要闻资讯

《电子商务法》第23条规定了电子商务经营者在个人信息合规方面的原则性规定，即电子商务经营者在收集、使用用户个人信息时，应遵守相关法律法规对个人信息保护的规定。《电子商务法》第33条要求电子商务平台经营者制定公开、公平、公正的平台服务协议和交易规则，明确个人信息保护等方面的权利和义务。《电子商务法》第79条规定电子商务经营者若违反与个人信息保护相关的法律法规，将根据网络安全法等法律法规的规定受到处罚。

不少电商企业热衷于从商业利用的角度收集消费者的各类个人信息，特别是通过各类APP的“一键”收集方法。然而，《网络安全法》第四十一条规定，网络运营者在收集、使用个人信息时，应遵循合法、正当、必要的原则，不得收集与提供服务无关的个人信息。该项要求的具体内容体现在配套国标《信息安全技术个人信息安全规范》（下称“《个人信息安全规范》”）的第5.2条：

（1）收集的个人信息的类型应与实现产品或服务的业务功能有直接关联。直接关联是指没有该信息的参与，产品或服务的功能无法实现；

（2）自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率；

（3）间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。

2021年的《移动互联网应用程序个人信息保护暂行规定》为此规定了明确的制度框架，规定了App在个人信息收集环节需要遵循的知情同意要求。在用户使用App进行互联网消费时，App需通过弹窗、文本链接等方式告知用户有关个人信息的处理规则，并通过非默认勾选的方式征得用户的同意。电商企业在实际操作中应在启动App后首页设置展示个人信息保护政策弹窗，并在用户同意隐私政策前不收集任何个人信息。在收集敏感个人信息前，应在页面上告知用户信息收集的目的，用户提交敏感信息时即表示同意信息收集。

首先，电子商务企业在处理个人信息时，必须遵循最小必要原则。按照法律规定，电商企业不得处理与服务场景无关的个人信息；对于非服务所必需或无合理场景的情况，不得自行启动或关联启动其他App。在处理个人信息的过程中，必须确保信息的数量、频次和精度与所提供的服务相一致，而非过度收集。此外，用户若拒绝提供与服务无关的个人信息或权限，企业不能因此拒绝用户使用服务，或频繁地要求用户开启权限以干扰其正常使用体验。企业也不得以提升服务质量或风险防控为条件，要求用户同意超范围处理个人信息。针对不同类型的服务，电商企业应在具体使用场景中明确所需的个人信息范围、精度，以及获取个人信息所需调用权限的前台调用频次、后台运行或静默状态调用频次等。

其次，鉴于电商企业的业务覆盖范围广泛，从业人员众多且素质参差不齐，若出现员工侵犯个人信息的行为，除员工个人承担责任外，还可能对企业造成不同程度的负面影响。除遵守《网络安全法》的规定，落实网络安全负责人并建立内控制度外，电商企业可通过以下途径降低因员工侵犯个人信息而导致企业责任的风险：对于有可能接触到公民信息的员工，应采取严格的管理措施，监控其操作行为；对于涉及数据访问、内外部传输、脱敏、解密等重要操作，应建立审批机制，并与员工签署保密协议。同时，定期对员工进行信息安全培训，要求他们养成良好的操作习惯，提升数据保护的意识。

最后，电商企业应高度重视保护消费者的信息控制权，尤其在大数据时代，数据分享与应用屡见不鲜，但分享与应用他人信息必须是合法合理的，并且承担不再泄露的责任。在互联网消费领域，电商企业对于从消费者处收集的个人信息，必须经过授权后才能进行合理使用，消费者有权要求企业修改或删除其个人信息。电商企业应确保消费者能够行使删除权和信息可携带权等信息控制权，以尽其对人民和国家的责任，同时履行其对社会的义务。遵守合规要求，在信息收集方面，保护个人隐私，不仅是“企业数字责任”的起始点，也是企业对用户所应承担的责任，更是企业履行社会责任的底线。规范数据收集与使用，应考虑参考国内外的信息安全标准和最佳实践，建立适应业务发展的信息安全保障体系，涵盖数据收集、存储、显示、处理、使用以及销毁等环节，根据信息敏感程度的不同采取相应的控制措施。