315電商平臺合規之若干高頻問題與個人信息保護
作者:吳衛明 劉芷均 趙天驕 2021-03-153·15專文之一
電子商務領域高頻問題及合規建議
吳衛明 高級合伙人 劉芷均 律師 二十世紀末電子商務在我國開始出現,歷經二十余年的發展,依托于信息技術和良好的經濟環境,各種業態的電子商務平臺均得到了蓬勃的發展。隨著時間的推移,從傳統電子商務逐步演化,催生了不同模式的新電子商務,如社交電子商務、直播電子商務、社交團購和社區團購等等。自2019年《中華人民共和國電子商務法》(以下簡稱“《電子商務法》”)實施以來,對于電子商務領域各個角色從法律層面進行了明確的定義和區分,同時賦予了不同的責任和義務。然而不同的規模、不同的模式、不同的角色,在同一個電子商務領域中,都有著同一個不容忽視的問題——合規。 又一年的3·15之際,本文將從電子商務領域中電子商務平臺運營的部分高頻問題入手,對電子商務平臺的持續穩定、合規有效發展提出建議。 一、主體經營資質 《電子商務法》的出臺,明確規定了電子商務經營者(包括電子商務平臺經營者、平臺內經營者以及通過自建網站、其他網絡服務銷售商品或者提供服務的電子商務經營者)應當依法辦理市場主體登記。除此之外,《電子商務法》還要求電子商務經營者根據所處行業經營的規定取得相應的行政許可或履行相應的備案程序(如取得ICP、EDI許可證等)。前述的相關注冊登記、備案及許可的信息,電子商務經營者還應當在其首頁顯著位置進行公示。 在電商平臺進行合規自我審查的過程中,需注意的是,主體登記、取得許可或辦理備案、首頁公示的要求是針對所有電子商務經營者,不僅針對平臺,還包括平臺內經營者,即通常所說的入駐商家。對于公示信息的合規要求,由于較為細節,有時會被經營者忽視。 合規建議: 電子商務經營者應當根據自身的經營模式,完成主體登記,取得相應的行政許可,履行完畢相應的備案程序要求,并在首頁位置對相關信息進行信息披露。 二、廣告推送 在“流量為王”的時代,在傳統電子商務之外催生了社交電子商務、直播電子商務等新模式,廣告推送和產品宣傳是電子商務領域的常見場景,形式的多樣性催生了多種合規問題。在這一方面,電子商務經營者應當重點關注《電子商務法》、《中華人民共和國廣告法》(以下簡稱“《廣告法》”)、《中華人民共和國消費者權益保護法》(以下簡稱“《消費者權益保護法》”)、《中華人民共和國反不正當競爭法》(以下簡稱“《反不正當競爭法》”)等法律法規及部門規章的規定。 可能出現的合規問題包括但不限于如下: 1、未顯著標明“廣告”及廣告主信息; 2、未經平臺用戶許可擅自推送商業信息; 3、對于商業廣告及服務信息未進行區分; 4、不當利用用戶畫像精準推送; 5、無法退訂或所提供的退訂方式過于繁瑣或無效。 合規建議: 電子商務經營者應當建立平臺專門商業廣告及營銷內容發布和管理規則,同時應當同步搭建內部專項合規審查機制,設立專人專崗對該等內容進行審查、抽查。 針對直播推廣的形式,由于當前尚缺少全面監管的政策,建議電子商務經營者在提供直播推廣方式的同時,可以參考中國廣告協會發布的《網絡直播營銷行為規范》的相關內容建立專門管理規則,并設立專人專崗針對直播內容和主播行為進行約束和規范,從技術手段和平臺規則層面保障平臺內直播推廣行為的合規性。 三、商品價格發布 2021年3月3日,市場監管總局依法對5家社區團購公司開出行政處罰的罰單,其中4家處罰金額超過百萬,處罰系基于5家社區團購公司的不正當價格行為做出。 電子商務平臺的商品價格的發布須同時注意《電子商務法》、《中華人民共和國價格法》(以下簡稱“《價格法》”)、《廣告法》、《消費者權益保護法》及《反不正當競爭法》等相關法律法規及部門規章的規定。 