新零售业态下的数据合规问题丨威科先行

作者丨吴诗阳、周晨黠

机构丨北京大成（上海）律师事务所

* 本文为威科先行首发文章，未经授权谢绝转载

2016 年11月，国务院办公厅印发了《关于推动实体零售创新转型的意见》（国办发〔2016〕78 号），拉开了零售企业创新转型的帷幕。在《意见》的指导和推动下，我国传统零售企业纷纷积极地从不断更新的互联网技术中探寻变革之路，努力将新技术与传统资源进行整合，在历经“新冠”疫情的冲击后，我国的传统零售行业已经形成了全新的格局。

当下，“新零售”已经成为了大众耳熟能详的名词，它是指企业以互联网为依托，通过运用大数据、人工智能等技术手段，对商品的生产、流通与销售过程进行升级改造，并对线上服务、线下体验以及现代物流进行深度融合。[1]新零售的发展离不开互联网，也离不开数据的处理活动，而企业如何把控日趋严峻的数据合规风险，是关系到企业可持续发展的重要问题。

在传统零售模式下，企业依靠线下实体店来向消费者提供商品，这种模式以人、货、场为主要场景，通过价差来获得利润，因此企业更侧重于围绕商品的进销存进行管理和优化。在新零售的业态下，数据是驱动决策的重要因素，企业更侧重于关注消费者的需求，通过数据分析消费者的消费习惯，并以此向消费者更精准地推送商品与活动信息；在此基础上构建商品的库存分配、物流配送、消费者购买、支付及售后服务等整个管理路径。

因此，新零售业态下涉及数据合规的场景是很多的。比如企业为了满足消费者基本交易的功能，会收集消费者的订单、支付、收件等信息；为建立会员制体系、打磨用户画像、分析消费习惯等，会处理消费者的基本个人信息、消费行为、识别消费偏好等；又比如企业在搭建公众号、建立社交组群时，除了收集、使用用户信息外，还面临管理信息与内容等问题；再比如线下门店为收集流量数据或识别会员而采用的技术手段，亦可能涉及诸多数据合规问题。此外，企业与第三方在合作过程中，亦很可能涉及交互、处理各自拥有的信息，也会面临数据合规的风险。

本文将结合新零售业态下常见的数据合规场景，根据《民法典》、《网络安全法》、《数据安全法》、《个人信息保护法》、《消费者权益保护法》、《网络信息内容生态治理规定》、《网络直播营销管理办法（试行）》、《互联网群组信息服务管理规定》、《互联网用户公众账号信息服务管理规定》及《人脸识别技术应用安全管理规定（试行）（征求意见稿）》等相关的法律法规，分类解析新零售业态下常见的数据合规风险。

处理消费者的个人信息是新零售企业最常见的数据处理场景。根据现行的法律规定，企业在个人信息处理的全生命周期中（包括收集、存储、使用、加工、传输、对外提供、公开披露、删除等环节）均需秉持合法、正当、必要和诚信的基本原则。通俗而言，企业在处理消费者的个人信息时要充分注意如下原则：

企业在收集消费者的个人信息时，要做到“取之有度”，这里的“度”是指处理目的——收集信息以达成的处理目的。企业应当尽可能在为实现处理目的所需的最小范围内采集必要的信息，避免过度或超范围收集个人信息。并且，除非法律法规另有规定，只有在满足例如“确有必要”、“取得单独同意”、“开展个人信息保护影响评估”等额外前提下才能收集敏感个人信息。

比如，企业为建立会员制而收集消费者的手机号，可以理解为“为实现处理目的”而在必要范围内采集的信息，但若在此基础上还要求收集消费者的婚姻信息或学历信息的，如果企业无法提供收集婚姻或学历信息的合理场景和理由的，则收集婚姻或学历信息超越了实现处理目的的必要范围。

当然，对于可以采集何种信息并不能采取“一刀切”的方式，而需要针对不同场景、处理目的来区分其所需采集信息的类型。企业应当确保采集信息的类型与提供产品或服务有直接的、必要的关联。

