电商平台数据断供事件对零售品牌的影响与对策
发布时间:2021-07-22
文丨黄春林 刘月莹 汇业律师事务所
一、发生了什么?
自2021年年初开始,汇业黄春林律师团队服务的大量零售品牌、服务商(TP\ISV\物流等),陆续接到天猫、京东及抖音等电商平台通知称,电商平台将对电商生态链路(或称订单处理链路)的消费者敏感个人信息(手机、电话、姓名及地址等)采取加密措施,即电商平台将不再向零售品牌(商家)、服务商等提供明文的消费者敏感个人信息(仅为本文描述用,下称“数据断供事件”)。
随后,我们向多个电商平台求证后证实了上述信源的真实性,目前主流电商平台均在平台正式发布了数据断供相关的通知及系统升级改造方案,具体如:
天猫平台:https://open.taobao.com/docV3.htm?docId=120175&docType=1
京东平台:https://open.jd.com/home/home#/announcement/detail? listId=1018&itemId=1211
抖音平台:https://op.jinritemai.com/docs/guide-docs/56/589
近日来,随着所谓的“整改大限”临近,业界又再次普遍关注数据断供事件,个别自媒体甚至将该事件定性为“灭顶之灾”,从而引起了整个零售行业及服务商的广泛恐慌。
二、因为什么?
经汇业黄春林律师团队向多个信源求证,关于数据断供事件的几个问题及原因解读如下:
(1)目前暂未看到正式的、统一的监管文件要求或窗口意见,多个电商平台同步要求属于偶合事件;
(2)电商平台采取全链路加密的主要原因是,电商生态链数据泄露事件频发、部分服务商数据使用违规,当前立法(尤其是即将发布的个保法)及监管要求明显趋严,以及平台数据合规自驱;
(3)零售品牌基于履约目的(例如客诉)仍然可以通过解密接口申请解密数据,但部分平台会有解密比例限制(例如不得超过日均订单量的10%)及按量的收费要求,或者需要另行签署合规承诺;
(4)零售品牌仍然可以通过平台ID(例如OAID)或检索串等实现单店订单合并、广告归因等,但是CDP跨平台打通数据将非常困难了;
(5)主流电商平台暂无一刀切的“整改大限”,各大品牌及服务商可以单独沟通整改进度,或者开展灰度测试;
(6)电商平台目前都是要求零售品牌通过系统“自主申请”,但若未按照电商平台方案整改的,平台通常会以存在“安全违规”或“安全隐患”等违反平台规则,进而采取扣分或下线等处罚措施;等等。
三、有多大影响?
数据断供对零售品牌、服务商的影响巨大,业界普遍认为会根本性颠覆行业的营销及运营模式。据汇业黄春林律师团队有限了解,相关影响包括但不限于:
(1)零售品牌的多个业务系统,例如ERP、OMS、WMS、POS、CDP以及营销、客服系统等,可能需要改造升级,以适配电商平台的合规要求。具体包括API接口文档、接口参数以及出入参数、字段等,部分品牌还需要重新调整各种“塔”、“鼎”接入方案;服务商相应的业务系统及业务逻辑也需要相应调整。
(2)零售品牌可能需要重新评估服务商,确保服务商符合电商平台合规要求,且服务商系统能够与电商平台数据有效对接,例如物流服务商(例如顺丰)是否能够接入平台物流系统(例如菜鸟),再如短信触达可能只能选择平台自有服务。
(3)零售品牌可能需要调整客服及售后体系,以有效、合规利用平台的解密接口。
(4)零售平台可能需要调整数字营销策略(甚至有人认为这可能会导致数字营销的极大“倒退”),尤其是跨平台数据打通将受到极大制约;等等。
四、如何应对?
不论是从多个电商平台的推进力度,还是从近期监管趋势,尤其是考虑到《个人信息保护法》发布后的合规要求,未来电商平台订单处理链路加密可能会成为一种“新常态”。零售品牌如何有效应对这种趋势,成为摆在大家面前的一个重要问题。结合相关项目经验,汇业黄春林律师团队建议企业:
(1)加强自身常态化数据合规建设,确保电商链路的消费者个人信息全生命周期的安全、合规,迎接即将到来的个保法强监管时代;并通过隐私设计等确保消费者知情同意(例如启用会员通业务),与电商平台个案沟通整改尺度、期限及合规符合性证据,打消电商平台的数据合规与数据安全顾虑。
(2)从《电子商务法》、《产品质量法》、《反垄断法》等法律角度论证并主张零售品牌获取、留存消费者个人信息及交易数据的合法性,并从共同控制、委托处理等维度准确界定品牌、服务商的法律地位,充分揭示数据断供可能诱发的反垄断及消费者侵权等法律风险。
(3)在未获得消费者及平台的“三重授权”、单独同意的情况下,避免跨平台数据打通,避免违规对外提供消费者个人信息,避免违规使用消费者个人信息违规营销,等等。
(4)长远来看,零售品牌应当加速推进私域建设,通过服务商或自建团队,加大自有电商渠道(例如官网、APP、小程序及企微群等)搭建,逐步降低对外部电商平台的依赖性。作为法务或合规团队,应当提前为品牌私域渠道建设做好准备,例如提前申请相关业务牌照、资质等。
(5)零售品牌应当加速推进自有会员体系,增强消费者私域粘性,增加消费者触达渠道,确保个保法项下的“告知-同意”的有效落地;等等。
五、几个衍生思考
不可否认,数据断供在一定程度上有利于保护消费者的个人信息安全,但也会衍生很多问题值得思考,例如:
(1)在普通商品电商业态中,取消实名制才是解决个人信息安全的根本之策。平台不信任商家和服务商,我们又拿什么信任平台?
(2)数据断供过程中我们若隐若现的看见平台在推的部分商业产品或接口,总让人隐隐的感觉“保护用户隐私”的初衷不那么纯洁。也难怪业界担心,这会不会变相强制部分服务商(例如物流)接入平台系统及解密接口,以及变相强制零售品牌使用平台的服务(例如短信通道、数据银行等)?
(3)数据断供实施后,由于全链路均已加密,若未来仍然发生消费者交易数据泄露或诈骗事件的,是不是直接推定由电商平台承担责任?以及,零售品牌还要不要按照《个人信息保护法(草案)》第21条承担连带责任?
(4)电商平台能否增加一个设置,由消费者自主决定是否把个人信息提供给零售品牌,把个人信息的控制权交给消费者?
(5)最近发生的一切,《个人信息保护法》的两大立法目的,除了“规范个人信息处理活动”,“促进个人信息合理利用”似乎早就没了影儿……历史的螺旋,何时回归正道?