首页 >> 海归学人 >> 主题栏目 >> 深度思考

跨境电商发展的法治“春天”还有多远

作者:殷骏

2019/2/20 17:00:44

  2019年1月1日起正式实施的《中华人民共和国电子商务法》,作为我国电商领域首部综合性法律,引来了市场的广泛关注。大至平台、品牌方,小至海外代购、微商,都不得不开始关注运营的规范化。

  在“一带一路”的全球性战略布局中,跨境电商作为重要平台,一直扮演着独一无二的角色。上海市《服务国家“一带一路”建设发挥桥头堡作用行动方案》亦明确提出,要推动“一带一路”跨境电子商务发展。但作为新业态,目前还面临着生命财产风险、质量安全风险、欺诈风险、走私风险,尤其是基于对数据的违规、违法利用而引发的(跨境电商交易参与人)个人隐私侵权风险,上述多方面风险制约其更好发展。虽然《电子商务法》中有对于跨境电子商务的规定,但仅仅是一种原则性规定,“一带一路”建设中,跨境电商发展仍需加强法律风险管控的研究。

  政府各种利好政策持续发酵,跨境电商发展或许将迎来春天,但跨境电商发展的法治“春天”还在路上。

  他山之石,可以攻玉

  美国是世界上电子商务起步最早的国家,其控制跨境电商法律风险主要通过联邦政府采取的“自由企业制度”,其在跨境电商市场准入环节就开始了严格的法律风险管控;英国跨境电商的交易平台内部风险控制机制严密,从合同追踪到信息安全,其风险防范和评估机制都较为严格与高效;欧盟跨境电商法律风险管控主要体现在通过建立ADR诉讼外争议解决机构与配套先进的ODR在线争议解决规则来防范;日本则在跨境电商法律风险信息化管控方面有丰富的经验及手段,其风险管理规则在预防与解决供应链与平台经营等一切环节上的法律风险发挥着动态更新及持续改良的作用。

  不难发现,境外大型跨境电商法律风险管控往往注重电子商务立法机制的严密性、在线纠纷解决机制的建立与完善,及选择最适宜自身发展的内部风险管控策略,从而在法律风险管控层面促成跨境电商供应链生态圈的良性运行。

  难题:如何保护消费者的隐私

  人们在享受大数据应用带来的高效与便捷时,个人的信息安全和隐私保护风险也越发凸显。根据公开信息,仅2017年,全球就有65个国家发生42068起数据泄露事件,84个国家出现1935起漏洞。事实上,在2017年上半年,全球就有19亿条记录遭泄漏或被盗窃,比2016年全年总量(约14亿)还多。2016年,雅虎10亿级用户账户信息泄露事件、希拉里“邮件门”事件、2017 年针对Windows 操作系统的勒索软件(Wanna Cry)感染事件以及我国的徐玉玉电信诈骗致死案等,都是由于网络空间数据资源的保护不力所导致。此次Facebook 泄密事件更是让大数据产业中的“地下交易”浮出水面。数据交易为私利,而数据安全是公益,两者博弈,以私利侵犯公益在性质上是极其恶劣的。跨境电商作为网络和大数据相结合的产物,是一个拥有庞大人群参与和具有重大经济影响力的产业,具有特殊的法律风险源,如何在保护消费者隐私的前提下实现数据产业的快速发展,已经成为立法者亟需解决的问题。

  如何实现隐私保护与数据利用之平衡?目前,国内已经有不少大数据平台采取了相应行动,如阿里云大数据平台通过安全机制和管控措施,实现不同用户间数据“可用不可见”;京东万象数据平台则运用区块链技术和公安部公民网络电子身份标识系统eID技术,以保障数据安全等。这些实质上都是采用了个人信息隐身份技术。

  个人信息隐身份:一个硬币的两面

  何谓个人信息隐身份?我国目前尚未就“个人信息隐身份”进行法律界定。根据有关方面的研究,我们可以将“个人信息隐身份”定义为:数据控制者将数据集中可识别个人身份的数据进行删除或者改变的过程。简单而言,即为去除数据集中个人可识别信息的过程。通过隐身份,可以降低该信息再利用的隐私风险。从广义上讲,个人可识别信息包括了直接识别信息(直接标识符)与间接可识别信息(间接标识符)。前者可直接识别到个人身份,如姓名、身份证号码、地址、生物指纹等;后者与其他数据结合联系或可能联系到个人身份,如性别、邮编、医疗信息、金融信息、爱好、行为轨迹、设备编码、IP地址等。在个人信息隐身份过程中,直接标识符较为明显且必须去除。对隐身份而言真正有挑战的是对间接标识符的判断,需要综合评估数据使用目的、接受者、风险等因素来决定或是去除或是保留。

  目前为止,国内对个人信息隐身份的论述一般只集中在技术领域,鲜有组织、个人对此问题从法律层面进行论证。

  个人信息隐身份技术在国内大数据行业的应用已较为普遍。2014年,中国广告协会在制定了《中国互联网定向广告用户信息保护去身份化指引》,对于互联网广告行业在个人信息隐身份过程中的方法、内容、限制和风险评估做出了具体规定。然而,在其他领域并未形成统一的行业标准。业界统一标准的缺失,导致了目前在个人信息隐身份过程中对于隐身份内容、程度等方面各不一致,而且也未就其中的隐私风险进行评估及提出风险管控措施。

  合理恰当地运用隐身份技术可以较好地实现个人隐私保护与信息利用之间的平衡。一旦隐身份技术被滥用,或者隐身份的行业标准难以一致,隐身份就难以实现本应具有的法律效果,甚至可能导致新的隐私风险,也会影响大数据产业的发展。