在存储和删除消费者个人信息时，企业要关注“最短期限”的要求，即存储消费者个人信息的期限应当为法律法规规定的或为实现处理目的所需的最短时间。除电商、金融等个别行业外，法律并没有规定最短存储期限的具体标准，因此企业在判断何为“最短”、“必要”时，可以根据不同的业务场景和实际需求分别规定“存储期限”，并在处理目的实现后，及时对个人信息予删除或进行匿名化处理。

企业收集、使用个人信息必须有正当的目的，比如满足消费基本功能、提升消费体验感、提高消费便捷度等等。在使用消费者个人信息时，要围绕收集目的和消费者的授权范围开展处理活动，并做到“用之有度”。对于信息收集内容和处理方式要始终符合企业与消费者的约定并符合法律法规的规定。

企业在处理消费者个人信息之前，首要任务是告知消费者信息收集的目的、范围和使用方式等等，并取得消费者的“有效”同意。法律规定企业在履行告知义务时，要保证告知内容真实、准确、完整。

2023年5月，国家标准化管理委员会和国家市场监督管理总局联合发布了《GB/T 42574-2023 信息安全技术个人信息处理中告知和同意的实施指南》，进一步细化了企业的告知方式，并列举了常见应用场景下告知的同意模式，为企业履行告知同意义务提供了更详细的操作指引。

此外，法律规定如果处理个人信息的目的、方式和种类等情况发生变更的，应当重新取得个人同意。比如企业自有的各个平台（包括网站、APP、小程序等等），后期出于提升客户的体验和购物便捷等合法目的，希望额外采取打通会员数据体系、实现会员档案与历史订单同步等功能时，即使这种处理行为仍系对已合法收集的用户个人信息进行加工，但企业仍需要将该等处理行为的目的和方式通过隐私政策或其他渠道清晰、完整的告知消费者，并在取得消费者同意的情况下才能继续进行。

企业在完整履行告知义务的同时，也要保障消费者充分的“选择权”。比如消费者有权撤回同意处理其个人信息、有权要求修改、删除个人信息，有权拒绝企业通过自动化决策方式向个人进行信息推送、商业营销，或者要求企业同时提供不针对其个人特征的选项，有权拒绝企业仅通过自动化决策的方式作出决定等等。企业应当通过设置例如拒绝按钮、推定选项等显著、便捷的方式保障消费者行使选择权。除非处理个人信息是提供产品或服务所必须的条件以外，企业不得因为消费者不同意处理其个人信息或者撤回同意而拒绝提供产品或者服务。

新零售业态下，企业在经营过程中常常会因为运营模式（比如代运营等）、消费行为分析等诸多原因而与第三方进行数据交互，从而产生了个人信息交互带来的法律风险。根据《个人信息保护法》的规定，个人信息交互主要涉及三种模式：数据共享、委托处理和共同处理。

在新零售行业常见的业务场景中，存在企业单方面向第三方提供其获取的消费者个人信息的情况。此时，除非企业对外提供信息时已经对信息做了匿名化处理（或者法律法规另有规定），企业均需就所供个人信息的内容、接收方的名称与联系方式、提供方式和提供目的告知消费者，并取得消费者的单独同意。实践操作可以通过单独勾选同意选项等方式向消费者进行告知并取得其单独同意。

企业除了主动向第三方提供个人信息外，也会存在委托第三方按照约定的目的、方式和范围开展数据处理活动的情况。在此类场景下，企业需要与第三方签署相应的委托处理合同，约束第三方充分保障消费者的个人信息安全，并在委托处理完成后及时删除或返还消费者个人信息。

在合作进行商业品牌推广等部分商业经营场景中，还可能存在企业与第三方共同处理个人信息的情况。此时企业除了提前告知消费者、获得消费者同意外，合作各方还应对信息的处理活动进行书面约定，明确约定各自的行为方式、范围、责任和法律后果等等，细化各方的权责边界。

