315电商平台合规之若干高频问题与个人信息保护
作者:吴卫明 刘芷均 赵天骄 2021-03-153·15专文之一
电子商务领域高频问题及合规建议
吴卫明 高级合伙人 刘芷均 律师 二十世纪末电子商务在我国开始出现,历经二十余年的发展,依托于信息技术和良好的经济环境,各种业态的电子商务平台均得到了蓬勃的发展。随着时间的推移,从传统电子商务逐步演化,催生了不同模式的新电子商务,如社交电子商务、直播电子商务、社交团购和社区团购等等。自2019年《中华人民共和国电子商务法》(以下简称“《电子商务法》”)实施以来,对于电子商务领域各个角色从法律层面进行了明确的定义和区分,同时赋予了不同的责任和义务。然而不同的规模、不同的模式、不同的角色,在同一个电子商务领域中,都有着同一个不容忽视的问题——合规。 又一年的3·15之际,本文将从电子商务领域中电子商务平台运营的部分高频问题入手,对电子商务平台的持续稳定、合规有效发展提出建议。 一、主体经营资质 《电子商务法》的出台,明确规定了电子商务经营者(包括电子商务平台经营者、平台内经营者以及通过自建网站、其他网络服务销售商品或者提供服务的电子商务经营者)应当依法办理市场主体登记。除此之外,《电子商务法》还要求电子商务经营者根据所处行业经营的规定取得相应的行政许可或履行相应的备案程序(如取得ICP、EDI许可证等)。前述的相关注册登记、备案及许可的信息,电子商务经营者还应当在其首页显著位置进行公示。 在电商平台进行合规自我审查的过程中,需注意的是,主体登记、取得许可或办理备案、首页公示的要求是针对所有电子商务经营者,不仅针对平台,还包括平台内经营者,即通常所说的入驻商家。对于公示信息的合规要求,由于较为细节,有时会被经营者忽视。 合规建议: 电子商务经营者应当根据自身的经营模式,完成主体登记,取得相应的行政许可,履行完毕相应的备案程序要求,并在首页位置对相关信息进行信息披露。 二、广告推送 在“流量为王”的时代,在传统电子商务之外催生了社交电子商务、直播电子商务等新模式,广告推送和产品宣传是电子商务领域的常见场景,形式的多样性催生了多种合规问题。在这一方面,电子商务经营者应当重点关注《电子商务法》、《中华人民共和国广告法》(以下简称“《广告法》”)、《中华人民共和国消费者权益保护法》(以下简称“《消费者权益保护法》”)、《中华人民共和国反不正当竞争法》(以下简称“《反不正当竞争法》”)等法律法规及部门规章的规定。 可能出现的合规问题包括但不限于如下: 1、未显著标明“广告”及广告主信息; 2、未经平台用户许可擅自推送商业信息; 3、对于商业广告及服务信息未进行区分; 4、不当利用用户画像精准推送; 5、无法退订或所提供的退订方式过于繁琐或无效。 合规建议: 电子商务经营者应当建立平台专门商业广告及营销内容发布和管理规则,同时应当同步搭建内部专项合规审查机制,设立专人专岗对该等内容进行审查、抽查。 针对直播推广的形式,由于当前尚缺少全面监管的政策,建议电子商务经营者在提供直播推广方式的同时,可以参考中国广告协会发布的《网络直播营销行为规范》的相关内容建立专门管理规则,并设立专人专岗针对直播内容和主播行为进行约束和规范,从技术手段和平台规则层面保障平台内直播推广行为的合规性。 三、商品价格发布 2021年3月3日,市场监管总局依法对5家社区团购公司开出行政处罚的罚单,其中4家处罚金额超过百万,处罚系基于5家社区团购公司的不正当价格行为做出。 电子商务平台的商品价格的发布须同时注意《电子商务法》、《中华人民共和国价格法》(以下简称“《价格法》”)、《广告法》、《消费者权益保护法》及《反不正当竞争法》等相关法律法规及部门规章的规定。 