本文共字,预计阅读时间。
文/吴卫明 高级合伙人、赵天骄 律师助理
2020年至2021年,在监管部门密集出台的法规政策及频繁的执法活动之下,电商平台各类合规问题再次成为多方关注焦点。电商平台作为平台经济的重要组成部分,一方面需要应对平台经济合规监管压力,另一方面,也需要持续应对网络安全、数据及个人信息保护的合规压力。上述领域的法律法规、监管政策,日益显现叠加效应。315国际消费者权益日前夕,本文特从个人信息保护角度对电商平台的合规要点进行简要整理,希望对各电商平台合规要求适用、法律责任承担及合规体系设计有一定的参考价值。
一、电商平台个人信息保护概述
我国个人信息保护领域的主要的法规依据包括《民法典》、《网络安全法》及尚未正式公布生效的《数据安全法(草案)》、《个人信息保护法(草案)》等,同时还包括诸多行政法规、部门规章、政府规范性文件及标准文件(详见附表)。电子商务属于数据密集型行业,在线交易时刻都会有大量数据产生,也会频繁收集个人信息,因而《电子商务法》中也设置了电商平台的个人信息保护义务。如《电子商务法》第二十三条规定电子商务经营者收集、使用其用户的个人信息,应当遵守法律、行政法规有关个人信息保护的规定;《电子商务法》第二十四条对用户信息的查询、更正、删除及保存的程序和实体要求作出了具体规定。
实务中,须根据电商平台的具体业务经营模式、各参与主体法律性质、业务流程中具体环节(场景)、涉及的数据类型等要素适用相关法规、政策及标准,具体分析个人信息保护合规要求、法律责任及合规管理方式。
二、电商平台参与主体及业务模式分析
2.1 电商平台参与主体
根据《电子商务法》第九条规定,电子商务经营者可分为电商平台经营者(以下简称:平台)、平台内经营者及其他电子商务经营者。除电子商务经营者和消费者外,在电商一般业务流程中还存在众多相关服务提供者,各主体关系可简要整理如下图:
2.2 电商平台业务模式
经过多年发展,国内消费类电商行业形成了众多的业务模式和细分领域,也有诸多的分类方式。如从经营主体法律性质和责任承担角度,可将电商平台业务划分为“平台类”(纯中介服务类)业务和“自营类”业务。同一电商平台的不同的业务模式下,由于服务提供方式不同,各主体间数据交互方式存在显著差异,因此平台所应遵守的合规要求也存在差异。以某“平台+自营”B2C电商平台为例,在其“平台类”业务中用户个人信息收集和共享的简要模型如下图所示:
平台作为个人信息控制者,一般可以通过PC端网站、移动端APP或微信小程序等平台“载体”收集用户的个人信息。在如上“平台类”业务模型中,在用户下单后,平台必须将用户订单信息提供给平台内入驻商家,而在平台“自营类”业务中,由于不存在平台内入驻商家,实际商品生产企业仅作为平台的供应商,因此理论上平台无需在本次交易过程中将用户订单信息直接传输至其供应商的业务系统。在自建仓储物流的情形下,平台也无需将订单信息提供给其他物流服务提供者。显然,以上两种业务模式下平台在个人信息的共享和转让的合规要求适用方面差异较大。
三、具体业务流程(场景)合规要点举例
参照国内主流B2C电商平台一般交易类业务实践,可以将非自营类电商业务流程可大致区分为以下几个环节:
由于《个人信息保护法(草案)》尚未最终公布生效,从企业合规实务角度出发,本部分主要参考《信息安全技术 个人信息安全规范》(GB/T 35273—2020)对部分合规要点进行整理。以个人用户注册及登录环节为例,《个人信息安全规范》中所涉及的基本合规要点可整理如下表:
除对业务流程各环节合规要求及责任主体进行准确识别外,如可能涉及APP个人信息收集、广告精准营销、个性化商品展示、差异化定价、个人信息出境等特殊场景,以及个人生物识别信息、个人金融信息等特殊数据类型的,还应结合有关法规、政策及标准完整理解其合规要求。
四、电商平台个人信息保护法律责任分析
4.1 责任承担主体
由于电商平台业务流程中涉及诸多参与主体,明确各方责任分配问题是平台确定合规内控管理策略的重要考量因素。
关于电商平台经营者和平台内经营者的责任区分,《电子商务法》在产品质量、知识产权等领域做出了较为详细的规定,例如《电子商务法》第三十八条规定了在入驻商家所销售的商品或服务不符合人身及财产保护要求时,平台承担连带责任和承担“相应责任”的不同情形,《电子商务法》第四十二条、四十三条、四十五条就知产侵权案件中平台的“避风港”原则及“红旗”原则做了说明,平台在不同情形下应承担不同的责任。