不论企业以哪种方式与第三方合作处理个人信息，我们建议均应签署数据处理协议，通过数据处理协议明确个人信息处理的目的、期限、方式、个人信息的种类、保护措施以及各方的权利和义务等等事项，厘清各方的权责边界。数据处理协议不仅仅规制各方在数据合作处理中的权利义务，也是各方证明其符合合规要求的必要证明文件，并可为后续开展个人信息保护影响评估等其他合规义务时提供评估依据。

新零售企业通常以直播间运营者的身份进行网络直播。根据《网络直播营销管理办法（试行）》的规定，直播间运营者的合规义务主要包括管控直播营销场所、管理互动内容、直播营销广告合规、商品服务供应商信息核验、消费者权益保护（未成年人保护）以及网络虚拟形象使用合规等等。

首先，直播场所应当符合法律规定，不得在涉及国家安全、公共安全、影响他人及社会正常生产生活秩序的场所从事网络直播营销活动。同时，直播间运营者账号名称、头像、简介，直播间的标题、封面，直播间内的布景、道具、商品展示以及直播人员着装、形象等足以引起关注的环节均应当符合法律法规和国家有关规定，不得含有违法和不良信息，不得以暗示等方式误导消费者。

其次，直播内容、互动内容应当符合法律法规的要求。比如直播间和直播过程中不得出现《网络信息内容生态治理规定》第六条、第七条[2]明确禁止的内容，不得发布虚假或者引人误解的信息、不得虚构或者篡改交易、关注度、浏览量、点赞量等数据流量信息，不得骚扰、诋毁、谩骂及恐吓他人，侵害他人合法权益等等。如直播内容构成商业广告的，应当履行广告发布者的责任和义务。同时应当依据平台服务协议做好语音和视频连线、评论、弹幕等互动内容的实时管理，不得以删除、屏蔽相关不利评价。

再次，企业作为直播间的运营者，应当履行保护消费者权益的义务。除传统模式下消费者权益保护问题外，在网络直播的场景下，企业尤其应当关注未成年人保护的问题，通过技术手段确保直播间的未成年人在监护人的同意或陪护下参与直播间的互动。

最后，网络直播还应当关注知识产权的合规问题。例如，使用他人肖像作为虚拟形象从事网络直播营销活动的应当征得肖像权人同意，不得利用信息技术手段伪造等方式侵害他人的肖像权。使用自然人声音的，也参照适用肖像权保护的规定。

新零售场景中，企业通常也会利用互联网为消费者搭建虚拟社交群组。消费者在企业搭建的虚拟社交群组中可以建立自己的个人主页、添加好友、关注他人等等，并在社交群组平台中进行聊天、发布照片、视频等信息交互活动。这种用户之间的数据交互活动能够丰富消费者的体验，提高消费者使用购物平台的黏性。但此时的新零售企业也需要承担作为互联网群组信息服务提供者的责任，履行相应的监督与管理职责。

根据《互联网群组信息服务管理规定》、《网络信息内容生态治理规定》等法规规定，企业作为平台方应当制定并公布管理规则和平台公约，完善用户协议，并通过用户协议明确告知用户的相关权利和义务。同时，企业也应当依法依约履行相应管理职责，比如规制用户不得利用互联网群组（虚拟社群）传播法律法规和国家有关规定禁止的信息内容，不得泄露他人的个人信息甚至是敏感个人信息；对用户采取实名认证，用户不提供真实身份信息的，不得为其提供信息发布服务；采取必要措施保护用户个人信息安全，不得泄露、篡改、毁损，不得非法出售或者非法向他人提供用户个人信息等等。依据《民法典》的相关规定，若用户实施侵权行为的，企业作为网络服务提供者还应当响应用户提出的删除、屏蔽、断开链接等要求，根据构成侵权的初步证据和服务类型采取必要措施。

