《网络交易监督管理办法(征求意见稿)》个人信息保护领域亮点分析

作者:佚名

观点

2019年4月30日,国家市场监督管理总局公布了《网络交易监督管理办法(征求意见稿)》(以下简称“新《办法》”),并在此后一个月的时间内向社会征求意见。新《办法》将取代2014年原国家工商总局颁布的《网络交易管理办法》(以下简称“旧《办法》”)。本文将对新《办法》中涉及个人信息保护领域的规定做出分析,试图结合其他法律法规、国家标准及其近期尚未生效的修订草案,管中窥豹,理解监管机构在数据保护领域关注的重点。

一、 立法依据的变化

在立法依据上,新《办法》开宗明义地提出“依据《电子商务法》等有关法律、行政法规以及市场监督管理职责,制定本办法”。《电子商务法》是2018年颁布的网络交易领域的基本法律,新《办法》作为下位法需要及时修订,和上位法的要求保持一致并细化上位法的部分规定。

新《办法》中,贯彻《电子商务法》的条文随处可见,如新《办法》第十三条和《电子商务法》第十六条一样,均对经营者停止经营时需提前30天公示做出规定;新《办法》第十五条承袭了《电子商务法》第十七条对消费者的知情权和选择权的保护;新《办法》第三十六条关于平台经营者对商品和服务信息、交易信息保存至少三年的规定对应《电子商务法》第三十一条的规定。

二、 对具体条款的分析

1. 关于个人信息的收集

本次新《办法》的修订,最引人注目的修改在于个人信息的收集和使用规则上。新《办法》第二十二条在旧《办法》第十八条的基础上,添加了逐次征求消费者同意的要求:“网络交易经营者收集、使用消费者个人信息的,应当逐次征求消费者同意,不得采取一次性授权方式获得消费者同意,不得因消费者不同意收集与该网络交易活动无关的个人信息而拒绝向其销售商品或者提供服务。”

我们认为本条前半句的规定在实际当中如何操作尚待监管机构明确。何为“逐次同意”?参照《App违法违规收集使用个人信息自评估指南》,第24点要求APP不得要求用户“一次性”接受并授权同意多项业务功能收集个人信息的请求。《信息安全技术 个人信息安全规范》(以下简称“《规范》”)中要求对核心功能和附加功能分开授权,对敏感个人信息逐项授权。此处新《办法》的“逐次”是否等于“逐项”同意,或是否意味着对经营者每次使用个人信息,都需要用户点选等明确动作表示同意?对于APP上的网络交易经营者而言,是否就需要同时满足“逐次”和“逐项”的要求?如此一来,如何在用户个人信息的保护和网络交易的便利上进行平衡?诸多问题有待监管机构明确。

本段的后半句要求经营者不得以拒绝提供商品或服务的方式强迫消费者给出同意,这一点明确地提高了经营者收集个人信息的门槛。《网络安全法》的规定是“网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。” 在这一点上新《办法》细化了《网络安全法》的规定。《App违法违规收集使用个人信息自评估指南》 和《App违法违规收集使用个人信息行为认定方法(征求意见稿)》 亦要求企业自查其获得的同意是否为自主选择的,而非来自于被强制捆绑授权行为。新《办法》与上述两份规制APP违法违规收集个人信息的规定保持一致,说明个人信息收集的高门槛扩展到APP形式以外的网络经营者。

2. 关于个人信息的使用

对消费者个人信息的使用包括利用信息生成用户画像,进而进行精准营销,甚至进行所谓“大数据杀熟”。新《办法》第十九条规定,“网络交易经营者根据消费者的兴趣爱好、消费习惯、浏览历史等个人特征向其提供商品或者服务的搜索结果或者展示商业性信息的,应当同时以显著方式向消费者提供不针对其个人特征的选项,尊重和平等保护消费者的合法权益”。本条是对《电子商务法》第十八条的呼应和补充,体现在:1)和《电子商务法》第十八条相比,明确不得使用“浏览历史”作为提供搜索结果或展示商业性信息的依据;2)限制使用的方式从“提供搜索结果”扩大到“提供搜索结果”和“展示商业信息”;3)对于提供不针对其个人特征的选项,要求经营者“以显著方式”提供,而不得遮掩。

这也是今年1月征求意见的《信息安全技术 个人信息安全规范》(以下称“《规范》2.0版本”)的关注点之一。《规范》2.0版本在新增的第7.4条中b)项引用了《电子商务法》第十八条的规定,要求电子商务经营者提供不针对其个人特征的选项。 此外,7.4条a)项中还着重规定了用户退出个性化展示的方式,新闻或信息类服务中展示个性化信息的,不仅要以显著方式标明“个性化展示”或“定推”等字样,还要为个人信息主体提供简单直观的退出个性化展示模式的选项。

