 해외에 개인 정보를 제공할 때도 개인의 동의를 받아야 한다고 규정하고 있다. "개별 동의" 는 해당 장면의 동의를 다른 동의와 구별해야 하며, 다른 사항에 숨길 수 없으며, 패키지 승인을 통해 개별 동의나 수락을 받을 수 있습니다. 위의 사항은 사용자가 등록할 때의 일반 프라이버시 조항에만 두어서는 안 된다.

셋째, 정보에 입각 한 동의 규칙의 예외.

개인정보보호법에도 정보동의규칙 예외에 관한 구체적인 규정이 있다. 이러한 경우에는 개인적인 동의가 필요하지 않습니다. 예를 들어, * * * 행정, 사법기관이 법에 따라 제기한 요구 사항 및 기타 법적 의무를 이행할 필요성에 따라 개인 정보를 누릴 수 있습니다. 국경을 넘나드는 전자상거래 플랫폼은' 개인이 당사자인 계약을 체결하고 이행하는 데 필요한 것' 을 사용할 가능성이 가장 높다.

그러나 지적해야 할 것은 다음과 같습니다.

1. 이 경우 동의를 받을 필요는 없지만 의무를 알려야 합니다.

2. 현재' 계약 이행의 필요성' 에 대한 정의는 여전히 논란의 여지가 있으며, 전자상거래에서 통지 동의 규칙을 어떻게 적용하는지에 대한 예외도 구체적인 의견이 부족하다. 제안 플랫폼은 페이지를 디자인하고 기능을 개발할 때, 특히 소비자와 같은 개인 사용자의 개인 정보에 대해서는 개인 정보를 처리하는 기본 운영 절차로 "통보+동의" 를 사용해야 하며 계약 이행을 이유로 관련 단계를 신중하게 생략해야 합니다.

플랫폼이 자주 겪는 문제에 대해 상가는 소비자의 개인 정보를 얻어 마케팅을 할 것을 요구한다. 내 의견으로는, 상가에 소비자 정보를 제공하는 것은 제 3 자에게 개인 정보를 제공하는 것이며, 마케팅은 상품 구매 계약을 이행하는 데 필요한 범위를 분명히 초과하며, 소비자들에게 별도의 동의를 요구해야 한다. 관련 규범과 실천 습관에 따르면 탄창을 통해 이 일을 명확하게 알리고 소비자들에게 단독 클릭 동의를 요청하는 것이 좋습니다. 팝업 창에서 이름, 연락처, 처리 목적, 처리 방법 등이 있습니다. 소비자의 개인 정보를 얻는 상인에게 분명히 알려야 한다. 위에서 언급한 바와 같이, 이곳의 치료 목적은 충분히 분명하게 말해야 한다. 개인의 동의를 피하는 과정이 너무 무뚝뚝하고 소비자의 반감을 불러일으키는 것은 플랫폼 회사의 제품 매니저를 시험해야 한다.

둘째, 민감한 개인 정보

민감한 개인 정보란 일단 유출되거나 불법 이용되면 자연인의 인격존엄성이 침해되거나 개인, 재산안전이 위태로워질 수 있는 개인 정보다. 바이오메트릭 인식, 종교 신앙, 특정 신분, 의료 건강, 재무회계, 행방 등 정보, 만 14 세 미만의 미성년자의 개인 정보 등이 있다.

정보 보안 기술 개인 정보 보안 사양 (GB/T 35273—2020) 에는 민감한 개인 정보가 자세히 나와 있습니다.

국경을 넘나드는 전자 상거래 플랫폼은 민감한 개인 정보를 처리할 때 다음 사항에 유의해야 합니다.

1. 받을 수 있으면 받지 않고, 꼭 필요한 경우가 아니면 다른 사람에게 제공하지 않도록 노력하십시오. 법령에 따르면 개인의 민감한 정보 보호는 엄격하고 처리 요구도 까다롭다. 회사는 암호화와 같은 보안 조치를 실시해야 하며, 개인 정보 보호의 영향을 미리 평가하고 적절한 내부 관리 제도와 운영 절차를 마련해야 합니다.

2. 민감한 개인 정보의 처리는 개인의 단독 동의를 얻어야 한다. 국경을 넘나드는 전자상거래 플랫폼의 경우 반드시 관여해야 하는 개인의 민감한 정보는 소비자의 신분증 정보이다. 신분증 정보를 수집할 때는 별도의 통지와 확인 옵션이 있는 것이 좋습니다.

셋째, 개인 정보 보호 영향 평가

개인 정보 보호법은 개인 정보 보호 영향 평가의 법적 상황과 주요 내용을 규정하고 있습니다. 규정에 따르면 개인 정보 보호 평가를 실시하는 것은 법적 의무이다. 개인 정보 처리기는 다음과 같은 경우 개인 정보 보호 영향 평가를 미리 수행하고 처리 상황을 기록해야 합니다.

(1) 민감한 개인 정보 처리

(2) 자동 의사 결정에 개인 정보 사용;

(3) 개인 정보 처리 위임, 다른 개인 정보 처리자에게 개인 정보 제공, 개인 정보 유출

(4) 해외에서 개인 정보를 제공한다.

