?

?

?

?

不論是自商品服務(wù)信息發(fā)布、商品服務(wù)信息更新維護(hù)到商品服務(wù)下架等運(yùn)營全流程，或者是從用戶注冊、用戶瀏覽及使用到最終用戶支付完成的用戶體驗(yàn)流程，數(shù)據(jù)作為基礎(chǔ)要素，始終貫穿于電商活動(dòng)全生命周期流程中。電商平臺(tái)運(yùn)營，物流、信息流及資金流交叉頻繁，線上及線下場景深度交織，形成諸多主體之間的數(shù)據(jù)交互關(guān)系。

點(diǎn)擊可查看大圖

?

從數(shù)據(jù)交互全景圖中可以感知，作為電商平臺(tái)運(yùn)營主體，電商數(shù)據(jù)合規(guī)建設(shè)需同時(shí)兼顧面向用戶、其他商事主體及企業(yè)內(nèi)部的工作。電商數(shù)據(jù)合規(guī)框架需覆蓋如下三個(gè)層次：

?

（1）TO C：遵循國內(nèi)《網(wǎng)絡(luò)安全法》《電子商務(wù)法》《個(gè)人信息安全規(guī)范》等個(gè)人信息保護(hù)的相關(guān)規(guī)定，并參考《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》等已公開的草案要求，結(jié)合近期工信部等執(zhí)法機(jī)構(gòu)針對App等載體的個(gè)人信息執(zhí)法行動(dòng)要求，形成面向用戶個(gè)人信息收集處理的全生命周期管理要求；

?

（2）TO B：包括平臺(tái)服務(wù)供應(yīng)商（技術(shù)&內(nèi)容）、外部合作平臺(tái)（如淘寶、微信）等，通過商務(wù)談判、協(xié)議控制等方式，明確數(shù)據(jù)的商業(yè)秘密保護(hù)、競爭性財(cái)產(chǎn)權(quán)益及數(shù)據(jù)治理等責(zé)任邊界；

?

（3）內(nèi)部：針對外部數(shù)據(jù)爬取、用戶信息管理、數(shù)據(jù)共享、前端用戶告知、新業(yè)態(tài)數(shù)據(jù)需求評估等事項(xiàng)，構(gòu)建數(shù)據(jù)內(nèi)部管理制度及流程機(jī)制。

?

?

結(jié)合《網(wǎng)絡(luò)安全法》《電子商務(wù)法》等法律法規(guī)要求，以及一系列外部執(zhí)法行動(dòng)的關(guān)注要點(diǎn)，電商企業(yè)應(yīng)加強(qiáng)對如下業(yè)務(wù)形態(tài)的數(shù)據(jù)合規(guī)問題的關(guān)注：

?

• 開展社交電商，業(yè)務(wù)場景滲透至App、小程序、微信群等多種渠道；

• 串聯(lián)線上線下業(yè)務(wù)場景的新零售業(yè)務(wù)；

• 利用即時(shí)推送等多途徑開展的個(gè)性化營銷；

• 自動(dòng)化訪問并獲取海量網(wǎng)絡(luò)數(shù)據(jù)；

• 與外部第三方的數(shù)據(jù)交互。

?

上述業(yè)務(wù)模式中存在的合規(guī)問題，主要存在于數(shù)據(jù)收集、使用、涉及第三方的數(shù)據(jù)爬取以及數(shù)據(jù)共享、數(shù)據(jù)安全等方面。以下將結(jié)合具體業(yè)務(wù)模式，分別展開相關(guān)問題的討論。

?

?

自2019年起，工信部、公安部等執(zhí)法機(jī)構(gòu)，密集開展針對電商平臺(tái)數(shù)據(jù)合規(guī)的相關(guān)執(zhí)法行動(dòng)，其關(guān)注重點(diǎn)更多在于外部易感知的、易引發(fā)用戶關(guān)注及投訴的個(gè)人信息收集問題。從已公開的執(zhí)法案例來看，其中不乏業(yè)內(nèi)知名的購物、餐飲、直播等電商企業(yè)，問題顆粒度也滲透至數(shù)據(jù)收集最小必要性，以及數(shù)據(jù)共享、權(quán)限開啟等與技術(shù)結(jié)合較深的合規(guī)問題。

點(diǎn)擊可查看大圖

?