商品价格发布中容易发生的不正当价格行为有如下: 1、相互串通,操纵市场价格,损害其他经营者或者消费者的合法权益; 2、在依法降价处理鲜活商品、季节性商品、积压商品等商品外,为了排挤竞争对手或者独占市场,以低于成本的价格倾销,扰乱正常的生产经营秩序,损害国家利益或者其他经营者的合法权益; 3、捏造、散布涨价信息,哄抬价格,推动商品价格过高上涨的; 4、利用虚假的或者使人误解的价格手段,诱骗消费者或者其他经营者与其进行交易; 5、提供相同商品或者服务,对具有同等交易条件的其他经营者实行价格歧视; 6、采取抬高等级或者压低等级等手段收购、销售商品或者提供服务,变相提高或者压低价格; 7、违反法律、法规的规定牟取暴利。 除此之外,针对电子商务平台经营者,《电子商务法》规定其不得利用服务协议、交易规则以及技术等手段,对平台内经营者在平台内的交易、交易价格以及与其他经营者的交易等进行不合理限制或者附加不合理条件,或者向平台内经营者收取不合理费用。 合规建议: 对电子商务平台经营者:制定并实施明确有效的平台商品价格发布规则,并向平台内经营者公示,同时,应明确平台违规处罚机制;就平台价格体系及每个商品标示价格定义通过显著的方式向消费者明示告知。 对平台内经营者以及通过自建网站、其他网络服务销售商品或者提供服务的电子商务经营者:注意避免发生前述法律法规及部门规章中关于不正当价格行为的情形,提前了解所在平台的价格发布规则并按规则发布。 四、商品及入驻商家审核 关于商品进入平台销售以及经营者(商家)入驻平台开展经营,《电子商务法》对于电子商务经营者中的不同角色进行了责任区分。对于电子商务平台经营者来说,发生商品信息披露不完整、线上线下同款产品出现差异、产品危害人身安全、平台内经营者(即入驻商家)超范围经营或未取得授权许可开展经营等等问题,严重损害了用户作为消费者的合法权益,可能受到用户的投诉,甚至受到监管部门的关注和处罚。因此,电子商务经营者的审核义务需要得到重视和履行,在这里,笔者认为重视审核义务并不意味着要过分施加平台经营者的审核义务。当前的《电子商务法》及其他相关规定对平台经营者审核义务的要求并不够明确,对于平台经营者来说,审核的越完善、越充分,相对来说法律风险和合规风险就越小。 合规建议: 电子商务平台经营者应明确风险层级和应对机制,根据自身平台的特点,建立专门的商品和入驻平台内经营者的审核与管理规则,设立专人专岗进行定期核验和信息更新,具体要求如下:电子商务平台经营者应当对于进入平台销售商品或提供服务的经营者审核其身份、地址、联系方式、行政许可等真实信息并进行核验、登记、建立档案,同时须定期核验更新;应当按照规定向市场监督管理部门报送平台内经营者的身份信息,提示未办理市场主体登记的经营者依法办理登记;应当依照税收征收管理法律、行政法规的规定,向税务部门报送平台内经营者的身份信息和与纳税有关的信息。 五、会员积分体系 为获取流量和用户、提升用户忠诚度以及鼓励用户消费,当前大部分的电子商务平台都设置了自己的会员积分体系。当前我国尚未出台或发布关于积分的法律法规或专门监管政策,对于电子商务平台会员积分体系的合规要求须符合多个部门的规定和要求,包括但不限于《中华人民共和国中国人民银行法》、《中华人民共和国人民币管理条例》、《非金融机构支付服务管理办法》、《单用途商业预付卡管理办法(试行)》、《反不正当竞争法》、《规范促销行为暂行规定》等。 在电子商务平台搭建自己的会员积分体系时,可能存在的合规问题及对应的可能情形如下: 1、被认定为发行“代币票券”: (1) 直接发放/发行积分,并与法定货币形成一定的价格对应关系; (2) 在不同法人积分体系之间形成不同积分直接互换机制/允许同一积分在不同法人平台消费或兑换产品、服务等; (3) 允许用户之间进行积分交易。 