京東、淘寶“數據斷供”:捍衛信息保護還是加劇平臺壟斷?
原標題:深度|京東、淘寶“數據斷供”:捍衛信息保護還是加劇平臺壟斷?
21世紀經濟報道記者王俊、吳立洋北京、廣州報道
近期,京東、抖音、淘寶紛紛更新訂單信息加密通知及系統升級改造方案,對生態鏈路的消費者敏感個人信息採取脫敏、加密措施,不再向商家、服務商提供明文的消費者敏感個人信息(以下簡稱“數據斷供”),引起行業廣泛關注。
多方信息顯示,這是平臺耦合事件,但考慮到“數據斷供”發生於我國《個人信息保護法》即將出臺之際,未來電商平臺訂單處理鏈路加密或將成爲大勢。
直觀來看,將是整個電商上下游產業鏈商業邏輯的重塑。眼光再向前看去,基於此衍生出更宏觀問題的討論與解決也近在咫尺:電商平臺數據斷供後,流向安全高地的數據是否加劇上游平臺的壟斷地位?又是否與監管及學界對平臺互聯互通的鼓與呼相悖呢?在體量龐大的商業利益面前,用戶作爲數據提供的“一粒沙”,能否掌握主動權?
斷供數據後電商平臺新的話語體系建立
根據國家統計局數據,2020年全國網上零售額達11.76萬億元,同比增長10.9%,實物商品網上零售額達9.76萬億元,同比增長14.8%,佔社會消費品零售總額的比重接近1/4。
根據各平臺財報,拼多多平臺年活躍買家數達8.238億,阿里巴巴中國零售市場年度活躍消費者達8.11億,京東活躍購買用戶數4.998億。
龐大的個人數據彙集起來,構築了一張密實的信息網,聯結用戶、商家、平臺、第三方服務商,形成環環相扣的產業鏈,個人信息在這一鏈條上不斷流轉。電商鏈條中大量的客服外包、第三方軟件開發商、快遞物流以及提供數據服務的軟件開發包(SDK)等受委託處理個人信息主體的數據安全問題也屢屢遭質疑。
“沒有辦法避免的事實是,電商鏈條的每個環節都需要用個人數據運營。”中國電子技術標準化研究院網絡安全研究中心測評實驗室副主任何延哲表示,早前平臺顧慮少,爲給用戶提供服務,對第三方約束較低。但隨着個人信息保護的重視,各方權利的邊界逐漸清晰。
電商上游需履行安全責任,保證數據不泄露,下游也要遵循與上游的約定,不能濫用來自上游的數據。“如何監管促進下游履行職責,現在可以看到上游直接從技術角度嚴控向下遊提供信息,用這種方式來避免數據的濫用。”何延哲表示。
7月19日,抖音更新“數據安全加密對接”的指南,稱將啓動消費者隱私信息加解密項目,針對消費者敏感數據進行加密防止數據泄露,提高數據安全防護水平。
7月21日,淘寶更新“訂單敏感信息保護”的應用升級方案,包括“訂單處理類”和“倉儲物流類”,稱將啓動訂單處理鏈路的消費者敏感信息保護方案,對涉及消費者個人敏感信息採取加密等安全技術措施。
多位接受採訪的專家表示,平臺對訂單中的消費者敏感信息進行脫敏處理,可以降低用戶信息泄露風險,在不影響電商完成交易的情況下,保障消費者個人信息不被濫用。但對商家與第三方服務商帶來更嚴峻的挑戰,未來商家與第三方服務商業邏輯都將發生轉變,包括與平臺解密接口的調整、數字營銷策略的改變等。
平臺作爲數據上游對下游的鉗制也值得被關注。
何延哲告訴21世紀經濟報道記者,此前商業模式中,下游並不是只完成上游分配的任務,充當流水線工人的角色。但是“數據斷供”把容易被濫用的信息儘可能隱藏,下游不再掌握原始數據,極大地限制其數據的二次開發,喪失了更多的商業可能性。
易觀分析師陳濤表示,以前獲得個人信息後商家進行私域化運營的路徑走不通了,只能是平臺把一些脫敏分層分級的信息打包給品商家,商家利用這些信息進行下一步操作。
“數據斷供帶來的顯著變化恐怕是下游對上游的依賴性更強了。”何延哲稱。
以物流服務爲例,此前可通過共性的數據把不同倉庫的數據統一管理,聯結各個平臺中的用戶信息,打通不同平臺間的數據壁壘。而數據斷供後,幾無可能。
此外,何延哲強調,由於各平臺系統升級後,不同平臺加密算法不同,下游只能調整接口以適配不同電商平臺。“相當於每一個上游的平臺,都會形成自己體系的話語模式,下游只能被動接受。”
數據安全高地與城門打開的可能性
越發擁有話語權的上游平臺,是否會逐漸異化,提出諸如“二選一”之類的要求“捆綁”下游,加強其自身的壟斷地位?
