• ?
    主頁 > 政策指南 >

    政策指南

    2020年網安數據法藍皮書暨實務指引:電商行業的個人信息合規要點

    2021年01月05日

    2020年網安數據法藍皮書暨實務指引>第16篇-第20篇>

    [180-000] 十八、電商行業的個人信息合規要點

    作者:潘永建 鄧梓珊

    隨著電子商務的飛速發展變化, 傳統營銷逐漸向精準營銷轉變。如何根據法律法規的要求, 完善網絡安全、個人信息保護制度, 保障電子商務產業的良性發展成為電商從業者的關注重點。根據電商行業特點,本篇列舉了《電子商務法》、《網絡安全法》以及配套法律法規、推薦性國家標準出臺后, 與電商行業息息相關的個人信息合規要點, 供讀者參考。

    一、《電子商務法》的相關規定

    被譽為電子商務經營者的“憲章”的《電子商務法》已于2019年1月1日正式生效?!峨娮由虅辗ā范鄠€條款對電子商務經營者的個人信息合規做出了規定。

    《電子商務法》第23條對電子商務經營者的個人信息合規做出了原則性的規定,即電子商務經營者收集、使用用戶的個人信息應當遵守法律法規有關個人信息保護的規定。

    《電子商務法》第33條規定電子商務平臺經營者應遵循公開、公平、公正的原則,制定平臺服務協議和交易規則,明確個人信息保護等方面的權利義務。

    《電子商務法》第79條規定電子商務經營者違反有關個人信息保護的法律法規的,按照網絡安全法等法律法規的規定處罰。

    二、注意關鍵信息基礎設施運營者的認定與義務

    電商企業通常掌握大量個人信息, 可能因此構成關鍵信息基礎設施運營者(CIIO)。

    《國家網絡空間安全戰略》首次提出關鍵信息基礎設施的概念, 《網絡安全法》第三十一條首次以法律的形式提出對關鍵信息基礎設施的保護制度, 且列舉了七大可能存在關鍵信息基礎設施的行業。雖然這七大行業并未直接包含“電子商務”行業, 但《網絡安全法》以及配套法規、政策性文件對于CIIO均采取“行業列舉+后果概括”的復合定義, 未落入所列舉行業的網絡運營者, 并非必然就不構成CIIO。

    根據《國家網絡安全檢查操作指南》, “日均訪問量超過100萬人次”、“注冊用戶數超過1000萬, 或活躍用戶(每日至少登錄一次)數超過100萬”分別屬于判定平臺類、網站類信息系統是否構成關鍵信息基礎設施的后果之一;而“一旦發生安全事故, 可能造成100萬人個人信息泄漏”這一后果在判定網站類或平臺類信息系統時均可以適用。通常,電商企業收集控制大量潛客、會員、注冊用戶以及企業員工的個人信息。若網站、平臺類的電商企業收集控制100萬人個人信息, 該企業即有可能構成關鍵信息基礎設施運營者。關鍵信息基礎設施界定的相關問題, 詳請參考本書第7篇《關鍵信息基礎設施的界定》。

    電商企業一旦構成CIIO, 則需要遵守《網絡安全法》對CIIO提出的要求。屬于跨國公司的電商企業, 需要格外注意CIIO的個人信息本地存儲義務以及數據出境安全評估義務。對于服務器部署在國外或因組織架構等原因必須將個人信息傳輸出境的, 應注意以下兩方面內容:

    1. 確保在隱私政策或類似性質的文本中就數據出境情況向個人信息主體進行明示;

    2. 盡快就數據本地化存儲及安全評估流程展開相應準備工作, 以免被認定為CIIO后, 無法在規定的時限內完全做到合法合規。

    對于CIIO的其他責任與義務, 具體可參考本書第8篇《關鍵信息基礎設施運營者的責任與義務》。

    三、避免過度收集個人信息

    不少網絡經營者與機構熱衷于從商業利用角度收集消費者的各方面個人信息, 尤其是通過各類APP“一鍵”收集個人信息?!毒W絡安全法》第四十一條提出, 網絡運營者收集、使用個人信息, 應當遵循合法、正當、必要的原則, 不得收集與其提供服務無關的個人信息。該項要求的具體內容體現在配套國標《信息安全技術 個人信息安全規范》(“《個人信息安全規范》”)的第5.2條:

    1. 收集的個人信息的類型應與實現產品或服務的業務功能有直接關聯。直接關聯是指沒有該信息的參與, 產品或服務的功能無法實現;

    2. 自動采集個人信息的頻率應是實現產品或服務的業務功能所必需的最低頻率;

    3. 間接獲取個人信息的數量應是實現產品或服務的業務功能所必需的最少數量。

    另外, 收集用戶個人敏感信息前, 還應:

    1. 向個人信息主體告知所提供產品或服務的核心業務功能及所必需收集的個人敏感信息, 并明確告知拒絕提供或拒絕同意將帶來的影響。應允許個人信息主體選擇是否提供或同意自動采集;

    2. 產品或服務如提供其他附加功能, 需要收集個人敏感信息時, 收集前應向個人信息主體逐一說明個人敏感信息為完成何種附加功能所必需, 并允許個人信息主體逐項選擇是否提供或同意自動采集個人敏感信息。當個人信息主體拒絕時, 可不提供相應的附加功能, 但不應以此為理由停止提供核心業務功能, 并應保障相應的服務質量。

    過度收集個人信息可能導致行政處罰1, 甚至可能構成刑事犯罪2。為避免過度收集個人信息, 電商企業應根據個人信息與實現各項功能之間的因果關系; 區分產品或服務的核心功能與附加功能; 并確保用戶拒絕提供個人敏感信息時能夠繼續使用核心功能。舉例來說, 基于位置服務(LBS)的APP(如百度地圖, 高德地圖等導航軟件)的核心功能為定位與導航, 附加功能可能有附近商戶推薦、道路情況查詢、天氣查詢等。為實現前述核心功能而收集位置信息、起點和終點信息等信息屬于合理收集; 收集姓名、性別、電話號碼等則屬于過度收集。為實現附加功能, 收集性別、消費者偏好、地址信息的, 屬于合理收集。

    四、用戶畫像合規要點

    用戶畫像對于傳統營銷模式向精準營銷模式轉變具有決定性作用?!秱€人信息安全規范》定義了用戶畫像, 并進一步將用戶畫像細分為“直接用戶畫像”與“間接用戶畫像”。 直接使用特定自然人的個人信息, 形成該自然人的特征模型, 稱為直接用戶畫像。使用來源于特定自然人以外的個人信息, 如其所在群體的數據, 形成該自然人的特征模型, 稱為間接用戶畫像。

    根據《個人信息安全規范》, 電商企業在生成、使用用戶畫像時應注意以下幾個方面:

    1. 除目的所必需外, 使用個人信息時應消除明確身份指向性, 避免精確定位到特定個人。企業應盡量使用群體畫像而避免能夠精確到個人的個體畫像。例如, 為準確評價個人信用狀況, 可使用直接用戶畫像, 而用于推送商業廣告目的時, 則宜使用間接用戶畫像;

    2. 使用個人信息時, 是否形成直接用戶畫像及其用途需要在隱私政策中明確告知個人信息主體。

    3. 除消費者的基本個人信息外, 消費者的網絡活動信息, 如消費者瀏覽過的網頁、關注過的產品、發布的評論信息等內容都會被用于生成用戶畫像。該類網絡活動信息主要通過自動數據收集工具收集而來。電商企業應在隱私政策中對使用的技術機制做詳細描述, 說明使用自動工具收集個人信息的目的, 并向用戶提供限制自動工具進行數據收集的方法和詳細的指導。

    五、員工責任

    電商企業業務覆蓋面廣, 從業人員眾多, 員工素質參差不齊。若發生企業員工侵犯個人信息的行為,除員工個人需承擔責任外, 還可能對企業帶來不同程度的負面影響。除遵照《網絡安全法》的規定落實網絡安全負責人、形成內控制度外, 我們建議企業可從以下方面降低因員工侵犯個人信息導致企業責任的風險:

    1. 對被授權訪問個人信息的內部數據操作人員按照最小授權的原則, 使其只能訪問職責所需的最少夠用的個人信息, 且僅具備完成職責所需的最少數據操作權限。

    2. 對個人信息的重要操作設置內部審批流程。

    3. 對安全管理人員、數據操作人員、審計人員的角色進行分離。

    4. 對個人敏感信息的訪問、修改等行為, 在對角色的權限控制的基礎上, 根據業務流程需要觸發操作授權。

    5. 定期安排員工進行個人信息安全培訓, 參加培訓必須出席簽到, 并將個人信息安全意識納入員工考核內容。

    1 2018年3月,支付寶(中國)網絡技術有限公司因在“年度賬單”中過度要求收集、使用用戶個人信息,被中國人民銀行杭州支行以“個人金融信息收集不符合最少、必要原則”及“個人金融信息使用不當”為由處以罰款。

    2 《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》規定,“違反國家有關規定,通過購買、收受、交換等方式獲取公民個人信息,或者在履行職責、提供服務過程中收集公民個人信息的,屬于刑法第二百五十三條之一第三款規定的‘以其他方法非法獲取公民個人信息’?!?/span>

    ? 澳门资料大全正版资料查询 <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <文本链> <文本链> <文本链> <文本链> <文本链> <文本链>