五问《电子商务法》，从电信和网络安全角度说开来

Original 周洋徐颖蕾王睿中伦视界 2022-08-01

欢迎点击上方 中伦视界 关注我们

本文从应用场景出发，针对电商行业的几个重点、难点，分析了《电子商务法》涉及的电信管理、网络安全和个人信息保护问题，以揭示《电子商务法》可能带来的突破、影响以及期待。

问

一

《电子商务法》出台后，以网约车平台、在线票务服务平台为代表的服务提供类电商平台需要申请哪一类增值电信业务经营许可证？

答

场景

《电子商务法》出台前，网约车平台、在线票务服务平台等服务提供类电商平台，依法应取得“ICP”证。《电子商务法》出台后，前述服务提供类电商平台是否应按照“经营类电子商务”取得“在线数据处理与交易处理业务”许可证？

《电子商务法》将电子商务定义为：“通过互联网等信息网络销售商品或者提供服务的经营活动。”根据该定义，以京东、淘宝为代表的通过互联网（包括APP）“销售商品”的平台属于电子商务，同样，以网约车平台、在线票务服务平台为代表的通过互联网（APP）“提供服务”的平台也属于《电子商务法》下的电子商务范畴。电子商务经营者从事经营活动，依法需要取得相关行政许可的，应当依法取得行政许可。[1]

根据我国电信相关法律法规，“电子商务”被列入增值电信业务范畴，提供增值电信业务的，应当获得相应的增值电信业务经营许可证。[2]需要指出的是，《电子商务法》出台以前，“电子商务”的表述在电信相关法律法规和政策中已经出现，并表述为“在线数据处理与交易处理业务（经营类电子商务）”[3]，“电子商务”的表述也出现在电信行业的外资准入规则中，如《外商投资准入特别管理措施（负面清单）（2018年版）》，并表述为“限于中国入世承诺开放的电信业务，增值电信业务的外资股比不超过50%（电子商务除外）。”

在现行电信法律法规体系中，商品类电子商务和服务类电子商务被归入不同增值电信业务类别。具体而言，根据《电信业务分类目录（2015年版）》，商品类电子商务被归入B21“在线数据处理与交易处理业务（经营类电子商务）”，[4]例如，商品类电商平台“1号店”、“唯品会”持有的是B21“在线数据处理与交易处理业务”许可；[5]而服务类电子商务被归入B25“信息服务业务（Internet Content Provider , ICP）”，例如，服务提供类平台“携程”、“滴滴”持有的是ICP证。[6]

出现上述差异的原因在于，我国在入世谈判中就货物贸易及服务贸易作出了不同承诺并分别签署了《关税及贸易总协定（GATT）》和《服务贸易总协定（GATS）》。工信部门承袭了WTO“货物”与“服务”二分的概念体系，仅从通过互联网等信息网络销售实物商品的狭义角度理解和适用“经营类电子商务”，而以互联网为依托，向用户提供服务的经营活动则在实践中被工信部门以“互联网信息服务业务”许可予以管理。

《电子商务法》项下的“电子商务”是否意味着原先被纳入“信息服务业务”的服务类电子商务应当归入“在线数据处理与交易处理业务”？服务提供类电商平台适用何种业务许可，背后涉及的是服务类电商业务对外资开放的问题。根据目前《外商投资准入特别管理措施》（负面清单），“在线数据处理与交易处理业务（经营类电子商务）”的外资持股比例可以达到100%，而从事“互联网信息服务业务”外资持股比例不得超过50%。

若《电子商务法》项下的“电子商务”突破传统的商品销售而延伸到服务提供，则预示着电信领域对外资的一项重大开放。由于服务提供类电商业务相较于传统商品销售电商业务存在的复杂性，以及涉及公众信息的广泛性和敏感性，我们理解，工信部门对于“在线数据处理与交易处理业务”下“经营类电子商务”的范围应该会持审慎态度。目前，工信部门依然遵从原先对于商品销售电商平台和服务提供类电商平台按照“商品”和“服务”二分法进行管理的模式。《电子商务法》的出台为电信行业监管突破狭义的商品类电子商务概念提供了法律可能性。因此，服务提供类电子商务有可能在不远的将来被纳入“在线数据处理与交易处理业务（经营类电子商务）”从而扩大对外资的开放。