大成律師事務所高級合夥人鄧志松接受21世紀經濟報道記者採訪時表示,平臺將訂單信息加密這一舉措讓人聯想到《個人信息保護法》(二審稿)中爲大型平臺設置類似於“守門人”的義務。截止2020年底,工信部在我國市場上監測到345萬款App,如果再聯繫平臺內電商數量,則更是難以計算。僅僅依靠監管機構,要對這些App進行一對一監管顯然存在困難。讓大型平臺在個人信息安全保護中發揮一定的“守門人”作用,可以提高監管效率。
“賦予平臺對平臺內商家的監管權,會使得平臺對商家有更大的話語權。”鄧志松說,但也可以通過建立規範的審覈體系,明確兩方權責來保護商家利益,不能簡單從一個舉措來評價是否“強化了壟斷能力”。
中國政法大學網絡法學研究所副所長商希雪認爲,數據壟斷是基於數據的佔有和使用而形成的壟斷,起因包括:大規模數據掌握在少數市場主體手中;數據被不合理分配與使用,進而導致市場環境中的不公平競爭。
“如果擁有數據的平臺未不合理利用數據競爭優勢,沒有造成現實的競爭損害,則不構成平臺壟斷。”商希雪說,在數據斷供的情景下,平臺對數據斷供的考慮主要是出於維護消費者信息安全的合規要求,而非佔據或形成市場競爭優勢目的。
何延哲認爲,目前仍舊是上游掌控話語權,跨平臺、跨鏈條的交互可能性很低,也看不到特別明確的信號。如果數據資源不是上游的獨家資源,而是將其變成一種公共資源,生態會更健康。
“其實做數據安全,是在平臺在挖自己的護城河。”何延哲坦言,安全做的越好,數據永遠都往安全的高地走。如果一家平臺巨頭,數據越做越多,下游數據越來越少。那麼,平臺應受到更多的監督,並且,在形成“數據斷供”的情形時,“數據開放”也應一併去研究和嘗試。
值得關注的是,互聯互通近期受到廣泛關注。工信部發文稱,將重點整治惡意屏蔽網址鏈接和干擾其他企業產品或服務運行等問題。有傳聞稱,阿里和騰訊考慮互相開放生態系統。可預期,互聯網競爭或將打破孤立、封鎖、屏蔽的現狀,朝着更開放、包容兼容的方向發展。
不過,鄧志松直言,“互聯互通”這一概念雖然在近期受到熱議,但本身界限和內涵並不明確,也並未成爲法律規定的強制性義務,對其的具體實施方式也還在討論階段。
此外,數據開放、平臺互聯互通與數據安全、個人信息保護,兩個議題纏繞在一起,都是實踐中不容忽視的焦點。
鄧志松表示,互聯互通最終的落實,應當是以充分保護用戶個人信息相關權利爲前提的。推動平臺間互聯互通的目的應當是爲用戶提供更多便利,更有效的利用數據。如果未經用戶同意對其個人信息進行商業化利用,則違背了數據互通的初衷。
多鏈條流轉中數據權屬如何明確
圍繞斷供的一切的討論均是由數據展開。數據作爲一種重要的資產形態,其控制和利用越發受到關注,數據斷供事件在行業引起震盪同時也引發更深層的思索:電商鏈條的上下游的數據權屬如何劃分?個人作爲數據提供者,是否能在流轉的鏈條中掌握主動權?
