2019年4月30日��,國家市場監督管理總局公布了《網絡交易監督管理辦法(征求意見稿)》(以下簡稱“新《辦法》”)���,並在此後一個月的時間內向社會征求意見。新《辦法》將取代2014年原國家工商總局頒布的《網絡交易管理辦法》(以下簡稱“舊《辦法》”)。本文將對新《辦法》中涉及個人信息保護領域的規定做出分析��,試圖結合其他法律法規���、國家標準及其近期尚未生效的修訂草案�,管中窺豹���,理解監管機構在數據保護領域關注的重點。
一�、 立法依據的變化
在立法依據上�����,新《辦法》開宗明義地提出“依據《電子商務法》等有關法律����、行政法規以及市場監督管理職責���,製定本辦法”。《電子商務法》是2018年頒布的網絡交易領域的基本法律�,新《辦法》作為下位法需要及時修訂����,和上位法的要求保持一致並細化上位法的部分規定。
新《辦法》中���,貫徹《電子商務法》的條文隨處可見����,如新《辦法》第十三條和《電子商務法》第十六條一樣����,均對經營者停止經營時需提前30天公示做出規定���;新《辦法》第十五條承襲了《電子商務法》第十七條對消費者的知情權和選擇權的保護���;新《辦法》第三十六條關於平台經營者對商品和服務信息�、交易信息保存至少三年的規定對應《電子商務法》第三十一條的規定。
二�����、 對具體條款的分析
1. 關於個人信息的收集
本次新《辦法》的修訂���,最引人注目的修改在於個人信息的收集和使用規則上。新《辦法》第二十二條在舊《辦法》第十八條的基礎上��,添加了逐次征求消費者同意的要求:“網絡交易經營者收集����、使shi用yong消xiao費fei者zhe個ge人ren信xin息xi的de�,應ying當dang逐zhu次ci征zheng求qiu消xiao費fei者zhe同tong意yi���,不bu得de采cai取qu一yi次ci性xing授shou權quan方fang式shi獲huo得de消xiao費fei者zhe同tong意yi����,不bu得de因yin消xiao費fei者zhe不bu同tong意yi收shou集ji與yu該gai網wang絡luo交jiao易yi活huo動dong無wu關guan的de個ge人ren信xin息xi而er拒ju絕jue向xiang其qi銷xiao售shou商shang品pin或huo者zhe提ti供gong服fu務wu。”
我們認為本條前半句的規定在實際當中如何操作尚待監管機構明確。何為“逐次同意”����?參照《App違法違規收集使用個人信息自評估指南》���,第24點要求APP不得要求用戶“一次性”接受並授權同意多項業務功能收集個人信息的請求。《信息安全技術 個人信息安全規範》(以下簡稱“《規範》”)中要求對核心功能和附加功能分開授權�,對敏感個人信息逐項授權。此處新《辦法》的“逐次”是否等於“逐項”同意�����,或是否意味著對經營者每次使用個人信息��,都需要用戶點選等明確動作表示同意���?對於APP上的網絡交易經營者而言�����,是否就需要同時滿足“逐次”和“逐項”的要求����?如此一來����,如何在用戶個人信息的保護和網絡交易的便利上進行平衡�����?諸多問題有待監管機構明確。
本段的後半句要求經營者不得以拒絕提供商品或服務的方式強迫消費者給出同意��,這一點明確地提高了經營者收集個人信息的門檻。《網絡安全法》的規定是“網絡運營者不得收集與其提供的服務無關的個人信息���,不得違反法律���、行政法規的規定和雙方的約定收集�����、使用個人信息���,並應當依照法律�����、行政法規的規定和與用戶的約定�����,處理其保存的個人信息。” 在這一點上新《辦法》細化了《網絡安全法》的規定。《App違法違規收集使用個人信息自評估指南》 和《App違法違規收集使用個人信息行為認定方法(征求意見稿)》 亦要求企業自查其獲得的同意是否為自主選擇的�����,而非來自於被強製捆綁授權行為。新《辦法》與上述兩份規製APP違法違規收集個人信息的規定保持一致�����,說明個人信息收集的高門檻擴展到APP形式以外的網絡經營者。
2. 關於個人信息的使用
