叶上初生并蒂莲——最新出台的《电子商务法》与《网络安全法》之比较
——— 本文作者 ———
宁宣凤
合伙人
合规业务部
susan.ning@cn.kwm.com
宁宣凤律师的主要执业领域为网络安全与数据合规。宁律师曾为多家国内外知名企业提供数据合规尽职调查、风险评估、合规体系建设等法律服务。作为国内最早涉足该类法律实务的律师之一,宁律师在为客户提供网络安全与数据合规法律咨询服务方面有着丰富的经验。
吴涵
合伙人
合规业务部
wuhan@cn.kwm.com
吴涵律师的主要执业领域为网络安全和数据合规,及反垄断和反不正当竞争法。吴律师擅长从中国数据合规的角度为跨国企业在中国的分支机构提供网络安全和数据合规意见。同时吴涵律师能够立足中国相关法律法规,为中国走出去企业建立符合欧盟(GDPR)及美国等跨司法辖区要求的网络安全与数据合规体系。
陈胜男
律师
合规业务部
付昊
律师助理
合规业务部
在上个世纪九十年代,使用互联网还被称为“上网冲浪”,断电和座机欠费可能是我们能够理解的最大“网络安全”问题。在那个十年,很长的一段时间内亚马逊还是条河,阿里巴巴还在等待四十大盗,京东还在卖光驱,“电子商务”还是镜花水月。但几乎是一瞬间,“电子商务”成为最时髦的词汇,互联网交易风潮无可阻挡,而“千年虫”、“熊猫烧香”等网络病毒随即席卷全球,网络成为最大的逐利场也是众矢之的的风险高地。
二十年过去了,“网络安全”已经从网络运行安全,扩展到网络信息安全,并上升到公民的人身财产安全甚至国家安全的层次;“电子商务”也重塑了大家的交易习惯,逐渐成为国民经济的支柱性产业之一。风险与收益并存、安全与发展互促,“网络安全”和“电子商务”似乎从未脱离彼此。
2017年6月1日《中华人民共和国网络安全法》(下称“《网安法》”)正式生效,成为我国规范网络运行安全和信息安全的基础性法律。《中华人民共和国电子商务法》(下称“《电商法》”)作为管理电子商务经营者、规范电子商务交易秩序的基础性法律,也在昨日正式通过。纵观两部法律,尽管规制的法律关系有所不同,但由于电子商务与网络的天然联系,《网安法》与《电商法》仿佛“叶上初生并蒂莲”,在网络安全领域的法律规则上相得益彰。
1
《电商法》与《网安法》的一脉相承
《网安法》对《电商法》的影响,从立法审议时间线便可看出端倪:2016年12月《电商法》草案第一次提交审议,恰逢《网安法》表决通过不久。[1]而自第一次审议开始,《电商法》就已对电子商务领域网络安全等问题予以高度关注。回顾立法进程,《电商法》最初曾大篇幅反映网络安全立法需求,后续审议稿尽管精简了相关条款,但保留了其中的关键条款,体现出《电商法》对网络安全,特别是电子商务消费者个人信息权益保护的重视。
《电商法》与《网安法》的一致性,充分反映在《电商法》有关网络安全的规则条款中。《网安法》以网络运行安全、网络信息安全为切入点,对各行各业的网络安全制度提出了整体性、综合性的要求。而作为电子商务领域的基础性法律,《电商法》对电子商务经营者的网络安全要求同样也落脚于网络运行安全与信息安全方面的责任与义务。
例如,《电商法》第三十条规定,电子商务平台经营者应当采取技术措施和其他必要措施保证其网络安全、稳定运行,防范网络违法犯罪活动,有效应对网络安全事件,保障电子商务交易安全;同时要求电子商务平台经营者制定网络安全事件应急预案,在发生网络安全事件时应立即启动应急预案,采取相应的补救措施,并向有关主管部门报告。《电商法》的这些要求均与《网安法》下的规则制度要求相同。[2]《电商法》对电子商务平台经营者有关保证网络运行安全,预防网络安全事件的要求是对《网安法》基本规则在电子商务领域的重申和确认。
而在网络信息安全领域,《电商法》与《网安法》也同样呈现出一脉相承的特点。《电商法》第二十三条简明扼要地指出电子商务经营者在收集、使用个人信息时所应遵循的法律规则[3]。而第二十四条有关对电子商务经营者对用户个人信息相关权益的尊重与保护,[4]则是承继了《网安法》中对个人信息主体权益保护的总体思路。
2
《电商法》对《网安法》的具化和延伸
虽然在网络安全基本规则思路上一脉相承,相比于《网安法》对网络运营者的一般规制,《电商法》结合电子商务领域的特点,一方面对《网安法》下的一般性规则进行了细化,另一方面也针对电子商务领域进一步延伸具体要求,体现了不同法律权益的平衡。
1. 数据存储和安全保障:平台上信息的记录、保存与保护
根据《电商法》第三十一条,电子商务平台经营者应当至少在三年内记录、保存平台上发布的商品和服务信息、交易信息,并确保信息的完整性、保密性、可用性。
而根据《网安法》及其配套措施的相关规定,个人信息的收集、使用等处理活动应当进行记录,且并未对于记录的时间长短进行严格的限制(网络日志留存六个月);此外,根据《网安法》第十条,网络运营者应采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性;而在2018年5月1日《信息安全技术个人信息安全规范》(下称“《安全规范》”)中第4点(f)项进一步明确了个人信息处理的确保安全原则,要求保护个人信息的保密性、完整性、可用性。
相较而言,《电商法》的规定不仅对记录和保存义务的时间限制进一步明确,同时还就电子商务平台经营者对信息的安全保护义务范围进行了澄清,从“网络数据”具化至“平台上发布的商品和服务信息、交易信息”。这一过程中,数据类型的澄清反映了目前电子商务经营过程中最为主要的信息范围,避免了在电子商务经营者因《网安法》下安全保障义务范围过大而付出过高的合规成本;而时间限制的设定则与《民法总则》第一百八十八条[5]调整后的民事诉讼时效保持了一致,为电子商务领域的诉讼纠纷中的证据保留和收集提供了保障,一定程度上将数据存储义务体系和纠纷解决机制进行了融通。
2. 个人信息的使用:个性化搜索结果展示
《电商法》第十八条第一款规制了电子商务经营者利用大数据分析等技术向用户展示个性化搜索结果的行为。该款规定,电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的,应当同时向该消费者提供不针对其个人特征的选项,尊重和平等保护消费者合法权益。
对应地,《网安法》第四十一条规定了网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则;而《安全规范》第7.10条规定了当仅依据信息系统的自动决策而做出显著影响个人信息主体权益的决定时,个人信息控制者应向个人信息主体提供申诉方法。
一般认为,《电商法》第十八条的规定主要是防止电子商务经营者利用大数据分析“杀熟”,即电子商务经营者利用大数据算法,通过收集用户画像、支付能力、支付意愿,做到“一人一价”,甚至出现“会员价”高于正常价格的情况。而由于大数据分析过程均在后台完成,具有较高的隐蔽性,消费者在受到歧视待遇时甚至无法察觉。因此,在电子商务经营者利用大数据分析进行个性化搜索结果展示时,要求其提供不针对特定消费者个人特征的产品或服务的选项,有助于保障消费者的知情权以及公平交易的权利,一定程度上避免“歧视”情况发生。对比《网安法》体系下对网络运营者使用个人信息的正当性原则要求以及自动化决策的约束规定,《电商法》针对目前行业中典型问题,将正当性原则解释为消费者平等选择的权利,将约束自动化决策的方式由“提供申诉方法”调整为“提供不针对其个人特征的选项”,一方面反映了电子商务领域的现实实践,同时也是通过对一般体系下非强制性规则(《安全规范》为推荐性国家标准)的适度突破,确保了在平台和消费者力量极端不对等情况下对自动化决策的约束。
3. 个人信息主体权利:访问与注销
《网安法》在第四十三条中要求网络运营者在特定前提下满足个人信息主体的两项权利,删除权及更正权。作为《网安法》的配套国家标准,《安全规范》”沿袭该思路对个人信息控制者收集、使用个人信息,对实现个人信息主体合法权益保护等提出了具体的要求,在《网安法》基本规则以及个人权利响应上补充了“访问权”、“注销权”、“可携权”等。但由于《安全规范》作为非强制性的推荐性国家标准,其效力直接影响了上述个人权利响应机制要求的落地。
《电商法》第二十四条不仅进一步确认个人信息主体在《网安法》下的删除权及更正权,在法律层面明确要求电子商务经营者还应当明示用户信息“查询”及“用户注销”的方式、程序,不得对用户信息“查询”以及“用户注销”设置不合理条件,加强了“访问权”及“注销权”的强制力。
但值得注意的是,《电商法》并未采纳《安全规范》7.9条中推荐的“可携权”。根据《安全规范》中“可携权”的要求,根据个人信息主体的请求,个人信息控制者应为个人信息主体提供获取以下类型个人信息副本的方法,或在技术可行的前提下直接将特定个人信息的副本传输给第三方。“可携权”在欧洲《一般数据保护条例》(General Data Protection Regulation,“GDPR”)第二十条中以“Right to Portability”的形式体现,其立法的初衷考虑到可携的前提是数据的格式化和标准化,格式化数据的在不同主体间的自由流通,有助于消除形成数据流通的技术壁垒,促进数据经济的发展。从《电商法》角度出发,未采纳“可携权”并不是与数据自由流通的大趋势相背离,而更可能是维护现阶段市场稳定发展的取舍之道。尽管目前数据已成为电子商务领域的重要竞争资源,但数据权属以及各主体对数据主张权利边界等问题并不清晰。在中国电子商务领域目前高速发展又激烈竞争的特殊阶段和大背景下,在法律层面强制性推行“可携权”可能会降低企业的竞争积极性,造成电子商务市场的混乱。因此《电商法》有选择性的采纳《安全规范》中个人信息主体的权利,体现了其在市场发展不同阶段,不同法律权益的取舍和平衡。
4. 互联网内容审核:消费者评价的删除
依据《电商法》第三十九条,电子商务平台经营者不得删除消费者的评价。[6]本条规定旗帜鲜明地针对目前电商平台中出现的刷单、篡改评价以影响消费者正常判断平台内经营者信用和服务质量的现状,通过禁止电子商务平台经营者删除消费者评价,杜绝恶意的评价删改行为,确保了电商平台依据第三十九条第一款建立的信用评价体系的有效性。
而从此前的互联网信息内容管理体系来看,根据《网安法》第四十七条,网络运营者发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告;而《互联网信息服务管理办法》第十五条,互联网信息服务提供者不得制作、复制、发布和传播的信息类型包括九类;同时,根据同文第十六条,互联网信息服务提供者在发现前述九类信息内容时,应立即停止传输,保存有关记录,并向国家有关机关报告。
看似《电商法》中的规定可能与现行互联网信息内容管理制度相冲突,导致消费者评价这一信息内容跳出现行管制体系;但实质上看,第三十九条的规定内容对电子商务平台经营者的互联网信息内容管理义务并未减少,仅在义务实现方式上作出了调整。由于《电商法》并未将消费者评价排除于互联网信息以外,而电子商务平台经营者依法不得删除该等信息,则要求其在该等信息发布前采取更为严格、准确、有效的信息筛选机制,由事前防范通过消费者评价的途径发布或传输违法违规信息。为此,《电商法》基于对信用评价体系有效性的保障,将现行互联网内容审核通常的“事前筛选+事后补漏”机制在消费者评价方面进行了适度的调整,使得以《网安法》和《互联网信息服务管理办法》为基础的一般性互联网内容审核体系与信用评价体系融洽共存。
5. 其余存在差异的条款
此外,《电商法》中还存在一些可能与《网安法》中特定规则存在差异的条款,有待日后的执法和司法实践进一步调和不同立法之间的差异,包括但不限于:
《电商法》第二十五条中对电子商务经营者配合有关主管部门、提供电子商务数据提出了相应的义务要求:根据《网安法》的相关规定,并未赋予有关主管部门在非履行网络安全监督管理职能、侦查国家犯罪及国家安全等情形下要求网络运营者未经用户同意提供个人信息的职权,则有关主管部门如行使此职权要求电子商务经营者提供电子商务数据且其中涉及用户个人信息时,电子商务经营者将不可避免地陷入必然违法的两难境地;此外,《网安法》第四十二条一般性规定中,未经被收集者同意,不得向他人提供个人信息,而根据《电商法》中的规定,有关主管部门可依据行政法规级别的授权向电子商务经营者要求提供电子商务数据,如涉及个人信息时,则很可能需要进行在《网安法》和《电商法》的规定之间折中选取合理边界。
《电商法》第七十九条虽将侵害个人信息和不履行网络安全义务的行为责任直接转引至《网安法》等法律和行政法规的罚则规定,而在其余罚则条款中仍有部分内容涉及网络安全相关义务的履行,以第七十六条第三项为例,其中规定的侵害、影响用户信息查询、更正、删除以及用户注销权利的行为,对电子商务经营者而言由市场监督管理部门责令限期改正,可以处一万元以下的罚款;而《网安法》第六十四条[7]规定,处罚方式不仅包括责令改正和罚款,还视情节严重程度可采取责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等罚则,且罚款计算方式与此项亦有所不同。为此,有关主管部门在进行监督管理和执法处罚时,为确保符合合理、适当的原则,则需更为谨慎地选取法律依据和处罚程度。
3
小结与展望
无论是“网络安全”和“电子商务”的天然联系,还是《网安法》和《电商法》立法进程的紧密衔接,两部法律之间立法宗旨和思路始终一脉相承、根源相通;针对的规制对象和范围虽有差别,但《网安法》和《电商法》均着眼于网络运行和网络信息两个方面,通过强制性义务和权利的分配(如前述制定网络安全事件应急预案的义务、用户个人信息的相关权利等),确保网络安全,实现技术和经济稳步、健康发展。
但同样两部法律也存在着利益权衡取舍上的不同,尤其是《电商法》对《网安法》建立的一般性网络安全合规体系在电子商务领域具化和延伸过程中,《电商法》充分反映了特定领域的特定情况,适度调整了具体的规制规则(如前述消费者评价上起主要作用的互联网信息审核方式),使得《网安法》下的一般体系在电商领域具有了更细致和贴切的展现形式。
总体而言,网络安全为电子商务的发展保驾护航,电子商务又是网络安全的重要实践领域,为此,《网安法》及其配套措施的制定、出台确立了一般性的网络安全保护义务体系,而《电商法》则针对电商领域将关键条款进行了具体适用和延展;值得期待的是,这两朵“并蒂莲花”结合之下,为电商领域的网络安全保护提供更为综合、细致和具有针对性的体系化规制,为电子商务市场的健康发展奠定更为坚实的基础。
[1]《网安法》系2016年11月7日由全国人大常委会表决通过。
[2]《网安法》第十条规定,建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。第二十五条规定,网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
[3]《电商法》第二十三条规定,电子商务经营者收集、使用其用户的个人信息,应当遵守法律、行政法规有关个人信息保护的规定。
[4]《电商法》第二十四条规定,电子商务经营者应当明示用户信息查询、更正、删除以及用户注销的方式、程序,不得对用户信息查询、更正、删除以及用户注销设置不合理条件。电子商务经营者收到用户信息查询或者更正、删除的申请的,应当在核实身份后及时提供查询或者更正、删除用户信息。用户注销的,电子商务经营者应当立即删除该用户的信息;依照法律、行政法规的规定或者双方约定保存的,依照其规定。
[5]参见《民法总则》第一百八十八条第一款:向人民法院请求保护民事权利的诉讼时效期间为三年。法律另有规定的,依照其规定。
[6]参见《电商法》第三十九条:电子商务平台经营者应当建立健全信用评价制度,公示信用评价规则,为消费者提供对平台内销售的商品或者提供的服务进行评价的途径。
电子商务平台经营者不得删除消费者对其平台内销售的商品或者提供的服务的评价。
[7]《网安法》第六十四条网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
附表
《电商法》中涉及网络安全的条款汇总
分类
主要
内容
条款规定
与网络运行安全有关的条款
电子商务平台经营者保障网络安全的一般性义务
第三十条电子商务平台经营者应当采取技术措施和其他必要措施保证其网络安全、稳定运行,防范网络违法犯罪活动,有效应对网络安全事件,保障电子商务交易安全。
电子商务平台经营者应当制定网络安全事件应急预案,发生网络安全事件时,应当立即启动应急预案,采取相应的补救措施,并向有关主管部门报告。
电子商务经营者的推销和广告限制
第十八条电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的,应当同时向该消费者提供不针对其个人特征的选项,尊重和平等保护消费者合法权益。
电子商务经营者向消费者发送广告的,应当遵守《中华人民共和国广告法》的有关规定。
用户个人信息的收集和使用义务
第二十三条电子商务经营者收集、使用其用户的个人信息,应当遵守法律、行政法规有关个人信息保护的规定。
用户信息权利的实现与保障
第二十四条电子商务经营者应当明示用户信息查询、更正、删除以及用户注销的方式、程序,不得对用户信息查询、更正、删除以及用户注销设置不合理条件。
电子商务经营者收到用户信息查询或者更正、删除的申请的,应当在核实身份后及时提供查询或者更正、删除用户信息。用户注销的,电子商务经营者应当立即删除该用户的信息;依照法律、行政法规的规定或者双方约定保存的,依照其规定。
电子商务数据的提供和保护要求
第二十五条有关主管部门依照法律、行政法规的规定要求电子商务经营者提供有关电子商务数据信息的,电子商务经营者应当提供。有关主管部门应当采取必要措施保护电子商务经营者提供的数据信息的安全,并对其中的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。
平台上信息的记录保存与保护
第三十一条电子商务平台经营者应当记录、保存平台上发布的商品和服务信息、交易信息,并确保信息的完整性、保密性、可用性。商品和服务信息、交易信息保存时间自交易完成之日起不少于三年;法律、行政法规另有规定的,依照其规定。
与网络信息安全有关的条款
服务协议和交易规则的内容要求
第三十二条电子商务平台经营者应当遵循公开、公平、公正的原则,制定平台服务协议和交易规则,明确进入和退出平台、商品和服务质量保障、消费者权益保护、个人信息保护等方面的权利和义务。
服务协议和交易规则的公示要求
第三十三条电子商务平台经营者应当在其首页显著位置持续公示平台服务协议和交易规则信息或者上述信息的链接标识,并保证经营者和消费者能够便利、完整地阅览和下载
服务协议和交易规则的修改要求
第三十四条电子商务平台经营者修改平台服务协议和交易规则,应当在其首页显著位置公开征求意见,采取合理措施确保有关各方能够及时充分表达意见。修改内容应当至少在实施前七日予以公示。
平台内经营者不接受修改内容,要求退出平台的,电子商务平台经营者不得阻止,并按照修改前的服务协议和交易规则承担相关责任。
平台内商品和服务的信用评价制度
第三十九条电子商务平台经营者应当建立健全信用评价制度,公示信用评价规则,为消费者提供对平台内销售的商品或者提供的服务进行评价的途径。
电子商务平台经营者不得删除消费者对其平台内销售的商品或者提供的服务的评价。
电子支付对账服务和交易记录的提供
第五十三条电子商务当事人可以约定采用电子支付方式支付价款。
电子支付服务提供者为电子商务提供电子支付服务,应当遵守国家规定,告知用户电子支付服务的功能、使用方法、注意事项、相关风险和收费标准等事项,不得附加不合理交易条件。电子支付服务提供者应当确保电子支付指令的完整性、一致性、可跟踪稽核和不可篡改。
电子支付服务提供者应当向用户免费提供对账服务以及最近三年的交易记录。
争议解决中提供合同与交易记录
第六十二条在电子商务争议处理中,电子商务经营者应当提供原始合同和交易记录。因电子商务经营者丢失、伪造、篡改、销毁、隐匿或者拒绝提供前述资料,致使人民法院、仲裁机构或者有关机关无法查明事实的,电子商务经营者应当承担相应的法律责任。
电子商务数据的功流动与共享
第六十九条国家维护电子商务交易安全,保护电子商务用户信息,鼓励电子商务数据开发应用,保障电子商务数据依法有序自由流动。
国家采取措施推动建立公共数据共享机制,促进电子商务经营者依法利用公共数据。
与网络信息安全相关的罚则
第七十六条电子商务经营者违反本法规定,有下列行为之一的,由市场监督管理部门责令限期改正,可以处一万元以下的罚款,对其中的电子商务平台经营者,依照本法第八十一条第一款的规定处罚:
(一)未在首页显著位置公示营业执照信息、行政许可信息、属于不需要办理市场主体登记情形等信息,或者上述信息的链接标识的;
(二)未在首页显著位置持续公示终止电子商务的有关信息的;
(三)未明示用户信息查询、更正、删除以及用户注销的方式、程序,或者对用户信息查询、更正、删除以及用户注销设置不合理条件的。
电子商务平台经营者对违反前款规定的平台内经营者未采取必要措施的,由市场监督管理部门责令限期改正,可以处二万元以上十万元以下的罚款。
第七十七条电子商务经营者违反本法第十八条第一款规定提供搜索结果,或者违反本法第十九条规定搭售商品、服务的,由市场监督管理部门责令限期改正,没收违法所得,可以并处五万元以上二十万元以下的罚款;情节严重的,并处二十万元以上五十万元以下的罚款。
第七十九条电子商务经营者违反法律、行政法规有关个人信息保护的规定,或者不履行本法第三十条和有关法律、行政法规规定的网络安全保障义务的,依照《中华人民共和国网络安全法》等法律、行政法规的规定处罚。
第八十条电子商务平台经营者有下列行为之一的,由有关主管部门责令限期改正;逾期不改正的,处二万元以上十万元以下的罚款;情节严重的,责令停业整顿,并处十万元以上五十万元以下的罚款:
(一)不履行本法第二十七条规定的核验、登记义务的;
(二)不按照本法第二十八条规定向市场监督管理部门、税务部门报送有关信息的;
(三)不按照本法第二十九条规定对违法情形采取必要的处置措施,或者未向有关主管部门报告的;
(四)不履行本法第三十一条规定的商品和服务信息、交易信息保存义务的。
法律、行政法规对前款规定的违法行为的处罚另有规定的,依照其规定。
第八十一条电子商务平台经营者违反本法规定,有下列行为之一的,由市场监督管理部门责令限期改正,可以处二万元以上十万元以下的罚款;情节严重的,处十万元以上五十万元以下的罚款:
(一)未在首页显著位置持续公示平台服务协议、交易规则信息或者上述信息的链接标识的;
(二)修改交易规则未在首页显著位置公开征求意见,未按照规定的时间提前公示修改内容,或者阻止平台内经营者退出的;
(三)未以显著方式区分标记自营业务和平台内经营者开展的业务的;
(四)未为消费者提供对平台内销售的商品或者提供的服务进行评价的途径,或者擅自删除消费者的评价的。
电子商务平台经营者违反本法第四十条规定,对竞价排名的商品或者服务未显著标明“广告”的,依照《中华人民共和国广告法》的规定处罚。
感谢关注金杜研究院