商品價格發布中容易發生的不正當價格行為有如下: 1、相互串通,操縱市場價格,損害其他經營者或者消費者的合法權益; 2、在依法降價處理鮮活商品、季節性商品、積壓商品等商品外,為了排擠競爭對手或者獨占市場,以低于成本的價格傾銷,擾亂正常的生產經營秩序,損害國家利益或者其他經營者的合法權益; 3、捏造、散布漲價信息,哄抬價格,推動商品價格過高上漲的; 4、利用虛假的或者使人誤解的價格手段,誘騙消費者或者其他經營者與其進行交易; 5、提供相同商品或者服務,對具有同等交易條件的其他經營者實行價格歧視; 6、采取抬高等級或者壓低等級等手段收購、銷售商品或者提供服務,變相提高或者壓低價格; 7、違反法律、法規的規定牟取暴利。 除此之外,針對電子商務平臺經營者,《電子商務法》規定其不得利用服務協議、交易規則以及技術等手段,對平臺內經營者在平臺內的交易、交易價格以及與其他經營者的交易等進行不合理限制或者附加不合理條件,或者向平臺內經營者收取不合理費用。 合規建議: 對電子商務平臺經營者:制定并實施明確有效的平臺商品價格發布規則,并向平臺內經營者公示,同時,應明確平臺違規處罰機制;就平臺價格體系及每個商品標示價格定義通過顯著的方式向消費者明示告知。 對平臺內經營者以及通過自建網站、其他網絡服務銷售商品或者提供服務的電子商務經營者:注意避免發生前述法律法規及部門規章中關于不正當價格行為的情形,提前了解所在平臺的價格發布規則并按規則發布。 四、商品及入駐商家審核 關于商品進入平臺銷售以及經營者(商家)入駐平臺開展經營,《電子商務法》對于電子商務經營者中的不同角色進行了責任區分。對于電子商務平臺經營者來說,發生商品信息披露不完整、線上線下同款產品出現差異、產品危害人身安全、平臺內經營者(即入駐商家)超范圍經營或未取得授權許可開展經營等等問題,嚴重損害了用戶作為消費者的合法權益,可能受到用戶的投訴,甚至受到監管部門的關注和處罰。因此,電子商務經營者的審核義務需要得到重視和履行,在這里,筆者認為重視審核義務并不意味著要過分施加平臺經營者的審核義務。當前的《電子商務法》及其他相關規定對平臺經營者審核義務的要求并不夠明確,對于平臺經營者來說,審核的越完善、越充分,相對來說法律風險和合規風險就越小。 合規建議: 電子商務平臺經營者應明確風險層級和應對機制,根據自身平臺的特點,建立專門的商品和入駐平臺內經營者的審核與管理規則,設立專人專崗進行定期核驗和信息更新,具體要求如下:電子商務平臺經營者應當對于進入平臺銷售商品或提供服務的經營者審核其身份、地址、聯系方式、行政許可等真實信息并進行核驗、登記、建立檔案,同時須定期核驗更新;應當按照規定向市場監督管理部門報送平臺內經營者的身份信息,提示未辦理市場主體登記的經營者依法辦理登記;應當依照稅收征收管理法律、行政法規的規定,向稅務部門報送平臺內經營者的身份信息和與納稅有關的信息。 五、會員積分體系 為獲取流量和用戶、提升用戶忠誠度以及鼓勵用戶消費,當前大部分的電子商務平臺都設置了自己的會員積分體系。當前我國尚未出臺或發布關于積分的法律法規或專門監管政策,對于電子商務平臺會員積分體系的合規要求須符合多個部門的規定和要求,包括但不限于《中華人民共和國中國人民銀行法》、《中華人民共和國人民幣管理條例》、《非金融機構支付服務管理辦法》、《單用途商業預付卡管理辦法(試行)》、《反不正當競爭法》、《規范促銷行為暫行規定》等。 在電子商務平臺搭建自己的會員積分體系時,可能存在的合規問題及對應的可能情形如下: 1、被認定為發行“代幣票券”: (1) 直接發放/發行積分,并與法定貨幣形成一定的價格對應關系; (2) 在不同法人積分體系之間形成不同積分直接互換機制/允許同一積分在不同法人平臺消費或兌換產品、服務等; (3) 允許用戶之間進行積分交易。 