此外，企业还需要关注其作为公众账号生产运营者的合规义务。根据《互联网用户公众账号信息服务管理规定》，公众账号生产运营者是指注册运营公众账号从事内容生产发布的自然人、法人或者非法人组织。为此，企业建立、使用公众账号功能的，也应承担公众账号生产运营者的义务。这类义务与互联网群组信息服务提供者的义务在实质上有共通之处，区别在于互联网实现场景不同，企业可以相互比照落实管理。

伴随着移动互联网的发展，新零售企业也开始通过APP开展业务、进行营销推广等等。根据《工业和信息化部关于开展移动互联网应用程序备案工作的通知》的规定，企业拟通过APP展业的，首先应履行备案手续，APP信息发生变更、注销等情况时，还应当向原备案机关履行变更、注销等手续。

其次，根据《关于开展App违法违规收集使用个人信息专项治理的公告》的规定，企业通过APP收集使用个人信息时要严格履行《网络安全法》规定的责任义务，对获取的个人信息安全负责，采取有效措施加强个人信息保护，同时应遵循合法、正当、必要的原则，不得收集与所提供服务无关的个人信息；并且收集个人信息时要以通俗易懂、简单明了的方式展示个人信息收集使用规则，并经个人信息主体自主选择同意；不得以默认、捆绑、停止安装使用等手段变相强迫用户同意企业收集使用个人信息，也不得违反法律法规和与用户的约定收集使用个人信息。

从2023年工信部、网信部通报的APP违规事件来看，企业违规使用APP的行为还包括未明示收集使用个人信息的目的、方式和范围；APP频繁自启动和关联启动；违规处理个人信息（含开展自动化决策）；违规向他人提供个人信息；强制用户使用定向推送功能；违规互联网弹窗信息推送服务；未公布个人信息安全投诉、举报渠道；欺骗误导用户下载APP，欺骗误导用户提供个人信息、未提供注销功能等等。企业在使用APP展业时应避免出现上述行为，以减少违反合规义务而产生的合规风险。

企业在运营线下门店时，有时会为了统计客流量、匹配会员信息、分析消费行为等目的而采用人脸识别技术收集、处理进入店铺内的消费者人脸信息。结合实践中的场景，线下门店使用远距离、无感式的人脸识别技术采集人脸信息，是滥用人脸识别技术的典型样态。根据《个人信息保护法》、《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》等现行法律法规和司法解释的规定，面部识别信息属于敏感个人信息的范畴，其受保护程度远高于一般信息。

如前所述，收集敏感个人信息时，必须满足“确有必要”、“取得单独同意”、“开展个人信息保护影响评估”等前提条件。为此，企业采用人脸识别技术收集处理消费者的面部信息时，应当具有明确、清晰、具体的处理目的，并且以明确、易懂和合理的方式公开处理的范围、目的和规则，明确告知消费者处理面部识别信息的必要性和对个人的影响等等，在确保消费者完全知情的基础上获得其单独的同意。

同时，根据《人脸识别技术应用安全管理规定（试行）（征求意见稿）》第10条的规定，只有在特殊情况下才能采用远距离、无感式的人脸识别技术手段收集面部识别信息[3]。而《信息安全技术人脸识别数据安全要求》（GB/T 41819—2022）、《信息安全技术 生物特征识别信息保护基本要求》（GB/T 40660—2021）等国家标准对处理人脸识别信息的各个环节也提出了具体的要求，企业在开展人脸识别数据处理活动时应当严格以前述规定作为标尺。否则，企业将面临严重的合规风险。

“新冠”疫情进一步暴露了传统零售业的弊端，也催化了行业的转型。疫情结束后，零售企业面临着更加激烈的竞争。从某种程度上来说，如何让新技术合法地转化为生产力直接影响着企业能否在竞争中得以生存，而互联网科技的不断创新使得“新零售”业态的数据合规问题日益多样化和复杂化，如何管控数据合规风险将成为新零售企业共同面临的挑战。