来源:21世纪经济报道
记者/王俊 吴立洋
近期,京东、抖音、淘宝纷纷更新订单信息加密通知及系统升级改造方案,对生态链路的消费者敏感个人信息采取脱敏、加密措施,不再向商家、服务商提供明文的消费者敏感个人信息(以下简称“数据断供”),引起行业广泛关注。
多方信息显示,这是平台耦合事件,但考虑到“数据断供”发生于我国《个人信息保护法》即将出台之际,未来电商平台订单处理链路加密或将成为大势。
直观来看,将是整个电商上下游产业链商业逻辑的重塑。眼光再向前看去,基于此衍生出更宏观问题的讨论与解决也近在咫尺:电商平台数据断供后,流向安全高地的数据是否加剧上游平台的垄断地位?又是否与监管及学界对平台互联互通的鼓与呼相悖呢?在体量庞大的商业利益面前,用户作为数据提供的“一粒沙”,能否掌握主动权?
断供数据后电商平台新的话语体系建立
根据国家统计局数据,2020年全国网上零售额达11.76万亿元,同比增长10.9%,实物商品网上零售额达9.76万亿元,同比增长14.8%,占社会消费品零售总额的比重接近1/4。
根据各平台财报,拼多多平台年活跃买家数达8.238亿,阿里巴巴中国零售市场年度活跃消费者达8.11亿,京东活跃购买用户数4.998亿。
庞大的个人数据汇集起来,构筑了一张密实的信息网,联结用户、商家、平台、第三方服务商,形成环环相扣的产业链,个人信息在这一链条上不断流转。电商链条中大量的客服外包、第三方软件开发商、快递物流以及提供数据服务的软件开发包(SDK)等受委托处理个人信息主体的数据安全问题也屡屡遭质疑。
“没有办法避免的事实是,电商链条的每个环节都需要用个人数据运营。”中国电子技术标准化研究院网络安全研究中心测评实验室副主任何延哲表示,早前平台顾虑少,为给用户提供服务,对第三方约束较低。但随着个人信息保护的重视,各方权利的边界逐渐清晰。
电商上游需履行安全责任,保证数据不泄露,下游也要遵循与上游的约定,不能滥用来自上游的数据。“如何监管促进下游履行职责,现在可以看到上游直接从技术角度严控向下游提供信息,用这种方式来避免数据的滥用。”何延哲表示。
7月19日,抖音更新“数据安全加密对接”的指南,称将启动消费者隐私信息加解密项目,针对消费者敏感数据进行加密防止数据泄露,提高数据安全防护水平。
7月21日,淘宝更新“订单敏感信息保护”的应用升级方案,包括“订单处理类”和“仓储物流类”,称将启动订单处理链路的消费者敏感信息保护方案,对涉及消费者个人敏感信息采取加密等安全技术措施。
多位接受采访的专家表示,平台对订单中的消费者敏感信息进行脱敏处理,可以降低用户信息泄露风险,在不影响电商完成交易的情况下,保障消费者个人信息不被滥用。但对商家与第三方服务商带来更严峻的挑战,未来商家与第三方服务商业逻辑都将发生转变,包括与平台解密接口的调整、数字营销策略的改变等。
平台作为数据上游对下游的钳制也值得被关注。
何延哲告诉21世纪经济报道记者,此前商业模式中,下游并不是只完成上游分配的任务,充当流水线工人的角色。但是“数据断供”把容易被滥用的信息尽可能隐藏,下游不再掌握原始数据,极大地限制其数据的二次开发,丧失了更多的商业可能性。
易观分析师陈涛表示,以前获得个人信息后商家进行私域化运营的路径走不通了,只能是平台把一些脱敏分层分级的信息打包给品商家,商家利用这些信息进行下一步操作。
“数据断供带来的显著变化恐怕是下游对上游的依赖性更强了。”何延哲称。
以物流服务为例,此前可通过共性的数据把不同仓库的数据统一管理,联结各个平台中的用户信息,打通不同平台间的数据壁垒。而数据断供后,几无可能。
此外,何延哲强调,由于各平台系统升级后,不同平台加密算法不同,下游只能调整接口以适配不同电商平台。“相当于每一个上游的平台,都会形成自己体系的话语模式,下游只能被动接受。”
数据安全高地与城门打开的可能性
越发拥有话语权的上游平台,是否会逐渐异化,提出诸如“二选一”之类的要求“捆绑”下游,加强其自身的垄断地位?