(5) 개인의 권익에 중대한 영향을 미치는 기타 개인 정보 처리 활동.

국경 간 전자 상거래 플랫폼은 종종 이러한 상황을 다룹니다.

이 법에 따르면 개인 정보 보호 영향 평가에는 다음이 포함되어야 합니다.

(1) 개인 정보 처리의 목적과 방식이 합법적이고 공정하며 필요한지 여부

(2) 개인의 권리와 안전 위험에 미치는 영향;

(3) 취해진 보호 조치가 합법적이고 효과적이며 위험 수준에 부합하는지 여부.

개인 정보 보호 영향 평가의 주체는 엄격한 제한이 없으며 플랫폼은 독자적인 전문 능력을 갖추고 있어 스스로 진행할 수 있다. 자기평가를 할 능력이나 수단이 없다고 느낀다면 로펌이나 컨설팅 회사와 같은 제 3 자 기관에 의뢰할 수도 있다.

넷째, 데이터 종료

데이터 수출이란 무엇입니까? 관련 법규와 인터넷신처 관계자에 따르면' 평가방법' 등 법령의 데이터 탈퇴 활동은 주로 다음을 포함한다.

1. 데이터 프로세서는 국내 작업에서 수집 및 생성된 데이터를 해외로 전송 및 저장합니다.

2. 데이터 프로세서에서 수집하고 생성한 데이터는 중국에 저장되며 해외 기관, 조직 또는 개인이 액세스하거나 검색할 수 있습니다.

국내 국경 간 전자 상거래 플랫폼이 해외 상인에게 제공하는 데이터나 해외 회사가 국내 국경 간 전자 상거래 플랫폼을 방문하여 수집한 데이터는 모두 데이터 수출에 속한다.

개인 정보 보호법은 개인 정보 출국의 규정 준수 경로를 규정하고 있다. 플랫폼이 해외에서 개인 정보를 제공해야 하는 경우 다음 네 가지 경로를 통해 규정 준수 요구 사항을 충족할 수 있습니다.

(a) 안전성 평가 채택;

(2) 개인 정보 보호 인증을 실시한다.

(3) 표준 계약에 따라 해외 수취인과 계약을 체결한다.

(4) 법률, 행정법규 또는 국가망신부에서 규정한 기타 조건.

이러한 경로는 평행하지 않지만 우선 순위 요구 사항이 있습니다. 국경을 초월한 전자 상거래 플랫폼의 경우, 우선 평가 조치를 비교하여 자신이 안전평가 범위에 속하는지 여부를 결정해야 한다.

평가 방법의 규정에 따라 다음과 같은 경우 안전 평가가 필요합니다.

(1) 데이터 프로세서는 중요한 해외 데이터를 제공합니다.

(b) 주요 정보 인프라 사업자;

(3) 654.38+0 만명 이상의 개인 정보를 처리하는 데이터 처리기는 해외에서 개인 정보를 제공합니다.

(4) 지난 해 6 월 654.38+0 일 이후 해외에 개인 정보 제공 654.38+ 만명 또는 민감한 개인 정보 654.38+0 만명의 데이터 처리자가 해외에 개인 정보를 제공한다.

(e) 국가 인터넷 통신 부서에서 규정한 기타 상황.

국경을 넘나드는 전자 상거래 플랫폼은 모든 데이터 출국 관련 상황을 실사해야 하며, 통계와 관련된 개인 정보의 양이 위의 기준에 부합하거나 근접하는지 여부를 계산해야 한다. 이 회사가 안전평가 범위에 속하면 내년 2 월 말까지 관련 평가를 완료해야 한다.

회사가 안전평가 범위에 속하지 않을 경우 개인 정보 보호 인증 실시, 표준 계약에 따라 해외 수신인과 계약 체결 등을 통해 데이터 출국 활동을 진행할 수 있습니다. 어떤 방식을 채택할지에 대해서는 강제적인 요구가 없고, 회사는 비용과 편리함에 따라 선택할 것이다.

현재, 이 두 가지 방식의 구체적인 조작 규정은 점차 제정되고 있다. 2022 년 6 월 4 일, 165438+ 국가시장감독관리총국, 국가인터넷정보국은' 개인정보보호인증시행세칙' 을 새로 반포해 개인정보보호인증시행세칙을 더욱 추진했다. 현재 개인 정보 탈퇴 기준 계약은 단지 의견을 구하는 것일 뿐, 아직 정식 시행문은 없다. 그러나 외국인 투자자와 계약을 체결할 때' 개인 정보 출국 표준 계약 조항 (의견초안 요청)' 의 내용을 참고해 개인 정보 보호 관련 조항을 약속할 수 있다.

_ 연락처 정보:

베이징 화성 (상하이) 로펌 공탁변호사

10 여 년의 세관법 집업 경험을 가지고 있으며, 주요 집업 분야는 세관 법률 사무와 형사변호를 한다.

많은 중대 밀수 사건의 변호 업무를 맡았으며, 여러 유명 기업의 법률 고문으로 전담법률 서비스를 제공하였다. 그 전문 문장 여러 차례' 중국 세관' 잡지, 세관법학연구회, 중국 어업협회에 의해 발표됐다.

전화 (위챗):1896 4028223 _ _