作者:宁宣凤 吴涵 陈胜男 付昊  金杜律师事务所
在上个世纪九十年代,使用互联网还被称为“上网冲浪”,断电和座机欠费可能是我们能够理解的最大“网络安全”问题。在那个十年,很长的一段时间内亚马逊还是条河,阿里巴巴还在等待四十大盗,京东还在卖光驱,“电子商务”还是镜花水月。但几乎是一瞬间,“电子商务”成为最时髦的词汇,互联网交易风潮无可阻挡,而“千年虫”、“熊猫烧香”等网络病毒随即席卷全球,网络成为最大的逐利场也是众矢之的的风险高地。
二十年过去了,“网络安全”已经从网络运行安全,扩展到网络信息安全,并上升到公民的人身财产安全甚至国家安全的层次;“电子商务”也重塑了大家的交易习惯,逐渐成为国民经济的支柱性产业之一。风险与收益并存、安全与发展互促,“网络安全”和“电子商务”似乎从未脱离彼此。
2017年6月1日《中华人民共和国网络安全法》(下称“《网安法》”)正式生效,成为我国规范网络运行安全和信息安全的基础性法律。《中华人民共和国电子商务法》(下称“《电商法》”)作为管理电子商务经营者、规范电子商务交易秩序的基础性法律,也在昨日正式通过。纵观两部法律,尽管规制的法律关系有所不同,但由于电子商务与网络的天然联系,《网安法》与《电商法》仿佛“叶上初生并蒂莲”,在网络安全领域的法律规则上相得益彰。

1《电商法》与《网安法》的一脉相承

《网安法》对《电商法》的影响,从立法审议时间线便可看出端倪:2016年12月《电商法》草案第一次提交审议,恰逢《网安法》表决通过不久。[1]而自第一次审议开始,《电商法》就已对电子商务领域网络安全等问题予以高度关注。回顾立法进程,《电商法》最初曾大篇幅反映网络安全立法需求,后续审议稿尽管精简了相关条款,但保留了其中的关键条款,体现出《电商法》对网络安全,特别是电子商务消费者个人信息权益保护的重视。
《电商法》与《网安法》的一致性,充分反映在《电商法》有关网络安全的规则条款中。《网安法》以网络运行安全、网络信息安全为切入点,对各行各业的网络安全制度提出了整体性、综合性的要求。而作为电子商务领域的基础性法律,《电商法》对电子商务经营者的网络安全要求同样也落脚于网络运行安全与信息安全方面的责任与义务。
  • 《电商法》第三十条规定,电子商务平台经营者应当采取技术措施和其他必要措施保证其网络安全、稳定运行,防范网络违法犯罪活动,有效应对网络安全事件,保障电子商务交易安全;同时要求电子商务平台经营者制定网络安全事件应急预案,在发生网络安全事件时应立即启动应急预案,采取相应的补救措施,并向有关主管部门报告。《电商法》的这些要求均与《网安法》下的规则制度要求相同。[2]《电商法》对电子商务平台经营者有关保证网络运行安全,预防网络安全事件的要求是对《网安法》基本规则在电子商务领域的重申和确认。
而在网络信息安全领域,《电商法》与《网安法》也同样呈现出一脉相承的特点。《电商法》第二十三条简明扼要地指出电子商务经营者在收集、使用个人信息时所应遵循的法律规则[3]。而第二十四条有关对电子商务经营者对用户个人信息相关权益的尊重与保护,[4]则是承继了《网安法》中对个人信息主体权益保护的总体思路。

