新型电商的数据合规路径
作者:陈际红 蔡鹏 薛泽涵
前言
新冠肺炎疫情不仅没有浇灭“618”“双十一”等电商节日的热情,反而加速推进企业的数字化、电商化步伐。与传统线下交易不同,电子商务基于网络技术的进步、大数据的发展以及消费升级,在消费场景端、运营端不断且快速地进行模式的演进和更新,如最近火爆的直播电商、社交电商等。与之伴随而生的,为各类合规问题,其中最为人们关切的,系电商模式下衍生出的网络安全、数据及隐私保护等合规风险。
本文旨在《数据安全法》《个人信息保护法》等草案发布的背景下,以新型电商涉及的商业模式为基础,就有关数据合规问题进行探讨。
一、数据合规框架
不论是自商品服务信息发布、商品服务信息更新维护到商品服务下架等运营全流程,或者是从用户注册、用户浏览及使用到最终用户支付完成的用户体验流程,数据作为基础要素,始终贯穿于电商活动全生命周期流程中。电商平台运营,物流、信息流及资金流交叉频繁,线上及线下场景深度交织,形成诸多主体之间的数据交互关系。
点击可查看大图
从数据交互全景图中可以感知,作为电商平台运营主体,电商数据合规建设需同时兼顾面向用户、其他商事主体及企业内部的工作。电商数据合规框架需覆盖如下三个层次:
(1)TO C:遵循国内《网络安全法》《电子商务法》《个人信息安全规范》等个人信息保护的相关规定,并参考《个人信息保护法》《数据安全法》等已公开的草案要求,结合近期工信部等执法机构针对App等载体的个人信息执法行动要求,形成面向用户个人信息收集处理的全生命周期管理要求;
(2)TO B:包括平台服务供应商(技术&内容)、外部合作平台(如淘宝、微信)等,通过商务谈判、协议控制等方式,明确数据的商业秘密保护、竞争性财产权益及数据治理等责任边界;
(3)内部:针对外部数据爬取、用户信息管理、数据共享、前端用户告知、新业态数据需求评估等事项,构建数据内部管理制度及流程机制。
二、数据合规的重点问题
结合《网络安全法》《电子商务法》等法律法规要求,以及一系列外部执法行动的关注要点,电商企业应加强对如下业务形态的数据合规问题的关注:
开展社交电商,业务场景渗透至App、小程序、微信群等多种渠道;
串联线上线下业务场景的新零售业务;
利用即时推送等多途径开展的个性化营销;
自动化访问并获取海量网络数据;
与外部第三方的数据交互。
上述业务模式中存在的合规问题,主要存在于数据收集、使用、涉及第三方的数据爬取以及数据共享、数据安全等方面。以下将结合具体业务模式,分别展开相关问题的讨论。
(一)
社交电商业务场景下授权同意
自2019年起,工信部、公安部等执法机构,密集开展针对电商平台数据合规的相关执法行动,其关注重点更多在于外部易感知的、易引发用户关注及投诉的个人信息收集问题。从已公开的执法案例来看,其中不乏业内知名的购物、餐饮、直播等电商企业,问题颗粒度也渗透至数据收集最小必要性,以及数据共享、权限开启等与技术结合较深的合规问题。
点击可查看大图
从平台治理角度考虑,鉴于目前国家监管范围已从App逐步扩展至小程序、网站、快应用等媒介,与电商投放业态高度重合,关于外部平台个人信息处理规则的设置及用户告知,保证获取用户合法有效的授权同意,应是电商企业优先处理的合规事项。一般而言,如下数据收集事项属于企业应高度关注的高风险场景:
未设置个人信息收集处理规则(隐私政策、隐私说明等);
规则未以突出、显著、易于感知的方式(例如弹窗、显著勾选项等),方便用户阅读及获取其明示授权同意;
规则内未如实明示各项功能场景,以及各项场景涉及的数据范围、系统权限等,包括可能涉及的数据向第三方传输、出境的情形。
此外,需关注的是,除上述渠道外,鉴于社交电商开展的多样性及便捷性特征,数据收集还可能渗透在私域流量运营等典型场景中,例如即时通讯App群聊天或者评论等。除依靠平台自身的隐私政策外,电商企业应结合平台特征,在开展具体数据收集处理活动之前,以各种友情提示或者友好设计,引导用户阅读个人信息收集处理规则,知悉并同意规则内容,以保证数据收集场景的合规性。
(二)
新零售业务的合规风险
“新零售”业态,为目前众多企业电商化力推的业务发展模式。在该业态下,结合大数据分析、人脸识别等新技术开发应用,以用户运营为中心,利用数据优化组织和运营模式,推动线上、线下业务的无缝融合。该业态下存在的合规风险,我们简要归纳如下:
门店的信息收集风险:线下场景信息收集的合规性问题,往往容易被忽视。如线下门店注册中的个人信息收集往往缺乏同意环节,对应的解决方案如可在门店张贴显著标识,提示用户已进入视频采集区,或者通过店员及店内消费设计,引导用户阅读数据收集处理规则等;
“智慧门店”中生物识别信息的滥用风险:部分线下门店,会引入人工智能技术,通过采集用户生物识别信息,以推广相应的“智慧门店”建设,例如“无人店模式”。但该模式下,对于在收集用户生物识别信息前是否有特别告知环节并获取用户单独明示授权同意,仍需重点关注。目前,加拿大的信息和隐私专员已经就Cadillac Fairview公司在卡尔加里运营的购物中心未经同意使用面部识别技术开展调查。对此,电商企业仍应当在“最小、必要”的原则下,谨慎收集处理用户的生物识别信息,同时做好信息使用目的控制,防范信息安全风险;
智能硬件的同意获取瑕疵:新零售场景中出现的例如智能收银等硬件产品,获取授权同意的场景面临合规质疑;此外,在收集完用户的消费行为数据等个人信息后,此类前端是否做到数据仅在前端存储及处理、相关数据是否会流入其他业务场景乃至其他数据处理方进行处理等,均对电商企业的数据合规及安全管理能力提出挑战。
(三)
定向营销的合规问题
竞争的加剧以及技术的演进,使得电商场景下自动化决策机制大量应用,个人信息往往会存在加剧滥用的风险。如何通过决策的透明化和结果的公正化,减轻合规风险,保护消费者的权益,一直是需要关注的核心问题。
依据《电子商务法》《广告法》《消费者权益保护法》《通信短信息服务管理规定》《个人信息保护法》(草案)的规定,通过网络、短信、电话、即时通讯工具等方式发送电子营销信息,对用户开展定向营销推广行为,应满足如下合规要求:
1)告知用户定向推广的相关信息,并获取其授权同意;
2)以显著标识展示个性化推送内容;
3)为用户提供简单直观的退出或关闭个性化展示的选项;
4)当用户退出或关闭个性化展示,明确表示拒绝接受个性化推荐的,不得向其发送商业性信息。
5)通过自动化决策方式向信息主体进行商业营销的,应同时提供不针对其个人特征的选项。
(四)
数据爬取风险
电商企业出于了解市场及竞品情况、数据备份、监控自家投放产品动态、数据报表制定等多种目的,会采用自动化访问采集技术(如常见的数据爬虫),通过网页采集、公开或非公开API方式,从第三方平台(部分可能存在直接或间接竞争关系)爬取市场营销相关信息、报表、商品信息、媒体推广活动信息乃至含有用户个人信息的数据(例如用户评论)等。
目前国内应用自动化手段收集网站数据的现实法律风险主要体现在《刑法》对于非法侵入计算机信息系统、非法获取计算机信息系统数据、破坏计算机信息系统的刑事处罚、《反不正当竞争法》对于不正当竞争行为的管制、《网络安全法》对于干扰网络正常功能及防护措施等危害网络安全行为的监管、《数据安全管理办法(征求意见稿)》对于采取自动化手段收集数据妨碍网站正常运行的规定等。评估应用自动化技术采集网站数据的合规风险,应综合评估爬取对象(政府公开信息网站/商业性网站)、网站是否具备Robots协议或公示条款限制爬取、网站是否具备反爬措施、爬取的数据类型、爬取数据的使用目的、爬取途径(API或者页面,API为公开/非公开等)、爬取量及频率、是否影响被爬网站的正常运行等核心因素。
考虑到数据爬取行为不仅引起监管关注,而且容易导致竞争对手的诉讼,从业务角度建议开展相应行动时,应注重考虑如下要素:
尽可能避免爬取构成直接竞争关系的企业的平台数据,以及具有较高传播度及公众知名度的商业网站数据,以降低爬取行为可能引发的诉讼风险及社会影响。
尽可能避免爬取平台非公开数据,或者由平台运营者设置一定要求(例如用户认证登录等)才可访问的数据(此类数据的爬取受限于用户协议或者开发者协议等契约约束)。
控制数据爬取频率及规模。参考《数据安全管理办法(征求意见稿)》第十六条标准,数据爬取收集流量不得超过网站日均流量的三分之一。
关注被爬取平台的动态,如已收到被爬取平台关于停止数据爬取的相关通知说明,或者被爬取平台公开登载禁止、限制数据爬取行为的,应及时采取对策,暂停数据爬取行为。
(五)
与第三方的数据交互风险
基于服务支持及提供、数据价值挖掘、数据碰撞分析等不同目的,电商企业在完成数据收集后,除本企业内部处理外,可能涉及向外部第三方共享数据。此类第三方,既包括与电商企业具有股权关联关系的企业(例如同一集团下的关联公司),也包括不存在关联关系的外部第三方(例如技术或服务提供商)等。对于电商行业而言,后者常见为物流、技术服务提供商、第三方平台供应商(微信、淘宝等)以及有关必要服务提供方(如支付、位置、分析等)。
由于数据共享涉及第三方数据合规管理,并存在数据安全管理问题,因此数据共享应作为内部管理高风险项予以规范运作。关于数据共享,应着重关注的风险问题有:
基于不同的场景,分析共享情形导致的合规义务区别;
识别与共享第三方的关系,确定双方数据保护的权利和责任。
委托场景下,要确保在信息主体授权同意范围内委托。评估委托本身是否存在信息泄露风险。评估受托方,确保其足够的数据安保能力。委托过程中持续监督受托方的信息安全工作,并在侵权(风险)发生时及时补救。
共同控制场景下,将与第三方责任约定明确告知信息主体。
在使用第三方工具场景下,要对该工具进行技术评估,确定其是否具有直接或间接收集个人信息的能力。如SDK能收集个人信息,明示用户并就敏感信息征得同意;持续监督第三方工具是否存在违法或违约收集用户信息的行为。
脱敏信息的管理和控制,区分不同脱敏数据性质,控制信息安全和合规风险。
三、建议梳理
针对如上新型电商数据合规重点问题,建议企业在电商化转型时,应重点关注以下合规工作要点:
环节 | 主要问题 | 合规要点 |
数据收集 | 有无个人信息收集规则,规则呈现形式及内容详尽程度是否符合当前个人信息保护相关法律法规要求以及监管实践(当前的电商平台多数以APP/小程序等线上形式呈现,部分新零售模式下的电商业务还需注意线下场景中授权同意的取得); 是否已取得用户授权同意,是否针对不同的应用场景满足相应的授权同意要求(例如拼团型、分销型电商平台内将用户数据用于市场营销场景时的明示同意); 是否遵循最小必要原则收集个人信息(电商因类型、模式较多,因此各平台的功能不同,例如导购型平台与直销型平台的服务及功能存在较大差异,平台是否根据自身业务需要而收集个人信息)。 | 根据电商的类型特质,结合自身的商业模式和业务特点制定个性化的隐私政策,保证规则内容和呈现形式的合规性、获取用户授权同意的合规性等。 |
数据使用 | 是否按照法律规定及与用户的约定(个人信息收集处理规则)等如实使用所收集的个人信息,未超出约定范围使用; 对于画像分析、个性化展示等高风险使用场景,是否满足相应的合规要求(电商业务中,用户需求、浏览习惯、搜索偏好等特征尤为重要,画像分析和个性化展示是常见的数据使用场景); 是否存在非法交易数据等违法使用场景(电商平台现有模式下,流量和数据更是重要资源,容易引发非法牟利行为)。 | 超范围收集个人信息时,应及时告知用户并另行征得用户的授权同意; 注意市场营销场景下用户画像的使用限制以及个性化展示的合规要求,提供不针对用户个性化特征的选项并允许其随时退出。 |
