【数据法学】尚明明:数据治理的需求与《电子商务法》的回应
B D A I L C
欢 迎 关 注
Claude Monet
数据治理的需求与
《电子商务法》的回应
文 / 尚明明
数字经济时代是 “数据驱动”的时代。数据既是治理的手段,也是治理的对象。作为数字经济最活跃、最集中的表现形式之一,电子商务全面引领数字经济发展的同时,电商数据治理也成为国家数据治理的关键。于2018年8月31日由全国人大常委会第五次会议审核通过的《中华人民共和国电子商务法》(以下简称“《电商法》”)面对数字经济的数据治理需求,进行了全面的立法回应。
一、数据治理的需求与挑战
中国是世界上最大的电子商务市场之一,占全球总交易额的40%以上[1],截至2018年6月,我国网络购物用户和使用网上支付的用户已达5.69亿,占总网民数(8.02亿)的71.0%[2]。海量的用户和平台店铺决定了海量的个人信息、经营数据、交易记录、支付信息。这些数据不仅可为企业运营和国家治理提供了全新的治理工具;另一方面数据滥用和数据泄露使消费者权益和国家安全面临严峻的挑战,实现数据利用和数据安全的平衡,是各国立法者的普遍关注点。
1、个人信息保护基础上经营者义务的“合理性”需求
用户的个人信息保护已成为全球的数据治理关注的焦点。给予消费者个人信息控制权,如对个人信息的知情权、更正删除权,是限制个人信息的过度收集和滥用的重要治理手段,已被各国立法所广泛采纳。但给予消费者绝对的个人信息控制权,将会对电子商务经营者的合法利益造成损害。一是有大量个人信息是电商为满足用户网购需求和履行电商合同所必须收集和使用、存储的,二是消费者知情权、更正删除权实现方式还需要考虑与技术可行性、经济投入的成比例性以及消费者权益被不法分子利用的可能性。
诚然,个人信息已经成为域外隐私法的核心概念,但域外的法律实践与法律理论并未接纳一种可以对抗不特定第三人的个人信息权。[3]虽然欧美的个人信息保护法律体系不同,美国更倾向于将隐私与个人信息保护通过消费者权益进行保护,欧盟更倾向于将其设定为公民的权利,的但欧盟在个人信息权属的界定方面并没有实质的不同,无论是美国还是欧盟,都没有将个人信息作为一种绝对的权利进行保护。只是保护力度上有一定程度的差异。即使被称为“史上最严”的《欧盟一般数据保护条例》(GDPR)[4]也对个人信息主体访问、删除、更正个人信息进行了限制,不仅规定了适用的条件,还规定了限制情形,如果个人信息主体的权利请求被证明是不可能的或者是需要付出不成比例的工作量,则不适用上述权利[5];对个人信息主体索要额外副本可被要求支付费用[6];同时上述权利的行使不得对他人的权利和自由产生不利影响[7]或影响公共利益、科学、历史研究或统计目的[8]。
2、促进电商数据利用框架下防止“大数据杀熟”
使用算法是大数据时代区别与以往数据利用的显著标志。数据处理中的大数据计算因涉及到算法的“黑箱”性。引发了对自动化处理的偏差对个人的权益及国家安全可能造成的影响的担忧。
随着AI算法应用的深入,电商“千人千面”的个性化推荐为用户网购提供了便利,为电子商务经营者降低了推广成本;但算法还可帮助电子商务经营者通过收集用户画像、支付能力、支付意愿等信息实现“千人千价”,这也引发了社会各界对电商使用大数据杀熟的焦虑。一些全国人大常委会组成人员和部门、企业、社会公众提出,在目前的实践中一些电子商务经营者定向推送商品、服务信息存在误导的情况,侵害消费者合法权益,应对此作出有针对性的规范。[9]但数字经济时代是数据驱动下的算法时代,算法技术更新带来数据利用模式创新层出不穷,营销模式的创新带来的社会经济和法律问题非常复杂。比如针对不同用户的区分定价的问题不仅仅涉及消费者权益保护的法律问题,更是涉及经济学上价格歧视问题,对这一问题的争论一直存在,且差异化定价的合理性也需求根据不同场景进行判断。比如电商为吸引新用户,向新注册的消费者提供一定金额的专属优惠券;为调动老用户的活跃度,向一段时间内未购物的用户推动一定面额的优惠券;为提升用户的忠诚度,电商往往会来通会员服务,消费者成为高级别会员后,可享受一定的商品折扣优惠。
面对新兴的算法技术,如果过早对其进行监管性立法介入,将不利于电子商务经营者通过市场调节机制形成公认的规则,也不利于法律的稳定性。同时,强制性要求算法透明和可解释性,将可能导致牺牲效率,同时会破坏了算法的知识产权和商业秘密权利,降低了算法创新的动力并为恶意利用算法提供方便。
GDPR对于算法歧视的问题仅将法律的规制范围限定在对个人信息主体“带来法律上的影响或对其产生类似的重大影响”自动化决策和自动画像范围内。[10]对于个性化推荐功能收集个人信息的合法事由认定,欧盟各成员国数据监管机构普遍采用的监管思路为网络运营者自己使用自己用户的个人信息在自己的产品内定向推送被认定为“第一方关系”,数据控制者基于上述目的处理个人数据的依据不是用户同意,而是正当利益,因此也无需提供撤销同意的功能。
3、国家治理数据化与数据安全的平衡
数字经济与大数据的发展开辟了政府治理数据化的新途径。数字经济是典型的平台经济,进入数字经济时代,平台生态是成为产业的中心,所有的服务和交付都围绕平台进行,而且平台可以跨区域交付服务,一旦平台形成规模就具备先发优势。
数据报送在国内外立法中都有体现。如2015 年12 月,美国国会通过的《网络信息安全共享法》(CISA 法案)[11];该法案要求企业在必要时能根据国土安全部的需求迅速将用户信息与其进行共享;2016年11月,英国出台新版《调查权法》,扩大了部分政府机关获取民众网络与媒体信息的权利,要求互联网企业须保存用户一年内的网页浏览记录以供有关部门查阅。[12]GDPR规定,主管当局以预防、调查、侦查或起诉刑事犯罪,或执行刑事处罚为目的,包括保障并预防公共安全受到威胁的个人信息处理将不受GDPR管辖,[13]即使是在GDPR管辖范围内的,只要是基于公共利益处理个人信息,个人信息自决权也会受到限制。此外GDPR还规定企业为履行法律义务,可对个人信息进行处理。[14]2018年3月美国国会快速通过《澄清域外合法使用数据法》(the Clarifying Lawful Overseas Use of Data Act,Cloud Act)后,欧盟和英国版的Cloud Act也已提上立法议程。如交通部2018年2月颁布的《网络预约出租汽车监管信息交互平台运行管理办法》等都是政府调取企业数据用于社会公共管理与预防,打击犯罪的范例。
而电子商务是平台经济的典型。电商平台拥有的海量用户与店铺信息无尽是企业运营的商业机密,也无疑为国家治理提供了全新的工具。不可否认,电商大数据可为国家宏观经济的经济运行提供优质的大数据样本;海量数据库可为司法调查证据提供线索,同时电商平台数以万计的店铺数据为工商管理和税收管理提供参照,因此电商数据报送是公共机构有效治理电商的需求。需考虑的问题如下:
一是公共系统往往是黑客攻击的目标,其网路安全性能的可靠性是国家治理数据化的前提。公共系统网路安全性能的可靠性是国家治理数据化的前提,一旦公共系统数据泄露,将会造成巨大的安全事故,如数据是世界上最大的国营生物识别数据库——Aadhaar,于2017年发生数据泄漏事件,导致超过210个政府网站上公开暴露了Aadhaar用户的详细信息,其中包括用户的姓名、家庭住址、Aadhaar 号码、指纹与虹膜扫描以及其他敏感个人信息等,印度政府早已下令强制该国公民必须在2017年12月31日之前将Aadhaar号码与自己的银行账户、手机号码、保险账户、永久性账号卡(PAN Card)以及其他服务绑定。在公共系统为做好充足的安全防护前,大量的企业信息报送将带来难以预估的后果。
二是非必要的数据报送将会加重国外对中国“非市场经济的质疑”,限制我国电商企业走出去;特别是中美贸易战时期,过度强调企业的数据报送义务,将会是中国企业在国际竞争中处于更加不利的地位。
三是国家治理数据化也对公共机构在保证国家安全的基础上共享和开放公共信息和数据提出要求。数据报送如何在满足公共机构治理的同时,兼顾消费者隐私和企业商业秘密以及市场经济主体经营的自主性乃至数据的安全性,乃至如何让监管机构的数据也为电商的经营和管理发挥作用也是社会广泛关注的问题。比如企业的工商登记信息和行政许可信息等公共数据共享,将可以解决电商平台对平台内的经营者身份及资质核验的困难。
二、《电商法》的立法回应
1、合理强化用户个人信息权利
《电商法》从总体上强化了电商用户的个人信息自决权。根据《电商法》第24条规定,电子商务经营者收集、使用用户的个人信息,除应当遵守其他有关法律、行政法规规定的个人信息保护规则[15]外,还须遵守以下特别规定:应当给予用户查询、更正、删除个人信息的权利,并为用户提供注销功能,并明示规则。[16]
《电商法》在《网安法》基础上,将工信部2013年6月发布的《电信和互联网用户个人信息保护规定》(第24号令)中规定的个人信息主体的查询权和注销账户的权利[17]上升到法律层面。 但与24令相比,《电商法》对电子商务经营者上述义务进行了细化,并给予电商经营者合理的执行空间。根据《电商法》规定,一是只要能够证明“合理”且不违法法律、法规规定,并公示规则,电子商务经营者可以与用户自行约定用户信息查询、更正、删除以及用户注销权限的条件;二是规定了企业在提供服务时可核实身份。
与《网安法》不同的是,《电商法》对于个人信息删除权义务主体为电子商务经营者,即包括平台又包括店铺,因此义务主体并不限于“网络服务提供者”;且用户行使删除权的条件没有明确限定在《网安法》规定的“违反法律法规或双方约定收集、使用个人信息”的范围内。基于《电商法》与《网安法》的平行关系,从字面上理解,用户主张只要不违法法律和法规规定且合理,则平台需向用户提供个人信息的删除服务。当然根据《电商法》规定,商品和服务信息、交易信息保存时间自交易完成之日起不少于三年。[18]但除此之外还有大量的其他个人信息,如按照第24条的字面理解,将会给电子商务运营者带来更多的个人信息删除义务,造成不公平的差别性监管。而平等对待线上线下商务活动,不得采取歧视性的政策措施,已被写入《电商法》[19],对于个人信息保护的监管措施,电子商务经营者不应被区别对待。
2、应对AI算法技术的审慎规制
为回应社会各界热议的“大数据杀熟”问题,《<电商法>草案(三审稿)》增加规定:电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其推销商品或者服务,应当同时向该消费者提供不针对其个人特征的选项,尊重和平等保护消费者合法权益。[20]固然通过法律避免电子商务经营者作出对消费者不利的差别待遇,有利于保障消费者的知情权、选择权和公平交易权,但“同时向该消费者提供不针对其个人特征的选项”的规定在电商的实际运营中的打击面却远远大于“大数据杀熟”。比如大型电商平台拥有千万级的商品和服务信息,如果没有个性化推荐用户将很难找到自己需要的商品。为用户提供各种个性化推荐的功能,已成为电商的标配功能,从用户的反馈看,只要电商仅是自己收集,并仅是电商自己使用用户浏览信息、购物记录等个人信息用于搜索和个性化推荐功能,普通用户是可以接受的。要求电商提供关闭所有定推功能的选项,不符合电商运营的实际状况。
立法者显然也意识到《<电商法>草案(三审稿)》增加了第19条限制“大数据杀熟”的条款的立法目的虽然纯良,却因规定宽泛,将不会带来良法的价值。因此最终出台的《电商法》将“向该消费者提供不针对其个人特征的选项”的要求限定在“提供商品或者服务的搜索结果”的范围内,体现了应对新技术的审慎规制的立法态度。同时,《电商法》68条明确规定鼓励电子商务数据开发应用,保障电子商务数据依法有序自由流动,这也体现了数字经济下《电商法》鼓励发展电子商务新业态,创新商业模式的立法价值[21]。
3、规定必要的数据报送义务
《电商法》规定了电子商务经营者的数据报送义务。电子商务平台经营者应当按照规定分别向市场监督管理部门报送平台内经营者的身份信息,向税务部门报送平台内经营者的身份信息和与纳税有关的信息。[22]
为保证不对电子商务经营者的经营的自主性进行干涉,《电商法》将电子商务经营者数据报送的义务限定在“必要”的范围内, 一是限定了主管部门仅可依照法律、行政法规的规定要求数据报送;二是仅要求电子商务平台经营者提供平台内经营者的身份信息和与纳税有关的信息。而这些信息是平台内经营者应作为市场经营主体须依法主动向国家市场监督管理部门、税务部门提供的信息。立法者仅是出于平台经营者能够获取一手的平台内经营者的身份和纳税信息,要求平台经营者协助参与工商和税务的管理。值得称赞的是,最终通过的《电商法》相较于《<电商法>草案(二审稿)》要求电子商务平台经营者按照规定向工商行政管理部门、税务部门报送平台内经营者的身份信息和经营信息的笼统规定,更体现了信息报送内容的“必要原则”。此外,报送的数据应建立在准确的基础上,规定了电商平台要对平台内经营者的身份信息进行核验[23]。
需探讨的问题是:仅根据《电商法》规定,针对同一平台内经营者的身份信息,电子商务经营者就需要分别向市场监督管理部门与税务部门报送一次,且《电商法》并未做明确规定到底向哪级市场监督管理部门与税务部门报送数据。如根据注册地原则,中国有2862个县级行政区,电子商务平台须向如此多的行政区内工商、税务机构报送数据,实操困难性大。一是县级的行政管理部门系统防御网络攻击的能力有限,二是电子商务平台的系统对接压力大。随着国家治理数据化的推进,会有更多的公共部门需要使用电商平台的数据进行公共治理,这将给电子商务平台数据安全性带来巨大考验。虽然为保证公共机构使用电商数据的安全性,《电商法》要求主管部门应当采取必要措施保护电子商务经营者提供的数据信息的安全,并对其中的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。但如何“采取必要措施”,国家须从整体和全局出发,在顶层设计方面拿出系统的解决方案。
《电商法》同时对公共数据的共享需求进行可回应,规定国家采取措施推动建立公共数据共享机制,促进电子商务经营者依法利用公共数据。
4、赋予市场监督管理部门的执法“牙齿”
《电商法》明确服务市场监督管理部门数据治理的处罚权。违反《电商法》规定,侵害个人信息依法得到保护的权利,或者不履行保障网络安全的义务的,除依照《中华人民共和国网络安全法》的现有规定处罚[24]外,《电商法》对电子商务经营者未按规定提供个人信息查询、更正、删除以及用户注销的情形、违规使用用户个人信息进行定向推送的的情形及电商平台经营者不履行平台内经营者身份核验或不报送须报送信息的情形规定了责令限期改正、没收违法所得、责令停业整顿和并处罚款的等罚则。
根据《电商法》第75条规定,电子商务经营者未明示用户信息查询、更正、删除以及用户注销的方式、程序,或者对用户信息查询、更正、删除以及用户注销设置不合理条件的。市场监督管理部门有权责令限期改正,对平台内的经营者市场监督管理部门可并处一万元以下的罚款,对电子商务平台经营者, 则可并处二万元以上十万元以下的罚款;情节严重的,并处十万元以上五十万元以下的罚款。需注意的是电子商务平台对平台内经营者电子商务平台经营者对违反前款规定的平台内经营者提供个人信息查询、更正、删除以及用户注销的义务须采取未采取必要措施,负责市场监督管理部门有权责令其限期改正,并处二万元以上十万元以下的罚款。
根据《电商法》第76条规定,电子商务经营者违反第18条搜索功能未提供非定推选项的,由市场监督管理部门责令限期改正,没收违法所得,可并处五万元以上二十万元以下的罚款;情节严重的,并处二十万元以上五十万元以下的罚款。
根据《电商法》第78条规定,电子商务平台经营者不履行平台内经营者身份核验义务、不向履行数据报送义务的,由有关主管部门责令限期改正;逾期不改正的,责令停业整顿,并处二万元以上十万元以下的罚款;情节严重的,并处十万元以上五十万元以下的罚款。
展望
《电商法》对现阶段电子商务治理中尚待解决的问题提出了线上线下商务活动应受到同等的对待、建立电子商务管理综合协调机制、国家建立符合电子商务特点的协同管理体系、优化监管流程、推动实现信息共享、监管互认、执法互助等战略性的解决思路[25]。这些思路亦适用于搭建《电商法》数据治理问题的解决框架。
作为对电子商务经营者数据报送义务的对等性立法回应,《电商法》要求国家采取措施推动建立公共数据共享机制,促进电子商务经营者依法利用公共数据数据安全立法,推动公共数据反哺电子商务经营[26]。
虽然《电商法》下电商数据治理框架的完善还有待于国家数据安全立法及个人信息保护统一立法的完善与国家对数据报送及公共数据共享顶层制度设计的出台。但《电商法》从总体上顺应了数字经济的发展趋势,兼顾了数据利用和数据安全的平衡。
向上滑动阅览
[1]参见美国报业辛迪加(Project Syndicate):China, the Digital Giant,
https://www.project-syndicate.org/commentary/china-digital-age-innovation-by-kai-fu-lee-and-jonathan-woetzel-2017-12?barrier=accesspaylog,最后访问时间2018年9月2日。
[2] 参见CNNIC《第42次中国互联网网络发展状况统计报告》,2018年7月。http://www.cnnic.net.cn/hlwfzyj/hlwxzbg/hlwtjbg/201808/P020180820630889299840.pdf,最后访问时间2018年9月2日。
[3] 参见丁晓东:个人信息私法保护的困境与出路,载《法学研究》2018年第6期,第194-206页。
[4] 参见https://gdpr-info.eu/,最后访问时间2018年9月2日。
[5] 参见GDPR第14条、第19条。
[6] 参见GDPR第15条。
[7] 参见GDPR第15条、第17条。
[8] 参见GDPR第17条。
[9] 参见《全国人民代表大会宪法和法律委员会关于《中华人民共和国电子商务法(草案)》修改情况的汇报》,http://www.npc.gov.cn/npc/cwhhy/13jcwh/2018-06/19/content_2056123.htm,最后访问时间2018年9月2日。
[10] 参见GDPR第22条,“重大影响”范围主要指对人身自由、个人信用、教育、就业等造成重大影响。
[11] 参见Cybersecurity Information Sharing Act of 2015 ,https://www.congress.gov/bill/114th-congress/senate-bill/754,最后访问时间2018年9月2日。
[12] 参见 the Investigatory Powers Act 2016,https://www.gov.uk/government/collections/investigatory-powers-bill,最后访问时间2018年9月2日。
[13] 参见GDPR第2条
[14] 参见GDPR第6条
[15] 参见电商法第23条。
[16] 参见电商法第24条。
[17] 参见第24号令第9条。
[18] 参见《电商法》第30条
[19] 参见《电商法》第5条。
[20] 参见《电商法》(草案)第19条
[21] 参见《电商法》第4条。
[22] 参见《电商法》第27条。
[23] 参见《电商法》第26条。
[24] 参见《电商法》第79条。
[25] 参见《电商法》第一章、第五章。
[26] 参加《电商法》第68条第二款。
感谢作者的授权
本文仅作学习交流之用
Vincent Willem van Gogh
往期荐读
编辑:钟柳依
欢迎点击“阅读原文”