從平臺(tái)治理角度考慮，鑒于目前國家監(jiān)管范圍已從App逐步擴(kuò)展至小程序、網(wǎng)站、快應(yīng)用等媒介，與電商投放業(yè)態(tài)高度重合，關(guān)于外部平臺(tái)個(gè)人信息處理規(guī)則的設(shè)置及用戶告知，保證獲取用戶合法有效的授權(quán)同意，應(yīng)是電商企業(yè)優(yōu)先處理的合規(guī)事項(xiàng)。一般而言，如下數(shù)據(jù)收集事項(xiàng)屬于企業(yè)應(yīng)高度關(guān)注的高風(fēng)險(xiǎn)場景：

?

• 未設(shè)置個(gè)人信息收集處理規(guī)則（隱私政策、隱私說明等）；

• 規(guī)則未以突出、顯著、易于感知的方式（例如彈窗、顯著勾選項(xiàng)等），方便用戶閱讀及獲取其明示授權(quán)同意；

• 規(guī)則內(nèi)未如實(shí)明示各項(xiàng)功能場景，以及各項(xiàng)場景涉及的數(shù)據(jù)范圍、系統(tǒng)權(quán)限等，包括可能涉及的數(shù)據(jù)向第三方傳輸、出境的情形。

?

此外，需關(guān)注的是，除上述渠道外，鑒于社交電商開展的多樣性及便捷性特征，數(shù)據(jù)收集還可能滲透在私域流量運(yùn)營等典型場景中，例如即時(shí)通訊App群聊天或者評論等。除依靠平臺(tái)自身的隱私政策外，電商企業(yè)應(yīng)結(jié)合平臺(tái)特征，在開展具體數(shù)據(jù)收集處理活動(dòng)之前，以各種友情提示或者友好設(shè)計(jì)，引導(dǎo)用戶閱讀個(gè)人信息收集處理規(guī)則，知悉并同意規(guī)則內(nèi)容，以保證數(shù)據(jù)收集場景的合規(guī)性。

?

?

"新零售"業(yè)態(tài)，為目前眾多企業(yè)電商化力推的業(yè)務(wù)發(fā)展模式。在該業(yè)態(tài)下，結(jié)合大數(shù)據(jù)分析、人臉識(shí)別等新技術(shù)開發(fā)應(yīng)用，以用戶運(yùn)營為中心，利用數(shù)據(jù)優(yōu)化組織和運(yùn)營模式，推動(dòng)線上、線下業(yè)務(wù)的無縫融合。該業(yè)態(tài)下存在的合規(guī)風(fēng)險(xiǎn)，我們簡要?dú)w納如下：

?

• 門店的信息收集風(fēng)險(xiǎn)：線下場景信息收集的合規(guī)性問題，往往容易被忽視。如線下門店注冊中的個(gè)人信息收集往往缺乏同意環(huán)節(jié)，對應(yīng)的解決方案如可在門店張貼顯著標(biāo)識(shí)，提示用戶已進(jìn)入視頻采集區(qū)，或者通過店員及店內(nèi)消費(fèi)設(shè)計(jì)，引導(dǎo)用戶閱讀數(shù)據(jù)收集處理規(guī)則等；

• "智慧門店"中生物識(shí)別信息的濫用風(fēng)險(xiǎn)：部分線下門店，會(huì)引入人工智能技術(shù)，通過采集用戶生物識(shí)別信息，以推廣相應(yīng)的"智慧門店"建設(shè)，例如"無人店模式"。但該模式下，對于在收集用戶生物識(shí)別信息前是否有特別告知環(huán)節(jié)并獲取用戶單獨(dú)明示授權(quán)同意，仍需重點(diǎn)關(guān)注。目前，加拿大的信息和隱私專員已經(jīng)就Cadillac Fairview公司在卡爾加里運(yùn)營的購物中心未經(jīng)同意使用面部識(shí)別技術(shù)開展調(diào)查。對此，電商企業(yè)仍應(yīng)當(dāng)在"最小、必要"的原則下，謹(jǐn)慎收集處理用戶的生物識(shí)別信息，同時(shí)做好信息使用目的控制，防范信息安全風(fēng)險(xiǎn)；

• 智能硬件的同意獲取瑕疵：新零售場景中出現(xiàn)的例如智能收銀等硬件產(chǎn)品，獲取授權(quán)同意的場景面臨合規(guī)質(zhì)疑；此外，在收集完用戶的消費(fèi)行為數(shù)據(jù)等個(gè)人信息后，此類前端是否做到數(shù)據(jù)僅在前端存儲(chǔ)及處理、相關(guān)數(shù)據(jù)是否會(huì)流入其他業(yè)務(wù)場景乃至其他數(shù)據(jù)處理方進(jìn)行處理等，均對電商企業(yè)的數(shù)據(jù)合規(guī)及安全管理能力提出挑戰(zhàn)。

?