大成律师事务所高级合伙人邓志松接受21世纪经济报道记者采访时表示,平台将订单信息加密这一举措让人联想到《个人信息保护法》(二审稿)中为大型平台设置类似于“守门人”的义务。截止2020年底,工信部在我国市场上监测到345万款App,如果再联系平台内电商数量,则更是难以计算。仅仅依靠监管机构,要对这些App进行一对一监管显然存在困难。让大型平台在个人信息安全保护中发挥一定的“守门人”作用,可以提高监管效率。
“赋予平台对平台内商家的监管权,会使得平台对商家有更大的话语权。”邓志松说,但也可以通过建立规范的审核体系,明确两方权责来保护商家利益,不能简单从一个举措来评价是否“强化了垄断能力”。
中国政法大学网络法学研究所副所长商希雪认为,数据垄断是基于数据的占有和使用而形成的垄断,起因包括:大规模数据掌握在少数市场主体手中;数据被不合理分配与使用,进而导致市场环境中的不公平竞争。
“如果拥有数据的平台未不合理利用数据竞争优势,没有造成现实的竞争损害,则不构成平台垄断。”商希雪说,在数据断供的情景下,平台对数据断供的考虑主要是出于维护消费者信息安全的合规要求,而非占据或形成市场竞争优势目的。
何延哲认为,目前仍旧是上游掌控话语权,跨平台、跨链条的交互可能性很低,也看不到特别明确的信号。如果数据资源不是上游的独家资源,而是将其变成一种公共资源,生态会更健康。
“其实做数据安全,是在平台在挖自己的护城河。”何延哲坦言,安全做的越好,数据永远都往安全的高地走。如果一家平台巨头,数据越做越多,下游数据越来越少。那么,平台应受到更多的监督,并且,在形成“数据断供”的情形时,“数据开放”也应一并去研究和尝试。
值得关注的是,互联互通近期受到广泛关注。工信部发文称,将重点整治恶意屏蔽网址链接和干扰其他企业产品或服务运行等问题。有传闻称,阿里和腾讯考虑互相开放生态系统。可预期,互联网竞争或将打破孤立、封锁、屏蔽的现状,朝着更开放、包容兼容的方向发展。
不过,邓志松直言,“互联互通”这一概念虽然在近期受到热议,但本身界限和内涵并不明确,也并未成为法律规定的强制性义务,对其的具体实施方式也还在讨论阶段。
此外,数据开放、平台互联互通与数据安全、个人信息保护,两个议题缠绕在一起,都是实践中不容忽视的焦点。
邓志松表示,互联互通最终的落实,应当是以充分保护用户个人信息相关权利为前提的。推动平台间互联互通的目的应当是为用户提供更多便利,更有效的利用数据。如果未经用户同意对其个人信息进行商业化利用,则违背了数据互通的初衷。
多链条流转中数据权属如何明确
围绕断供的一切的讨论均是由数据展开。数据作为一种重要的资产形态,其控制和利用越发受到关注,数据断供事件在行业引起震荡同时也引发更深层的思索:电商链条的上下游的数据权属如何划分?个人作为数据提供者,是否能在流转的链条中掌握主动权?
商希雪表示,个人信息权利是一个多主体共享的权利体系。“单纯来源于用户的初始个人信息的商业价值有限,在大数据产业场景中,往往是平台在原始数据的基础上根据自身产业模式和商业场景需求对用户初始数据进行聚合、加工、分析后形成价值更高、效益更大的衍生数据。”
她表示,考虑到衍生数据是对用户原始数据经算法或技术加工处理后的数据,平台对于该类数据投入了一定的人力和物力成本,根据当前的一些司法判决来看,平台除了对数据本身享有的权益之外,平台也享有对所享有权益的数据进行衍生性利用或开发所获的经营利益等。所以说,平台一方面客观上能够对衍生数据进行直接支配,另一方面也有权排除其他市场竞争者对此类数据的获取或访问。
上海申伦律师事务所律师夏海龙也肯定了数据产品权益归经营者享有的观点。但同时他也强调,用户个人信息属于自然人人格权的一部分,其性质属于不可转让,因此电商平台只可能获取、存储个人信息,但不可能“拥有”。
在电商环境中,数据流转环节多、链条长,如何确保用户的知情权和选择权?邓志松表示,数据流转的环节虽多,但大致可以分为在不同的数据处理者之间流转,以及同一数据处理者基于不同目的在不同情境下处理数据。要确保用户的知情权和选择权,则需要不同主体在不同情境下因情况制宜地做到合法合规。
他举例称,同一数据处理者在数据收集环节需要建立个人信息收集规制,基于最小必要原则收集个人信息,且针对不同的应用情景和目的取得个人信息主体的一般性同意或单独同意;在数据处理环节,则需依法律规定和用户约定如实地在约定范围内使用个人信息,并对用户画像、个性化决策等有较高风险的环节建立有针对性的合规政策。而数据涉及到在不同的处理者之间流转时,则需要考虑是否取得了用户的单独同意,评估对方是否具有相应的数据保护能力等。
需注意的是,个人信息保护法草案将于8月17日至20日举行的十三届全国人大常委会第三十次会议上审议,这将是个人信息保护法草案的第三次审议,一旦表决通过将会正式颁布。
“数据断供”发生于我国《个人信息保护法》即将出台之际,也可视为平台的“未雨绸缪”。
根据《个人信息保护法》(二审稿),增强了用户主体的权利,赋予了个人信息主体全面的信息权利,包括知情同意、更正、删除等权利。并且,根据二审稿第16条的规定,对基于个人同意而进行的个人信息处理活动,个人有权撤回其同意,个人信息处理者应当提供便捷的撤回同意的方式。
商希雪举例称,针对目前常见的精准推送场景,如果用户认为经常受到商业广告推送的困扰,用户就可以行使同意撤回权,要求平台经营者停止推送营销信息、以及其他使用其个人信息的行为。
夏海龙分析称,《个人信息保护法(草案)》对企业在个人信息保护方面创设了很多合规义务,因此需要企业在用户协议、业务模式等环节作出相应的合规调整,客观上会增加企业的经营成本。对于用户的同意撤回权,相关规定比较模糊,尚缺乏清晰的界定标准,与此相关的纠纷可能会增多。
商希雪建议,企业应设立专门岗位和机构履行用户权利的响应工作,遵循信息专员制的要求,并建立负责人报送备案机制;此外,在数据处理过程中应保障与维护个人信息权利,按照法律要求规范其数据处理行为。