bet356体育在线 官网

?
主页 > 政策指南 >

政策指南

2020年网安数据法蓝皮书暨实务指引:电商行业的个人信息合规要点

2021年01月05日

2020年网安数据法蓝皮书暨实务指引>第16篇-第20篇>

[180-000] 十八、电商行业的个人信息合规要点

作者:潘永建 邓梓珊

随着电子商务的飞速发展变化, 传统营销逐渐向精准营销转变。如何根据法律法规的要求, 完善网络安全、个人信息保护制度, 保障电子商务产业的良性发展成为电商从业者的关注重点。根据电商行业特点,本篇列举了《电子商务法》、《网络安全法》以及配套法律法规、推荐性国家标准出台后, 与电商行业息息相关的个人信息合规要点, 供读者参考。

一、《电子商务法》的相关规定

被誉为电子商务经营者的“宪章”的《电子商务法》已于2019年1月1日正式生效。《电子商务法》多个条款对电子商务经营者的个人信息合规做出了规定。

《电子商务法》第23条对电子商务经营者的个人信息合规做出了原则性的规定,即电子商务经营者收集、使用用户的个人信息应当遵守法律法规有关个人信息保护的规定。

《电子商务法》第33条规定电子商务平台经营者应遵循公开、公平、公正的原则,制定平台服务协议和交易规则,明确个人信息保护等方面的权利义务。

《电子商务法》第79条规定电子商务经营者违反有关个人信息保护的法律法规的,按照网络安全法等法律法规的规定处罚。

二、注意关键信息基础设施运营者的认定与义务

电商企业通常掌握大量个人信息, 可能因此构成关键信息基础设施运营者(CIIO)。

《国家网络空间安全战略》首次提出关键信息基础设施的概念, 《网络安全法》第三十一条首次以法律的形式提出对关键信息基础设施的保护制度, 且列举了七大可能存在关键信息基础设施的行业。虽然这七大行业并未直接包含“电子商务”行业, 但《网络安全法》以及配套法规、政策性文件对于CIIO均采取“行业列举+后果概括”的复合定义, 未落入所列举行业的网络运营者, 并非必然就不构成CIIO。

根据《国家网络安全检查操作指南》, “日均访问量超过100万人次”、“注册用户数超过1000万, 或活跃用户(每日至少登录一次)数超过100万”分别属于判定平台类、网站类信息系统是否构成关键信息基础设施的后果之一;而“一旦发生安全事故, 可能造成100万人个人信息泄漏”这一后果在判定网站类或平台类信息系统时均可以适用。通常,电商企业收集控制大量潜客、会员、注册用户以及企业员工的个人信息。若网站、平台类的电商企业收集控制100万人个人信息, 该企业即有可能构成关键信息基础设施运营者。关键信息基础设施界定的相关问题, 详请参考本书第7篇《关键信息基础设施的界定》。

电商企业一旦构成CIIO, 则需要遵守《网络安全法》对CIIO提出的要求。属于跨国公司的电商企业, 需要格外注意CIIO的个人信息本地存储义务以及数据出境安全评估义务。对于服务器部署在国外或因组织架构等原因必须将个人信息传输出境的, 应注意以下两方面内容:

1. 确保在隐私政策或类似性质的文本中就数据出境情况向个人信息主体进行明示;

2. 尽快就数据本地化存储及安全评估流程展开相应准备工作, 以免被认定为CIIO后, 无法在规定的时限内完全做到合法合规。

对于CIIO的其他责任与义务, 具体可参考本书第8篇《关键信息基础设施运营者的责任与义务》。

三、避免过度收集个人信息

不少网络经营者与机构热衷于从商业利用角度收集消费者的各方面个人信息, 尤其是通过各类APP“一键”收集个人信息。《网络安全法》第四十一条提出, 网络运营者收集、使用个人信息, 应当遵循合法、正当、必要的原则, 不得收集与其提供服务无关的个人信息。该项要求的具体内容体现在配套国标《信息安全技术 个人信息安全规范》(“《个人信息安全规范》”)的第5.2条:

1. 收集的个人信息的类型应与实现产品或服务的业务功能有直接关联。直接关联是指没有该信息的参与, 产品或服务的功能无法实现;

2. 自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率;

3. 间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。

另外, 收集用户个人敏感信息前, 还应:

1. 向个人信息主体告知所提供产品或服务的核心业务功能及所必需收集的个人敏感信息, 并明确告知拒绝提供或拒绝同意将带来的影响。应允许个人信息主体选择是否提供或同意自动采集;

2. 产品或服务如提供其他附加功能, 需要收集个人敏感信息时, 收集前应向个人信息主体逐一说明个人敏感信息为完成何种附加功能所必需, 并允许个人信息主体逐项选择是否提供或同意自动采集个人敏感信息。当个人信息主体拒绝时, 可不提供相应的附加功能, 但不应以此为理由停止提供核心业务功能, 并应保障相应的服务质量。

过度收集个人信息可能导致行政处罚1, 甚至可能构成刑事犯罪2。为避免过度收集个人信息, 电商企业应根据个人信息与实现各项功能之间的因果关系; 区分产品或服务的核心功能与附加功能; 并确保用户拒绝提供个人敏感信息时能够继续使用核心功能。举例来说, 基于位置服务(LBS)的APP(如百度地图, 高德地图等导航软件)的核心功能为定位与导航, 附加功能可能有附近商户推荐、道路情况查询、天气查询等。为实现前述核心功能而收集位置信息、起点和终点信息等信息属于合理收集; 收集姓名、性别、电话号码等则属于过度收集。为实现附加功能, 收集性别、消费者偏好、地址信息的, 属于合理收集。

四、用户画像合规要点

用户画像对于传统营销模式向精准营销模式转变具有决定性作用。《个人信息安全规范》定义了用户画像, 并进一步将用户画像细分为“直接用户画像”与“间接用户画像”。 直接使用特定自然人的个人信息, 形成该自然人的特征模型, 称为直接用户画像。使用来源于特定自然人以外的个人信息, 如其所在群体的数据, 形成该自然人的特征模型, 称为间接用户画像。

根据《个人信息安全规范》, 电商企业在生成、使用用户画像时应注意以下几个方面:

1. 除目的所必需外, 使用个人信息时应消除明确身份指向性, 避免精确定位到特定个人。企业应尽量使用群体画像而避免能够精确到个人的个体画像。例如, 为准确评价个人信用状况, 可使用直接用户画像, 而用于推送商业广告目的时, 则宜使用间接用户画像;

2. 使用个人信息时, 是否形成直接用户画像及其用途需要在隐私政策中明确告知个人信息主体。

3. 除消费者的基本个人信息外, 消费者的网络活动信息, 如消费者浏览过的网页、关注过的产品、发布的评论信息等内容都会被用于生成用户画像。该类网络活动信息主要通过自动数据收集工具收集而来。电商企业应在隐私政策中对使用的技术机制做详细描述, 说明使用自动工具收集个人信息的目的, 并向用户提供限制自动工具进行数据收集的方法和详细的指导。

五、员工责任

电商企业业务覆盖面广, 从业人员众多, 员工素质参差不齐。若发生企业员工侵犯个人信息的行为,除员工个人需承担责任外, 还可能对企业带来不同程度的负面影响。除遵照《网络安全法》的规定落实网络安全负责人、形成内控制度外, 我们建议企业可从以下方面降低因员工侵犯个人信息导致企业责任的风险:

1. 对被授权访问个人信息的内部数据操作人员按照最小授权的原则, 使其只能访问职责所需的最少够用的个人信息, 且仅具备完成职责所需的最少数据操作权限。

2. 对个人信息的重要操作设置内部审批流程。

3. 对安全管理人员、数据操作人员、审计人员的角色进行分离。

4. 对个人敏感信息的访问、修改等行为, 在对角色的权限控制的基础上, 根据业务流程需要触发操作授权。

5. 定期安排员工进行个人信息安全培训, 参加培训必须出席签到, 并将个人信息安全意识纳入员工考核内容。

1 bet356体育在线 官网:3月,支付宝(中国)网络技术有限公司因在“年度账单”中过度要求收集、使用用户个人信息,被中国人民银行杭州支行以“个人金融信息收集不符合最少、必要原则”及“个人金融信息使用不当”为由处以罚款。

2 《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定,“违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法第二百五十三条之一第三款规定的‘以其他方法非法获取公民个人信息’。”

?