2《电商法》对《网安法》的具化和延伸

虽然在网络安全基本规则思路上一脉相承,相比于《网安法》对网络运营者的一般规制,《电商法》结合电子商务领域的特点,一方面对《网安法》下的一般性规则进行了细化,另一方面也针对电子商务领域进一步延伸具体要求,体现了不同法律权益的平衡。
  •  数据存储和安全保障:平台上信息的记录、保存与保护
根据《电商法》第三十一条,电子商务平台经营者应当至少在三年内记录、保存平台上发布的商品和服务信息、交易信息,并确保信息的完整性、保密性、可用性。
而根据《网安法》及其配套措施的相关规定,个人信息的收集、使用等处理活动应当进行记录,且并未对于记录的时间长短进行严格的限制(网络日志留存六个月);此外,根据《网安法》第十条,网络运营者应采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性;而在2018年5月1日《信息安全技术个人信息安全规范》(下称“《安全规范》”)中第4点(f)项进一步明确了个人信息处理的确保安全原则,要求保护个人信息的保密性、完整性、可用性。
相较而言,《电商法》的规定不仅对记录和保存义务的时间限制进一步明确,同时还就电子商务平台经营者对信息的安全保护义务范围进行了澄清,从“网络数据”具化至“平台上发布的商品和服务信息、交易信息”。这一过程中,数据类型的澄清反映了目前电子商务经营过程中最为主要的信息范围,避免了在电子商务经营者因《网安法》下安全保障义务范围过大而付出过高的合规成本;而时间限制的设定则与《民法总则》第一百八十八条[5]调整后的民事诉讼时效保持了一致,为电子商务领域的诉讼纠纷中的证据保留和收集提供了保障,一定程度上将数据存储义务体系和纠纷解决机制进行了融通。
  •  个人信息的使用:个性化搜索结果展示
《电商法》第十八条第一款规制了电子商务经营者利用大数据分析等技术向用户展示个性化搜索结果的行为。该款规定,电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的,应当同时向该消费者提供不针对其个人特征的选项,尊重和平等保护消费者合法权益。
对应地,《网安法》第四十一条规定了网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则;而《安全规范》第7.10条规定了当仅依据信息系统的自动决策而做出显著影响个人信息主体权益的决定时,个人信息控制者应向个人信息主体提供申诉方法。
一般认为,《电商法》第十八条的规定主要是防止电子商务经营者利用大数据分析“杀熟”,即电子商务经营者利用大数据算法,通过收集用户画像、支付能力、支付意愿,做到“一人一价”,甚至出现“会员价”高于正常价格的情况。而由于大数据分析过程均在后台完成,具有较高的隐蔽性,消费者在受到歧视待遇时甚至无法察觉。因此,在电子商务经营者利用大数据分析进行个性化搜索结果展示时,要求其提供不针对特定消费者个人特征的产品或服务的选项,有助于保障消费者的知情权以及公平交易的权利,一定程度上避免“歧视”情况发生。对比《网安法》体系下对网络运营者使用个人信息的正当性原则要求以及自动化决策的约束规定,《电商法》针对目前行业中典型问题,将正当性原则解释为消费者平等选择的权利,将约束自动化决策的方式由“提供申诉方法”调整为“提供不针对其个人特征的选项”,一方面反映了电子商务领域的现实实践,同时也是通过对一般体系下非强制性规则(《安全规范》为推荐性国家标准)的适度突破,确保了在平台和消费者力量极端不对等情况下对自动化决策的约束。
  •  个人信息主体权利:访问与注销
《网安法》在第四十三条中要求网络运营者在特定前提下满足个人信息主体的两项权利,删除权及更正权。作为《网安法》的配套国家标准,《安全规范》”沿袭该思路对个人信息控制者收集、使用个人信息,对实现个人信息主体合法权益保护等提出了具体的要求,在《网安法》基本规则以及个人权利响应上补充了“访问权”、“注销权”、“可携权”等。但由于《安全规范》作为非强制性的推荐性国家标准,其效力直接影响了上述个人权利响应机制要求的落地。
《电商法》第二十四条不仅进一步确认个人信息主体在《网安法》下的删除权及更正权,在法律层面明确要求电子商务经营者还应当明示用户信息“查询”及“用户注销”的方式、程序,不得对用户信息“查询”以及“用户注销”设置不合理条件,加强了“访问权”及“注销权”的强制力。
但值得注意的是,《电商法》并未采纳《安全规范》7.9条中推荐的“可携权”。根据《安全规范》中“可携权”的要求,根据个人信息主体的请求,个人信息控制者应为个人信息主体提供获取以下类型个人信息副本的方法,或在技术可行的前提下直接将特定个人信息的副本传输给第三方。“可携权”在欧洲《一般数据保护条例》(General Data Protection Regulation,“GDPR”)第二十条中以“Right to Portability”的形式体现,其立法的初衷考虑到可携的前提是数据的格式化和标准化,格式化数据的在不同主体间的自由流通,有助于消除形成数据流通的技术壁垒,促进数据经济的发展。从《电商法》角度出发,未采纳“可携权”并不是与数据自由流通的大趋势相背离,而更可能是维护现阶段市场稳定发展的取舍之道。尽管目前数据已成为电子商务领域的重要竞争资源,但数据权属以及各主体对数据主张权利边界等问题并不清晰。在中国电子商务领域目前高速发展又激烈竞争的特殊阶段和大背景下,在法律层面强制性推行“可携权”可能会降低企业的竞争积极性,造成电子商务市场的混乱。因此《电商法》有选择性的采纳《安全规范》中个人信息主体的权利,体现了其在市场发展不同阶段,不同法律权益的取舍和平衡。
  •  互联网内容审核:消费者评价的删除
依据《电商法》第三十九条,电子商务平台经营者不得删除消费者的评价。[6]本条规定旗帜鲜明地针对目前电商平台中出现的刷单、篡改评价以影响消费者正常判断平台内经营者信用和服务质量的现状,通过禁止电子商务平台经营者删除消费者评价,杜绝恶意的评价删改行为,确保了电商平台依据第三十九条第一款建立的信用评价体系的有效性。
而从此前的互联网信息内容管理体系来看,根据《网安法》第四十七条,网络运营者发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告;而《互联网信息服务管理办法》第十五条,互联网信息服务提供者不得制作、复制、发布和传播的信息类型包括九类;同时,根据同文第十六条,互联网信息服务提供者在发现前述九类信息内容时,应立即停止传输,保存有关记录,并向国家有关机关报告。
看似《电商法》中的规定可能与现行互联网信息内容管理制度相冲突,导致消费者评价这一信息内容跳出现行管制体系;但实质上看,第三十九条的规定内容对电子商务平台经营者的互联网信息内容管理义务并未减少,仅在义务实现方式上作出了调整。由于《电商法》并未将消费者评价排除于互联网信息以外,而电子商务平台经营者依法不得删除该等信息,则要求其在该等信息发布前采取更为严格、准确、有效的信息筛选机制,由事前防范通过消费者评价的途径发布或传输违法违规信息。为此,《电商法》基于对信用评价体系有效性的保障,将现行互联网内容审核通常的“事前筛选+事后补漏”机制在消费者评价方面进行了适度的调整,使得以《网安法》和《互联网信息服务管理办法》为基础的一般性互联网内容审核体系与信用评价体系融洽共存。
  • 其余存在差异的条款
此外,《电商法》中还存在一些可能与《网安法》中特定规则存在差异的条款,有待日后的执法和司法实践进一步调和不同立法之间的差异,包括但不限于:
  • 《电商法》第二十五条中对电子商务经营者配合有关主管部门、提供电子商务数据提出了相应的义务要求:根据《网安法》的相关规定,并未赋予有关主管部门在非履行网络安全监督管理职能、侦查国家犯罪及国家安全等情形下要求网络运营者未经用户同意提供个人信息的职权,则有关主管部门如行使此职权要求电子商务经营者提供电子商务数据且其中涉及用户个人信息时,电子商务经营者将不可避免地陷入必然违法的两难境地;此外,《网安法》第四十二条一般性规定中,未经被收集者同意,不得向他人提供个人信息,而根据《电商法》中的规定,有关主管部门可依据行政法规级别的授权向电子商务经营者要求提供电子商务数据,如涉及个人信息时,则很可能需要进行在《网安法》和《电商法》的规定之间折中选取合理边界。
  • 《电商法》第七十九条虽将侵害个人信息和不履行网络安全义务的行为责任直接转引至《网安法》等法律和行政法规的罚则规定,而在其余罚则条款中仍有部分内容涉及网络安全相关义务的履行,以第七十六条第三项为例,其中规定的侵害、影响用户信息查询、更正、删除以及用户注销权利的行为,对电子商务经营者而言由市场监督管理部门责令限期改正,可以处一万元以下的罚款;而《网安法》第六十四条[7]规定,处罚方式不仅包括责令改正和罚款,还视情节严重程度可采取责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等罚则,且罚款计算方式与此项亦有所不同。为此,有关主管部门在进行监督管理和执法处罚时,为确保符合合理、适当的原则,则需更为谨慎地选取法律依据和处罚程度。