2、被認定為發行多用途預付卡: 通過充值后取得積分,可在不同店鋪/不同法人單位進行消費或兌換相應的產品及服務。 3、被認定為發行單用途商業預付卡:通過充值后取得積分,可在平臺自營產品/服務范圍內進行消費或兌換。 4、被認定為有獎銷售行為: (1) 抽獎式有獎銷售,以抽簽、搖號、游戲等帶有偶然性或者不確定性的方法,決定消費者是否中獎; (2) 附贈式有獎銷售,向滿足一定條件的消費者提供獎金、物品或者其他利益。 5、被認定為不正當競爭行為(在有獎銷售情況下): (1) 所設獎的種類、兌獎條件、獎金金額或者獎品等有獎銷售信息不明確,影響兌獎; (2) 采用謊稱有獎或者故意讓內定人員中獎的欺騙方式進行有獎銷售; (3) 抽獎式的有獎銷售,最高獎的金額超過五萬元。 合規建議(針對電子商務平臺經營者): 針對被認定為發行“代幣票券”問題:禁止用戶之間交易積分;明確告知并采取技術手段限制積分在用戶之間的流轉;明確積分兌換的商品或服務實際系公司采購后向用戶提供,或者明確積分為平臺提供的優惠措施,而非用于向商家付款的支付手段。 針對被認定為發行多用途預付卡問題:可針對不同店鋪建立各自獨立的積分體系;禁止積分在不同法人體系之間進行互通消費或兌換;避免在積分兌換產品中設置不同法人發行的卡券類產品。 針對被認定為單用途預付卡問題:避免提供通過充值/繳費或類似方式直接獲取積分的模式;如果該模式無法避免,則需要與商管部門確認積分性質,以及是否需要備案。如果在積分規則中明確某類積分可以兌換的具體產品或服務內容及數量,則可以不被視為單用途預付費卡;。 針對被認定為有獎銷售行為問題:按照《規范促銷行為暫行規定》的要求搭建積分體系;同步配套相應的管理人員和內控制度。 針對被認定為不正當行為問題:明確設計積分體系和規則,避免規則互斥;做好強有力的內部控制,防止內定情形;確認抽獎贈送積分模式下的最高限額。 六、數據合規(包括個人信息保護) 數據合規作為互聯網企業需關注的基礎問題,電子商務經營者同樣不可忽視。關于電子商務領域數據合規的風險和法律建議,詳見本平臺另一篇文章“【315專文:電子商務平臺個人信息保護合規實務概要】”所述。 電子商務領域的發展日新月異,市場競爭愈發激烈。市場監管總局近期做出的罰單給了電子商務領域從業者監管警示。電子商務經營者在發展業務、搶占市場份額的同時,也要懷著社會責任感,從法律合規的角度出發,定期進行自我合規審查和外部專業機構合規審查,降低合規風險,從而保障業務的穩健與持續發展。
315專文之二:
電子商務平臺個人信息保護合規實務概要
吳衛明 高級合伙人 趙天驕 律師助理 2020年至2021年,在監管部門密集出臺的法規政策及頻繁的執法活動之下,電商平臺各類合規問題再次成為多方關注焦點。電商平臺作為平臺經濟的重要組成部分,一方面需要應對平臺經濟合規監管壓力,另一方面,也需要持續應對網絡安全、數據及個人信息保護的合規壓力。上述領域的法律法規、監管政策,日益顯現疊加效應。315國際消費者權益日前夕,本文特從個人信息保護角度對電商平臺的合規要點進行簡要整理,希望對各電商平臺合規要求適用、法律責任承擔及合規體系設計有一定的參考價值。 一、 電商平臺個人信息保護概述 我國個人信息保護領域的主要的法規依據包括《民法典》、《網絡安全法》及尚未正式公布生效的《數據安全法(草案)》、《個人信息保護法(草案)》等,同時還包括諸多行政法規、部門規章、政府規范性文件及標準文件(詳見附表)。電子商務屬于數據密集型行業,在線交易時刻都會有大量數據產生,也會頻繁收集個人信息,因而《電子商務法》中也設置了電商平臺的個人信息保護義務。