2、被认定为发行多用途预付卡: 通过充值后取得积分,可在不同店铺/不同法人单位进行消费或兑换相应的产品及服务。 3、被认定为发行单用途商业预付卡:通过充值后取得积分,可在平台自营产品/服务范围内进行消费或兑换。 4、被认定为有奖销售行为: (1) 抽奖式有奖销售,以抽签、摇号、游戏等带有偶然性或者不确定性的方法,决定消费者是否中奖; (2) 附赠式有奖销售,向满足一定条件的消费者提供奖金、物品或者其他利益。 5、被认定为不正当竞争行为(在有奖销售情况下): (1) 所设奖的种类、兑奖条件、奖金金额或者奖品等有奖销售信息不明确,影响兑奖; (2) 采用谎称有奖或者故意让内定人员中奖的欺骗方式进行有奖销售; (3) 抽奖式的有奖销售,最高奖的金额超过五万元。 合规建议(针对电子商务平台经营者): 针对被认定为发行“代币票券”问题:禁止用户之间交易积分;明确告知并采取技术手段限制积分在用户之间的流转;明确积分兑换的商品或服务实际系公司采购后向用户提供,或者明确积分为平台提供的优惠措施,而非用于向商家付款的支付手段。 针对被认定为发行多用途预付卡问题:可针对不同店铺建立各自独立的积分体系;禁止积分在不同法人体系之间进行互通消费或兑换;避免在积分兑换产品中设置不同法人发行的卡券类产品。 针对被认定为单用途预付卡问题:避免提供通过充值/缴费或类似方式直接获取积分的模式;如果该模式无法避免,则需要与商管部门确认积分性质,以及是否需要备案。如果在积分规则中明确某类积分可以兑换的具体产品或服务内容及数量,则可以不被视为单用途预付费卡;。 针对被认定为有奖销售行为问题:按照《规范促销行为暂行规定》的要求搭建积分体系;同步配套相应的管理人员和内控制度。 针对被认定为不正当行为问题:明确设计积分体系和规则,避免规则互斥;做好强有力的内部控制,防止内定情形;确认抽奖赠送积分模式下的最高限额。 六、数据合规(包括个人信息保护) 数据合规作为互联网企业需关注的基础问题,电子商务经营者同样不可忽视。关于电子商务领域数据合规的风险和法律建议,详见本平台另一篇文章“【315专文:电子商务平台个人信息保护合规实务概要】”所述。 电子商务领域的发展日新月异,市场竞争愈发激烈。市场监管总局近期做出的罚单给了电子商务领域从业者监管警示。电子商务经营者在发展业务、抢占市场份额的同时,也要怀着社会责任感,从法律合规的角度出发,定期进行自我合规审查和外部专业机构合规审查,降低合规风险,从而保障业务的稳健与持续发展。
315专文之二:
电子商务平台个人信息保护合规实务概要
吴卫明 高级合伙人 赵天骄 律师助理 2020年至2021年,在监管部门密集出台的法规政策及频繁的执法活动之下,电商平台各类合规问题再次成为多方关注焦点。电商平台作为平台经济的重要组成部分,一方面需要应对平台经济合规监管压力,另一方面,也需要持续应对网络安全、数据及个人信息保护的合规压力。上述领域的法律法规、监管政策,日益显现叠加效应。315国际消费者权益日前夕,本文特从个人信息保护角度对电商平台的合规要点进行简要整理,希望对各电商平台合规要求适用、法律责任承担及合规体系设计有一定的参考价值。 一、 电商平台个人信息保护概述 我国个人信息保护领域的主要的法规依据包括《民法典》、《网络安全法》及尚未正式公布生效的《数据安全法(草案)》、《个人信息保护法(草案)》等,同时还包括诸多行政法规、部门规章、政府规范性文件及标准文件(详见附表)。电子商务属于数据密集型行业,在线交易时刻都会有大量数据产生,也会频繁收集个人信息,因而《电子商务法》中也设置了电商平台的个人信息保护义务。