文丨天元律师事务所 刘瑛 王玄
2017年6月1日《中华人民共和国网络安全法》(“《网络安全法》”)实施以来,其中与数据安全和个人信息保护有关的规范要求尤为引人关注。特别是近两年来数据安全事件、个人信息泄露事件频发,欧盟《通用数据保护条例》(“GDPR”)、美国加州《消费者隐私法案》(“CCPA”)等域外监管要求提升的背景下,对于作为网络运营者的企业,就所处行业、不同的业务和平台下在数据安全和个人信息保护方面有哪些问题,如何在《网络安全法》框架下结合行业特点和企业特性积极有效地应对、进而搭建与本企业相适应的数据合规体系。值《网络安全法》实施两年之际,天元将推出数据合规系列文章,从不同维度归纳和分享我们对问题的思考及实务经验。
无论是将平台用于销售/提供自有商品和服务(自营平台),还是为交易方提供平台服务(第三方平台),电商平台都会收集、使用用户个人信息。本文将结合电商平台的特点,归纳和梳理电子商务经营者数据合规管理要点。
一、用户信息的收集管理要点
1. 用户信息收集的方式安排
对于用户个人信息的收集和使用,电商平台通常通过用户注册时签署用户协议、隐私政策的方式集中取得用户授权。
用户协议是规范电商平台与用户之间权利义务关系的基础文件,其中会涉及用户个人信息收集、使用的内容。对于用户个人信息的收集、保存、使用、委托处理、共享、转移、公开披露等数据管理全链条中的具体事项,则在隐私政策中集中规定,并加以细化。用户协议、隐私政策一般由用户主动勾选、明示同意。
此外,对于具体产品或特定服务下需要收集的信息,可以通过具体产品协议、服务条款做出约定和安排;对于敏感信息或者需要调取终端权限(例如手机通讯录权限、摄像头权限)的信息,还可以以弹窗等方式再次提示。
2. 用户信息收集的正当性和必要性考量
电商平台收集、使用用户个人信息同样需要遵循合法、正当、必要的原则,特别是所收集信息的正当性和必要性。
通过隐私政策等文件集中取得用户授权时,需要关注所列信息是否为用户使用服务所必需,是否与实现产品或服务的业务功能有直接关联。如果不提供该信息并不影响该产品或服务功能的实现,则该信息不属于必要信息。
对于已经通过隐私政策等文件集中取得用户授权的信息,在实际操作时,需要考虑在哪一业务环节下收集更符合必要性的要求。例如,在用户注册阶段(而不是购物阶段)即要求用户提供银行账号等金融信息,其必要性令人质疑。
所收集信息的正当性、必要性,与具体业务模式、业务流程设置关系密切,如何在隐私政策中描述,在实际中如何操作,需要根据业务功能逐一论证和甄别。
二、电商平台提供服务使用用户个人信息的常见场景及管理要点
1. 使用用户数据进行个性化推荐或精准营销
电商平台可能使用用户年龄、地域等信息,以及用户浏览商品等使用行为记录进行用户画像,形成用户个人特征模型或其所属群体特征模型,为其进行个性化推荐或精准营销。
根据《电子商务法》,电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果,应当同时提供不针对其个人特征的选项,注意避免限制用户选择权的情形,以尊重和平等保护消费者合法权益。例如,为用户提供的产品搜索结果,不应当均为基于个性化推荐的结果,而没有其他一般搜索结果。
将用户数据分析结果提供给第三方进行精准营销等活动,需要特别关注向第三方提供的信息是否包含用户个人信息、是否脱敏和去标识化。
2. 使用用户信息发送商品推广信息等广告
电商平台的商品上新快、营销活动多,电商有向用户发送商品信息和活动推广信息的需求。电商平台通过用户预留的电话号码、电子邮箱等发送的此类推广信息可能属于商业性电子信息,需要注意事先取得用户授权,为用户预留并告知用户拒绝接收、退订的途径。
3. 委托第三方服务商为用户提供服务
电商平台为用户提供商品和服务时,可能将物流、客服等部分服务内容委托给第三方服务商。例如,电商平台或者平台内经营者委托第三方物流服务商向用户配送商品,需要向第三方服务商提供用户收货信息。对此可以在隐私政策中集中告知、取得用户授权。同时,电商平台经营者还应当对受托的第三方服务商提出数据保护要求。
三、用户信息的共享管理要点
目前,电商平台普遍存在与第三方平台合作、向用户销售第三方平台产品(以虚拟产品为主,例如视频网站会员权益等)的业务模式。用户购买第三方平台的虚拟产品,通常由电商平台向第三方平台共享、提供用户手机号码、账号信息进行账号关联,用户方可使用虚拟产品。对此安排,电商平台应当提前告知用户。如果用户接受的服务是在第三方平台,电商平台还需要提示用户、并通过业务流程和技术手段协助用户了解和签署第三方平台的用户协议、隐私政策。
四、用户信息的删除管理要点
《电子商务法》第二十四条明确规定,电子商务经营者应当明示用户信息查询、更正、删除以及用户注销的方式、程序,不得对用户信息查询、更正、删除以及用户注销设置不合理条件。电子商务经营者收到用户信息查询或者更正、删除申请的,应当在核实身份后及时提供查询或者更正、删除用户信息。用户注销的,应当立即删除该用户的信息;依照法律、行政法规的规定或者双方约定保存的,依照其规定。
目前,许多电商平台并未设置用户删除个人信息或注销账户的功能,需要结合上述规定调整。由于《电子商务法》同时规定,第三方电商平台上的商品和服务信息、交易信息保存时间自交易完成之日起不少于三年,因此,删除个人信息还需要考虑符合该保存期限要求。
五、信息内容合规管理要点
电商平台自身或入驻电商平台的卖家发布的商品信息、使用的宣传用语应当严格遵守《广告法》《消费者权益保护法》。用户所发布的评价不得包含违反《互联网信息服务管理办法》第十五条等法律规定的内容。电商平台需要关注上述信息内容的合法合规性,通过平台规则等管理手段和一定技术手段予以规制。
天元数据合规服务
天元团队连续二十余年为TMT行业提供法律服务,对通信及互联网产业政策、行业发展和变迁历程、以及业务有着深刻的理解和感受。从2012年底全国人大常委会关于公民个人信息保护的第一个专门性法律颁布至今,天元持续为行业内领先的企业客户提供数据合规、用户个人信息保护、网络和信息安全方面的法律服务。天元数据合规服务包括:对企业的业务模式、业务规则、业务流程以及业务方案中涉及的用户个人信息保护、数据使用与安全、数据跨境等问题进行合规性审查和论证;为企业审查和起草用户个人信息协议、授权文件、隐私政策等文件;协助企业搭建数据业务合规体系,制订相关文件;以及数据合规培训。天元数据合规服务涵盖数据及个人信息的收集、使用、存储、管理、合作、经营以及数据跨境等业务及安全管理的全链条。