商希雪表示,個人信息權利是一個多主體共享的權利體系。“單純來源於用戶的初始個人信息的商業價值有限,在大數據產業場景中,往往是平臺在原始數據的基礎上根據自身產業模式和商業場景需求對用戶初始數據進行聚合、加工、分析後形成價值更高、效益更大的衍生數據。”
她表示,考慮到衍生數據是對用戶原始數據經算法或技術加工處理後的數據,平臺對於該類數據投入了一定的人力和物力成本,根據當前的一些司法判決來看,平臺除了對數據本身享有的權益之外,平臺也享有對所享有權益的數據進行衍生性利用或開發所獲的經營利益等。所以說,平臺一方面客觀上能夠對衍生數據進行直接支配,另一方面也有權排除其他市場競爭者對此類數據的獲取或訪問。
上海申倫律師事務所律師夏海龍也肯定了數據產品權益歸經營者享有的觀點。但同時他也強調,用戶個人信息屬於自然人人格權的一部分,其性質屬於不可轉讓,因此電商平臺只可能獲取、存儲個人信息,但不可能“擁有”。
在電商環境中,數據流轉環節多、鏈條長,如何確保用戶的知情權和選擇權?鄧志松表示,數據流轉的環節雖多,但大致可以分爲在不同的數據處理者之間流轉,以及同一數據處理者基於不同目的在不同情境下處理數據。要確保用戶的知情權和選擇權,則需要不同主體在不同情境下因情況制宜地做到合法合規。
他舉例稱,同一數據處理者在數據收集環節需要建立個人信息收集規制,基於最小必要原則收集個人信息,且針對不同的應用情景和目的取得個人信息主體的一般性同意或單獨同意;在數據處理環節,則需依法律規定和用戶約定如實地在約定範圍內使用個人信息,並對用戶畫像、個性化決策等有較高風險的環節建立有針對性的合規政策。而數據涉及到在不同的處理者之間流轉時,則需要考慮是否取得了用戶的單獨同意,評估對方是否具有相應的數據保護能力等。
需注意的是,個人信息保護法草案將於8月17日至20日舉行的十三屆全國人大常委會第三十次會議上審議,這將是個人信息保護法草案的第三次審議,一旦表決通過將會正式頒佈。
“數據斷供”發生於我國《個人信息保護法》即將出臺之際,也可視爲平臺的“未雨綢繆”。
根據《個人信息保護法》(二審稿),增強了用戶主體的權利,賦予了個人信息主體全面的信息權利,包括知情同意、更正、刪除等權利。並且,根據二審稿第16條的規定,對基於個人同意而進行的個人信息處理活動,個人有權撤回其同意,個人信息處理者應當提供便捷的撤回同意的方式。
商希雪舉例稱,針對目前常見的精準推送場景,如果用戶認爲經常受到商業廣告推送的困擾,用戶就可以行使同意撤回權,要求平臺經營者停止推送營銷信息、以及其他使用其個人信息的行爲。
夏海龍分析稱,《個人信息保護法(草案)》對企業在個人信息保護方面創設了很多合規義務,因此需要企業在用戶協議、業務模式等環節作出相應的合規調整,客觀上會增加企業的經營成本。對於用戶的同意撤回權,相關規定比較模糊,尚缺乏清晰的界定標準,與此相關的糾紛可能會增多。
商希雪建議,企業應設立專門崗位和機構履行用戶權利的響應工作,遵循信息專員制的要求,並建立負責人報送備案機制;此外,在數據處理過程中應保障與維護個人信息權利,按照法律要求規範其數據處理行爲。
(作者:王俊,吳立洋 編輯:週上祺)