如《电子商务法》第二十三条规定电子商务经营者收集、使用其用户的个人信息,应当遵守法律、行政法规有关个人信息保护的规定;《电子商务法》第二十四条对用户信息的查询、更正、删除及保存的程序和实体要求作出了具体规定。 实务中,须根据电商平台的具体业务经营模式、各参与主体法律性质、业务流程中具体环节(场景)、涉及的数据类型等要素适用相关法规、政策及标准,具体分析个人信息保护合规要求、法律责任及合规管理方式。 二、 电商平台参与主体及业务模式分析 2.1 电商平台参与主体 根据《电子商务法》第九条规定,电子商务经营者可分为电商平台经营者(以下简称:平台)、平台内经营者及其他电子商务经营者。除电子商务经营者和消费者外,在电商一般业务流程中还存在众多相关服务提供者,各主体关系可简要整理如下图: 2.2 电商平台业务模式 经过多年发展,国内消费类电商行业形成了众多的业务模式和细分领域,也有诸多的分类方式。如从经营主体法律性质和责任承担角度,可将电商平台业务划分为“平台类”(纯中介服务类)业务和“自营类”业务。同一电商平台的不同的业务模式下,由于服务提供方式不同,各主体间数据交互方式存在显著差异,因此平台所应遵守的合规要求也存在差异。 平台作为个人信息控制者,一般可以通过PC端网站、移动端APP或微信小程序等平台“载体”收集用户的个人信息。在如上“平台类”业务模型中,在用户下单后,平台必须将用户订单信息提供给平台内入驻商家,而在平台“自营类”业务中,由于不存在平台内入驻商家,实际商品生产企业仅作为平台的供应商,因此理论上平台无需在本次交易过程中将用户订单信息直接传输至其供应商的业务系统。在自建仓储物流的情形下,平台也无需将订单信息提供给其他物流服务提供者。显然,以上两种业务模式下平台在个人信息的共享和转让的合规要求适用方面差异较大。 三、具体业务流程(场景)合规要点举例 参照国内主流B2C电商平台一般交易类业务实践,可以将非自营类电商业务流程可大致区分为以下几个环节: 由于《个人信息保护法(草案)》尚未最终公布生效,从企业合规实务角度出发,本部分主要参考《信息安全技术 个人信息安全规范》(GB/T 35273—2020)对部分合规要点进行整理。以个人用户注册及登录环节为例,《个人信息安全规范》中所涉及的基本合规要点可整理如下表: 个人用户注册及登录环节[1] 合规要点 详细内容 责任主体 通用 1. 授权同意原则 § 公开收集、使用规则,并明示收集、使用信息的目的、方式和范围等,经个人信息主体授权同意。 § 满足收集、共享及转让个人敏感信息、个人生物识别信息及未成年人个人信息的特殊规定。 § 个人信息控制者对外提供(共享、转让)个人信息时需事先征得个人信息主体的明示同意。 电商平台经营者(默认为个人信息控制者,下同) 2. 最小必要原则 没有收集的个人信息的参与则业务功能无法实现(直接关联);自动采集个人信息的频率应仅限于实现业务功能所必需的最低(最低频率);间接获取个人信息的数量应是实现业务功能所必需的最少数量(最少数量)。 电商平台经营者及服务提供商 3. 个人信息保护政策 应制定个人信息保护政策,内容应包括个人信息控制者基本信息、个人信息收集方式、存储期限、数据出境的处理规则、对外共享、转让、公开披露个人信息的目的、涉及的个人信息类型、接收个人信息的第三方类型等,并应告知个人信息主体权利和实现机制,处理个人信息主体询问、投诉的渠道和机制。个人信息保护政策所告知的信息应真实、准确、完整,清晰易懂,公开发布且易于访问,应逐一送达个人信息主体 电商平台经营者 4. 