综合新《办法》和《规范》2.0版本,我们可以看到,以用户画像等自动决策方式使用个人信息,始终是个人信息保护领域监管的重点之一。

3. 关于数据的留存

新《办法》第三十六条规定,商品和服务信息、交易信息保存时间自交易完成之日起不少于三年;法律、行政法规另有规定的,依照其规定。本条将旧《办法》中保存两年的要求按照《电子商务法》的要求延长到三年。这一方面加重了经营者的数据保存义务,但同时为经营者留存数据提供了必要的法律依据。

4. 关于个人信息权利的行使

新《办法》第二十三条关于消费者行使其个人信息权利的方式的规定是新《办法》根据《电子商务法》对旧《办法》第十八条的补充:“网络交易经营者应当明示用户信息查询、更正、删除以及用户注销的方式、程序,不得对用户信息查询、更正、删除以及用户注销设置不合理条件。网络交易经营者收到用户信息查询或者更正、删除的申请的,应当在核实身份后及时提供查询或者更正、删除用户信息。用户注销的,网络交易经营者应当立即删除该用户的信息;依照法律、行政法规的规定或者双方约定保存的,依照其规定。”

我们可以看到,本条几乎完全使用了《电子商务法》第二十四条的原文规定,而未在《电子商务法》之外做出任何突破。但是自2014年旧《办法》颁布以来,各种个人信息保护规范不断涌现,现行有效的《信息安全技术 个人信息安全规范》中对消费者行使其个人数据权利的方式已经有了更为完整的规定:在个人信息访问方面,个人信息控制者应向个人信息主体提供访问下列信息的方法:其所持有的关于该主体的个人信息或类型;上述个人信息的来源、所用于的目的;已经获得上述个人信息的第三方身份或类型 ;删除权方面,《规范》不仅规定了消费者可要求控制者删除信息,还可在控制者违法共享、转让、公开披露个人信息的情况下,要求控制者通知第三方或发布通知要求接收方及时删除 。《规范》还规定了个人信息主体撤回同意的权利 等。我们建议,监管部门可以适当引用《规范》的条文,以给个人信息主体提供更全面的保护、给企业提供操作性更强的指引。

5. 关于监管机关对经营数据报送的要求

旧《办法》中已经规定了经营者向工商部门报送交易信息的义务,但仅要求“向所在地工商行政管理部门报送经营统计资料” 。新《办法》第二十五条和第二十六条提高了报送的要求,报送内容扩展到“网络交易数据信息”和“特定时段、特定品类、特定区域的商品或者服务的销量、销售额等统计资料”。我们理解,这两条的新规定的目的是为了实施《电子商务法》第二十五条的规定(《电子商务法》第二十五条称“电子商务数据信息”)。

“网络交易数据信息”虽没有明确定义,但根据《网络安全法》第七十六条(五)的定义 ,且从监管法律依据的角度,要求报送的范围应该包含个人数据。虽然《电子商务法》中也规定监管部门对其中的个人信息、隐私和商业秘密负有保密义务 ,但是许多从事网络交易的企业可能同时受到境外数据保护法律的管辖,在未能确定境外法律是否允许这种例外时,这项规定可能造成境内外法律潜在的冲突,给企业合规增加难度,需要引起跨境电商企业的重视。

另外一个可能产生的影响是,工商部门获得了交易数据信息后,将更有力、更有针对性地监管市场主体的违法行为。例如,使用平台提供的交易数据,工商部门可以轻易地得到平台内商户月销售数量和销售额,从而计算知识产权侵权案件中的违法所得。2018年6月国务院办公厅印发《进一步深化“互联网+政务服务”推进政务服务“一网、一门、一次”改革实施方案》其中提出“构建全国统一、多级互联的数据共享交换平台体系” 、提供“监督检查、质量抽检等信用信息查询和共享服务” 。在电子政务普及的背景下,不同系统数据交叉核验成为可能,这给企业合规经营提出了更高的要求。

6. 关于违法处罚

在本次的修订中,违反个人信息保护条款 的法律后果也得以明晰:依照《消费者权益保护法》第五十六条的规定予以处罚,即处违法所得一至十倍的罚款;没有违法所得的,处五十万元以下罚款;情节严重的,责令停业整顿、吊销营业执照;此外,还将被处罚机关记入信用档案,向社会公布 。而对应条款的违法责任在旧《办法》中并未明确。

根据上述分析,综合主管部门在个人信息的收集和使用、向监管机构报送数据以及违规处罚力度等方面,我们可以看到,主管部门在个人信息保护方面的监管态度是趋严的,结合其他相关法律法规、规范性文件和国家标准来看,这也和我国在个人信息保护立法方面的整体趋势相吻合。因此,尽管新《办法》中仍有相关问题尚未明确,在未来新《办法》的正式版本中,起草机关可能还会进一步解释或修正,但其关于个人信息保护的规定应该不会在原则上发生重大变化。

作者

作者动态

作者其他文章

相关领域

Copyright © 1998-2018 天达共和律师事务所 京ICP备11012394号
联系我们 关注公众号
联系我们