如《電子商務法》第二十三條規定電子商務經營者收集、使用其用戶的個人信息,應當遵守法律、行政法規有關個人信息保護的規定;《電子商務法》第二十四條對用戶信息的查詢、更正、刪除及保存的程序和實體要求作出了具體規定。 實務中,須根據電商平臺的具體業務經營模式、各參與主體法律性質、業務流程中具體環節(場景)、涉及的數據類型等要素適用相關法規、政策及標準,具體分析個人信息保護合規要求、法律責任及合規管理方式。 二、 電商平臺參與主體及業務模式分析 2.1 電商平臺參與主體 根據《電子商務法》第九條規定,電子商務經營者可分為電商平臺經營者(以下簡稱:平臺)、平臺內經營者及其他電子商務經營者。除電子商務經營者和消費者外,在電商一般業務流程中還存在眾多相關服務提供者,各主體關系可簡要整理如下圖: 2.2 電商平臺業務模式 經過多年發展,國內消費類電商行業形成了眾多的業務模式和細分領域,也有諸多的分類方式。如從經營主體法律性質和責任承擔角度,可將電商平臺業務劃分為“平臺類”(純中介服務類)業務和“自營類”業務。同一電商平臺的不同的業務模式下,由于服務提供方式不同,各主體間數據交互方式存在顯著差異,因此平臺所應遵守的合規要求也存在差異。 平臺作為個人信息控制者,一般可以通過PC端網站、移動端APP或微信小程序等平臺“載體”收集用戶的個人信息。在如上“平臺類”業務模型中,在用戶下單后,平臺必須將用戶訂單信息提供給平臺內入駐商家,而在平臺“自營類”業務中,由于不存在平臺內入駐商家,實際商品生產企業僅作為平臺的供應商,因此理論上平臺無需在本次交易過程中將用戶訂單信息直接傳輸至其供應商的業務系統。在自建倉儲物流的情形下,平臺也無需將訂單信息提供給其他物流服務提供者。顯然,以上兩種業務模式下平臺在個人信息的共享和轉讓的合規要求適用方面差異較大。 三、具體業務流程(場景)合規要點舉例 參照國內主流B2C電商平臺一般交易類業務實踐,可以將非自營類電商業務流程可大致區分為以下幾個環節: 由于《個人信息保護法(草案)》尚未最終公布生效,從企業合規實務角度出發,本部分主要參考《信息安全技術 個人信息安全規范》(GB/T 35273—2020)對部分合規要點進行整理。以個人用戶注冊及登錄環節為例,《個人信息安全規范》中所涉及的基本合規要點可整理如下表: 個人用戶注冊及登錄環節[1] 合規要點 詳細內容 責任主體 通用 1. 授權同意原則 § 公開收集、使用規則,并明示收集、使用信息的目的、方式和范圍等,經個人信息主體授權同意。 § 滿足收集、共享及轉讓個人敏感信息、個人生物識別信息及未成年人個人信息的特殊規定。 § 個人信息控制者對外提供(共享、轉讓)個人信息時需事先征得個人信息主體的明示同意。 電商平臺經營者(默認為個人信息控制者,下同) 2. 最小必要原則 沒有收集的個人信息的參與則業務功能無法實現(直接關聯);自動采集個人信息的頻率應僅限于實現業務功能所必需的最低(最低頻率);間接獲取個人信息的數量應是實現業務功能所必需的最少數量(最少數量)。 電商平臺經營者及服務提供商 3. 個人信息保護政策 應制定個人信息保護政策,內容應包括個人信息控制者基本信息、個人信息收集方式、存儲期限、數據出境的處理規則、對外共享、轉讓、公開披露個人信息的目的、涉及的個人信息類型、接收個人信息的第三方類型等,并應告知個人信息主體權利和實現機制,處理個人信息主體詢問、投訴的渠道和機制。個人信息保護政策所告知的信息應真實、準確、完整,清晰易懂,公開發布且易于訪問,應逐一送達個人信息主體 電商平臺經營者 4. 個人信息主體權利 電子商務經營者應當明示用戶信息查詢、更正、刪除以及用戶注銷的方式、程序,不得對用戶信息查詢、更正、刪除以及用戶注銷設置不合理條件。 電商平臺經營者 收集 5. 收集合法性 個人信息控制者不應以欺詐、誘騙、誤導的方式收集個人信息;不應隱瞞產品或服務所具有的收集個人信息的功能;不應從非法渠道獲取個人信息。 電商平臺經營者及服務提供商 6. 告知和明示同意的實現方法 在業務功能開啟前(如個人信息主體初始安裝、首次使用、注冊賬號等)或首次使用前,應通過交互界面或設計(如彈窗、文字說明、填寫框、提示條、提示音等形式),向個人信息主體告知基本業務功能所必要收集的個人信息類型,以及個人信息主體拒絕提供或拒絕同意收集將造成的影響,并通過個人信息主體對信息收集主動作出肯定性動作(如勾選、點擊“同意”或“下一步”等)征得其明示同意 電商平臺經營者及服務提供商 7. 間接獲取個人信息 要求作為接收方的企業有義務要求提供方對相關個人信息的來源進行說明并確認其合法性,同時還應當了解個人信息主體對于提供方的授權范圍,包括使用目的、個人信息主體是否授權同意轉讓、共享、公開披露等內容,若接收方處理個人信息超出上述范圍的,還應在合理期限內另行征得個人信息主體的明示同意。 電商平臺經營者及其合作方 8. 多項業務功能的自主選擇 網絡運營者不得通過捆綁產品或服務各項業務功能的方式,要求個人信息主體一次性接受并授權同意其未申請或使用的業務功能收集個人信息的請求。產品或服務的特定業務功能的開啟條件是個人信息主體自主作出的肯定性動作 電商平臺經營者 9. 去標識化處理 收集個人信息后,個人信息控制者宜立即進行去標識化處理,并采取技術和管理方面的措施,將可用于恢復識別個人的信息和去標識化后的信息分開存儲并加強訪問和使用的權限管理。 電商平臺經營者 使用 10. 使用的目的限制 使用個人信息時,不應超出與收集個人信息時所聲稱的目的具有直接或合理關聯的范圍。因業務需要,確需超出上述范圍使用個人信息的,應再次征得個人信息主體明示同意。如所收集的個人信息進行加工處理而產生的信息,能夠單獨或與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的,應將其認定為個人信息。對其處理應遵循收集個人信息時獲得的授權同意范圍。 電商平臺經營者、服務提供商或其他合作方 傳輸 11. 個人敏感信息加密傳輸 傳輸個人敏感信息時,應采用加密等安全措施,采用密碼技術時宜遵循密碼管理相關國家標準。 電商平臺經營者、服務提供商或其他合作方 12. 跨境傳輸 在中華人民共和國境內運營中收集和產生的個人信息向境外提供的,個人信息控制者應遵循國家相關規定和相關標準的要求。 電商平臺經營者、服務提供商或其他合作方 委托處理、共享、轉讓、公開披露 13. 委托第三方處理(如人臉識別) 個人信息控制者的委托行為不應超出已征得個人信息主體授權同意的范圍,或應符合授權同意例外的情形;個人信息控制者應對委托行為進行個人信息安全影響評估,確保受委托者達到數據安全能力要求;個人信息控制者應對受委托者進行監督。 電商平臺經營者及合作方 受委托者應嚴格按照個人信息控制者的要求處理個人信息。受委托者因特殊原因未按照個人信息控制者的要求處理個人信息的,應及時向個人信息控制者反饋;受委托者確需再次委托時,應事先征得個人信息控制者的授權;協助個人信息控制者響應個人信息主體權利請求;受委托者在處理個人信息過程中無法提供足夠的安全保護水平或發生了安全事件的,應及時向個人信息控制者反饋;在委托關系解除時不再存儲相關個人信息。 