电商代运营模式下数据合规问题初探 ——兼论数据的“委托处理”、“共同处理”与“提供”

引言 有别于传统线下交易,电子商务一大特点就是各交易环节都伴随着电子数据的流动。我国《个人信息保护法》已经出台…

引言

有别于传统线下交易,电子商务一大特点就是各交易环节都伴随着电子数据的流动。我国《个人信息保护法》已经出台,并即将生效。个人信息保护与数据合规日渐成为我国法律实务界关注的重点领域,包括电子商务在内的各种业态也由此面临前所未有的挑战。

本文意图对实践中电商代运营模式下数据合规问题进行探讨,以期抛砖引玉,引起业内进一步的讨论与思考。

一、代运营模式下品牌方与运营商之间的法律关系–委托处理、共同处理、还是数据提供?

为行文方便,本文以“品牌方”指代店铺或渠道所有权人;“运营商”指代为品牌方提供店铺或渠道代运营服务的服务提供商。

目前实践中主要有两种不同类型的电商经营渠道:电商平台渠道与自有渠道。本文所称电商平台渠道模式是指品牌方在大型电商平台(如天猫、京东、亚马逊等)上开设店铺,按照平台经营规则,通过平台电商处理交易相关数据、销售商品的模式;自有渠道模式是指不依托电商平台的经营模式,例如使用自建网站、自营App、自有微信公众号、小程序等(以下简称“自有渠道”)处理交易数据、销售商品的模式。在上述两类电商经营渠道中,都可以采用代运营的模式。

品牌方通常通过平台规则、用户协议、会员条款、隐私政策(个人信息保护政策)等文件,向用户披露收集个人信息的范围、处理个人信息的目的,并取得用户对其处理个人信息的授权。若品牌方独立运营店铺或自有渠道,个人信息直接从电商平台或用户流向品牌方,由品牌方独立处理,各方法律关系较为清晰明朗。但若店铺或自有渠道由运营商代为经营(即代运营模式),当务之急就是要厘清品牌方与运营商之间在数据处理上的法律关系。

在代运营模式下,回答上述问题首先需要明确谁是个人信息处理者。《个人信息保护法》对个人信息处理者的定义是“在个人信息处理活动中自主决定处理目的、处理方式的组织、个人”[1]。据此定义,代运营模式下品牌方具有个人信息处理者的法律地位自不待言,关键是要确定运营商的在个人信息处理中的法律地位。

通常情况下,品牌方委托运营商代为店铺或自有渠道的经营,其中委托事项必然涉及用户个人信息的处理,通常容易简单认为其法律特征符合《个人信息保护法》第21条[2]关于委托处理个人信息的规定。然而,应当注意的是,实践中品牌方与运营商的委托协议内容往往较为宽泛,尤其在品牌方缺乏数据处理经验的情况下,难以在委托协议中满足《个人信息保护法》第21条所要求的对“委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等”做出明确约定。

因此我们认为,判断品牌方与运营商之间的法律关系,应当审查双方在合作中实际承担的职责,不排除在数据处理方面,双方名为“委托处理”,实为“共同处理”或品牌方向运营商“提供”数据的法律关系。在此情形下,就应考察《个人信息保护法》第20条[3]、23条[4]对代运营模式的影响。

二、基于委托处理法律关系的代运营模式中品牌方的告知与取得同意义务

在代运营模式被认定为属于“委托处理”的情况下,需要解决的首要现实问题就是品牌方是否需要向用户披露运营商相关信息,是否需要取得用户同意?

《个人信息保护法》第21条并未要求在委托处理的情形下向个人告知受托方的信息,亦未特别规定该等委托处理征得个人同意。《信息安全技术个人信息安全规范》(GB/T 35273-2020,以下简称“35273国标”)在第9.1条关于委托处理的规范中也没有此类要求。之所以需要讨论该等问题,是因为《个人信息保护法》第23条规定,“个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。”《网络安全法》第42条也规定,“未经被收集者同意,不得向他人提供个人信息。”由此一来,如果委托第三方处理数据被认定为包含向第三方“提供”数据的行为,则应当适用于前述披露受托人身份、委托事项以及征得个人同意的法律规定,进而在委托处理模式下,品牌方隐私政策等法律文件中应当做以相应披露,并取得个人相应授权与同意。

