本文意图对实践中电商代运营模式下数据合规问题进行探讨,以期抛砖引玉,引起业内进一步的讨论与思考。
一、代运营模式下品牌方与运营商之间的法律关系–委托处理、共同处理、还是数据提供?
为行文方便,本文以“品牌方”指代店铺或渠道所有权人;“运营商”指代为品牌方提供店铺或渠道代运营服务的服务提供商。
二、基于委托处理法律关系的代运营模式中品牌方的告知与取得同意义务
2、《个人信息保护法》作为新法也应当优先适用。首先,我们认为关于个人信息保护的问题应当优先适用《个人信息保护法》的规定。而经过此前分析,即便对委托处理关系是否适用《网络安全法》第42条存疑,在《个人信息保护法》已经做出明确指引的情况下,该问题答案应当是清晰的。其次,基于《立法法》第92条的规定,“同一机关制定的法律、行政法规、地方性法规、自治条例和单行条例、规章,特别规定与一般规定不一致的,适用特别规定;新的规定与旧的规定不一致的,适用新的规定。”如果认为《个人信息保护法》与《网络安全法》关于委托处理规定存在差异或冲突,《个人信息保护法》作为新法也应当优先适用。此外,作为《网络安全法》重要的配套国家标准,35273国标第9.1条关于委托处理的规范中也没有体现《网络安全法》第42条的要求,由此可以印证品牌方在个人信息的委托处理中不需要适用《网络安全法》第42条的规定。
3、从法律解释学角度,我们认为《个人信息保护法》第23条与《网络安全法》第42条中的“提供”、《网络安全法》第42条中的“他人”,均应做限制解释。根据前述分析,该等“提供”行为的本身,不应剥夺接收方处理该等个人信息的自由意志;而“提供”的对象(即“他人”)应当是“个人信息处理者”。因此我们认为就本文讨论问题,《个人信息保护法》第21条与第23条之间不应存在法律竞合的情况。
三、基于不同法律关系的代运营模式的数据合规风险
正如前述分析,我们认为不应对“电商代运营”这一商业模式对应的法律性质做出放之四海而皆准的认定,言必称数据的“委托处理”。由于电商领域浓厚的数据流动与交互特点,分析判断“电商代运营”的法律性质,除从传统民事法律角度进行审查外,还必须考虑到数据法对其带来的影响与挑战。
委托人存在未尽法定义务的情形之二:品牌方未对运营商进行数据合规尽职调查,未对代运营开展个人信息安全影响评估。
“委托处理”法律关系的构建,对于受托人来说,可能带来两大益处,一方面可能基于委托人的便利性和客户体验,无需获得用户单独同意;另一方面,自身作为受托人可能无需承担“共同处理”法律关系下的连带责任风险。为此,未来不排除存在委托处理法律关系构建的趋势,以至于规避自身的个人信息处理者的义务和责任。但是不管是基于金融监管的“穿透原则”,还是九民会议纪要与目前实务中法院对于“探索真实意思表示”的基本原理,仅仅通过协议文本或者通过协议抬头来规避共同处理的实质,是行不通,也是存在巨大法律风险的。
关于我们
知产前沿(IPForeFront)是上海益鹏商务咨询有限公司(YIPEvents)旗下聚焦知识产权领域全媒体资讯平台,追求深度、高质量、原创性知识产权政策解读、案列解析、国内外知识产权领域前沿动态等。
上海益鹏商务咨询有限公司(YIPEvents)成立于2014年8月,一家专注于知识产权领域国际性会议策划主办机构,致力于推动国内外知识产权政策发展、挖掘行业细分领域的知识产权挑战与机遇、赋能行业创新升级,为知识产权从业人员搭建高质量、高行业参与度、高时效性的行业沟通、学习、交流、合作、共享平台。