个人信息主体权利 电子商务经营者应当明示用户信息查询、更正、删除以及用户注销的方式、程序,不得对用户信息查询、更正、删除以及用户注销设置不合理条件。 电商平台经营者 收集 5. 收集合法性 个人信息控制者不应以欺诈、诱骗、误导的方式收集个人信息;不应隐瞒产品或服务所具有的收集个人信息的功能;不应从非法渠道获取个人信息。 电商平台经营者及服务提供商 6. 告知和明示同意的实现方法 在业务功能开启前(如个人信息主体初始安装、首次使用、注册账号等)或首次使用前,应通过交互界面或设计(如弹窗、文字说明、填写框、提示条、提示音等形式),向个人信息主体告知基本业务功能所必要收集的个人信息类型,以及个人信息主体拒绝提供或拒绝同意收集将造成的影响,并通过个人信息主体对信息收集主动作出肯定性动作(如勾选、点击“同意”或“下一步”等)征得其明示同意 电商平台经营者及服务提供商 7. 间接获取个人信息 要求作为接收方的企业有义务要求提供方对相关个人信息的来源进行说明并确认其合法性,同时还应当了解个人信息主体对于提供方的授权范围,包括使用目的、个人信息主体是否授权同意转让、共享、公开披露等内容,若接收方处理个人信息超出上述范围的,还应在合理期限内另行征得个人信息主体的明示同意。 电商平台经营者及其合作方 8. 多项业务功能的自主选择 网络运营者不得通过捆绑产品或服务各项业务功能的方式,要求个人信息主体一次性接受并授权同意其未申请或使用的业务功能收集个人信息的请求。产品或服务的特定业务功能的开启条件是个人信息主体自主作出的肯定性动作 电商平台经营者 9. 去标识化处理 收集个人信息后,个人信息控制者宜立即进行去标识化处理,并采取技术和管理方面的措施,将可用于恢复识别个人的信息和去标识化后的信息分开存储并加强访问和使用的权限管理。 电商平台经营者 使用 10. 使用的目的限制 使用个人信息时,不应超出与收集个人信息时所声称的目的具有直接或合理关联的范围。因业务需要,确需超出上述范围使用个人信息的,应再次征得个人信息主体明示同意。如所收集的个人信息进行加工处理而产生的信息,能够单独或与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的,应将其认定为个人信息。对其处理应遵循收集个人信息时获得的授权同意范围。 电商平台经营者、服务提供商或其他合作方 传输 11. 个人敏感信息加密传输 传输个人敏感信息时,应采用加密等安全措施,采用密码技术时宜遵循密码管理相关国家标准。 电商平台经营者、服务提供商或其他合作方 12. 跨境传输 在中华人民共和国境内运营中收集和产生的个人信息向境外提供的,个人信息控制者应遵循国家相关规定和相关标准的要求。 电商平台经营者、服务提供商或其他合作方 委托处理、共享、转让、公开披露 13. 委托第三方处理(如人脸识别) 个人信息控制者的委托行为不应超出已征得个人信息主体授权同意的范围,或应符合授权同意例外的情形;个人信息控制者应对委托行为进行个人信息安全影响评估,确保受委托者达到数据安全能力要求;个人信息控制者应对受委托者进行监督。 电商平台经营者及合作方 受委托者应严格按照个人信息控制者的要求处理个人信息。受委托者因特殊原因未按照个人信息控制者的要求处理个人信息的,应及时向个人信息控制者反馈;受委托者确需再次委托时,应事先征得个人信息控制者的授权;协助个人信息控制者响应个人信息主体权利请求;受委托者在处理个人信息过程中无法提供足够的安全保护水平或发生了安全事件的,应及时向个人信息控制者反馈;在委托关系解除时不再存储相关个人信息。 