LCOUNCIL专家答疑丨信息技术与电子商务实务问答集锦

问题一：对于采购信息服务的客户，由于信息技术提供方已经取得了客户的授权，并在授权协议书中标明“视为客户同意首选信息提供方的商业伙伴收集查询客户个人信息”，对于这样一个情况，对于此类客户，我方作为信息使用方，是否还需要另行取得客户的授权呢？

【专家答疑】：这个问题在实践当中会有不同情况。在广告，金融服务，互联网合作过程，大数据服务过程中都可能会遇到。在每一个不同的场景下，所涉及到法律风险会有差异。举例说明：在金融服务过程当中，最后分享的信息可能会影响最终的资质关系到用户能不能获得相应的贷款。即便前端的信息收集在授权协议里面有这样的规定，也会存在规定不充分的问题。另外，实践当中大量情况下协议当中的表述在是不明确的，如与第三方分享。举例说明：A公司要给B 公司提供信息，但是未必把A 公司给B 公司提供信息的具体情景表述明确，甚至并不一定会提到A 公司向B 公司提供类型化的事件，所以这个授权未必充分。另外就是在同意过程当中所采取的手段，用户是明确表示同意了，还是像“支付宝账单事件”一样默示的同意。关于是否适当这个问题，《个人信息安全规范》也提供了一些具体的指引。实践当中确实每一种情况风险等级都会有差异，广告可的风险等级相对金融服务来说比较低，但是广告和另外的APP 使用当中，若明确同意了作为Data Consessor（数据通信），这种情况下风险就会提高。因此，每个具体场景风险等级会使这个问题的答案有差异。

问题二：涉及到跨境数据的问题。背景信息即企业在一个B2B 商业模式下，搭建电商的平台，会为其提供会员资格，去提供一些账户。由于公司所在地服务器监管制度较为落后，将电商平台的服务器放在了外部，在这样一个背景下ICT 如何去办理？另外ISO27001building 如何去进行？若国内的《网络安全法》颁布之后不适用，或是《网络安全法》的颁布对国内外资企业的影响是什么样的？

【专家答疑】：这涉及多个问题，第一个问题是ICT 的申请问题，第二个涉及到跨境传输的问题，第三个涉及到CCT2 欧盟的数据保护法5月25 日生效之后对国内的影响问题。关于ICT 的申请问题，要考虑目前的平台是否构成B25 类项下电商品牌的概念，若构成电商平台需要遣发ICT 证。但在申请ICT 证的过程当中，工信部在审批ICT 证时，需要整个平台都是在国内的。所以若这个平台有境外部分，不光是跨境传输还是信息保护的问题，它更涉及到ICT证是否能通过申请的问题。个人认为不一定是能拿到，但是这还是要考虑到整个服务器的设置，这时个非常细致的问题。它的SupportingSystem 怎么样去安排，一个Platform 可能有几十个System，这个需要去细节讨论。第二个问题涉及到跨境传输的问题。若服务器在境外，涉及到中国境内的数据能否传输到境外。电商这块比较特殊，因为一方面涉及到个人信息，另外一方面在现在的指南当中电商所产生的所有数据都被列到重要数据的范围，所以在以后涉及到的安全评估过程中一般性的境外个人信息传输所面临的法规监管和政府监管会更加严格。第三，关于CCT2 对中国的影响。现在只有两种情况，第一种情况是Headquarter（总部）公司在欧盟的公司是要求全球合规的，特别涉及到国内的子公司（ subsidiary ） 和欧盟公司（headquarter）之间发生数据转移的情况。在这种情况下，通常做法是让CCT2 在国内做一个落地（localization）工作，很多政策的落地、协议的落地、跨境转移数据协议的落地，还有很多制度的落地。另一种情况就是国内公司的走出去问题，会涉及到到底适不适用CCT2，CCT2 根据现在第三条的规定，实际上范围非常宽。会涉及到两种，一种是在欧盟境内处理数据，第二处理涉及到欧盟境内的数据，本质上都需符合CCT2的要求。所以国内的公司会建立电子商务平台，收集欧盟境内的客户数据，从CCT2 的角度来看，确实有一定的合规性要求。

问题三：对跨境出口电商，海关通关的不同模式的监管？

【专家答疑】跨境电商出口分两种模式，一种是一般出口，一种是保税出口。一般出口相当于直邮进口的逆方向，保税出口相当于保税进口的逆方向。一般出口中，境内中小电商企业先发货到国外，再从国外直接运输到海外的售货点。保税出口中，商品先进海关特殊监管区并且完成退税，之后包裹存入特殊监管区域中，再根据海外消费者的订单直接发出。不管是保税出口还是一般出口，大致的通关流程统称为“清单核放、汇总申报”。所谓清单核放，是指一票包裹出口时报一票申报清单，以清单的方式出关。所谓汇总申报，是指每隔一个月或者固定的周期把所有的清单汇总起来报一票申报单，向海关报正式报关单，而这份报关单是用来办理退税用的。这主要是为了解决跨境电商出口频次高、商品零散的问题，同时还解决了退税的问题，即每个月以一个总报关单的形式申报就可以完成退税。但很多出口企业并不喜欢走这种出口模式，原因在于这种模式下若要完全退税则必须要有境内增值税发票，但是很多中国的中小企业没有增值税发票，因此没有办法享受这个退税的待遇。

问题四：什么是关联主体注册商标？

【专家答疑】平行进口的构成要件之一是在中国国内的商标注册权人和出口国的商标权人是同一主体，此时才可能产生平行进口的法律问题。为了避免被告去引述平行进口不构成侵权的抗辩理由，企业（特别是大型的跨国集团）在注册商标时可以采取关联主体注册的策略。例如母公司在日本，在日本的商标权是由母公司作为权利人的，而在中国的商标则让中国子公司来注册。因为商标权具有地域性，这样从日本市场进口到中国市场的商品必然侵犯中国注册权人的权益，此时则避免了平行进口要件的构成，就可以避开平行进口不构成侵权的抗辩理由。

问题五：消费者在第三方电商平台中选中货品并且下单，商家随后告诉消费者，商品缺货，无法发货。在这种情况下，商家是否构成欺诈？是否要承担消费者权益保护法规定的三倍惩罚性赔偿的责任？

【专家答疑】这个案例比较典型，之前也有过争议。关键问题是在网页上的商品是要约还是要约邀请。商家主张是要约邀请，在有些产品上也会备注说明需要进行再次确认。但是，考虑到上海法院对欺诈的认定相当严格，上海法院可能会认定是违约，让商家延迟发货。若确实无货，则就是不能履行导致合同解除的问题。什么是欺诈？欺诈对于消费者的证明要求非常高。若能够证明商家一开始就没有准备好商品，只是通过这种方式来宣传，则有可能被认定为欺诈。但对消费者来说，要证明商家意图的举证难度太大了，所以基本上能够认定欺诈的概率较低。

问题六：在什么情况下跨境电商的网站经营者要向消费者承担连带责任？对于电商平台而言，怎么规避被牵入到连带责任中的风险？

【专家答疑】现在比较明确的是《消费者权益保护法》第四十四条规定的情况。若电商平台不能够提供商家的经营方式、联系地址、真实名称时，平台要承担先行赔付责任，赔付后再找商家追偿。可能出现的问题是：商家注册时，平台一定会要求其提供信息，但时间一长，平台信息管理无法跟进，原商家可能破产，则平台便无法联系到商家。对于这种情况，国内也有明确的判例，是让电商平台先行赔付。其实现在的电子商务法草案也在这方面对平台提出了一个义务，即平台不仅有收集管理商家信息的义务，还有向工商部门通报协助的义务。事实上，平台还有一个附随的义务，即定期更新系统的义务，否则时间一长而系统没有更新，平台最后无法联系到商家，此时就要承担相应的责任。

对于电商平台而言，怎么规避被牵入到连带责任中的风险？

新电子商务法草案扩大了电商平台的责任。因为很多专家认为我国的电子商务是由电商平台驱 .的，电商平台是我国电子商务的中枢神经，抓住了电商平台这个龙头就能够规范后面一切行为，所以普遍都倾向于加重电商平台的责任。而且现在电商信息和工商信息不互联，政府对电商企业的经营失信行为无法监管，所以法律要赋予电商平台更大的义务去建立一个电子化信息评价机制。通过这种信用的互通，才能从源头上把整个商业诚信系统建立起来，所以新的电子商务法草案加重了电商平台的义务。至于企业如何阻却这些责任，就是要把今天梳理的一些重点法条规定的义务履行好，例如保障消费者的知情权、不随意修改合同、信息公开，这样才能够规避承担连带责任的情况。

问题七：假设两个都是跨境电商的情况下：第一种情况，平台是境外的，商家是境外的，商品可能通过海外直邮的模式进来；第二种情况，平台是境内的，商家是境内的，商品可能通过保税方式进来，境内的平台作为受托人而不是真正的卖家。在这两种情况下，消费者、网站的经营者或者平台在遇到问题时的处理技巧有没有什么不同？

【专家答疑】对于消费者来说，这涉及到管辖以及法律适用的问题，要用到民事关系法律适用法。适用的法律可能不一定是中国法，则消费者可以考虑，是提起合同之诉还是侵权之诉。若是侵权之诉，损害结果的发生地在中国境内，可能能够适用中国法律。在技巧方面，这个问题要考虑。

之后出台的电子商务法的确想要建立一个网上的纠纷处理机制，但现在还没有成立。立法主要考虑到所有的交易是通过电商进行的，电商平台又有保留单证的义务，因此认为通过网络的纠纷解决机制可以实现远程调解或者纠纷解决。一些小额的争端，尤其是不涉及到人身损害只涉及退货和赔偿的争端，会在这个网上纠纷解决机制中进行解决。同时，国家也希望赋予电商平台更多的义务，使其承担保护消费者的角色。但是具体的实施方案现在还没有出台，可能明年的这个时候会有一个比较清晰的认识。

问题八：中国关于GDPR数据画像的规定是怎么样的？中国的《网络安全法》和GDPR的规定有什么特别大的差别吗？一般情况下，数据画像的个人信息是无法识别，或者是无法复原的吗？

【专家答疑】在国内对于数据画像没有一个非常明确的说法，唯一可能有关联的就是《网络安全法》里面的一条，即搜集一些大数据时，这些数据不能复原为个人信息时，其实可以做一些商业上的使用，这种情况下不需要用户的同意。这跟目前GDPR里的数据画像有一些关联的地方。至于《网络安全法》和GDPR，个人认为差异挺大的。第一，国内没有数据画像这方面的特殊规定，都是很笼统的概念，但是GDPR对数据画像有明确的定义，包括自动化决策的相关内容其实也是有关数据画像的内容，GDPR对数据画像其实有一些非常详细的要求，比如合同签订履行或者主体明确同意了才能进行。而根据国内《网络安全法》，数据画像只是收集信息，但是怎么使用，国内没有规定。

个人理解数据画像包括两个方面，一是经过数据画像能够指向单独的个人，这是一种数据画像方式，这种数据画像的结果其实属于个人信息，二是数据画像仅对行为习惯进行分析，但是不针对特定人，例如，超市的货柜有多少人去浏览了、有多少人停留了、停留了多少时间、有多少的复购率等，这也是对用户群体的数据画像，所以数据画像也是需要区分开来看的。

问题九：在互联网行业，会涉及到区块链的数据，通用数据保护条例中规定，若欧盟公民要求将其个人资料从企业记录中删除，那么企业就必须遵守，但是修改区块链上的数据是非常困难的，请问有什么相应的应对手段吗？

【专家答疑】区块链技术中的数据基本上是不可能删除的，因为需要一些共识机制来确保这个数据不可删除、不可篡改。在区块链技术中，可能会存在前提讨论账内信息到底是不是个人信息，比如很多信息其实还是混合的信息。比如电脑里面的一张身份证属于个人信息，但是需要上链时，其实并不是把身份证传上去，而是先把身份证进行加密，或者在本地通过SDK来算出一个值，再把这个值放到链上，因此链上的信息本身是否是个人信息，是有争议的。个人认为，把这些本地的个人信息进行加密之后再上传时，其实不属于个人信息了，而且除了这台电脑上可以进行一些读取之外，其他人是读取不出来的，即其他任何人都不可能获得链上信息的真实内容的。从这个角度来看，可以做一些抗辩。当然，实践中确实在探讨一个问题，即GDPR对区块链到底有无影响？如何才属于区块链技术里面的数据控制者、数据处理者、运营者？这里的问题非常多。从总的趋势来看，这一技术应该能逃脱GDPR的管制。

问题十：若从注册运营的实名制资料中判断这个账户是否属于欧盟成员国的成员，若属于则对其名下所有域名默认为隐私保护状态，若不属于则成公开状态，这样做的话是否有什么风险呢？

【专家答疑】保护两个字可能还包含收集的含义，即识别为欧盟用户信息后进行收集，然后会对这些信息提供保护，因此保护动作就意味着有收集的行为，那就说明产品在开发设计时是允许欧盟用户注册的，因为现在很多注册的信息要求是限定的字段，例如，必须是中国运营商的手机号码才能到下一步，但是一旦是欧盟或者其他地方的手机号码或者个人信息就不能识别。在这种情况下，最好从一开始就不要再收集了，即不需要做保护的动作而直接拒绝，这是最合规的方式了。

问题十一：受GDPR管辖的企业都必须指定DPO吗？若企业规模不大的话，也需要指定吗？数据保护官负责的工作具体有哪些？能不能让公司其他部门的管理人员兼任DPO或者是将DPO的工作外包呢？

【专家答疑】DPO数据运营官的指派问题范畴很大了。不是所有的数据控制者或者处理者都会指派DPO，建议直接看GDPR关于数据保护的章节，这个章节的内容太多了，包括什么样的情况下可能需要DPO、DPO相关的工作要求、跟一些机构合作的内容以及一些建议等，GDPR应该规定得比较清楚了。

本文答疑内容仅供法务同行参考，不作为专业法律意见。