数据管理 | 是否保障数据主体享有法律法规约定的权利(查看、更正、删除个人信息权利、注销账户等),实践操作与约定是否相符(电商APP端用户行权的保障); 是否已采取相应技术措施防止个人信息被非法拷贝、丢失或者盗窃; 是否基于必要原则和最小原则,做好对个人信息内外部访问权限的管控; 是否做好事件发生后告知相关用户、风险管控以及报告主管机关的应对措施;是否制定个人信息安全事件应急预案(部分电商平台因其社交的属性,使得相关平台积累了巨大的流量和庞大的用户群体,例如直播电商平台下产生的即时流量,内容电商平台下积累的流量;一旦发生数据泄露等个人信息安全事件,影响范围广泛)。 | 应根据电商平台自身的特点(例如团购性平台、内容型平台等、导购型平台在流量获取方式、商业模式等方面的不同),制定个性化的数据管理内部规则和风险应对措施,规范数据管理行为同时防范风险。 |
数据流转 | 会与谁共享个人信息(包括委托处理及合作共享);共享个人信息的方式是否安全;相关用户是否知道上述个人信息共享场景及相应安全措施; 是否与相应数据合作第三方签订数据处理协议,以厘清双方在数据保护及合规处理方面的责任义务(例如导购型社交电商平台与第三方平台的数据合作时的数据收集问题等); 是否存在跨境传输场景,所涉的个人信息是否为不可跨境传输的信息类型; 对于数据接收方是否做到审慎评估对方数据保护能力(例如跨境电商平台的服务器部署,以及在主播在境外“扫货”时开启直播是否涉及数据的跨境传输问题等)。 | 在隐私政策中明确写明数据共享的主体、目的、范围等信息并征得用户的同意; 电商平台运营中,涉及较多与第三方平台合作的问题,因此签订相关数据协议是数据合规的必要举措。 |
结语
在新型电商场景下,企业面临的诸多合规问题亦是当下监管的重点问题。考虑近年来对于数据保护的频繁立法,以及执法机构的从严趋势,重视并解决数据和隐私风险是企业数字化转型中的应有之义。当然,日趋激烈的商业竞争环境,也给企业带来发展过程中的合规困惑。如何处理好数字化商业转型与监管红线冲突,找到合理解决机制,是摆在电商企业面前的一道核心命题。
The End
作者简介
陈际红 律师
北京办公室 合伙人
业务领域:知识产权, 反垄断与竞争法, 科技、电信与互联网
蔡鹏 律师
北京办公室 合伙人
业务领域:知识产权, 科技、电信与互联网, 合规/政府监管
薛泽涵
北京办公室 知识产权部
作者往期文章推荐:
《EDPB《GDPR下数据控制者及数据处理者概念的指南》解读兼谈<个人信息保护法(草案)>关于处理者的定义》
《2020年APP个人信息治理工作启动,你需要关注的APP自评估指南的主要变化》
《<数据安全法(草案)>观察:构建我国基础性数据安全制度的开端》
《App数据收集划定红线:<App违法违规收集使用个人信息行为认定方法>解析》
《他山之石:EDPB<关于GDPR第25条设计和默认的数据保护指南>解读(下)》
《他山之石:EDPB<关于GDPR第25条设计和默认的数据保护指南>解读(上)》
《打造中国版的SCC | <个人信息出境安全评估办法(征求意见稿)>评析》
《国家安全更聚焦 |<网络安全审查办法(征求意见稿)>出新招》
《儿童个人信息保护新规出台,与COPPA的明示同意区别有哪些?》
《小数据安全法出台 |<数据安全管理办法(征求意见稿)>解析》
《App监管再加码:<App违法违规收集使用个人信息行为认定方法(征求意见稿)>公布》
《管理措施和技术措施的平衡:<互联网个人信息安全保护指南>》
《实施半年后再修订:<信息安全技术个人信息安全规范>应时而变》
《致敬数据合规元年 | 表析<网络安全法>配套法律法规和规范性文件》
《网络平台法律责任的司法变化与应对——对最高人民法院涉网络和电商两个司法文件的解读》
《新基建主题系列——移动互联网产品跨境出海的合规风险与对策》
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
点击“阅读原文”,可查阅该专业文章官网版。