我们倾向认为,如果认定某一特定代运营模式符合委托处理的性质,则品牌方隐私政策等法律文件并不需要做前述信息披露,也不需要取得个人对委托处理的同意。具体理由如下:

1、运营商不应被认定为“个人信息处理者”,不适用《个人信息保护法》第23条之规定。

根据我国《民法典》的规定,在委托代理法律关系中,委托代理人的权限来源于被代理人的委托[5]。基于该等规定,处理个人信息的委托代理人(即运营商)无法脱离被代理人意志自主决定处理个人信息的目的与处理方式,因此运营商便不具有《个人信息保护法》第73条第(一)项所定义的“个人信息处理者”的身份,也就无法成为《个人信息保护法》第23条规定“其他个人信息处理者”,进而使得品牌方不负有该条项下的告知与取得个人同意之义务。

从比较法的视角来看,通说认为我国的“个人信息处理者”概念更接近欧盟《通用数据保护条例》(General Data Protection Regulation,以下简称“GDPR”)中“控制者(controller)”的含义,35273国标也直接借鉴并使用了GDPR设定的该等称谓。而个人信息委托处理关系中的运营商身份更像是GDPR中的“处理者(processor)”。这也进一步印证了我们上述观点。

然而,运营商是否属于《网络安全法》第42条项下的“他人”,进而导致品牌方还是应当取得个人的同意呢?我们继续进行分析。

2、《个人信息保护法》作为新法也应当优先适用。

首先,我们认为关于个人信息保护的问题应当优先适用《个人信息保护法》的规定。而经过此前分析,即便对委托处理关系是否适用《网络安全法》第42条存疑,在《个人信息保护法》已经做出明确指引的情况下,该问题答案应当是清晰的。

其次,基于《立法法》第92条的规定,“同一机关制定的法律、行政法规、地方性法规、自治条例和单行条例、规章,特别规定与一般规定不一致的,适用特别规定;新的规定与旧的规定不一致的,适用新的规定。”如果认为《个人信息保护法》与《网络安全法》关于委托处理规定存在差异或冲突,《个人信息保护法》作为新法也应当优先适用。

此外,作为《网络安全法》重要的配套国家标准,35273国标第9.1条关于委托处理的规范中也没有体现《网络安全法》第42条的要求,由此可以印证品牌方在个人信息的委托处理中不需要适用《网络安全法》第42条的规定。

3、从法律解释学角度,我们认为《个人信息保护法》第23条与《网络安全法》第42条中的“提供”、《网络安全法》第42条中的“他人”,均应做限制解释。

根据前述分析,该等“提供”行为的本身,不应剥夺接收方处理该等个人信息的自由意志;而“提供”的对象(即“他人”)应当是“个人信息处理者”。因此我们认为就本文讨论问题,《个人信息保护法》第21条与第23条之间不应存在法律竞合的情况。

4、从立法技术层面来看,《个人信息保护法》第21条(即委托处理条款)所属第二章个人信息处理规则中,除委托处理外,其他特定处理情形所对应的条款(包括个人信息转移、提供、公开)中均直接规定了告知个人或征得个人同意的要求,然而偏偏委托处理条款并未做此规定。

同一部法律对同章节条款不应“厚此薄彼”,如法律确实要求委托处理需履行告知与同意义务,为何不在对应条文直接作出规定,而“舍近求远”引用其他个人信息处理方式项下规定?

综上我们认为,如果某一特定代运营模式被认定为委托处理法律关系,则品牌方无需向个人信息主体告知运营商的身份,也无需征得其对个人信息委托处理行为的同意。

与此同时,必须强调的是,我们注意到学术界与实务界对此问题还存在差异化的观点,实践中也不排除执法机关与司法机关可能持相左观点,我们将密切关注相应的执法与司法动向。

三、基于不同法律关系的代运营模式的数据合规风险

正如前述分析,我们认为不应对“电商代运营”这一商业模式对应的法律性质做出放之四海而皆准的认定,言必称数据的“委托处理”。由于电商领域浓厚的数据流动与交互特点,分析判断“电商代运营”的法律性质,除从传统民事法律角度进行审查外,还必须考虑到数据法对其带来的影响与挑战。

需要强调的是,我们上述分析是针对“基于委托处理法律关系的代运营模式”展开的。如果某一特定代运营模式被监管或司法机构认定为属于数据的“共同处理”或品牌方向运营商“提供”数据,则根据《个人信息保护法》第20条或23条的规定,品牌方与运营商在处理数据导致个人信息权益受到侵犯时,应当向个人信息主体承担连带责任;或品牌方必须向个人披露运营商身份,取得个人对品牌方向运营方提供其个人信息的单独同意。

由于我国包括《个人信息保护法》在内的数据法律体系尚在建立完善过程中,目前尚未见到执法机关或司法机关对于上述问题的认定。但根据我们的实践经验与分析,我们认为如下情形可能导致特定的代运营模式存在被认定为,或部分被认定为数据的“共同处理”或品牌方向运营商“提供”数据的风险,我们由强至弱列举相关可能存在的情形如下:

协议约定不明情形之一:品牌方与运营商之间的委托授权法律文件内容,特别是关于数据处理的具体内容不符合法律对数据“委托处理”的形式要求;

协议约定不明情形之二:运营商与品牌方工作范围与工作界面划分不清晰,出现双方共同决定数据处理目的与方式的情形;

违约的情形之一:数据委托处理过程中,未经品牌方同意,运营商发生转委托他人处理数据的情形;

违约的情形之二:运营商超出品牌方授权范围处理数据的;

违约的情形之三:委托关系解除后,运营商未能删除品牌方相关数据的;

委托人存在未尽法定义务的情形之一:品牌方由于自身缺乏数据处理能力,严重依赖运营商对数据的处理,缺乏对运营商对数据处理目的、范围、方式等内容的有效管控和监督;

委托人存在未尽法定义务的情形之二:品牌方未对运营商进行数据合规尽职调查,未对代运营开展个人信息安全影响评估。

四、小结

“委托处理”法律关系的构建,对于受托人来说,可能带来两大益处,一方面可能基于委托人的便利性和客户体验,无需获得用户单独同意;另一方面,自身作为受托人可能无需承担“共同处理”法律关系下的连带责任风险。为此,未来不排除存在委托处理法律关系构建的趋势,以至于规避自身的个人信息处理者的义务和责任。但是不管是基于金融监管的“穿透原则”,还是九民会议纪要与目前实务中法院对于“探索真实意思表示”的基本原理,仅仅通过协议文本或者通过协议抬头来规避共同处理的实质,是行不通,也是存在巨大法律风险的。

此外,我们也注意到,《个人信息保护法》中“委托处理”、《民法典》第二十三章关于“委托合同”的规定、以及实践中常见的代运营合同内容之间还存在诸多差异。代运营合同是否为典型合同?数据法中的“委托处理”与民法中“委托合同”之间是什么关系?限于本文讨论主旨与篇幅,此处不做进一步展开,我们将在后续文章中予以进一步分析讨论。

综上,我们希望通过本文分析能够使得品牌方与运营商仔细评估分析目前代运营模式中的数据合规风险,在合作前进行必要的数据合规尽职调查,明确数据处理目的与方式,以及双方职责与工作范围,完善相应合作法律文件内容;在合作过程中加强对合作伙伴的管理。同时我们也希望执法单位与特定行业的监管机关能够作出更为具体指导性意见,以进一步规范相关领域,保障消费者与各市场参与主体包括数据权益在内的合法利益。

[1]《中华人民共和国个人信息保护法》第73条第(一)项。

[2]《中华人民共和国个人信息保护法》第21条:

个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。

受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留。

未经个人信息处理者同意,受托人不得转委托他人处理个人信息。

[3]《中华人民共和国个人信息保护法》第20条:

两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。但是,该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。

个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任。

[4]《中华人民共和国个人信息保护法》第23条:

个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。

[5]《中华人民共和国民法典》第163条:

代理包括委托代理和法定代理。

委托代理人按照被代理人的委托行使代理权。法定代理人依照法律的规定行使代理权。

关于作者: wenlaw

问律师-专业的法律免费快速咨询服务平台

为您推荐

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注

免费律师咨询
免费律师咨询
热线电话