對消費者個人信息的使用包括利用信息生成用戶畫像��,進而進行精準營銷����,甚至進行所謂“大數據殺熟”。新《辦法》第十九條規定����,“網絡交易經營者根據消費者的興趣愛好���、消費習慣�、liulanlishidenggerentezhengxiangqitigongshangpinhuozhefuwudesousuojieguohuozhezhanshishangyexingxinxide����,yingdangtongshiyixianzhufangshixiangxiaofeizhetigongbuzhenduiqigerentezhengdexuanxiang��,zunzhonghepingdengbaohuxiaofeizhedehefaquanyi”。本條是對《電子商務法》第十八條的呼應和補充����,體現在:1)和《電子商務法》第十八條相比�����,明確不得使用“瀏覽曆史”作為提供搜索結果或展示商業性信息的依據�;2)限製使用的方式從“提供搜索結果”擴大到“提供搜索結果”和“展示商業信息”����;3)對於提供不針對其個人特征的選項�����,要求經營者“以顯著方式”提供�����,而不得遮掩。
這也是今年1月征求意見的《信息安全技術 個人信息安全規範》(以下稱“《規範》2.0版本”)的關注點之一。《規範》2.0版本在新增的第7.4條中b)項引用了《電子商務法》第十八條的規定�����,要求電子商務經營者提供不針對其個人特征的選項。 此外�,7.4條a)項中還著重規定了用戶退出個性化展示的方式�����,新聞或信息類服務中展示個性化信息的��,不僅要以顯著方式標明“個性化展示”或“定推”等字樣��,還要為個人信息主體提供簡單直觀的退出個性化展示模式的選項。
綜合新《辦法》和《規範》2.0版本�����,我們可以看到��,以用戶畫像等自動決策方式使用個人信息����,始終是個人信息保護領域監管的重點之一。
3. 關於數據的留存
新《辦法》第三十六條規定�����,商品和服務信息�、交易信息保存時間自交易完成之日起不少於三年���;法律����、行政法規另有規定的�����,依照其規定。本條將舊《辦法》中保存兩年的要求按照《電子商務法》的要求延長到三年。這一方麵加重了經營者的數據保存義務��,但同時為經營者留存數據提供了必要的法律依據。
4. 關於個人信息權利的行使
新《辦法》第二十三條關於消費者行使其個人信息權利的方式的規定是新《辦法》根據《電子商務法》對舊《辦法》第十八條的補充:“網絡交易經營者應當明示用戶信息查詢���、更正�、刪除以及用戶注銷的方式����、程序���,不得對用戶信息查詢��、更正�、刪除以及用戶注銷設置不合理條件。網絡交易經營者收到用戶信息查詢或者更正���、刪除的申請的�����,應當在核實身份後及時提供查詢或者更正��、刪除用戶信息。用戶注銷的����,網絡交易經營者應當立即刪除該用戶的信息�;依照法律�����、行政法規的規定或者雙方約定保存的����,依照其規定。”
我們可以看到����,本條幾乎完全使用了《電子商務法》第二十四條的原文規定�,而未在《電子商務法》之外做出任何突破。但是自2014年舊《辦法》頒布以來���,各種個人信息保護規範不斷湧現����,現行有效的《信息安全技術 個人信息安全規範》中對消費者行使其個人數據權利的方式已經有了更為完整的規定:在個人信息訪問方麵�,個人信息控製者應向個人信息主體提供訪問下列信息的方法:其所持有的關於該主體的個人信息或類型����;上述個人信息的來源��、所用於的目的�;已經獲得上述個人信息的第三方身份或類型 ��;刪除權方麵���,《規範》不僅規定了消費者可要求控製者刪除信息����,還可在控製者違法共享����、轉讓�����、公開披露個人信息的情況下���,要求控製者通知第三方或發布通知要求接收方及時刪除 。《規範》還規定了個人信息主體撤回同意的權利 等。我們建議��,監管部門可以適當引用《規範》的條文���,以給個人信息主體提供更全麵的保護���、給企業提供操作性更強的指引。
5. 關於監管機關對經營數據報送的要求
舊《辦法》中已經規定了經營者向工商部門報送交易信息的義務��,但僅要求“向所在地工商行政管理部門報送經營統計資料” 。新《辦法》第二十五條和第二十六條提高了報送的要求�����,報送內容擴展到“網絡交易數據信息”和“特定時段�����、特定品類�����、特定區域的商品或者服務的銷量�����、銷售額等統計資料”。我們理解�,這兩條的新規定的目的是為了實施《電子商務法》第二十五條的規定(《電子商務法》第二十五條稱“電子商務數據信息”)。