3 小结与展望

无论是“网络安全”和“电子商务”的天然联系,还是《网安法》和《电商法》立法进程的紧密衔接,两部法律之间立法宗旨和思路始终一脉相承、根源相通;针对的规制对象和范围虽有差别,但《网安法》和《电商法》均着眼于网络运行和网络信息两个方面,通过强制性义务和权利的分配(如前述制定网络安全事件应急预案的义务、用户个人信息的相关权利等),确保网络安全,实现技术和经济稳步、健康发展。
但同样两部法律也存在着利益权衡取舍上的不同,尤其是《电商法》对《网安法》建立的一般性网络安全合规体系在电子商务领域具化和延伸过程中,《电商法》充分反映了特定领域的特定情况,适度调整了具体的规制规则(如前述消费者评价上起主要作用的互联网信息审核方式),使得《网安法》下的一般体系在电商领域具有了更细致和贴切的展现形式。总体而言,网络安全为电子商务的发展保驾护航,电子商务又是网络安全的重要实践领域,为此,《网安法》及其配套措施的制定、出台确立了一般性的网络安全保护义务体系,而《电商法》则针对电商领域将关键条款进行了具体适用和延展;值得期待的是,这两朵“并蒂莲花”结合之下,为电商领域的网络安全保护提供更为综合、细致和具有针对性的体系化规制,为电子商务市场的健康发展奠定更为坚实的基础。 

[1]《网安法》系2016年11月7日由全国人大常委会表决通过。[2]《网安法》第十条规定,建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。第二十五条规定,网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。[3]《电商法》第二十三条规定,电子商务经营者收集、使用其用户的个人信息,应当遵守法律、行政法规有关个人信息保护的规定。[4]《电商法》第二十四条规定,电子商务经营者应当明示用户信息查询、更正、删除以及用户注销的方式、程序,不得对用户信息查询、更正、删除以及用户注销设置不合理条件。电子商务经营者收到用户信息查询或者更正、删除的申请的,应当在核实身份后及时提供查询或者更正、删除用户信息。用户注销的,电子商务经营者应当立即删除该用户的信息;依照法律、行政法规的规定或者双方约定保存的,依照其规定。[5]参见《民法总则》第一百八十八条第一款:向人民法院请求保护民事权利的诉讼时效期间为三年。法律另有规定的,依照其规定。

[6]参见《电商法》第三十九条:电子商务平台经营者应当建立健全信用评价制度,公示信用评价规则,为消费者提供对平台内销售的商品或者提供的服务进行评价的途径。

电子商务平台经营者不得删除消费者对其平台内销售的商品或者提供的服务的评价。

[7]《网安法》第六十四条网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。