而在个人信息保护方面,《电子商务法》仅对电子商务经营者的责任义务做概括性要求,并未对不同角色的合规要求和责任承担直接作出规定,须结合相关法规规定具体分析。如《电子商务法》第二十三条规定电子商务经营者收集、使用其用户的个人信息,应当遵守法律、行政法规有关个人信息保护的规定;《电子商务法》第七十九条规定电子商务经营者违反法律、行政法规有关个人信息保护的规定,或者不履行本法第三十条和有关法律、行政法规规定的网络安全保障义务的,依照《中华人民共和国网络安全法》等法律、行政法规的规定处罚。
如参考尚未生效的《个人信息保护法(草案)》,则根据个人信息处理的具体场景中的不同角色,分别规定了个人信息处理者、共同个人信息处理者、受托方及第三方的应履行的义务和相应法律责任,如《个人信息保护法(草案)》第二十一条规定个人信息处理者共同处理个人信息,侵害个人信息权益的,依法承担连带责任;《个人信息保护法(草案)》六十二条规定违反本法规定处理个人信息,或者处理个人信息未按照规定采取必要的安全保护措施的,由履行个人信息保护职责的部门责令改正,没收违法所得,给予警告等。《个人信息安全规范》中也有关于个人信息控制者、共同个人信息控制者、委托处理方、第三方合规要求的具体规定。
因此,需根据特定业务模式、业务环节(场景)中各参与方的法律性质决定具体义务和责任分配。而从当前审判实践来看,在非自营类业务模式下的个人信息侵权纠纷案件中,如平台不能证明自身不存在安全管理漏洞,则根据高度盖然性原则,平台通常需承担全部民事赔偿责任(参见“庞理鹏与北京趣拿信息技术有限公司等隐私权纠纷上诉案”)。
4.2 责任承担形式
个人信息保护领域,电商平台经营者可能承担责任的形式包括行政处罚、民事责任及刑事责任。
在行政处罚方面,网络运营者、网络产品和服务提供者违反《网络安全法》、《个人信息保护法(草案)》(尚未正式实施生效)及其他相关法律、法规、规范性文件要求的,可对单位和/或责任人处以行政处罚,具体包括责令改正、没收违法所得、罚款,情节严重的责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
民事责任方面,主要包括违约责任及侵权责任。平台违反与个人信息主体之间有效合同约定内容的,应依据《民法典》第三编第八章相关条文规定并参考合同约定承担相应违约责任。平台侵害个人信息主体民事权益(个人信息保护及隐私权)的,应依据《民法典》第四编第六章及第七编的相关条文承担侵权责任。
刑事责任方面,可能涉及的罪名包括侵犯公民个人信息罪 (《刑法》第二百五十三条之一)、拒不履行信息网络安全管理义务罪(《刑法》第二百八十六条之一)、非法侵入计算机信息系统罪、非法获取计算机信息系统数据、非法控制计算机信息系统罪及破坏计算机信息系统罪等。
五、平台个人信息保护合规管理
平台开展个人信息保护合规内控管理工作,应当首先根据上文所述,明确主体性质、业务模式、业务流程中具体环节(场景)、数据类型、责任承担主体和形式等要素,然后根据有关法规及标准要求,重点围绕数据全生命周期各环节建立内外部相结合的个人信息合规管理体系。
外部而言,主要应通过《用户协议》和《个人信息保护政策》履行告知同意义务,在与入驻商家的《服务协议》及其他服务提供者或合作方的《合作协议》中也应明确关于个人信息保护方面的权利义务。
内部而言,主要应从组织人员、制度流程及技术工具几个方面着手建立合规内控体系,具体设计思路可参照下表[1]:
附表:部分重要法规、规范性文件、标准及司法解释一览
(吴卫明 律师;邮箱:wuweiming@allbrightlaw.com)
非常感谢您的报名,请您扫描下方二维码进入沙龙分享群。
非常感谢您的报名,请您点击下方链接保存课件。
点击下载金融科技大讲堂课件本文系未央网专栏作者发表,属作者个人观点,不代表网站观点,未经许可严禁转载,违者必究!首图来自图虫创意。
本文为作者授权未央网发表,属作者个人观点,不代表网站观点,未经许可严禁转载,违者必究!首图来自图虫创意。
本文版权归原作者所有,如有侵权,请联系删除。首图来自图虫创意。
京公网安备 11010802035947号