“網絡交易數據信息”雖沒有明確定義�����,但根據《網絡安全法》第七十六條(五)的定義 ��,且從監管法律依據的角度�,要求報送的範圍應該包含個人數據。雖然《電子商務法》中也規定監管部門對其中的個人信息��、隱私和商業秘密負有保密義務 �����,但(dan)是(shi)許(xu)多(duo)從(cong)事(shi)網(wang)絡(luo)交(jiao)易(yi)的(de)企(qi)業(ye)可(ke)能(neng)同(tong)時(shi)受(shou)到(dao)境(jing)外(wai)數(shu)據(ju)保(bao)護(hu)法(fa)律(lv)的(de)管(guan)轄(xia)���,在(zai)未(wei)能(neng)確(que)定(ding)境(jing)外(wai)法(fa)律(lv)是(shi)否(fou)允(yun)許(xu)這(zhe)種(zhong)例(li)外(wai)時(shi)�,這(zhe)項(xiang)規(gui)定(ding)可(ke)能(neng)造(zao)成(cheng)境(jing)內(nei)外(wai)法(fa)律(lv)潛(qian)在(zai)的(de)衝(chong)突(tu)�����,給(gei)企(qi)業(ye)合(he)規(gui)增(zeng)加(jia)難(nan)度(du)����,需(xu)要(yao)引(yin)起(qi)跨(kua)境(jing)電(dian)商(shang)企(qi)業(ye)的(de)重(zhong)視(shi)。
另外一個可能產生的影響是�����,工商部門獲得了交易數據信息後����,將更有力��、更(geng)有(you)針(zhen)對(dui)性(xing)地(di)監(jian)管(guan)市(shi)場(chang)主(zhu)體(ti)的(de)違(wei)法(fa)行(xing)為(wei)。例(li)如(ru)��,使(shi)用(yong)平(ping)台(tai)提(ti)供(gong)的(de)交(jiao)易(yi)數(shu)據(ju)���,工(gong)商(shang)部(bu)門(men)可(ke)以(yi)輕(qing)易(yi)地(di)得(de)到(dao)平(ping)台(tai)內(nei)商(shang)戶(hu)月(yue)銷(xiao)售(shou)數(shu)量(liang)和(he)銷(xiao)售(shou)額(e)����,從(cong)而(er)計(ji)算(suan)知(zhi)識(shi)產(chan)權(quan)侵(qin)權(quan)案(an)件(jian)中(zhong)的(de)違(wei)法(fa)所(suo)得(de)。2018年6月國務院辦公廳印發《進一步深化“互聯網+政務服務”推進政務服務“一網���、一門����、一次”改革實施方案》其中提出“構建全國統一����、多級互聯的數據共享交換平台體係” �、提供“監督檢查��、質量抽檢等信用信息查詢和共享服務” 。在電子政務普及的背景下�,不同係統數據交叉核驗成為可能�,這給企業合規經營提出了更高的要求。
6. 關於違法處罰
在本次的修訂中���,違反個人信息保護條款 的法律後果也得以明晰:依照《消費者權益保護法》第五十六條的規定予以處罰����,即處違法所得一至十倍的罰款�����;沒有違法所得的���,處五十萬元以下罰款���;情節嚴重的�����,責令停業整頓����、吊銷營業執照�;此外��,還將被處罰機關記入信用檔案����,向社會公布 。而對應條款的違法責任在舊《辦法》中並未明確。
根據上述分析���,綜合主管部門在個人信息的收集和使用�����、向(xiang)監(jian)管(guan)機(ji)構(gou)報(bao)送(song)數(shu)據(ju)以(yi)及(ji)違(wei)規(gui)處(chu)罰(fa)力(li)度(du)等(deng)方(fang)麵(mian)�����,我(wo)們(men)可(ke)以(yi)看(kan)到(dao)���,主(zhu)管(guan)部(bu)門(men)在(zai)個(ge)人(ren)信(xin)息(xi)保(bao)護(hu)方(fang)麵(mian)的(de)監(jian)管(guan)態(tai)度(du)是(shi)趨(qu)嚴(yan)的(de)�����,結(jie)合(he)其(qi)他(ta)相(xiang)關(guan)法(fa)律(lv)法(fa)規(gui)�����、規範性文件和國家標準來看���,這也和我國在個人信息保護立法方麵的整體趨勢相吻合。因此��,盡管新《辦法》中仍有相關問題尚未明確����,在未來新《辦法》的正式版本中�����,起草機關可能還會進一步解釋或修正���,但其關於個人信息保護的規定應該不會在原則上發生重大變化。
