【珠海律师、珠海法律咨询、珠海律师事务所、京师律所、京师珠海律所】
2024年7月,韩国个人信息保护委员会(PIPC)对阿里巴巴旗下企业因违反个人信息保护法规的跨境传输行为,处以高额罚款。出海电商,合规运营不仅是法律要求,更是企业的责任。这一案例凸显了企业在个人信息保护方面面临的合规挑战。
一、案件回顾
2024年7月24日,韩国个人信息保护委员会(PIPC)在其第13次全体会议上,对Alibaba.com Singapore E-Commerce Private Limited(简称“阿里”)因非法跨境传输用户个人信息,违反韩国《个人信息保护法》的行为,处以19亿7800万韩元的罚款以及780万韩元的滞纳金。此外,PIPC还责令阿里进行整改,并提出改进建议。
阿里旗下的跨境电商平台速卖通(AliExpress),通过开放市场模式,为入驻卖家提供商品销售的平台,并从中获取中介费。2023年,速卖通在韩国电商市场迅速崛起,成为本土用户首选的跨境购物平台之一。但随着这一市场的扩展,个人信息保护的问题也逐渐显现,引发了韩国监管机构的关注和调查。
PIPC的调查发现,当用户在速卖通平台购物时,卖家会将消费者的个人信息传输给位于中国的发货方。经调查,超过18万名韩国用户的个人信息被传输到中国。根据韩国《个人信息保护法》,企业在跨境传输个人信息时,必须获得用户的明确同意,并在合同中明确相关的安全保障措施。然而,阿里未能履行这一法律义务,未告知用户“个人信息转移至何国”、接收方的具体信息等,也未在与卖家的协议中包含必要的个人信息保护措施。此外,阿里通过复杂的会员退出程序和英文显示的账户删除页面,进一步增加了用户行使个人信息权利的难度。
鉴于上述违规行为,PIPC决定对阿里公司采取以下处罚和整改措施:
1. 处以19亿7800万韩元的罚款和780万韩元的滞纳金。
2. 简化会员退出程序,确保用户能够便捷地行使个人信息权利。
3. 要求阿里在合同中反映个人信息保护措施,防止信息滥用。
4. 强制阿里向用户明确告知个人信息转移的国家、接收方及其联系信息。
二、法律依据
PIPC的处罚决定依据韩国《个人信息保护法》的相关条款,特别是第28条第8款和第29条第10款,这些条款明确了个人信息跨境传输的条件和保护要求。根据法律规定,企业必须在用户知情并同意的前提下,才能合法地跨境传输个人信息,并需采取适当的保护措施,以防止信息被滥用或泄露。
三、中国相关法律规定
在中国,对个人信息保护和跨境传输主要集中在《个人信息保护法》、《数据保护法》、《数据安全法》:
1.《个人信息保护法》
该法是中国个人信息保护的核心法律,于2021年11月1日正式生效,规定了个人信息的收集、使用、传输、储存及保护等方面的基本要求。对于跨境传输个人信息,《个人信息保护法》第39条和第40条特别规定了相关要求:
第39条:规定了跨境传输个人信息的条件。个人信息处理者需要进行影响评估,确保在接收方能够提供与中国法律相同的保护水平,并向个人信息保护部门进行备案。
第40条:要求个人信息处理者在跨境传输个人信息时,需要与接收方签订合同,明确保护措施和责任。
2.《数据安全法》
《数据安全法》于2021年9月1日生效,规定了数据处理的安全要求。第28条和第29条对数据的跨境传输有相关规定,强调在数据传输到境外时,需确保数据安全,满足中国法律规定的安全保护要求。
3.《网络安全法》
该法自2017年6月1日起实施,虽然其主要关注网络安全,但第37条和第38条也涉及个人信息的保护,特别是在网络运营者进行跨境数据传输时,需要采取适当的安全措施。
四、律师建议
这一事件为企业敲响了警钟。在全球范围内运营的公司,应加强对各国隐私法律的合规管理:
1. 用户权利保障:企业应改善用户同意机制,确保用户在充分知情的情况下做出自主决定。建议采用清晰、简洁的语言告知用户信息处理的具体情况,并提供简单易行的同意和拒绝选项。尤其在处理敏感个人信息或进行跨境传输时,应确保获得用户的明示同意。
2. 保护措施:在跨境传输时,确保采取足够的保护措施,包括合同中明确信息保护条款,减少不必要的个人信息收集,并积极参与或制定与政府合作的自律规约,以提高个人信息保护标准。
3.用户教育与意识提升:企业可以通过多种渠道提升用户的个人信息保护意识。建议定期发布相关的教育内容或举办线上线下活动,帮助用户了解个人信息保护的重要性及如何有效保护自己的数据隐私,从而提升整体的个人信息保护水平。
4.设置用户反馈机制:企业可以设置专门的用户反馈机制,及时收集和处理用户关于个人信息保护的意见和建议。
5. 透明合规:定期对其个人信息处理流程进行内部或外部审查,以确保其操作符合现行法律法规。建议建立常态化的合规审查机制,对数据处理流程、隐私政策及安全措施进行定期评估,并根据审查结果进行调整和优化。
五、结语
此次对阿里的处罚,突显了跨境电商企业在处理用户个人信息时,必须严格遵循所在地法律的重要性。在数据全球化的今天,个人信息的跨境传输不可避免。企业应高度重视个人信息保护,通过透明、高效的流程和严格的安全措施,确保用户信息的安全与合规,从而维护用户的信任与企业声誉。
作者简介
柴蕊馨律师,北京京师(合肥)律师事务所专职律师,从事专职律师及法律顾问工作,具备扎实的法学知识,业务全面,柴蕊馨律师以数据合规、劳动纠纷、医疗侵权等为主要的法律研究方向和服务领域。参与过大量民商事案件的办理,涉及领域包括医疗事故纠纷纠纷、租赁合同纠纷、不当得利纠纷、劳动争议等。
声明:
本微信公众号对所有原创、转载、分享的内容、陈述、观点判断均保持中立,推送文章仅供读者参考。本公众号发布的文章、图片如有作者来源标记有误或涉及侵权,请原创作者友情提醒并联系小编删除。
责任编辑: