摘要: 数字经济快速前进并且融入跨境电子商务之后,数据跨国移动成为推动交易撮合、改善物流协作效率并加强用户体验的关键部分,在操作过程中碰上合规风险加大、运营效能受到限制、隐私保护存在漏洞和技术成本过高之类的麻烦,并暴露了国内法律法规体系适用性不足、国际间合作机制缺失以及行业标准不统一之类深层问题。本次研究依托电商和数据法交叉领域,着重关注跨境电商环境下的数据跨境流动难题及现行法律规制情况,借助比较国内外立法实际状况与经典案例来给出精细化分类管理方案、创建专业化符合保障体系、促进全球治理规则协调完善且依靠技术创新引领监管的切实途径,目的是给破解这些困难给予理论依据和支持建议。
Abstract: As the digital economy advances rapidly and integrates into cross-border e-commerce, the transnational movement of data has become a key component in facilitating transaction matching, improving logistics collaboration efficiency, and enhancing user experience. However, this process encounters challenges such as increased compliance risks, operational constraints, privacy protection gaps, and excessive technical costs. It also exposes deeper issues, including insufficient adaptability of domestic legal frameworks, a lack of international cooperation mechanisms, and inconsistent industry standards. This study, grounded in the intersection of e-commerce and data law, focuses on the difficulties of cross-border data flows in the context of cross-border e-commerce and the current legal regulatory landscape. By comparing domestic and international legislative practices and landmark cases, it proposes refined classification management solutions, establishes specialized compliance safeguards, promotes the coordination and improvement of global governance rules, and leverages technological innovation to lead regulation. The aim is to provide theoretical foundations and supportive recommendations for addressing these challenges.
1. 引言
