前言
新冠肺炎疫情不仅没有浇灭“618”“双十一”等电商节日的热情,反而加速推进企业的数字化、电商化步伐。与传统线下交易不同,电子商务基于网络技术的进步、大数据的发展以及消费升级,在消费场景端、运营端不断且快速地进行模式的演进和更新,如最近火爆的直播电商、社交电商等。与之伴随而生的,为各类合规问题,其中最为人们关切的,系电商模式下衍生出的网络安全、数据及隐私保护等合规风险。
本文旨在《数据安全法》《个人信息保护法》等草案发布的背景下,以新型电商涉及的商业模式为基础,就有关数据合规问题进行探讨。
一、数据合规框架
不论是自商品服务信息发布、商品服务信息更新维护到商品服务下架等运营全流程,或者是从用户注册、用户浏览及使用到最终用户支付完成的用户体验流程,数据作为基础要素,始终贯穿于电商活动全生命周期流程中。电商平台运营,物流、信息流及资金流交叉频繁,线上及线下场景深度交织,形成诸多主体之间的数据交互关系。
点击可查看大图
从数据交互全景图中可以感知,作为电商平台运营主体,电商数据合规建设需同时兼顾面向用户、其他商事主体及企业内部的工作。电商数据合规框架需覆盖如下三个层次:
(1)TO C:遵循国内《网络安全法》《电子商务法》《个人信息安全规范》等个人信息保护的相关规定,并参考《个人信息保护法》《数据安全法》等已公开的草案要求,结合近期工信部等执法机构针对App等载体的个人信息执法行动要求,形成面向用户个人信息收集处理的全生命周期管理要求;
(2)TO B:包括平台服务供应商(技术&内容)、外部合作平台(如淘宝、微信)等,通过商务谈判、协议控制等方式,明确数据的商业秘密保护、竞争性财产权益及数据治理等责任边界;
(3)内部:针对外部数据爬取、用户信息管理、数据共享、前端用户告知、新业态数据需求评估等事项,构建数据内部管理制度及流程机制。
二、数据合规的重点问题
结合《网络安全法》《电子商务法》等法律法规要求,以及一系列外部执法行动的关注要点,电商企业应加强对如下业务形态的数据合规问题的关注:
上述业务模式中存在的合规问题,主要存在于数据收集、使用、涉及第三方的数据爬取以及数据共享、数据安全等方面。以下将结合具体业务模式,分别展开相关问题的讨论。
(一)
社交电商业务场景下授权同意
自2019年起,工信部、公安部等执法机构,密集开展针对电商平台数据合规的相关执法行动,其关注重点更多在于外部易感知的、易引发用户关注及投诉的个人信息收集问题。从已公开的执法案例来看,其中不乏业内知名的购物、餐饮、直播等电商企业,问题颗粒度也渗透至数据收集最小必要性,以及数据共享、权限开启等与技术结合较深的合规问题。
点击可查看大图
从平台治理角度考虑,鉴于目前国家监管范围已从App逐步扩展至小程序、网站、快应用等媒介,与电商投放业态高度重合,关于外部平台个人信息处理规则的设置及用户告知,保证获取用户合法有效的授权同意,应是电商企业优先处理的合规事项。一般而言,如下数据收集事项属于企业应高度关注的高风险场景:
此外,需关注的是,除上述渠道外,鉴于社交电商开展的多样性及便捷性特征,数据收集还可能渗透在私域流量运营等典型场景中,例如即时通讯App群聊天或者评论等。除依靠平台自身的隐私政策外,电商企业应结合平台特征,在开展具体数据收集处理活动之前,以各种友情提示或者友好设计,引导用户阅读个人信息收集处理规则,知悉并同意规则内容,以保证数据收集场景的合规性。
(二)
新零售业务的合规风险
“新零售”业态,为目前众多企业电商化力推的业务发展模式。在该业态下,结合大数据分析、人脸识别等新技术开发应用,以用户运营为中心,利用数据优化组织和运营模式,推动线上、线下业务的无缝融合。该业态下存在的合规风险,我们简要归纳如下:
(三)
定向营销的合规问题
竞争的加剧以及技术的演进,使得电商场景下自动化决策机制大量应用,个人信息往往会存在加剧滥用的风险。如何通过决策的透明化和结果的公正化,减轻合规风险,保护消费者的权益,一直是需要关注的核心问题。
依据《电子商务法》《广告法》《消费者权益保护法》《通信短信息服务管理规定》《个人信息保护法》(草案)的规定,通过网络、短信、电话、即时通讯工具等方式发送电子营销信息,对用户开展定向营销推广行为,应满足如下合规要求:
1)告知用户定向推广的相关信息,并获取其授权同意;
2)以显著标识展示个性化推送内容;
3)为用户提供简单直观的退出或关闭个性化展示的选项;
4)当用户退出或关闭个性化展示,明确表示拒绝接受个性化推荐的,不得向其发送商业性信息。
5)通过自动化决策方式向信息主体进行商业营销的,应同时提供不针对其个人特征的选项。
(四)
数据爬取风险
电商企业出于了解市场及竞品情况、数据备份、监控自家投放产品动态、数据报表制定等多种目的,会采用自动化访问采集技术(如常见的数据爬虫),通过网页采集、公开或非公开API方式,从第三方平台(部分可能存在直接或间接竞争关系)爬取市场营销相关信息、报表、商品信息、媒体推广活动信息乃至含有用户个人信息的数据(例如用户评论)等。
目前国内应用自动化手段收集网站数据的现实法律风险主要体现在《刑法》对于非法侵入计算机信息系统、非法获取计算机信息系统数据、破坏计算机信息系统的刑事处罚、《反不正当竞争法》对于不正当竞争行为的管制、《网络安全法》对于干扰网络正常功能及防护措施等危害网络安全行为的监管、《数据安全管理办法(征求意见稿)》对于采取自动化手段收集数据妨碍网站正常运行的规定等。评估应用自动化技术采集网站数据的合规风险,应综合评估爬取对象(政府公开信息网站/商业性网站)、网站是否具备Robots协议或公示条款限制爬取、网站是否具备反爬措施、爬取的数据类型、爬取数据的使用目的、爬取途径(API或者页面,API为公开/非公开等)、爬取量及频率、是否影响被爬网站的正常运行等核心因素。
考虑到数据爬取行为不仅引起监管关注,而且容易导致竞争对手的诉讼,从业务角度建议开展相应行动时,应注重考虑如下要素:
(五)
与第三方的数据交互风险
基于服务支持及提供、数据价值挖掘、数据碰撞分析等不同目的,电商企业在完成数据收集后,除本企业内部处理外,可能涉及向外部第三方共享数据。此类第三方,既包括与电商企业具有股权关联关系的企业(例如同一集团下的关联公司),也包括不存在关联关系的外部第三方(例如技术或服务提供商)等。对于电商行业而言,后者常见为物流、技术服务提供商、第三方平台供应商(微信、淘宝等)以及有关必要服务提供方(如支付、位置、分析等)。
由于数据共享涉及第三方数据合规管理,并存在数据安全管理问题,因此数据共享应作为内部管理高风险项予以规范运作。关于数据共享,应着重关注的风险问题有:
三、建议梳理
针对如上新型电商数据合规重点问题,建议企业在电商化转型时,应重点关注以下合规工作要点:
环节
主要问题
合规要点
数据收集
有无个人信息收集规则,规则呈现形式及内容详尽程度是否符合当前个人信息保护相关法律法规要求以及监管实践(当前的电商平台多数以APP/小程序等线上形式呈现,部分新零售模式下的电商业务还需注意线下场景中授权同意的取得);
是否已取得用户授权同意,是否针对不同的应用场景满足相应的授权同意要求(例如拼团型、分销型电商平台内将用户数据用于市场营销场景时的明示同意);
是否遵循最小必要原则收集个人信息(电商因类型、模式较多,因此各平台的功能不同,例如导购型平台与直销型平台的服务及功能存在较大差异,平台是否根据自身业务需要而收集个人信息)。
根据电商的类型特质,结合自身的商业模式和业务特点制定个性化的隐私政策,保证规则内容和呈现形式的合规性、获取用户授权同意的合规性等。
数据使用
是否按照法律规定及与用户的约定(个人信息收集处理规则)等如实使用所收集的个人信息,未超出约定范围使用;
对于画像分析、个性化展示等高风险使用场景,是否满足相应的合规要求(电商业务中,用户需求、浏览习惯、搜索偏好等特征尤为重要,画像分析和个性化展示是常见的数据使用场景);
是否存在非法交易数据等违法使用场景(电商平台现有模式下,流量和数据更是重要资源,容易引发非法牟利行为)。
超范围收集个人信息时,应及时告知用户并另行征得用户的授权同意;
注意市场营销场景下用户画像的使用限制以及个性化展示的合规要求,提供不针对用户个性化特征的选项并允许其随时退出。
数据管理
是否保障数据主体享有法律法规约定的权利(查看、更正、删除个人信息权利、注销账户等),实践操作与约定是否相符(电商APP端用户行权的保障);
是否已采取相应技术措施防止个人信息被非法拷贝、丢失或者盗窃;
是否基于必要原则和最小原则,做好对个人信息内外部访问权限的管控;
是否做好事件发生后告知相关用户、风险管控以及报告主管机关的应对措施;是否制定个人信息安全事件应急预案(部分电商平台因其社交的属性,使得相关平台积累了巨大的流量和庞大的用户群体,例如直播电商平台下产生的即时流量,内容电商平台下积累的流量;一旦发生数据泄露等个人信息安全事件,影响范围广泛)。
应根据电商平台自身的特点(例如团购性平台、内容型平台等、导购型平台在流量获取方式、商业模式等方面的不同),制定个性化的数据管理内部规则和风险应对措施,规范数据管理行为同时防范风险。
数据流转
会与谁共享个人信息(包括委托处理及合作共享);共享个人信息的方式是否安全;相关用户是否知道上述个人信息共享场景及相应安全措施;
是否与相应数据合作第三方签订数据处理协议,以厘清双方在数据保护及合规处理方面的责任义务(例如导购型社交电商平台与第三方平台的数据合作时的数据收集问题等);
是否存在跨境传输场景,所涉的个人信息是否为不可跨境传输的信息类型;
对于数据接收方是否做到审慎评估对方数据保护能力(例如跨境电商平台的服务器部署,以及在主播在境外“扫货”时开启直播是否涉及数据的跨境传输问题等)。
在隐私政策中明确写明数据共享的主体、目的、范围等信息并征得用户的同意;
电商平台运营中,涉及较多与第三方平台合作的问题,因此签订相关数据协议是数据合规的必要举措。
结语
在新型电商场景下,企业面临的诸多合规问题亦是当下监管的重点问题。考虑近年来对于数据保护的频繁立法,以及执法机构的从严趋势,重视并解决数据和隐私风险是企业数字化转型中的应有之义。当然,日趋激烈的商业竞争环境,也给企业带来发展过程中的合规困惑。如何处理好数字化商业转型与监管红线冲突,找到合理解决机制,是摆在电商企业面前的一道核心命题。
The End
作者简介
陈际红 律师
北京办公室 合伙人
业务领域:知识产权, 反垄断与竞争法, 科技、电信与互联网
蔡鹏 律师
北京办公室 合伙人
业务领域:知识产权, 科技、电信与互联网, 合规/政府监管
薛泽涵
北京办公室 知识产权部
限时特惠:本站每日持续更新海内外内部创业教程,一年会员只需88元,全站资源免费下载点击查看详情。
站长微信:nnxmw123