电商平台经营者及合作方 除对业务流程各环节合规要求及责任主体进行准确识别外,如可能涉及APP个人信息收集、广告精准营销、个性化商品展示、差异化定价、个人信息出境等特殊场景,以及个人生物识别信息、个人金融信息等特殊数据类型的,还应结合有关法规、政策及标准完整理解其合规要求。 四、电商平台个人信息保护法律责任分析 4.1 责任承担主体 由于电商平台业务流程中涉及诸多参与主体,明确各方责任分配问题是平台确定合规内控管理策略的重要考量因素。 关于电商平台经营者和平台内经营者的责任区分,《电子商务法》在产品质量、知识产权等领域做出了较为详细的规定,例如《电子商务法》第三十八条规定了在入驻商家所销售的商品或服务不符合人身及财产保护要求时,平台承担连带责任和承担“相应责任”的不同情形,《电子商务法》第四十二条、四十三条、四十五条就知产侵权案件中平台的“避风港”原则及“红旗”原则做了说明,平台在不同情形下应承担不同的责任。 而在个人信息保护方面,《电子商务法》仅对电子商务经营者的责任义务做概括性要求,并未对不同角色的合规要求和责任承担直接作出规定,须结合相关法规规定具体分析。如《电子商务法》第二十三条规定电子商务经营者收集、使用其用户的个人信息,应当遵守法律、行政法规有关个人信息保护的规定;《电子商务法》第七十九条规定电子商务经营者违反法律、行政法规有关个人信息保护的规定,或者不履行本法第三十条和有关法律、行政法规规定的网络安全保障义务的,依照《中华人民共和国网络安全法》等法律、行政法规的规定处罚。 如参考尚未生效的《个人信息保护法(草案)》,则根据个人信息处理的具体场景中的不同角色,分别规定了个人信息处理者、共同个人信息处理者、受托方及第三方的应履行的义务和相应法律责任,如《个人信息保护法(草案)》第二十一条规定个人信息处理者共同处理个人信息,侵害个人信息权益的,依法承担连带责任;《个人信息保护法(草案)》六十二条规定违反本法规定处理个人信息,或者处理个人信息未按照规定采取必要的安全保护措施的,由履行个人信息保护职责的部门责令改正,没收违法所得,给予警告等。《个人信息安全规范》中也有关于个人信息控制者、共同个人信息控制者、委托处理方、第三方合规要求的具体规定。 因此,需根据特定业务模式、业务环节(场景)中各参与方的法律性质决定具体义务和责任分配。而从当前审判实践来看,在非自营类业务模式下的个人信息侵权纠纷案件中,如平台不能证明自身不存在安全管理漏洞,则根据高度盖然性原则,平台通常需承担全部民事赔偿责任(参见“庞理鹏与北京趣拿信息技术有限公司等隐私权纠纷上诉案”)。 4.2 责任承担形式 个人信息保护领域,电商平台经营者可能承担责任的形式包括行政处罚、民事责任及刑事责任。 在行政处罚方面,网络运营者、网络产品和服务提供者违反《网络安全法》、《个人信息保护法(草案)》(尚未正式实施生效)及其他相关法律、法规、规范性文件要求的,可对单位和/或责任人处以行政处罚,具体包括责令改正、没收违法所得、罚款,情节严重的责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。 民事责任方面,主要包括违约责任及侵权责任。平台违反与个人信息主体之间有效合同约定内容的,应依据《民法典》第三编第八章相关条文规定并参考合同约定承担相应违约责任。平台侵害个人信息主体民事权益(个人信息保护及隐私权)的,应依据《民法典》第四编第六章及第七编的相关条文承担侵权责任。 刑事责任方面,可能涉及的罪名包括侵犯公民个人信息罪 (《刑法》第二百五十三条之一)、拒不履行信息网络安全管理义务罪(《刑法》第二百八十六条之一)、非法侵入计算机信息系统罪、非法获取计算机信息系统数据、非法控制计算机信息系统罪及破坏计算机信息系统罪等。 五、平台个人信息保护合规管理 平台开展个人信息保护合规内控管理工作,应当首先根据上文所述,明确主体性质、业务模式、业务流程中具体环节(场景)、数据类型、责任承担主体和形式等要素,然后根据有关法规及标准要求,重点围绕数据全生命周期各环节建立内外部相结合的个人信息合规管理体系。 外部而言,主要应通过《用户协议》和《个人信息保护政策》履行告知同意义务,在与入驻商家的《服务协议》及其他服务提供者或合作方的《合作协议》中也应明确关于个人信息保护方面的权利义务。 内部而言,主要应从组织人员、制度流程及技术工具几个方面着手建立合规内控体系,具体设计思路可参照下表[2]: 附表:部分重要法规、规范性文件、标准及司法解释一览 效力等级 名称 状态 法律及法规 《中华人民共和国民法典》 《中华人民共和国刑法》 《中华人民共和国网络安全法》 《数据安全法(草案)》 《个人信息保护法(草案)》 《中华人民共和国消费者权益保护法》 《中华人民共和国侵权责任法》 《中华人民共和国电子商务法》 《网络交易管理办法》 《网络交易监督管理办法(征求意见稿)》 《互联网信息服务管理办法》 《侵害消费者权益行为处罚办法》 《数据安全管理办法(征求意见稿)》 《个人信息和重要数据出境安全评估办法(征求意见稿)》 《个人信息出境安全评估办法(征求意见稿)》 已生效 已生效 已生效 草案 草案 已生效 已生效 已生效 已生效 征求意见稿 已生效 已生效 征求意见稿 征求意见稿 征求意见稿 规章及其他规范性文件 《电信和互联网用户个人信息保护规定》 《儿童个人信息网络保护规定》 《关于开展APP侵害用户权益专项整治工作的通知》 《App违法违规收集使用个人信息行为认定方法》 《全国人民代表大会常务委员会关于加强网络信息保护的决定》 已生效 已生效 已生效 已生效 已生效 标准及指南 《信息安全技术 个人信息安全规范》 《信息安全技术 个人信息告知同意指南(征求意见稿)》 《信息安全技术 数据出境安全评估指南(征求意见稿 )》 《信息安全技术 移动互联网应用(App)收集个人信息基本规范(征求意见稿)》 《信息安全技术 个人信息安全影响评估指南》 《信息安全技术 个人信息去标识化指南》 《互联网个人信息安全保护指南》 《App违法违规收集使用个人信息自评估指南》 《移动互联网应用程序(App)个人信息保护常见问题及处置指南》 《APP收集使用个人信息最小必要评估规范》系列标准 《APP用户权益保护测评规范》系列标准 《个人金融信息保护技术规范》 《金融数据安全分级指南》 已生效 征求意见稿 征求意见稿 征求意见稿 已生效 已生效 已生效 已生效 已生效 已生效 已生效 已生效 已生效 司法解释 《最高人民法院、最高人民检察院、公安部关于依法惩处侵害公民个人信息犯罪活动的通知》 《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》 《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》 《最高人民法院关于适用〈中华人民共和国刑事诉讼法〉的解释》 已生效 已生效 已生效 已生效 [1] 注:以上仅依据《个人信息安全规范》,对一般业务流程中个人用户注册及登录环节涉及事项的底线合规要求进行整理。企业合规实务中须结合实际业务流程和技术方法,依据所有相关的法规、政策、标准及司法解释整理所有可能涉及的合规要点。 [2] 注:此图载于《数据安全能力建设实施指南(2018)》,其数据生命周期划分方式与《个人信息安全规范(2020)》有一定差异,仅供参考
以某“平台+自营”B2C电商平台为例,在其“平台类”业务中用户个人信息收集和共享的简要模型如下图所示:
