编者按:随着互联网经济的发展与社会数字化进程的加快,在零售等领域,数字化营销应运而生。网络直播营销作为数字化营销的一种,越来越受到企业的青睐。针对网络直播营销活动涉及的监管、数据安全、消费者权益保护、知识产权保护等法律问题,本律师团队将推出系列文章,为直播营销平台、直播人员、直播间运营者、商家等提供合规建议。
数据已成为国家基础性战略资源,更关乎民众隐私安全。全国人大常委会于2021年6月10日公布的《数据安全法》,自2021年9月1日起施行。《数据安全法》是数据领域的基础性法律,也是国家安全领域的一部重要法律。《数据安全法》通过建立数据分类分级管理、数据安全审查、数据安全风险评估、监测预警和应急处置等基本制度,聚焦数据安全领域的风险防范。《数据安全法》的施行将为直播带货企业带来新的合规要求,笔者结合《数据安全法》的规定为直播企业数据安全合规提供指引。
一、数据安全贯穿于直播数据收集、存储、使用、加工、传输、提供、公开等全生命周期。
《数据安全法》重新定义了数据和数据安全。数据是指任何以电子或者其他方式对信息的记录;数据处理是指数据的收集、存储、使用、加工、传输、提供、公开等;数据安全是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。[1]《数据安全法》对“数据”的界定,不局限于电子化的信息,也囊括其他形式的信息。《数据安全法》对“数据处理”的界定,几乎涵盖了数据的全生命周期。
具体到直播领域,数据主要分为用户数据和业务数据两类。用户数据指直播平台提供直播服务、购物服务收集、产生的用户(包括消费者和主播)个人信息,围绕着直播、购买商品的活动展开,包括注册/登录、浏览、下单、支付等。用户数据主要包括:个人身份信息(如姓名)、个人生物识别信息(如人脸、指纹)、网络身份标识信息(如昵称)、个人生理信息(如性别)、个人财产信息(如银行账号)、个人通信信息(如联系电话)、个人上网记录、个人常用设备信息、个人位置信息等。业务数据指直播带货平台提供中间媒介服务所收集和产生的数据,包括业务统计数据、业务经营数据、业务技术数据、商家信息等。直播带货中所产生的数据活动一般如下[2]:
直播带货中的数据处理主体主要指直播平台。《数据安全法》的出台,将要求直播平台开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。[3]与此同时,《数据安全法》还规定,重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。[4]
《数据安全法》将进一步压实数据处理主体的责任,为数据的收集处理、访问控制、公开等提出了新的合规要求。笔者建议,直播企业应树立全面数据合规理念,建立健全全流程数据安全制度,落实数据安全教育培训、数据安全维护经费保障等义务。
二、直播平台应当采取合法、正当的方式收集数据,并建立数据分类分级保护制度,形成数据保护目录。
《数据安全法》进一步强调任何组织、个人收集数据,应当采取合法、正当的方式。[5]数据收集、处理的合法性和正当性是数据安全合规的首要要求。直播平台收集数据,应当遵循“最小化收集原则”,明确所提供的基本业务功能所需的必要个人信息收集范围,对于可选业务功能应明确对应的信息收集范围。直播平台在收集个人信息时,应当征得消费者、主播人员的同意,应当明确告知收集、使用信息的目的、方式和范围,查询、更正信息的渠道以及拒绝提供信息的后果等事项。
《数据安全法》规定国家建立数据分类分级保护制度,根据数据的重要性实行分类分级保护,并要求企业应当确定重要数据具体目录。[6]依照前述规定,直播平台应识别数据活动涉及的数据,形成数据保护目录,实行分类分级保护。常见的数据类别与范围如下[7]:
|
类别 |
范围 |
|
用户数据 |
1.个人基本资料,包括姓名、生日、性别、头像、账户/会员等级、所在地区、收货地址、手机号码、电子邮件地址等; 2.个人身份信息,包括身份证、护照等; 3.个人生物识别信息,包括面部识别特征、声纹等; 4.网络身份标识信息,包括会员账号或会员名、昵称、IP地址等; 5.个人生理信息,包括身高、体重、三围、鞋码等; 6.个人财产信息,包括银行账户、鉴别信息、网络支付账户、交易和消费记录、会员积分等; 7.个人通信信息,包括与客服的通信/通话记录等; 8.联系人信息,包括代付款人姓名、手机号码、会员昵称,好友的昵称等; 9.个人上网记录,通过日志储存的个人信息主体操作记录,包括网站浏览记录、搜索记录、点击记录、收藏列表、关注店铺等; 10.个人常用设备信息,包括硬件序列号、设备 MAC 地址、软件列表、唯一设备识别码(如IMEI/Android ID/IDFA/OpenUDID/GUID/SIM 卡 IMSI 信息等)等个人常用设备基本情况的信息; 11.个人位置信息,行踪轨迹、精准定位信息、经纬度等; 12.其他信息,用户纠纷记录、用户评价与被评价信息等。 |
|
业务数据 |
13.业务统计数据,包括各类目的交易明细/排名、类目的交易成交总额、页面浏览量、用户访问量等; 14.业务经营数据,包括卖家等级、活动规则、活动方案、类目数据、合作授权价格、优惠活动浮动区间等; 15.业务技术数据,包括算法模型、技术指标参数、技术方案等。 |
根据数据重要程度、敏感程度、数据泄露造成的风险以及国家法律法规要求,参考《信息安全技术 网上购物服务数据安全指南》(征求意见稿)的相关规定,可将直播带货服务数据分为4级:第Ⅰ级为非敏感数据,第Ⅱ级为较敏感数据,第Ⅲ级为敏感数据,第Ⅳ级为高敏感数据,具体如下:
|
数据分级 |
分级标准 |
示例 |
|
Ⅰ-非敏感数据 |
可以被公共访问和或被用户设置为公开发布的数据,此类数据的公开对网上购物服务用户或网上购物服务业务不会产生不良影响。 |
用户非敏感数据(如交易评价)。 业务非敏感数据(如商家等级、活动规则、商品详情)。 |
|
Ⅱ-较敏感数据 |
大范围开放可能会对业务或用户造成较小或者不显著的负面影响,但因用户或业务要求需要对指定群体开放的数据。 |
用户较敏感数据(如消费者与客服的私信对话)。 业务较敏感数据(如业务交易成交量)。 |
|
Ⅲ-敏感数据 |
内部管理和业务运营需要且不应广泛公开的数据,具有较高商业价值,如果发生非授权的泄露,将直接或间接给用户和业务造成不利影响或损害。 |
用户敏感数据:不能识别特定自然人,但能够与其他信息结合识别特定自然人身份的数据(如电话、电子邮箱、购物记录)。 业务敏感数据:仅限组织内部相关业务员工使用的数据(如核心业务的各种交易明细/排名)。 |
|
Ⅳ-高敏感数据 |
高敏感数据是指具有极高商业价值的数据,即使极少量的泄露也将对业务、用户造成严重不利影响和损害。 |
用户高敏感数据:个人敏感信息以及能够单独识别特定自然人身份的数据(如公民身份号码、护照号码、用户账户密码)。 业务高敏感数据:仅限组织内部极少数人员访问的数据(如合作授权价格、优惠活动浮动区间)。 |
三、直播平台应采取相应的技术措施保障数据安全,应定期开展风险评估、加强风险监测。
《数据安全法》规定,开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施。就直播带货而言,面临的常见安全风险如下:
|
数据处理阶段 |
数据安全风险 |
|
数据收集 |
过度收集个人信息或者违反《常见类型移动互联网应用程序必要个人信息范围规定》过度索取移动终端权限的风险。直播带货中,平台提供消费者的基本功能服务为直播和购买商品,必要个人信息应限于: 1.注册用户移动电话号码; 2.收货人姓名(名称)、地址、联系电话; 3.支付时间、支付金额、支付渠道等支付信息。 |
|
数据存储 |
因链路监听、攻击拖库和权限不当等带来的数据泄露或滥用风险,比如: 1.未将会员数据、订单数据与用户生物识别信息在数据库表分级分开存储。 2.应将网上购物服务的商品和服务信息、交易信息保存时间自交易完成之日起应不少于三年。 |
|
数据使用 |
数据展示时可能存在个人信息泄露或滥用的风险,比如: 1.提供用户评论未对用户名作标识化处理。 2.购买隐私商品时未对用户头像、昵称作去标识化处理。 3.精准营销中未对消费者姓名、电话等信息作去标识化处理。 |
|
数据交换 |
可能存在超出必要限度与第三方共享数据的风险,比如: 1.直播带货中,商家仅可看到用户的收件人姓名、电话、收件地址、支付金额、发票信息、订单内容、备注信息、订单状态、物流状态,不应看到消费者支付账号信息。 2.对网络主播的表述,不应包含主播昵称、单位以外的隐私信息 3.未经用户同意,将用户电话等信息披露给营销机构。 4.网上社交购物服务中,不应将用户在社交网络平台上的昵称、头像、性别、所属地区信息共享给卖家。 5.网上社交购物服务中,不应将用户的拼单动态、购买的商品信息、商品评价等在用户未明示同意并授权的情况下,默认提供给他人。 |
|
个人信息查询、删除、更正、注销账户等环节 |
可能存在无法保障个人信息主体权利的风险,比如: 1.未提供浏览历史记录、商品搜索记录的清除选项。 2.未提供个人账户注销选项。 |
|
基于位置的网上购物服务等特殊场景 |
可能存在个人信息超范围收集、个人敏感信息泄露等风险,比如强迫用户将授权位置权限作为使用服务的前提条件。 |
2019年6月28日,工业和信息化部办公厅发布《电信和互联网行业提升网络数据安全保护能力专项行动方案》(工信厅网安〔2019〕42号),提出基本建立行业网络数据安全保障体系。随着《数据安全法》的出台,《个人信息保护法》的制定,国家未来将会出台更多的相应配套文件。直播带货企业应时刻关注数据领域的立法进展,将法律、法规、规则更新纳入到企业数据风险治理的常规监测机制中,开展网络数据安全风险评估,建立健全合规体系,增强自身的抗风险能力。
参考资料:
[1] 参见《数据安全法》第三条。
[2] 参见国家标准化管理委员会《信息安全技术 网上购物服务数据安全指南》(征求意见稿)。
[3] 参见《数据安全法》第二十七条。
[4] 参见《数据安全法》第三十条。
[5] 参见《数据安全法》第三十二条。
[6] 《数据安全法》第二十一条。
[7] 参见国家标准化管理委员会《信息安全技术 网上购物服务数据安全指南》(征求意见稿)。
本文作者
李 垚 律师
专业领域:
公司合规、并购融资、争议解决
团队简介
本律师团队由锦天城律师事务所高级合伙人彭胜锋律师领衔,专注股权诉讼、投资并购、企业法律顾问领域的法律服务。本律师团队现为欧派家居(603833.SH)、许继电气(000400.SZ)、斯凯奇中国(SKECHERS CHINA)、凯捷咨询(中国)、中船黄埔文冲、广州中远海运、红海人力集团、省广众烁、辽宁省政府广东办事处等单位提供法律服务。
联系我们
联系人:汪律师
联系电话:13922469313
地址 :广州市天河区珠江新城珠江西路5号广州国际金融中心33层02-07单元、35层01-02单元
因近期微信官方调整推送规则,如未经常留言或点击“在看”将影响您接收本公众号消息。为确保我们能更及时准确地向您推送文章,请您将“三知法行”公众号添加“☆”标置顶,并点击下方“赞”和“在看”,谢谢!