电商代运营模式下的数据合规问题探讨：品牌方与运营商的法律关系解析

hwyzw

    本文共6600字，阅读时间约7分钟。

    介绍

    与传统的线下交易不同，电子商务的一大特点是每一个交易环节都伴随着电子数据的流动。我国《个人信息保护法》已经颁布，即将施行。个人信息保护和数据合规日益成为我国法律实务界关注的重点领域，包括电子商务在内的各种业态也面临着前所未有的挑战。

    本文拟在实践中探讨电商代运营模式下的数据合规问题，以期引发业界进一步的讨论和思考。

    1、代理经营模式下品牌与经营者之间的法律关系——委托加工、共同加工、还是提供数据？

    为了书写方便，本文使用“品牌”来指代店铺或渠道主； “运营商”是指为品牌提供店铺或渠道运营服务的服务商。

    目前实践中，电商业务渠道主要有两种不同类型：电商平台渠道和自有渠道。本文所指的电商平台渠道模式是指品牌在大型电商平台（如天猫、京东、亚马逊等）开设店铺并处理交易相关数据并销售商品的模式按照平台运营规则通过平台电商进行；自有渠道模式是指不依赖电子商务平台的商业模式，例如利用自建网站、自营APP、自有微信公众号、小程序等（以下简称作为“自有渠道”）处理交易数据并销售商品。模型。在以上两类电子商务业务渠道中，都可以采用代理运营模式。

    品牌通常会通过平台规则、用户协议、会员条款、隐私政策（个人信息保护政策）等文件向用户披露收集个人信息的范围和处理个人信息的目的，并获得用户处理个人信息的授权。如果品牌独立经营店铺或拥有自己的渠道，个人信息从电商平台或用户直接流向品牌，并由品牌独立处理。当事人之间的法律关系较为明确。但如果店铺或自营渠道由运营商（即代表运营商）运营，首要任务是明确品牌与运营商在数据处理方面的法律关系。

    在代理运作模式下，要回答上述问题，首先需要明确谁是个人信息处理者。 《个人信息保护法》将个人信息处理者定义为“在个人信息处理活动中自主决定处理目的和方式的组织和个人”[1]。根据这个定义，不言而喻，品牌在代理运营模式下具有个人信息处理者的法律地位。关键是确定运营者在个人信息处理中的法律地位。

    一般情况下，品牌委托运营商代为运营店铺或自有渠道，委托事项必然涉及用户个人信息的处理。通常很容易简单地认为其法律特征符合《个人信息保护法》[2]第21条关于委托处理个人信息的规定。但需要注意的是，在实践中，品牌与运营商之间的委托协议内容往往比较宽泛。尤其是当品牌缺乏数据处理经验时，委托协议中很难满足个人信息保护法第二十一条的要求。需就“个人信息的目的、期限、处理方式、个人信息类型、保护措施、双方权利义务等”作出明确约定。

    因此，我们认为，判断品牌与经营者之间的法律关系，应考察双方在合作中的实际责任。不排除在数据处理方面，双方称为“委托处理”，但实际上是“共同处理”或品牌向运营商“提供”数据的法律关系。本案应考察《个人信息保护法》第二十条[三]、第二十三条[四]对代理经营模式的影响。

    2、基于委托法律关系的代理经营模式中品牌方的告知义务和同意义务

    当代理运营模式被视为“委托处理”时，首先需要解决的现实问题是品牌是否需要向用户披露运营相关信息，是否需要征得用户同意？

    《个人资料保护法》第21条并未要求委托处理时须将受委托人的资料告知个人，也没有明确要求委托处理须征得个人同意。 《信息安全技术个人信息安全规范》（GB/T 35273-2020，以下简称“35273国家标准”）第9.1条中关于委托处理的规范中没有此类要求。之所以需要讨论这些问题，是因为《个人信息保护法》第二十三条规定：“个人信息处理者向其他个人信息处理者提供其处理的个人信息时，应当告知接收者的姓名或者名称。” 。 、联系方式、处理目的、处理方式和个人信息类型，并单独取得个人同意。 《网络安全法》第四十二条也规定“不收集。收集者同意不向他人提供个人信息。”因此，如果委托第三方处理数据被视为包括向第三方“提供”数据，前述披露受托人身份、委托事项以及取得个人同意的法律要求，在委托处理模式下，品牌的隐私政策等法律文件应相应披露，并取得个人相应的授权同意。

