作者:陈际红 蔡鹏 薛泽涵 前言 新冠肺炎疫情不仅没有浇灭“618”“双十一”等电商节日的热情,反而加速推进企业的数字化、电商化步伐。与传统线下交易不同,电子商务基于网络技术的进步、大数据的发展以及消费升级,在消费场景端、运营端不断且快速地进行模式的演进和更新,如最近火爆的直播电商、社交电商等。与之伴随而生的,为各类合规问题,其中最为人们关切的,系电商模式下衍生出的网络安全、数据及隐私保护等合规风险。 本文旨在《数据安全法》《个人信息保护法》等草案发布的背景下,以新型电商涉及的商业模式为基础,就有关数据合规问题进行探讨。 一、数据合规框架 不论是自商品服务信息发布、商品服务信息更新维护到商品服务下架等运营全流程,或者是从用户注册、用户浏览及使用到最终用户支付完成的用户体验流程,数据作为基础要素,始终贯穿于电商活动全生命周期流程中。电商平台运营,物流、信息流及资金流交叉频繁,线上及线下场景深度交织,形成诸多主体之间的数据交互关系。 点击可查看大图 从数据交互全景图中可以感知,作为电商平台运营主体,电商数据合规建设需同时兼顾面向用户、其他商事主体及企业内部的工作。电商数据合规框架需覆盖如下三个层次: (1)TO C:遵循国内《网络安全法》《电子商务法》《个人信息安全规范》等个人信息保护的相关规定,并参考《个人信息保护法》《数据安全法》等已公开的草案要求,结合近期工信部等执法机构针对App等载体的个人信息执法行动要求,形成面向用户个人信息收集处理的全生命周期管理要求; (2)TO B:包括平台服务供应商(技术&内容)、外部合作平台(如淘宝、微信)等,通过商务谈判、协议控制等方式,明确数据的商业秘密保护、竞争性财产权益及数据治理等责任边界; (3)内部:针对外部数据爬取、用户信息管理、数据共享、前端用户告知、新业态数据需求评估等事项,构建数据内部管理制度及流程机制。 二、数据合规的重点问题 结合《网络安全法》《电子商务法》等法律法规要求,以及一系列外部执法行动的关注要点,电商企业应加强对如下业务形态的数据合规问题的关注:
上述业务模式中存在的合规问题,主要存在于数据收集、使用、涉及第三方的数据爬取以及数据共享、数据安全等方面。以下将结合具体业务模式,分别展开相关问题的讨论。 (一) 社交电商业务场景下授权同意 自2019年起,工信部、公安部等执法机构,密集开展针对电商平台数据合规的相关执法行动,其关注重点更多在于外部易感知的、易引发用户关注及投诉的个人信息收集问题。从已公开的执法案例来看,其中不乏业内知名的购物、餐饮、直播等电商企业,问题颗粒度也渗透至数据收集最小必要性,以及数据共享、权限开启等与技术结合较深的合规问题。 点击可查看大图 从平台治理角度考虑,鉴于目前国家监管范围已从App逐步扩展至小程序、网站、快应用等媒介,与电商投放业态高度重合,关于外部平台个人信息处理规则的设置及用户告知,保证获取用户合法有效的授权同意,应是电商企业优先处理的合规事项。一般而言,如下数据收集事项属于企业应高度关注的高风险场景:
此外,需关注的是,除上述渠道外,鉴于社交电商开展的多样性及便捷性特征,数据收集还可能渗透在私域流量运营等典型场景中,例如即时通讯App群聊天或者评论等。除依靠平台自身的隐私政策外,电商企业应结合平台特征,在开展具体数据收集处理活动之前,以各种友情提示或者友好设计,引导用户阅读个人信息收集处理规则,知悉并同意规则内容,以保证数据收集场景的合规性。 (二) 新零售业务的合规风险 “新零售”业态,为目前众多企业电商化力推的业务发展模式。在该业态下,结合大数据分析、人脸识别等新技术开发应用,以用户运营为中心,利用数据优化组织和运营模式,推动线上、线下业务的无缝融合。该业态下存在的合规风险,我们简要归纳如下:
(三) 定向营销的合规问题 竞争的加剧以及技术的演进,使得电商场景下自动化决策机制大量应用,个人信息往往会存在加剧滥用的风险。如何通过决策的透明化和结果的公正化,减轻合规风险,保护消费者的权益,一直是需要关注的核心问题。 依据《电子商务法》《广告法》《消费者权益保护法》《通信短信息服务管理规定》《个人信息保护法》(草案)的规定,通过网络、短信、电话、即时通讯工具等方式发送电子营销信息,对用户开展定向营销推广行为,应满足如下合规要求: 1)告知用户定向推广的相关信息,并获取其授权同意; 2)以显著标识展示个性化推送内容; 3)为用户提供简单直观的退出或关闭个性化展示的选项; 4)当用户退出或关闭个性化展示,明确表示拒绝接受个性化推荐的,不得向其发送商业性信息。 5)通过自动化决策方式向信息主体进行商业营销的,应同时提供不针对其个人特征的选项。 (四) 数据爬取风险 电商企业出于了解市场及竞品情况、数据备份、监控自家投放产品动态、数据报表制定等多种目的,会采用自动化访问采集技术(如常见的数据爬虫),通过网页采集、公开或非公开API方式,从第三方平台(部分可能存在直接或间接竞争关系)爬取市场营销相关信息、报表、商品信息、媒体推广活动信息乃至含有用户个人信息的数据(例如用户评论)等。 目前国内应用自动化手段收集网站数据的现实法律风险主要体现在《刑法》对于非法侵入计算机信息系统、非法获取计算机信息系统数据、破坏计算机信息系统的刑事处罚、《反不正当竞争法》对于不正当竞争行为的管制、《网络安全法》对于干扰网络正常功能及防护措施等危害网络安全行为的监管、《数据安全管理办法(征求意见稿)》对于采取自动化手段收集数据妨碍网站正常运行的规定等。评估应用自动化技术采集网站数据的合规风险,应综合评估爬取对象(政府公开信息网站/商业性网站)、网站是否具备Robots协议或公示条款限制爬取、网站是否具备反爬措施、爬取的数据类型、爬取数据的使用目的、爬取途径(API或者页面,API为公开/非公开等)、爬取量及频率、是否影响被爬网站的正常运行等核心因素。 考虑到数据爬取行为不仅引起监管关注,而且容易导致竞争对手的诉讼,从业务角度建议开展相应行动时,应注重考虑如下要素:
(五) 与第三方的数据交互风险 基于服务支持及提供、数据价值挖掘、数据碰撞分析等不同目的,电商企业在完成数据收集后,除本企业内部处理外,可能涉及向外部第三方共享数据。此类第三方,既包括与电商企业具有股权关联关系的企业(例如同一集团下的关联公司),也包括不存在关联关系的外部第三方(例如技术或服务提供商)等。对于电商行业而言,后者常见为物流、技术服务提供商、第三方平台供应商(微信、淘宝等)以及有关必要服务提供方(如支付、位置、分析等)。 由于数据共享涉及第三方数据合规管理,并存在数据安全管理问题,因此数据共享应作为内部管理高风险项予以规范运作。关于数据共享,应着重关注的风险问题有:
三、建议梳理 针对如上新型电商数据合规重点问题,建议企业在电商化转型时,应重点关注以下合规工作要点:
结语 在新型电商场景下,企业面临的诸多合规问题亦是当下监管的重点问题。考虑近年来对于数据保护的频繁立法,以及执法机构的从严趋势,重视并解决数据和隐私风险是企业数字化转型中的应有之义。当然,日趋激烈的商业竞争环境,也给企业带来发展过程中的合规困惑。如何处理好数字化商业转型与监管红线冲突,找到合理解决机制,是摆在电商企业面前的一道核心命题。 The End 作者简介 陈际红 律师 北京办公室 合伙人 业务领域:知识产权, 反垄断与竞争法, 科技、电信与互联网 蔡鹏 律师 北京办公室 合伙人 业务领域:知识产权, 科技、电信与互联网, 合规/政府监管 薛泽涵 北京办公室 知识产权部 |
|
来自: 新用户17325722 > 《待分类》