电子商务法┃网络安全与隐私保护合规要点

前言：

2017年，我国电子商务交易规模继续扩大，并保持高速增长的态势。国家数据统计局数据显示，2017年全国电子商务交易额达29.16万亿，同比增长11.7%；网上零售额7.18万亿，同比增长32.2%。数据显示，截至2017年底，全国网络购物用户规模达5.33亿，同比增长14.3%。[i]尽管国家已经颁布了《网络安全法》、《消费者权益保护法》等法律法规以及专门指引个人信息保护的国家标准《个人信息安全规范》等规范性文件，但是在大数据、云计算、人工智能等新技术快速发展的态势下，网络安全、个人信息保护方面的挑战依然十分严峻。《电子商务法》作为规范电子商务领域的特别法，对行业发展意义重大，本文对该法网络安全与隐私保护方面的规定进行梳理以供参考。

1.    用户信息合法收集、使用义务

电子商务法第二十三条规定，电子商务经营者收集、使用其用户的个人信息，应当遵守法律、行政法规有关个人信息保护的规定。该准用性规范适用的其他法律规范主要包括网络安全法、消费者权益保护法、电信和互联网用户个人信息保护规定、网络交易管理办法等。现行的法律规范要求收集、使用个人信息应当遵循合法、正当和必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经过被收集者的同意。不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息。

电子商务经营者收集、使用用户个人信息违反前述法律、行政法规有关规定的，有关主管部门有权依照网络安全法等法律、行政法规责令电子商务经营者改正，并可根据情节单处或者并处警告、没收违法所得、罚款，对直接负责的主管人员和其他直接责任人员罚款；情节严重的，甚至可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

2.    用户信息查询、更正与删除权保障义务

电子商务法第二十四条规定，电子商务经营者应当明示用户信息查询、更正、删除以及用户注销的方式、程序，不得对用户信息查询、更正、删除以及用户注销设置不合理条件。电子商务经营者收到用户信息查询或者更正、删除的申请的，应当在核实身份后及时提供查询或者更正、删除用户信息。用户注销的，电子商务经营者应当立即删除该用户的信息；依照法律、行政法规的规定或者双方约定保存的，依照其规定。

该条明确了电子商务经营者需承担对用户有权查询、更正、删除信息权的保障义务，但并未明确用户信息删除权是否存在行使条件或者特定情形。因为根据《网络安全法》第四十三条的规定，个人行使个人信息删除权的条件是网络运营者存在违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的情形。另外，参考《个人信息安全规范》 GB/T 35273—2017 第7.6规定，个人信息控制者需要特定情形下应信息主体的要求删除其个人信息，包括：a) 个人信息控制者违反法律法规规定，收集、使用个人信息的或者个人信息控制者违反了与个人信息主体的约定，收集、使用个人信息的；b) 个人信息控制者违反法律法规规定或违反与个人信息主体的约定向第三方共享、转让个人信息；c) 个人信息控制者违反法律法规规定或与个人信息主体的约定，公开披露个人信息。故我们根据现有法律法规倾向性认为信息删除权的行使是需要满足特定条件的，建议电子商务（平台）经营者在服务协议或者交易规则中对信息删除权的行使作出相关安排，以避免合规风险。

电子商务经营者违反该项规定的，市场监督管理部门有权责令限期改正，并可处一万元以下的罚款。电子商务平台违反该项规定的，市场监督管理部门有权责令限期改正，并可处二万元以上十万元以下的罚款；情节严重的，处十万元以上五十万元以下的罚款。

3.    平台服务协议和交易规则合规义务

电子商务法第三十二条规定，电子商务平台经营者应当遵循公开、公平、公正的原则，制定平台服务协议和交易规则，明确进入和退出平台、商品和服务质量保障、消费者权益保护、个人信息保护等方面的权利和义务。以往个人信息保护的内容都体现在隐私政策当中。现电子商务法实施以后，该部分内容必须在平台服务协议和交易规则中得以体现。

4.    平台经营者网络安全保护义务

电子商务法第三十条规定，电子商务平台经营者应当采取技术措施和其他必要措施保证其网络安全、稳定运行，防范网络违法犯罪活动，有效应对网络安全事件，保障电子商务交易安全。电子商务平台经营者应当制定网络安全事件应急预案，发生网络安全事件时，应当立即启动应急预案，采取相应的补救措施，并向有关主管部门报告。电子商务平台经营者属于网络运营者的子概念，应当遵守网络安全法的相关规定履行网络安全保障义务。

5.    经营者数据提供义务

电子商务法第二十五条规定，有关主管部门依照法律、行政法规的规定要求电子商务经营者提供有关电子商务数据信息的，电子商务经营者应当提供。有关主管部门应当采取必要措施保护电子商务经营者提供的数据信息的安全，并对其中的个人信息、隐私和商业秘密严格保密，不得泄露、出售或者非法向他人提供。电子商务经营者不得拒绝有关主管部门要求提供电子商务数据的要求。有关部门主要涉及市场监督管理部门、税务部门。电子商务数据主要包括经营主体信息、税务信息、交易商品、服务信息等。

6.    平台经营者数据报送及登记提示义务

电子商务法第二十八条规定，电子商务平台经营者应当按照规定向市场监督管理部门报送平台内经营者的身份信息，提示未办理市场主体登记的经营者依法办理登记，并配合市场监督管理部门，针对电子商务的特点，为应当办理市场主体登记的经营者办理登记提供便利。电子商务平台经营者应当依照税收征收管理法律、行政法规的规定，向税务部门报送平台内经营者的身份信息和与纳税有关的信息，并应当提示依照本法第十条规定不需要办理市场主体登记的电子商务经营者依照本法第十一条第二款的规定办理税务登记。

电子商务平台经营者违反该项规定的，由有关主管部门责令限期改正；逾期不改正的，处二万元以上十万元以下的罚款；情节严重的，责令停业整顿，并处十万元以上五十万元以下的罚款。

7.    信息保存义务延长至三年

原来根据《网络交易管理办法》第三十条的规定，第三方交易平台经营者对平台内经营者的营业执照或者个人真实身份信息记录保存时间从经营者在平台的登记注销之日起不少于两年，交易记录等其他信息记录备份保存时间从交易完成之日起不少于两年。鉴于《民法总则》（2017年10月1日已生效）第一百八十八条的规定已将民事诉讼时效期间被修改为三年。现电子商务法第三十一条规定，电子商务平台经营者应当将商品和服务信息、交易信息自交易完成之日起保存不少于三年；法律、行政法规另有规定的，依照其规定。

电子商务平台经营者违反该款规定的，由有关主管部门责令限期改正；逾期不改正的，处二万元以上十万元以下的罚款；情节严重的，责令停业整顿，并处十万元以上五十万元以下的罚款。

结语：

考虑到民法总则、网络安全法、刑法等法律法规对网络安全及个人信息保护已经作出相关规定，所以电子商务法不再作重复性规定。另外，国家对个人信息保护的专门立法也在进行当中，所以电子商务法对电子商务活动中的个人信息保护规定仅作衔接性处理。可以肯定的是，国家对于网络安全以及个人信息保护的配套立法，包括行业相关国家标准将会陆续出台，电子商务经营者应当提早建立信息安全管理体系，更好的保障信息资产得到持续的充分保护以防范信息安全风险。

[i]商务部电子商务和信息化司《中国电子商务报告2017》；http://dzsws.mofcom.gov.cn/article/ztxx/ndbg/201805/20180502750562.shtml  2018.5.31.