LCOUNCIL推荐 | 信息技术与电子商务(三)《数据安全管理办法》合规要点、 横向比较及行业实践
2019 年 5 月 28 日,国家互联网信息办公室会同相关部门研究起草了《数据安全管理办法(征求意见稿)》,根据征求意见稿,网络运营者应当按照有关法律、行政法规的规定,参照国家网络安全标准,履行数据安全保护义务,建立数据安全管理责任和评价考核制度,制定数据安全计划,实施数据安全技术防护,开展数据安全风险评估,制定网络安全事件应急预案,及时处置安全事件,组织数据安全教育、培训。
据 LCOUNCIL 了解,企业法务同行对于数据合规管理存在普遍关注,例如该《数据安全管理办法》未来出台会否加剧各平台广告营销方面的收入?加入平台违反《数据安全管理办法》中的规定该如何处罚?企业 APP 使用时,用户拒绝提供必要信息时,能否拒绝提供核心业务?从关联企业拿到的个人信息相关数据向其他公司传输信息,尤其是涉及到个人信息的时候,需要注意什么?
鉴于上述背景,本期 LCOUNCIL 在线直播聚焦《数据安全管理办法》合规要点,特别邀请到在信息技术与电子商务领域具有丰富经验的汇业律师事务所高级合伙人——黄春林律师,通过横向比较及行业实践,梳理企业数据安全管理合规实操要点。
(一)产品及商业广告定向推送合规
推送对象
1.推送对象
(1)适用法律:
《网络安全法》
《电子商务法》
《数据安全管理办法》
……
(2)个人信息使用合规问题:
获得用户明示同意
为用户提供停止接收定向推送的功能
停止接收定向推送信息时,应当停止推送,并删除已经收集的设备识别码等用户数据和个人信息
此次《数据安全管理办法》规定,停止推送以后,企业还应该删除已经收集的这些设备号码和相应的设备识别码等用户数据和个人信息。但此时若他还是企业的用户,企业只是停止了推送,是否可以给用户提供一些个性化的页面?如拼多多本身就是个性化的页面,单这个规定项下,整个产品的功能都没办法体现,所以这里存在问题。
关于此次要求删除的设备识别码,其实现在很多的企业,向客户推送时使用的是OKID,推送到苹果手机的时候,mac地址其实是推送给mac地址,企业本身没办法识别到用户精准的身份信息,所以一定要把设备识别码删除存有一定问题。
2.推送内容
此次还要求定向推送的内容要可识别,规则要可选择。《电商法》中,规定了搜索结果和定向推送给用户的结果的概念,此次《数据安全管理办法》中要求企业为用户提供干预结果的机会,也就是用户有只想看到搜索结果,而不想看到定向结果的选择。
该规则要求收集使用个人信息要求去做备案也是规则透明的方式,但其实备案未清楚地说明,是只要说明使用规则、隐私政策即可,还是仍有一些定向推送的规则也要去说明,实际操作起来会非常麻烦。 但从大数据和人工智能的长远角度来看,估计需要对算法做备案,算法要求透明。当然,因为算法不一样和解读性不用出现的问题,那就另当别论,但去做官方的备案,可能是一个大趋势。例如,用户 A 坐上车以后收到了某张小卡片,企业至少要告诉用户,是因为通过评估用户的车价认为用户 A 有消费能力所以发此小卡片,还是用户以前有这方面的消费习惯,所以给他发此卡片,只有用户知道原因,他才不会感到困惑。
在价格质量无差别上,基于用户提供或不提供相应的个人信息以后,在对应的产品质量和价格方面可能有差别。统一进行规定可能会有不好的影响,例如,可能此产品是依据用户身体的信息定向提供的产品,用户若没提供此类信息,可能就没办法提供这个产品。以及价格上,新用户与旧用户可能会有不同,上海地区的用户可能现在要向华东地区的用户做促销,要向东北用户发送专业定制的产品,此时就会涉及到企业的自主经营权如何保证的问题。因为从法律的角度而言,具体交易中具备垄断地位时才会涉及到这些问题,而很多问题还是关于如何维护公平竞争、自由竞争、合理经营权等。
(二)流量路由合规要点
所以主要问题并非VPN,而是路由的问题。但是现在实践之中有一个大问题,以前企业自己搭建VPN 被抓获后要承担相应的责任,但现在浙江有一个企业使用 VPN 后也被抓获,需要承担相应的行政责任,所以使用VPN的风险还是比较高的,企业要注意遵守相关规定。
(三)合成信息合规要点
这次《数据安全管理办法》对合成信息也做出了规定,这就再次印证了前述所讲《数据安全管理办 法》的“数据”是一个广义数据的概念,包括了个人信息、重要数据以及网络日志以外的其他有内容的数据。一系列的内容都纳入到规范中去其实是有问题的,因为以前的《互联网信息服务管理办法》本身已经对信息内容合规提出相应的要求,包括网信办也有相应的规范。 合成内容中有几个合规要点,其中有一点规定合成内容不得谋取利益,但人工智能合成一些内容时都是在谋取利益,不谋取利益是不可能达到的状态,所以这句话真正考量的是什么?此处认为其本意为不能影响或损害别人的利益,不得侵害第三方产权。 而此次还规定不能爬取第三方的数据,爬虫问题本身在《反不正当竞争法》的第12条中有相应的规定,要求不得干扰系统的正常运行。但在《数据安全管理办法》中,还规定了若流量超过网站流量 1/3 的,有权要求终止;反之,若不超过网站 1/3 的流量就可以爬网站的数据,此逻辑似乎有些奇怪。
(四)数据流动中的合规要点
工信部24号令:应当对代理人的用户个人信息保护工作进行监督和管理
Q:我们的业务主要是To B端,像我们此类企业其实存在这样的困惑,不直接面向个人用户时,数据合规怎么做?在一些程序化的广告业务流程中, 对于个人信息数据有很高的要求,但大部分数据处理主体通常不直接接触个人用户,一旦合作方如数据供应方未取得数据主体的授权,就会存在数据来源的瑕疵,从而影响程序化广告流程的合法性,不知道怎么理解?
A:首先回答第一个问题,To B端数据合规应该如何操作。我觉得 To B 端的业务也会涉及很多数据,此次《数据安全管理办法》中重点信息和重要的数据出境只是涉及到个人信息这部分,《数据安全管理办法》中正如前述所讲是大数据的概念,也就是相应的一系列合规的要求。《电商法》中有关个人信息以及有关信息管理相应的合规点是用户的概念,而并非个人的概念,所以 To B 端的业务也是要做到相应的数据合规的一些要求。实际上对于现在很多企业自身的工业控制以及 To B端的电子商务,我们也会开展整体数据合规的流程,当然具体细节可以依据业务流程和业务形态进行单独交流。
第二个问题,在供应商的数据来源不合法的情况下,建议做一些程序化的广告交易还是谨慎一些,无论是精准交易还是程序化的广告交易,一定要审查数据取得来源是否合法的。建议大家与大型的数据供应方进行合作,若一旦供应商的数据来源有瑕疵,甚至是违法的,此时涉及到的不仅是行政风险,还涉及到相应的刑事风险。两高的司法解释中也明确提出,非法取得用于合法目的,一样存在相应的法律风险问题。
Q:我们是一个零售行业的企业,有一个线上销售渠道是我们的网上商城,现在面临的情况是网上商城在用户新注册时有一个新用户的券,我们发现有部分用户通过频繁的注销与新注册,反复领用这个券,这涉及到您刚才所讲数据删除的问题。现在我们考虑的一个方法是用户注销之后,前台删除他的信息,但后台可能继续保存一些注册用户的相关信息,如手机号等,这样以后发现用户再次注册时会禁止他领新用户的券。所以我想问一下,这样的操作方式在您看来,删除信息这块是否合规?或者说您觉得有什么更好的操作方式?
A:建议可以采取一些措施,这取决于你用户协议的具体内容,用户协议需要对多次注册刷取抵用券的情形有相应的处理或者约束机制,如代领或冻结帐户等,以及包括如何认定新用户等,这是一个非常有必要性的问题。建议前期在用户协议中就解决这个问题。
黄春林
汇业律师事务所 高级合伙人
专业领域:
黄春林律师的主要执业领域为互联网、新兴技术、文化传媒领域综合法律服务。
服务经验:
担任数十家企业集团法律顾问,提供网络安全、数据合规、个人信息保护等法律服务;担任数十家电子商务、网络游戏、互联网金融、新兴技术与文化传媒等行业公司法律顾问,全面负责公司结构设计、市场准入、资质证照、产品合规、广告合规、知识产权保护等法律服务。
上海律协互联网业务委员会委员
国际保护知识产权协会(AIPPI)委员
国际隐私专家协会(IAPP)委员
LCOUNCIL最新会员福利
最新活动
倒计时6天 | 2019劳动法与人力资源管理高峰论坛 专家点评 | 图片碰瓷式维权的规制研究 最新互动福利 | 食品药品政府监管系列(二)新法速递——《药品管理法》修订亮点、新执法趋势及合规应对解析 LCOUNCIL推荐 | 企业用工合规与成本控制——职业舞弊应对与防范 LCOUNCIL推荐 | 中国医药行业反垄断执法大盘点 最新互动福利丨漫漫合规路—— 特许经营中潜藏的合规风险及律师建议 LCOUNCIL推荐 | 结合近期反垄断案件分析横向及纵向垄断协议反垄断执法要点 邀请函丨全球视野下的反垄断合规与美国出口管制研讨会
精彩回顾
精彩回顾 | LCOUNCIL&通力律师事务所企业内部反舞弊调查与数据安全、电子数据取证实务研讨会成功举办 数字经济赋能下,企业最大化利用数据信息价值实用指南 劳动法系列(三)企业“996”工作模式法律风险解析及实务应对 合同法系列(一)采购合同解除中重点关注内容解析及实务操作指导 广告合规系列(一)互联网虚假违法广告疑难问题梳理 知识产权系列(一)《最高人民法院关于审查知识产权纠纷行为保全案件适用法律若干问题的规定》解读 反不正当竞争系列(一)企业常见商业贿赂风险问题剖析——招待送礼边界问题、经销商激励政策、零售商进场费等