  根源:大数据基础法律属性不明

  大数据基础法律属性的不明与数据交易监管的空白是造成以上所有问题且具有递进逻辑关系的两大根源。对于大数据法律属性的问题,学界已多有研究,各国立法也已有多种尝试。如美国1999年的《统一计算机信息交易法》将计算机信息作为知识产权的客体;我国《民法总则》通过“数据、网络虚拟财产”的原则性规定,将大数据定性为财产,但究竟是无形之物还是精神财产(知识产权)至今尚未明确。我国2016 年通过的《网络安全法》也同样是从持有数据主体的角度敦促其维护和保障网络数据的完整性、保密性、可用性——不难发现,该法中仍然缺乏对数据信息交易的规定,对数据去向与使用方式没有监管。

  我国目前虽然有 10 家地方性大数据交易所(中心)以及超过 20 家大数据交易平台,即便是最具代表性的唯一被批准冠名交易所的贵阳大数据交易所也直到2018年4月才宣布盈利,而且年交易额仅为2亿多元人民币。法律属性不明、监管空白,致使大部分企业对于大数据交易敬而远之。因此,确认大数据法律属性,完善监管迫在眉睫。

  规范个人信息隐身份制度

  “个人信息”这一笼统定义已不再具有规范价值,难以适应当前个人信息保护与利用的现状和未来发展趋势。为了充分发挥隐身份技术在个人信息保护与利用中的作用,在将来立法中,首先应当完善个人信息分类,明确法律要保护的是“个人身份信息”而非广义上的“个人信息”。只有避免发生二律背反的情况,从概念上厘清二者之间的关系,才能兼顾个人信息保护与数据利用。

  一般而言,只有个人身份信息公开才会导致个人隐私的风险,法律所要禁止的是针对身份信息的交易。在将来立法中应当确立隐身份原则,明确隐身份是信息再利用和流通之前提,数据提用人和数据使用人在数据脱离可识别身份标识的情境下完成流通,禁止未经隐身份的个人信息进入流通。

  在将来的个人信息专门立法中,应当以兼顾保护个人隐私和促进数据流通为目的,重点规制个人身份的再识别行为,禁止数据接收人、使用人以任何目的从事个人身份再识别。规范个人身份的再识别主要有两种途径:一方面数据提供人可依据数据许可使用协议约定数据使用人不得从事个人身份再识别行为,限制数据的使用和披露;另一方面,立法中应明确禁止数据使用人以任何目的从事身份再识别行为,并追求从事再识别行为主体的法律责任。

  在《电子商务法》已经实行的背景下,政府应当引导行业优先制定个人信息隐身份的行业标准,作为规范数据交易市场的重要准则。鼓励不同行业根据各自行业的特点,明确不同类型个人信息隐身份的水平,对数据流通的隐私风险进行评估,确保数据流通涉及的个人信息处理和服务符合数据和隐私保护的要求,同时,利用区块链等新技术,尤其是客户隐私权保护、商品溯源防伪、跨境信用支付结算等技术,确保跨境电商的法律风险可控。

  此外,为切实降低用户身份信息泄露风险,建议增加责任分担机制,即在网站/客户端与用户之间的合同条款中增加一条,即“在用户保留所有浏览痕迹情况下,因发生网络攻击而造成用户损失的,网站/客户端承担60%损失”;同时,在用户注册和每次登录时增加“是否保存所填写的身份信息”及“是否保留本次所有浏览痕迹”选项,若用户勾选“否”,则在用户退出网页/客户端时所有相关浏览信息数据将被彻底删除(或在经过适当时间后内彻底删除),若发生被盗,网站承担全部责任;若用户勾选“是”,发生被盗则网站承担60%的责任。

  行业监管应与时俱进

  日前,商务部、财政部等十几个部委联合发布了三份进口跨境电商政策文件,进一步完善我国跨境电商零售进口监管工作。随着进口跨境电商的不断发展,对跨境电商的监管也应与时俱进。

  针对自我获取、自我使用的企业,建议继续加强自我约束标准,由大数据管理局(或对应政府职能部门)联合各大产业联盟定期发布《大数据交易与安全使用信息披露报告》,将各大企业成员对大数据的使用情况与交易去向定期向公众展示,提高行业透明度;建议从企业内控与内审出发,一方面在阶段审或年审中增加对大数据管理与使用的相关评估,另一方面增强独立董事行政职能,将对大数据的使用与交易去向的审查也列入工作范围,并有随时查阅、复制的权利(不设独立董事的由监事履行相关职能)。

  针对他人获取、自我使用的企业,建议完善交付验收机制,由大数据管理局联合大数据交易中心、司法局、律师事务所等发布《大数据交易成果验收标准》,配合工信部《大数据交易标准》防范各类法律风险;建议实行“初创企业交易与使用大数据认证”制度,鼓励初创企业在交易与使用大数据之前都到各地大数据管理局(或相关职能部门)进行官方认证与登记备案,并与大数据管理局签订《大数据搜集与数据库安全管理计划》。

  针对他人获取、他人使用的交易平台,建议改良贵州大数据交易所的业务经验,积极引进区块链、数据确权等高新技术,保障市场安全的同时尽早实现盈利;对于纯商业平台公司,建议积极发展海外业务,尤其可以对接部分产业联盟的海外分盟等组织,拓展全球市场的同时主导全球大数据产业。

  (作者:总会理事、留日分会副秘书长,上海海事大学法学院副院长、副教授。本文为2018年SORSA智库资助项目成果)