“为了解锁经济增长新来源,提供科学新视角和政府问责新机制,全球经济正经历着信息爆炸。”[1]伴随数字科技与全球化进程的紧密交织,跨境电子商务成为推动国际贸易的繁荣发展的动力引擎,数据跨境流动对于规范电商交易流程、推动电商交易全链条发展、优化物流管理具有至关重要的作用。然而,跨境电商数据跨境流动在实践中遭遇了复杂的挑战,包括但不限于合规冲突、效率瓶颈、隐私保护的不平衡以及高昂的技术成本等问题。同时,国内立法体系在针对性适应性、国际规则整合不足、行业内的合规标准混乱以及执法监管协作缺失等方面的问题,进一步加剧了这一领域的困境。这些因素共同作用下,导致了跨境电商企业,特别是中小型企业面临着显著增加的合规成本压力。鉴于此,本项研究特别侧重于电子商务与法律交界处的探索,旨在深入解析跨境电商数据跨境流动所面临的实质挑战以及当前法律规范的不足之处,并在此基础上汲取国际国内的领先实践,构拟出一套既科学又切实可行的法律改进方案。理论层面上,该研究力图填补跨境电商数据跨境流通领域专门法律研究的空白,从而丰富并深化数字经济时代背景下电子商务法与数据保护法的交叉研究范畴。实践层面,则旨在为我国跨境电商数据管理相关的立法修订与监管体系的优化提供决策依据,帮助业界清晰界定合规界限,有效减少运营成本,进而促进整个行业的规范化运作与国际化进程的加速。
2. 跨境电子商务数据跨境流动的实践障碍
(一) 跨境电商交易数据跨境流动的合规冲突障碍
目前,“我国跨境电子商务贸易发展势头迅猛,2015年数字贸易额达到4万亿元位居世界第一,其中跨境电子商务中B2B模式销售额占全球总额的10%”[2],但是从成本维度考量,技术投资与合规费用共同构成了主要的经济压力来源。此外,合规咨询、审计以及安全性评估的额外支出进一步推高了整体成本,其中单次数据出境安全评估的费用甚至可能达到数十万元之巨。随之而来的长期维护成本持续消耗企业资源,迫使某些中小企业不得不限制其数据跨境流动的规模与频率,从而对其业务拓展与国际竞争力构成挑战。这种法规多样性引发的规制差异迫使跨境电商企业面临严峻的合规挑战。大型电商平台必须兼顾并满足遍布全球的多个司法区域的繁复要求,进而定制化地开发数据跨境传输策略,这不仅显著推高了其合规成本,还潜藏了较高的法律违规风险。
与此形成鲜明对比的是,小型企业由于受限于缺乏专业的合规团队和充足的财务资源,往往难以有效应对如此复杂的合规需求,甚至有部分企业因此选择性退出国际市场份额,以规避合规难题带来的潜在损失。此外,全球范围内数据分类与分级的标准差异显著加剧了冲突态势,特别是在中国将用户支付信息和交易记录界定为关键数据类别,在欧洲则将其归类为“个人数据”这一区分上,这种不同的定义框架直接导致了合规程序与责任归属的巨大差异,进而给企业的实际操作带来了极大的不确定性与挑战。
(二) 跨境电商物流与供应链数据流动的效率障碍
跨境电商物流与供应链数据在网络化流程中扮演着核心角色,覆盖了从仓储到运输、清关直至最后配送的每一个环节,包括但不限于库存信息、物流追踪记录以及清关申报数据等关键要素。这些数据的顺畅流通对提高物流响应速度及优化客户体验具有决定性影响。目前,此类数据流通所遭遇的主要瓶颈包括数据分散化、系统互操作性不足以及信息不均衡分布等多重效率挑战。数据碎片化构成核心挑战,在跨境电商供应链体系中,涉及多元主体如海外供应商、物流服务商与海关等,其各自数据分别储存在孤立的信息化系统内,缺乏统一的共享接入机制与标准化协议,由此造成了所谓的“信息孤岛”现象。
根据一项针对某跨境电商企业的深入调研揭示,物流延误问题的首要原因在于数据传输的不及时性,具体表现为供应商库存数据更新的显著滞后,这一现象直接引发商品的超卖或缺货状况,进而导致物流效率的显著下降,其中,数据传输不及时,成为影响物流顺畅运行的关键瓶颈。此外,跨境网络的带宽约束以及数据加密过程引发的传输延迟现象显著影响了数据流通效率,同时,某些国家实施的严格跨境物流数据审查程序,不仅延长了数据流通的时间周期,还直接增加了企业的库存持有成本和物流损失风险,进而降低了消费者的购物体验满意度。
(三) 跨境电商用户信息跨境流动的隐私保护障碍
跨境电商领域中的用户信息,涵盖个人基本属性、消费模式数据、支付细节等多个维度,这些信息的跨国界流通直接影响着用户的隐私权保障。然而,全球范围内隐私保护法规标准的多样化及其不断强化的趋势,构成了这一领域内实现有效数据跨境流通的主要挑战。全球范围内的隐私保护立法展现出两大显著特征——从严化与差异化:欧洲通用数据保护条例(GDPR)对跨国数据流通实施了严格管控,要求数据转移必须基于用户的明确授权,并建立健全的数据保护体系与数据泄露通报机制;美国加州消费者隐私法案(CCPA)赋予了消费者对数据的删除权与知情权,特别针对向加州用户提供服务的企业进行了规范;而中国的《个人信息保护法》则确立了个人信息跨境传输需通过安全评估及遵循标准化合同协议等合规程序的原则,确保数据流动的安全与合法。
这些法律框架的制定与实施,旨在构建更为全面、细致且符合各自国情的隐私保护体系,以应对全球化背景下数据流动带来的挑战与机遇。此种差异化的隐私保护标准对企业构成了严峻挑战,要求其必须依据特定市场环境制定量身定制的隐私防护策略。尤其值得注意的是,用户信息在跨国界流通过程中遭致的“二次利用”现象显著提升了隐私泄露的风险。某些平台在未经充分通知用户的情况下,将收集到的数据转移给关联企业以用于商业营销活动,此类行为不仅违背了用户知情权,也引发了频繁的法律诉讼与道德争议。此外,当用户信息在多主体间流转并由此引发泄露事件时,责任归属的界定变得异常复杂,而用户在寻求权益保护过程中所面临的成本亦显著升高。
(四) 跨境电商平台运营数据流动的技术与成本障碍
跨境电商平台的运营数据涵盖交易统计指标、用户行为洞察信息以及基于算法的推荐数据等多个维度,这些数据的跨境流通对于推动平台实现全球化的运营战略具有举足轻重的意义,然而,这一过程却面临着明显的技术挑战与高昂的成本壁垒。从技术维度审视,确保数据跨境传输的安全性和稳定性面临多重挑战:一方面,平台运营数据富含关键的商业机密和敏感信息,这要求采用高强度加密技术来保护其在传输过程中的安全;然而,复杂的跨境网络环境使得系统易遭受攻击,特别是对于资源有限的中小企业而言,构建一套完备的加密体系既耗时又昂贵。
另一方面,数据存储与处理受到云服务监管的严格制约,某些国家甚至禁止使用境外云服务,迫使企业不得不在全球范围内建立独立的数据存储中心,这一举措无疑增加了技术实施的复杂性。此外,数据格式与系统之间的兼容性问题也相当突出,跨境传输过程中需要进行格式转换和系统适配,这不仅可能引入数据失真的风险,还可能导致传输失败,进一步加剧了数据管理的难度。综上所述,这些挑战共同构成了一个错综复杂的技术难题,要求行业内外采取创新策略和国际协作,以期实现数据跨境流动的安全、高效和合规。
3. 跨境电子商务数据跨境流动的法律规制现状与不足
(一) 国内立法体系对跨境电商数据的适配性不足
“二十国集团(G20)和WTO的跨境数据流动相关规则使多边规制行动更加偏向促进跨境数据流动。”[3]“我国在《个人信息和重要数据安全评估办法(征求意见稿)》中就数据跨境(Data cross-border transfer)定义为网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据,提供给位于境外的机构、组织、个人。”[4]我国已形成以《网络安全法、数据安全法、个人信息保护法》为“三驾马车”的数据立法体系,再配合《数据出境安全评估办法》等配套文件,但其对跨境电商数据的适配性较差。
第一,立法缺乏针对性。目前的法律大多是普适性的规定,并没有考虑到跨境电商数据类型多样、流动频繁、实时性要求高等特点,《数据出境安全评估办法》未对跨境电商数据出境条件及流程作出特殊规定,评估周期长达数月,与跨境电商数据实时流动的需求相冲突。第二,数据分类分级标准不细化。《数据安全法》强调要进行分类分级保护,但是并没有明确跨境电商数据的具体分类标准,企业无法判断数据的重要性,不是过度合规增加成本就是不够合规面临风险。第三,数据出境合规程序复杂。安全评估、标准合同和个人信息保护认证三种路径都比较繁琐,中小企业缺少专业的合规团队,很难完成复杂的合规过程。