?

競爭的加劇以及技術(shù)的演進(jìn)，使得電商場景下自動(dòng)化決策機(jī)制大量應(yīng)用，個(gè)人信息往往會(huì)存在加劇濫用的風(fēng)險(xiǎn)。如何通過決策的透明化和結(jié)果的公正化，減輕合規(guī)風(fēng)險(xiǎn)，保護(hù)消費(fèi)者的權(quán)益，一直是需要關(guān)注的核心問題。

?

依據(jù)《電子商務(wù)法》《廣告法》《消費(fèi)者權(quán)益保護(hù)法》《通信短信息服務(wù)管理規(guī)定》《個(gè)人信息保護(hù)法》（草案）的規(guī)定，通過網(wǎng)絡(luò)、短信、電話、即時(shí)通訊工具等方式發(fā)送電子營銷信息，對用戶開展定向營銷推廣行為，應(yīng)滿足如下合規(guī)要求：

?

1）告知用戶定向推廣的相關(guān)信息，并獲取其授權(quán)同意；

?

2）以顯著標(biāo)識(shí)展示個(gè)性化推送內(nèi)容；

?

3）為用戶提供簡單直觀的退出或關(guān)閉個(gè)性化展示的選項(xiàng)；

?

4）當(dāng)用戶退出或關(guān)閉個(gè)性化展示，明確表示拒絕接受個(gè)性化推薦的，不得向其發(fā)送商業(yè)性信息。

?

5）通過自動(dòng)化決策方式向信息主體進(jìn)行商業(yè)營銷的，應(yīng)同時(shí)提供不針對其個(gè)人特征的選項(xiàng)。

?

?

電商企業(yè)出于了解市場及競品情況、數(shù)據(jù)備份、監(jiān)控自家投放產(chǎn)品動(dòng)態(tài)、數(shù)據(jù)報(bào)表制定等多種目的，會(huì)采用自動(dòng)化訪問采集技術(shù)（如常見的數(shù)據(jù)爬蟲），通過網(wǎng)頁采集、公開或非公開API方式，從第三方平臺(tái)（部分可能存在直接或間接競爭關(guān)系）爬取市場營銷相關(guān)信息、報(bào)表、商品信息、媒體推廣活動(dòng)信息乃至含有用戶個(gè)人信息的數(shù)據(jù)（例如用戶評論）等。

?

目前國內(nèi)應(yīng)用自動(dòng)化手段收集網(wǎng)站數(shù)據(jù)的現(xiàn)實(shí)法律風(fēng)險(xiǎn)主要體現(xiàn)在《刑法》對于非法侵入計(jì)算機(jī)信息系統(tǒng)、非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)、破壞計(jì)算機(jī)信息系統(tǒng)的刑事處罰、《反不正當(dāng)競爭法》對于不正當(dāng)競爭行為的管制、《網(wǎng)絡(luò)安全法》對于干擾網(wǎng)絡(luò)正常功能及防護(hù)措施等危害網(wǎng)絡(luò)安全行為的監(jiān)管、《數(shù)據(jù)安全管理辦法（征求意見稿）》對于采取自動(dòng)化手段收集數(shù)據(jù)妨礙網(wǎng)站正常運(yùn)行的規(guī)定等。評估應(yīng)用自動(dòng)化技術(shù)采集網(wǎng)站數(shù)據(jù)的合規(guī)風(fēng)險(xiǎn)，應(yīng)綜合評估爬取對象（政府公開信息網(wǎng)站/商業(yè)性網(wǎng)站）、網(wǎng)站是否具備Robots協(xié)議或公示條款限制爬取、網(wǎng)站是否具備反爬措施、爬取的數(shù)據(jù)類型、爬取數(shù)據(jù)的使用目的、爬取途徑（API或者頁面，API為公開/非公開等）、爬取量及頻率、是否影響被爬網(wǎng)站的正常運(yùn)行等核心因素。

?

考慮到數(shù)據(jù)爬取行為不僅引起監(jiān)管關(guān)注，而且容易導(dǎo)致競爭對手的訴訟，從業(yè)務(wù)角度建議開展相應(yīng)行動(dòng)時(shí)，應(yīng)注重考慮如下要素：

?