電商平臺經營者及合作方 除對業務流程各環節合規要求及責任主體進行準確識別外,如可能涉及APP個人信息收集、廣告精準營銷、個性化商品展示、差異化定價、個人信息出境等特殊場景,以及個人生物識別信息、個人金融信息等特殊數據類型的,還應結合有關法規、政策及標準完整理解其合規要求。 四、電商平臺個人信息保護法律責任分析 4.1 責任承擔主體 由于電商平臺業務流程中涉及諸多參與主體,明確各方責任分配問題是平臺確定合規內控管理策略的重要考量因素。 關于電商平臺經營者和平臺內經營者的責任區分,《電子商務法》在產品質量、知識產權等領域做出了較為詳細的規定,例如《電子商務法》第三十八條規定了在入駐商家所銷售的商品或服務不符合人身及財產保護要求時,平臺承擔連帶責任和承擔“相應責任”的不同情形,《電子商務法》第四十二條、四十三條、四十五條就知產侵權案件中平臺的“避風港”原則及“紅旗”原則做了說明,平臺在不同情形下應承擔不同的責任。 而在個人信息保護方面,《電子商務法》僅對電子商務經營者的責任義務做概括性要求,并未對不同角色的合規要求和責任承擔直接作出規定,須結合相關法規規定具體分析。如《電子商務法》第二十三條規定電子商務經營者收集、使用其用戶的個人信息,應當遵守法律、行政法規有關個人信息保護的規定;《電子商務法》第七十九條規定電子商務經營者違反法律、行政法規有關個人信息保護的規定,或者不履行本法第三十條和有關法律、行政法規規定的網絡安全保障義務的,依照《中華人民共和國網絡安全法》等法律、行政法規的規定處罰。 如參考尚未生效的《個人信息保護法(草案)》,則根據個人信息處理的具體場景中的不同角色,分別規定了個人信息處理者、共同個人信息處理者、受托方及第三方的應履行的義務和相應法律責任,如《個人信息保護法(草案)》第二十一條規定個人信息處理者共同處理個人信息,侵害個人信息權益的,依法承擔連帶責任;《個人信息保護法(草案)》六十二條規定違反本法規定處理個人信息,或者處理個人信息未按照規定采取必要的安全保護措施的,由履行個人信息保護職責的部門責令改正,沒收違法所得,給予警告等。《個人信息安全規范》中也有關于個人信息控制者、共同個人信息控制者、委托處理方、第三方合規要求的具體規定。 因此,需根據特定業務模式、業務環節(場景)中各參與方的法律性質決定具體義務和責任分配。而從當前審判實踐來看,在非自營類業務模式下的個人信息侵權糾紛案件中,如平臺不能證明自身不存在安全管理漏洞,則根據高度蓋然性原則,平臺通常需承擔全部民事賠償責任(參見“龐理鵬與北京趣拿信息技術有限公司等隱私權糾紛上訴案”)。 4.2 責任承擔形式 個人信息保護領域,電商平臺經營者可能承擔責任的形式包括行政處罰、民事責任及刑事責任。 在行政處罰方面,網絡運營者、網絡產品和服務提供者違反《網絡安全法》、《個人信息保護法(草案)》(尚未正式實施生效)及其他相關法律、法規、規范性文件要求的,可對單位和/或責任人處以行政處罰,具體包括責令改正、沒收違法所得、罰款,情節嚴重的責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照。 民事責任方面,主要包括違約責任及侵權責任。平臺違反與個人信息主體之間有效合同約定內容的,應依據《民法典》第三編第八章相關條文規定并參考合同約定承擔相應違約責任。平臺侵害個人信息主體民事權益(個人信息保護及隱私權)的,應依據《民法典》第四編第六章及第七編的相關條文承擔侵權責任。 刑事責任方面,可能涉及的罪名包括侵犯公民個人信息罪 (《刑法》第二百五十三條之一)、拒不履行信息網絡安全管理義務罪(《刑法》第二百八十六條之一)、非法侵入計算機信息系統罪、非法獲取計算機信息系統數據、非法控制計算機信息系統罪及破壞計算機信息系統罪等。 