    我们倾向于认为，如果特定的运营模式被认定符合委托加工性质，那么品牌的隐私政策等法律文件无需披露前述信息，也无需取得个人的同意用于委托加工。具体原因如下：

    1、经营者不应被认定为“个人信息处理者”，不适用《个人信息保护法》第二十三条的规定。

    根据我国民法典的规定，在委托代理法律关系中，代理人的权限来自于委托人的委托[5]。根据这些规定，处理个人信息的受委托代理人（即运营者）在未经委托人意愿的情况下，不能独立决定处理个人信息的目的和方式。因此，运营者不承担个人信息保护法第七十三条规定的法律义务。第（一）项所界定的“个人信息处理者”的身份不能成为《个人信息保护法》第二十三条规定的“其他个人信息处理者”，因此品牌权利人不承担该条规定的责任。告知并获得个人同意的义务。

    从比较法的角度，同硕认为，我国“个人信息处理者”的概念更接近欧盟《通用数据保护条例》（Data，以下简称“GDPR”）中“控制者（）”的含义， 35273 GB 也直接借鉴和使用了GDPR设定的术语。个人信息委托处理关系中的运营者身份更像是GDPR中的“处理者（）”。这进一步证实了我们上述观点。

    但该经营者是否属于网安法第四十二条规定的“其他人”，品牌仍应征得个人同意吗？我们继续分析。

    2、《个人信息保护法》作为新法，也应优先适用。

    首先，我们认为，在个人信息保护方面，应当优先适用个人信息保护法的规定。经过前面的分析，即使对于委托处理关系是否适用《网络安全法》第四十二条存在疑问，但鉴于《个人信息保护法》已经给出了明确的指导，这个问题的答案应该是明确的。

    其次，根据立法法第九十二条的规定，“法律、行政法规、地方性法规、自治条例以及同一机关制定的单行条例、规章的单行规定与一般规定不一致的，适用特别规定”。应适用；新规定与旧规定不一致的，适用新规定。 “如果《个人信息保护法》与《网络安全法》有关委托处理的规定不一致或者冲突的，也适用新法律《个人信息保护法》。

    此外，作为《网络安全法》的重要配套国家标准，35273国标关于委托处理的第9.1条并未体现《网络安全法》第四十二条的要求，可以确认品牌对个人信息的委托处理。处理无需适用网络安全法第四十二条的规定。

    3、从法律解释的角度，我们认为《个人信息保护法》第二十三条、《网络安全法》第四十二条中的“规定”以及《网络安全法》第四十二条中的“其他”应当同时适用。解释限制。

    根据前述分析，“提供”行为本身不应剥夺接受者处理此类个人信息的自由意志； “提供”的对象（即“其他”）应为“个人信息处理者”。因此，我们认为，就本文讨论的问题而言，《个人信息保护法》第二十一条与第二十三条不应存在法律冲突。

    4、从立法技术角度看，个人信息保护法第二十一条第二章个人信息处理规则（即委托处理条款）中，除委托处理外，还有对应其他具体处理情况的规定（包括个人信息处理）。信息传输、提供、披露）直接规定了告知个人或取得个人同意的要求，但委托处理条款并未作出此项规定。

    同一法律不应优先考虑同一章中的一项规定。如果法律确实规定委托处理应当履行告知同意义务，为何不在相应条款中直接规定，而参照其他个人信息处理方式的其他规定？

    综上，我们认为，如果特定运营模式被视为委托处理法律关系，品牌无需向个人信息主体告知运营者身份，也无需征得其同意。个人信息的委托处理。

    同时必须强调的是，我们注意到学术界和实践界对此问题还存在不同看法。实践中，我们不排除执法部门和司法部门可能持有相反的意见。我们将密切关注相应执法司法部门的情况。司法趋势。

    3、基于不同法律关系的代理运营模式的数据合规风险

    综上分析，我们认为“电商代运营”商业模式的法律性质不应得到普遍认可，而必须称为数据的“委托处理”。由于电子商务领域具有较强的数据流动性和交互性特点，在分析判断“电子商务代理经营”的法律性质时，除了从传统民法的角度来审视其带来的影响和挑战还必须考虑数据法。

    需要强调的是，我们的上述分析是针对“基于委托处理法律关系的代理经营模式”进行的。若具体代理运营模式被监管或司法部门认定为数据“共同处理”或品牌向运营者“提供”数据的，则根据《个人信息保护法》第二十条、第二十三条的规定，品牌将因数据处理而导致运营者个人信息权受到侵害时，品牌必须对个人信息主体承担连带责任；或者品牌方必须向个人披露经营者身份，并单独征得个人同意品牌方向经营者提供其个人信息。

    由于我国包括个人信息保护法在内的数据法律体系尚处于建立健全过程中，因此执法机构或司法机构尚未对上述问题进行认定。但根据我们的实践经验和分析，我们认为以下情况可能会导致特定代理运营模式被认定或部分认定为“共同处理”数据或向运营商“提供”数据的风险品牌。我们确定存在强到弱枚举相关性的可能情况如下：

    4. 总结

    “委托加工”法律关系的构建可能会给受托人带来两大好处。一方面，可能是基于客户的便利性和客户体验，而不需要单独征得用户的同意；另一方面，作为受托人，可以无需承担“共同处理”法律关系下的连带责任风险。为此，不排除未来有一种趋势是通过委托处理建立法律关系，从而规避自己个人信息处理者的义务和责任。但无论是基于金融监管的“穿透原则”，还是基于九人大会议记录中法院“探求真实意思表达”的基本原则以及目前的实践，都没有必要规避联合处理的本质只能通过协议文本或协议头来实现。如果不起作用，就会存在巨大的法律风险。

    此外，我们还注意到，《个人信息保护法》中的“委托处理”与民法典第23章“委托合同”的规定以及常见的代理经营合同的内容存在诸多差异。在实践中。不同之处。代理经营合同是典型合同吗？数据法中的“委托处理”与民法中的“委托合同”是什么关系？由于本文的目的和篇幅，我们在此不做进一步阐述。我们将在后续文章中进一步分析和讨论。

    综上所述，我们希望本文的分析能够使品牌方和运营商能够认真评估和分析当前运营模式中的数据合规风险，在合作前进行必要的数据合规尽职调查，明确数据处理的目的和方法，以及双方的关系。职责和工作范围，完善相应合作法律文件的内容；加强合作过程中合作伙伴的管理。同时，我们也希望具体行业的执法部门和监管部门能够制定更加具体的指导意见，进一步规范相关领域，保护消费者和市场参与者的合法利益，包括数据权利。

    [1] 《中华人民共和国个人信息保护法》第七十三条第一款。

    [2]《中华人民共和国个人信息保护法》第二十一条：

    个人信息处理者委托处理个人信息的，应当与受托人约定个人信息的处理目的、期限、处理方式、个人信息类型、保护措施、双方权利义务等，并进行审查受托人的个人信息处理活动。监督。

    受托人应当按照约定处理个人信息，不得超出约定的处理目的、处理方式等处理个人信息；委托合同未生效、失效、撤销或者终止的，受托人应当将个人信息返还个人信息处理者或者删除，不得保留。

    未经个人信息处理者同意，受托人不得转委托他人处理个人信息。

    [3]《中华人民共和国个人信息保护法》第二十条：

    两个以上个人信息处理者共同决定个人信息处理目的和方式的，应当约定各自的权利和义务。但本协议不影响个人请求任何个人信息处理者行使本法规定的权利的权利。

    个人信息处理者共同处理个人信息，因侵犯个人信息权益造成损害的，应当依法承担连带责任。

    [4]《中华人民共和国个人信息保护法》第二十三条：

    个人信息处理者向其他个人信息处理者提供其处理的个人信息时，应当告知接收者的姓名、联系方式、处理目的、处理方式和个人信息类型，并取得该个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息类型的范围内处理个人信息。接收方改变原处理目的或者处理方式的，应当依照本法规定重新取得个人同意。

    [5]《中华人民共和国民法典》第一百六十三条：

    代理人包括主代理人和法定代理人。

    授权代理人按照委托人的委托行使代理权。法定代理人依照法律规定行使代理权。

    智德数据合规

    智德长期关注数据合规问题，紧跟国内外数据安全和隐私保护方面的法律、政策和监管动态。我们与战略合作数据安全咨询公司作为技术支持，已为多家金融机构、互联网、网络安全、数字媒体、社交网络、智能汽车、医药等领域提供数据合规年度/专项法律服务-大数据、云计算、区块链技术等科技企业，以及传统零售、制造企业，包括但不限于：创新数据产品的合规评估服务、计划IPO的企业。数据合规尽职调查、整治合规交流咨询反馈服务、APP整改法律服务、跨国企业数据跨境合规法律服务、消费者和员工个人信息保护法律服务、个人信息安全影响评估（PIA）法律服务、网络信息安全法律服务突发事件、网络犯罪防范与应对、跨国企业集团在华数据合规体系本土化法律服务、企业内部数据合规体系建设法律服务、协助客户应诉执法部门调查数据安全和个人信息保护事务，协助客户采取或应对数据相关行动不正当竞争举报和诉讼等特殊法律服务。

    往期数据合规文章介绍

    作者简介

    合伙人 陈文浩

    业务领域： 政府监管与合规 争议解决 反垄断与竞争法

    不用担心

    业务领域：数据合规、投融资并购、争议解决

    0755 3325 7529