问

二

电子商务经营者应履行何种网络安全保障义务？

答

场景

用户使用互联网等信息网络购买商品或服务时，常遇到各类网络安全问题。例如，“木马病毒”模拟网购支付界面骗取用户钱财、第三方利用从电商平台或商家购买或盗取的用户个人信息对用户进行产品服务推销甚至诈骗等。鉴于电子商务依托“互联网等信息网络”销售商品或提供服务开展业务，该信息网络的运行安全和信息安全是电商行业中的热点和痛点问题。

《电子商务法》规定了电子商务平台应承担的网络安全保障义务包括：采取技术措施和其他必要措施保证其网络安全、稳定运行；防范网络违法犯罪活动；有效应对网络安全事件；保障电子商务交易安全；制定网络安全事件应急预案，发生网络安全事件时，应当立即启动应急预案，采取相应的补救措施，并向有关主管部门报告。[7]

除了《电子商务法》中的网络安全义务，《网络安全法》规定，“网络运营者，是指网络的所有者、管理者和网络服务提供者。”[8]电子商务经营者（电商平台和商家）作为网络的所有者、管理者和/或网络服务提供者，属于《网络安全法》项下的“网络运营者”。因此，还需要履行“网络运营者”的网络安全保护义务。例如，根据网络安全等级保护制度的要求，制定内部安全管理制度和操作规程，确定网络安全负责人，采取数据分类、重要数据备份和加密等措施。

此外，《网络安全法》还规定，“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。”[9]对于特大型电商平台而言（例如淘宝、京东、携程、滴滴等），鉴于其搜集海量的个人信息、交易信息、个人敏感信息，尽管在行业上通常不属于能源、交通、水利、金融等重要行业和领域，但其一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益，因而有可能落入《网络安全法》项下的关键信息基础设施范畴。如被认定为关键信息基础设施运营者，则这些特大型电商平台应履行更高标准的网络安全合规义务，包括但不限于网络安全审查制度、数据本地存储等。

问

三

用户可以向平台或商家查询、更正或删除其用户信息吗？

答

场景

电子商务经营活动中，平台、商家会收集大量用户个人信息。其中，不乏信息有误或用户想注销账户，删除其个人信息的情形。这些情形涉及用户对其个人信息是否享有查询、更正或删除的权利。

《电子商务法》规定：“电子商务经营者应当明示用户信息查询、更正、删除以及用户注销的方式、程序，不得对用户信息查询、更正、删除以及用户注销设置不合理条件。电子商务经营者收到用户信息查询或者更正、删除的申请的，应当在核实身份后及时提供查询或者更正、删除用户信息。用户注销的，电子商务经营者应当立即删除该用户的信息；依照法律、行政法规的规定或者双方约定保存的，依照其规定。”因此，用户享有查询、更正或删除其用户信息的权利。[10]

我国《网络安全法》中规定，个人有权要求网络运营者更正、删除其个人信息，我国在《个人信息安全规范》中进一步规定了个人信息访问权。尽管《个人信息安全规范》仅是国家推荐性标准，但《电子商务法》在《网络安全法》的基础上，赋予了用户个人信息访问权，并要求商家、平台不得对用户该访问权、更正权及删除权的行使施加不合理阻碍。《电子商务法》对用户访问权的规定是对《网络安全法》在个人信息保护方面的延伸。

问

四

电子商务经营者可否利用用户画像对用户进行“价格歧视”？

答

场景

电商平台存在就同一产品或服务，对不同的客户提出不同报价的现象。例如，同一商品的搜索价格，某些电商平台VIP会员的搜索结果高于普通会员的搜索结果；同一航空公司相同时段的同一航线，常乘坐该趟航线航班的乘客，使用某些电子票务平台搜索出的机票价格高于普通乘客搜索出的机票价格。

上述场景即为所谓的“大数据杀熟”。通过“用户画像”进行“大数据杀熟”指的是商家通过收集、汇聚、分析用户的个人信息，对用户的个人特征，如其职业、经济、健康、教育、个人喜好、信用、行为等方面做出分析或预测，形成用户个人特征模型，即“用户画像”，并根据不同的用户画像进行差异化定价。用户粘性较高的“熟客”，通常具有更高的支付意愿，因此成为被“加价宰杀”的对象。电子商务时代，电商经营者掌握庞大的用户数据，“画像”和“杀熟”变得更加便捷及精准。如何规范大数据杀熟本质上是如何规范电商经营者对用户数据使用的问题。