• 盡可能避免爬取構(gòu)成直接競爭關(guān)系的企業(yè)的平臺(tái)數(shù)據(jù)，以及具有較高傳播度及公眾知名度的商業(yè)網(wǎng)站數(shù)據(jù)，以降低爬取行為可能引發(fā)的訴訟風(fēng)險(xiǎn)及社會(huì)影響。

• 盡可能避免爬取平臺(tái)非公開數(shù)據(jù)，或者由平臺(tái)運(yùn)營者設(shè)置一定要求（例如用戶認(rèn)證登錄等）才可訪問的數(shù)據(jù)（此類數(shù)據(jù)的爬取受限于用戶協(xié)議或者開發(fā)者協(xié)議等契約約束）。

• 控制數(shù)據(jù)爬取頻率及規(guī)模。參考《數(shù)據(jù)安全管理辦法（征求意見稿）》第十六條標(biāo)準(zhǔn)，數(shù)據(jù)爬取收集流量不得超過網(wǎng)站日均流量的三分之一。

• 關(guān)注被爬取平臺(tái)的動(dòng)態(tài)，如已收到被爬取平臺(tái)關(guān)于停止數(shù)據(jù)爬取的相關(guān)通知說明，或者被爬取平臺(tái)公開登載禁止、限制數(shù)據(jù)爬取行為的，應(yīng)及時(shí)采取對策，暫停數(shù)據(jù)爬取行為。

?

?

基于服務(wù)支持及提供、數(shù)據(jù)價(jià)值挖掘、數(shù)據(jù)碰撞分析等不同目的，電商企業(yè)在完成數(shù)據(jù)收集后，除本企業(yè)內(nèi)部處理外，可能涉及向外部第三方共享數(shù)據(jù)。此類第三方，既包括與電商企業(yè)具有股權(quán)關(guān)聯(lián)關(guān)系的企業(yè)（例如同一集團(tuán)下的關(guān)聯(lián)公司），也包括不存在關(guān)聯(lián)關(guān)系的外部第三方（例如技術(shù)或服務(wù)提供商）等。對于電商行業(yè)而言，后者常見為物流、技術(shù)服務(wù)提供商、第三方平臺(tái)供應(yīng)商（微信、淘寶等）以及有關(guān)必要服務(wù)提供方（如支付、位置、分析等）。

?

由于數(shù)據(jù)共享涉及第三方數(shù)據(jù)合規(guī)管理，并存在數(shù)據(jù)安全管理問題，因此數(shù)據(jù)共享應(yīng)作為內(nèi)部管理高風(fēng)險(xiǎn)項(xiàng)予以規(guī)范運(yùn)作。關(guān)于數(shù)據(jù)共享，應(yīng)著重關(guān)注的風(fēng)險(xiǎn)問題有：

?

• 基于不同的場景，分析共享情形導(dǎo)致的合規(guī)義務(wù)區(qū)別；

• 識(shí)別與共享第三方的關(guān)系，確定雙方數(shù)據(jù)保護(hù)的權(quán)利和責(zé)任。

• 委托場景下，要確保在信息主體授權(quán)同意范圍內(nèi)委托。評估委托本身是否存在信息泄露風(fēng)險(xiǎn)。評估受托方，確保其足夠的數(shù)據(jù)安保能力。委托過程中持續(xù)監(jiān)督受托方的信息安全工作，并在侵權(quán)（風(fēng)險(xiǎn)）發(fā)生時(shí)及時(shí)補(bǔ)救。

• 共同控制場景下，將與第三方責(zé)任約定明確告知信息主體。

• 在使用第三方工具場景下，要對該工具進(jìn)行技術(shù)評估，確定其是否具有直接或間接收集個(gè)人信息的能力。如SDK能收集個(gè)人信息，明示用戶并就敏感信息征得同意；持續(xù)監(jiān)督第三方工具是否存在違法或違約收集用戶信息的行為。

• 脫敏信息的管理和控制，區(qū)分不同脫敏數(shù)據(jù)性質(zhì)，控制信息安全和合規(guī)風(fēng)險(xiǎn)。

?

?

針對如上新型電商數(shù)據(jù)合規(guī)重點(diǎn)問題，建議企業(yè)在電商化轉(zhuǎn)型時(shí)，應(yīng)重點(diǎn)關(guān)注以下合規(guī)工作要點(diǎn)：

?

?

?

?