(二) 跨境电商数据跨境流动的国际规则协调缺失
全球跨境数据流动国际规则呈现“多极化”、“碎片化”,不同区域、国家根据自身利益制定差异化的规则,缺乏统一协调机制。欧盟采用GDPR建立“单边规制”模式,“充分性认定”制度仅对少数国家开放,高标准规则使企业面临巨大合规压力;美国主导“多边协同”模式,通过APEC隐私框架等促进区域内数据自由流通,其规则与GDPR存在许多冲突;东盟、非洲等地规则体系不完善且执行力度不足。从全球看,WTO,联合国贸发会议等国际组织试图推动规则协调但进展缓慢,尚未形成统一的跨境数据流动国际规则,这种碎片化造成企业需同时遵守多个司法辖区规则,增加企业的合规成本和运营风险,并导致规则冲突引发贸易摩擦。
(三) 跨境电商行业数据合规标准不统一
“商务部发布的《中国数字贸易发展报告2020》预计,中国数字贸易规模将持续扩大,2025年可数字化的服务贸易进出口总额超过4000亿美元,占服务贸易比重达到50%左右。”[5]但跨境电商行业缺乏统一的数据合规标准与自律规范,企业合规实践配合不充分。行业内没有统一的分类分级标准。不同的企业对于数据的分类逻辑和等级认定存在较大的差异性,有些企业认为物流轨迹属于一般数据,而有的企业则将其列为重要数据,从而造成不同企业之间难以实现数据共享与协同工作,并且加大了监管难度。跨境合规操作的标准不一致。企业在处理数据出境的过程以及隐私保护措施、安全技术的应用上缺乏统一指导,例如用户同意获取方面存在着“一揽子同意”和“单独同意”的区别;再者是关于数据加密算法的选择及其强度也各不相同等等这些情况都会使得企业的合规程度出现高低起伏的现象甚至会引发不公平竞争问题发生,在此情况下行业自律机制尚显不足之处在于国内外都没有权威性的组织来主导相关合规标准制定及推广活动进行中的过程中也没有能够对各个企业自身行为起到有效的引导作用。
(四) 跨境电商数据跨境流动的执法监管协同不足
“随着时代的不断发展,数据跨境流动的概念也发生了变化,数据并不仅限于个人数据了,商业数据和政府数据也成了数据跨境流动的主体。”[6]数据跨境流动的主体众多,涉及网信、海关、市场监管等部门,具有跨境性与技术性强等特征,当前执法监管存在诸多问题。但国内部门间协同监管机制不完善,各部门之间存在交叉与模糊地带,没有统一的监管标准和信息共享机制,案件移交过程复杂且有“多头监管”或“监管真空”的情况;跨境执法协作困难重重,在不同国家中由于各自不同的监管体制、执法标准而无法形成有效的合作机制,部分国家不愿配合跨国境执法活动,从而使得违规行为得不到有效惩罚。技术监管能力落后于行业发展状况,传统的手工监管以及书面审查方式难以满足当前环境下大数据时代的数据实时性、海量性和加密特性要求,监管部门缺乏诸如大数据、人工智能等先进技术支持手段来实现动态监测预警功能。
4. 跨境电子商务数据跨境流动的法律优化路径
(一) 细化跨境电商数据分类分级的法律规范
数据分类分级是合规管理基础,需在现有立法框架下细化标准,明确跨境流动规则。明确跨境电商数据分类逻辑,按照数据类型和风险等级双重分类。按数据类型分为交易数据、物流数据、用户信息、平台运营数据四类;按风险等级分为核心数据、重要数据、一般数据三级。其中涉及国家安全的交易统计数据为核心数据,禁止跨境流动;大额交易数据、批量用户信息、物流核心数据等为重要数据,需要经过严格的合规程序才能跨境流动;普通商品信息、单个用户的非敏感消费数据等属于一般数据,可以简化合规流程。建议由网信部门联合商务部、海关总署制定《跨境电子商务数据分类分级管理办法》,明确各类数据的具体范围及其等级划分标准。对不同等级的数据制定差异化的跨境流动规则,加强法律的约束性,将分类分级规范纳入《数据安全法》《个人信息保护法》配套法规中,明确企业的违规责任,保证规范得以落实。
(二) 推动跨境电商数据国际规则的协同对接
“在互联网、大数据行业,美国处于全球领先地位,其跨境电商的开展时间最早,发展最快。美国并没有选择严格的立法,而是以行业自律为主”[6],面对国际规则碎片化现状,积极推动规则协同对接,构建多边、开放的规则体系。积极参加国际规则制订,依靠“一带一路”倡议、RCEP等区域合作机制,推动制订区域内跨境电商数据流动规则,协调各成员国规则差异,形成统一的区域标准;积极参与WTO、联合国贸发会议等国际组织规则讨论,提出符合我国行业发展需求的意见和建议,争取形成全球性框架。加强与主要经济体规则对接和互认,开展欧盟GDPR、美国CCPA等区域规则差异研究,推进我国数据出境安全评估与欧盟充分性认定互认,建立跨境电商数据合规认证互认机制,通过双边或多边协议确定争议解决方式,防止贸易摩擦。推广“数据跨境流动沙盒”机制,选取部分跨境电商综合试验区先行先试,在一定可控范围内允许企业尝试新的数据跨境流动模式并积累经验,为国际规则协同提供支持。
(三) 构建跨境电商专属数据跨境合规机制
针对跨境电商数据跨境流动特殊性,构建专属合规机制,简化流程、降低成本。建立跨境电商数据出境“白名单”制度,网信部门、商务部筛选合规企业与境外接收方,纳入白名单。白名单内传输一般数据及部分低风险重要数据只需线上备案;传输核心重要数据简化安全评估流程。白名单动态管理,每年审核一次,违规企业移出。制定跨境电商数据跨境流动标准合同模板,完善个人信息出境标准合同条款,在增加交易数据、物流数据跨境传输专门条款基础上,明确传输范围、目的、保障措施等内容,允许企业对非核心条款适当调整,简化合同备案程序,实现“一网通办”。构建跨境电商数据合规评估及认证体系,由第三方专业机构执行评估工作,对于符合标准的企业予以发放合规认证证书,并促使这些认证能在不同部门之间以及跨境情况下互相承认,从而减轻企业再次进行认证所带来的成本。
(四) 强化技术赋能的跨境电商数据监管优化
“2019年中国跨境电商交易规模达10.8万亿元。”[7]构建跨境电商数据跨境流动智慧监管平台,汇聚各监管部门的数据信息,对接电商平台、物流企业、支付机构等数据系统,实现全流程可视化监管,并具有数据采集、智能审核、风险预警、协同执法等功能,缩短执法周期。推广区块链技术在监管中的应用,利用其“不可篡改、可追溯”的特性建立数据跨境流动的溯源体系,记录数据产生到使用的全流程信息,保障数据传输的安全性和完整性,并且便于监管部门查询轨迹、追查责任主体。提高监管部门技术监管水平,配备专业设备和技术手段如自然语言处理、机器学习等技术来对加密数据以及大量数据进行智能分析和监测;加强对监管人员的技术培训,培养一批既懂法律又懂技术的人才。
5. 结论
“为满足公众日益增长的进口商品的物质文化消费需求,中国的跨境电子商务贸易规模及物流体系发展迅速。”[8]跨境电子商务数据的跨境流动是行业全球化的关键要素,目前存在合规冲突、效率瓶颈、隐私保护、技术成本等实践困境,国内立法适配度低、国际规则协调缺位、行业合规标准不一、执法监管协同不够等问题使困境加剧。本文经由研究给出四维法律改良路径:细化跨境电商数据分类分级规范并给予具体指引;构建白名单、标准合同、合规认证等专属合规机制以减轻企业合规压力;推动国际规则协同对接来解决碎片化问题;加强技术赋能监管从而提高监管效能。这些路径结合我国行业发展情况以及法律体系的实际情况,参考国外先进经验可以较好地平衡数据安全与流动效率与行业发展的关系,对跨境电商数据跨境流动规范化、有序化发展提供助力。未来要关注行业发展动态及立法、监管等实践,不断优化完善相关法律规则和监管措施,推动跨境电商行业的高质量发展。“在全球化时代,数据增长迅猛,国际数据公司(IDC)预测,到2028年全球数据量将增长至393.8 ZB,相比于2018年增长9.8倍。”[9]