本次《电子商务法》对“大数据杀熟”现象专门进行了规范。《电子商务法》第十八条规定：“电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的，应当同时向该消费者提供不针对其个人特征的选项，尊重和平等保护消费者合法权益。”该条意为商家不得利用用户画像，给不同的客户提供相同商品或服务但不同价格的搜索结果。违反此条的，商家将承担限期改正、交纳罚款等行政责任。[11]

问

五

用户更换电商平台是否享有“数据可携权”？

答

场景

旅游电商平台A用户使用该平台预定机票、酒店及旅游产品，并时而撰写游记攻略，上传至平台A，与其余用户分享其旅游体验。现因各种原因，该用户决定不再使用平台A，并转而使用平台B。为汇总统计自己“打卡”目的地、保留曾撰写的游记攻略及相关评论、订单记录及便于平台B根据用户画像给自己推送符合自己偏好的旅游产品，该用户拟请求平台A将其向平台A提供的信息及因使用平台A而“被动”被采集的信息，如网页浏览记录、地理位置信息等迁移至平台B。

上述场景中的“数据迁移”即为法律中数据主体（用户）“数据可携权”的权利范畴。数据可携权首次出现于欧盟立法机构于2012年发布的《关于个人数据处理和自由流动的个人保护》的建议中，后欧盟《通用数据保护条例》将其数据可携权规定于第20条中，使其与用户访问权、用户清除权（被遗忘权）以及用户修正权等权利并列，作为用户的一项基本数据权利。

数据可携权指的是“对于用户向数据控制者提供的或与用户相关的个人数据，用户有请求数据控制者以结构化、普遍可使用的、机器可读的形式向用户提供前述数据副本及将该等数据无障碍地传送给其他数据控制者的权利”[12]。该等数据副本的获取及迁移需以用户同意或用户与数据控制者之间有合同约定为前提，且须以自动的形式进行[13]。本质上，数据可携权是用户数据所有权的一项权益，其权能包含两方面的内容：：“数据副本获取权（right to obtain a copy）”以及数据迁移权（right to data transfer）。该权利意在加强用户对其数据的控制，使“数据迁移权”，即用户得以取得、重复利用并按需传输相应数据的权利。

我国在《个人信息安全规范》中规定了用户的数据可携权[14]，但该《个人信息安全规范》为推荐性国家标准，并不具有强制力。本次《电子商务法》未参照《个人信息安全规范》，赋予用户数据可携权。

不仅如此，在司法实践中，法院曾以判决的形式确认电子商务平台对其积累的用户数据享有竞争法意义上的财产权利[15]。该判决意味着用户数据的所有权归属于平台而非用户本身，用户既然不享有数据所有权，自然不享有数据所有权项下的权益—数据可携权。

因此，不论是立法还是司法实践中，我国尚不存在法律意义上的“数据可携权”。除数据权利归属本身的争议外，数据可携权的行使还面临另外两个法律和现实问题：一是如可携数据中含有商业秘密或独家知识产权，该等数据如何传输？二是如可携数据中含有其他方的个人信息，如含有第三方信息的转账记录等，数据可携权如何在不侵犯他人隐私的情况下行使？此等问题无论是《电子商务法》还是《网络安全法》均没有给出答案。近期出现的有关数据归属权的法院判例还需要经过时间的检验，我们期待随着更多法院判例的出现，数据归属权以及个人信息数据可携权问题会在司法实践中找到答案。

注：

[1]参见《电子商务法》第12条。

[2]参见《电信条例》第7条。

[3] 参见工业和信息化部与上海市人民政府于2014年1月6日，联合颁布的《关于中国（上海）自由贸易试验区进一步对外开放增值电信业务的意见》。

[4]参见工业和信息化部与上海市人民政府于2014年1月6日，联合颁布的《关于中国（上海）自由贸易试验区进一步对外开放增值电信业务的意见》。

[5]上海京东才奥电子商务有限公司（1号店），沪B2-20170039-在线数据处理与交易处理业务；广州唯品会电子商务有限公司，粤B2-20170777-在线数据处理与交易处理业务。

[6]上海携程商务有限公司，沪B2-20050130-信息服务业务（仅限互联网信息服务）；北京小桔科技有限公司（滴滴），B2-20160181-信息服务业务（不含互联网信息服务）。

[7] 参见《电子商务法》第30条。

[8]参见《网络安全法》第76条。

[9]参见《网络安全法》第31条。

[10]参见《电子商务法》第24条。

[11]参见《电子商务法》第77条。