五、平臺個人信息保護合規管理 平臺開展個人信息保護合規內控管理工作,應當首先根據上文所述,明確主體性質、業務模式、業務流程中具體環節(場景)、數據類型、責任承擔主體和形式等要素,然后根據有關法規及標準要求,重點圍繞數據全生命周期各環節建立內外部相結合的個人信息合規管理體系。 外部而言,主要應通過《用戶協議》和《個人信息保護政策》履行告知同意義務,在與入駐商家的《服務協議》及其他服務提供者或合作方的《合作協議》中也應明確關于個人信息保護方面的權利義務。 內部而言,主要應從組織人員、制度流程及技術工具幾個方面著手建立合規內控體系,具體設計思路可參照下表[2]: 附表:部分重要法規、規范性文件、標準及司法解釋一覽 效力等級 名稱 狀態 法律及法規 《中華人民共和國民法典》 《中華人民共和國刑法》 《中華人民共和國網絡安全法》 《數據安全法(草案)》 《個人信息保護法(草案)》 《中華人民共和國消費者權益保護法》 《中華人民共和國侵權責任法》 《中華人民共和國電子商務法》 《網絡交易管理辦法》 《網絡交易監督管理辦法(征求意見稿)》 《互聯網信息服務管理辦法》 《侵害消費者權益行為處罰辦法》 《數據安全管理辦法(征求意見稿)》 《個人信息和重要數據出境安全評估辦法(征求意見稿)》 《個人信息出境安全評估辦法(征求意見稿)》 已生效 已生效 已生效 草案 草案 已生效 已生效 已生效 已生效 征求意見稿 已生效 已生效 征求意見稿 征求意見稿 征求意見稿 規章及其他規范性文件 《電信和互聯網用戶個人信息保護規定》 《兒童個人信息網絡保護規定》 《關于開展APP侵害用戶權益專項整治工作的通知》 《App違法違規收集使用個人信息行為認定方法》 《全國人民代表大會常務委員會關于加強網絡信息保護的決定》 已生效 已生效 已生效 已生效 已生效 標準及指南 《信息安全技術 個人信息安全規范》 《信息安全技術 個人信息告知同意指南(征求意見稿)》 《信息安全技術 數據出境安全評估指南(征求意見稿 )》 《信息安全技術 移動互聯網應用(App)收集個人信息基本規范(征求意見稿)》 《信息安全技術 個人信息安全影響評估指南》 《信息安全技術 個人信息去標識化指南》 《互聯網個人信息安全保護指南》 《App違法違規收集使用個人信息自評估指南》 《移動互聯網應用程序(App)個人信息保護常見問題及處置指南》 《APP收集使用個人信息最小必要評估規范》系列標準 《APP用戶權益保護測評規范》系列標準 《個人金融信息保護技術規范》 《金融數據安全分級指南》 已生效 征求意見稿 征求意見稿 征求意見稿 已生效 已生效 已生效 已生效 已生效 已生效 已生效 已生效 已生效 司法解釋 《最高人民法院、最高人民檢察院、公安部關于依法懲處侵害公民個人信息犯罪活動的通知》 《最高人民法院、最高人民檢察院關于辦理非法利用信息網絡、幫助信息網絡犯罪活動等刑事案件適用法律若干問題的解釋》 《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》 《最高人民法院關于適用〈中華人民共和國刑事訴訟法〉的解釋》 已生效 已生效 已生效 已生效 [1] 注:以上僅依據《個人信息安全規范》,對一般業務流程中個人用戶注冊及登錄環節涉及事項的底線合規要求進行整理。企業合規實務中須結合實際業務流程和技術方法,依據所有相關的法規、政策、標準及司法解釋整理所有可能涉及的合規要點。 [2] 注:此圖載于《數據安全能力建設實施指南(2018)》,其數據生命周期劃分方式與《個人信息安全規范(2020)》有一定差異,僅供參考
以某“平臺+自營”B2C電商平臺為例,在其“平臺類”業務中用戶個人信息收集和共享的簡要模型如下圖所示:
