“顺丰VS菜鸟”背后的数据安全与法律风险
2017-06-04
本文由作者授权无讼阅读发布
随着“国家队”的出场,菜鸟与顺丰同意从6月3日12时起,全面恢复业务合作和数据传输。至此,菜鸟与顺丰的“第一回合”较量落下帷幕,但是在争端的背后,却隐含着更多的用户个人数据安全与法律风险问题。
就这次关闭数据接口的原因,顺丰称是菜鸟先下线丰巢接口信息,并要求其提供客户隐私数据。为保护客户的个人隐私,所以关闭了对菜鸟的数据接口。此外,顺丰公司安全部门在对外系统接口审计时,发现菜鸟利用顺丰提供的接口服务调用次数与实际业务数据相差甚远,因此认为在接口使用过程中,可能存在非法查单和敏感信息外泄,出于对客户信息的保护,安全部门要求即可关闭数据接口服务,并要求相关外部合作整改。
根据物流企业与菜鸟以往的合作看,为了实现用户对于自身寄送的物品可以通过网络平台实时查询,通常的合作模式是:
菜鸟平台提供消费者手机号信息给物流企业——物流企业向菜鸟反馈快递入柜信息以及网点推送等相关快递物流信息
这种信息合作是通过通过开放OpenAPI平台接口的方式取得数据,这是大数据企业间通常采用的数据共享合作方式。这种应用的场景很多,例如:用户通过提供出行服务的APP或网站预定酒店或机票时,用户的个人信息就会被提供给相应的服务机构。同时,这些出行服务的网络提供者通过对用户出行、消费等海量数据的沉淀,进行数据再加工,可以对用户的消费行为、个人喜好等方面进行“用户画像”,以实现更多的商业价值。
当然,这只是最基本的玩法,对于菜鸟的战略布局,目前可看到的还应当是菜鸟基于阿里巴巴(淘宝、天猫)销售大数据的绝对控制力,通过这些数据,就对大卖家提供精准的备货建议,然后通过备货建议和仓储,直接把卖家的物流费用截留大部分,剩下的城市配送的工作再交由其他物流公司去做。由此菜鸟利用其在物流领域的数据绝对优势,将其他所有的物流公司变成自己产业链条中的一部分。其实,这也是顺丰这样的物流公司所最担心的。
那么,第一个问题来了:“与菜鸟无关”的用户隐私数据是什么?
根据综合网上的消息,有可能是菜鸟要求“所有快递柜信息的出发必须通过菜鸟裹裹,取件码信息无条件给到菜鸟,丰巢需要返回所有包裹信息给菜鸟(包括非淘宝订单)”。假如菜鸟确实提出这样的要求,那么其逻辑可能为:顺丰的数据和其他任何一家传统公司在本质上没有区别,只因为它的数据是存储在一个封闭的体系内,如果没有淘宝、菜鸟的支撑,它可能不会这么快做到一件事——在线化。因此,每家物流公司只是其物流数据生态链上的一环,或者一条线。
那么,第二个问题来了:互联网公司是否有权收集这些用户的数据?
数据是互联网公司在大数据时代安身立命之本已经是业界共识,各网络服务提供者都在追逐更多的用户数据收集与沉淀,但问题是如何合法的去收集这些数据?这就涉及到6月1日刚刚生效的《网络安全法》的相关规定。
1.收集用户信息的必要性原则
根据《网络安全法》第41条第2款规定:
网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
这里对网络运营者收集用户个人信息有一个很重要的限定条件:不得收集与其提供服务无关的个人信息。何为“与提供的服务无关”?通常而言,就是收集用户个人信息必须符合必要性原则,即:收集用户个人信息必须为其实现提供的服务所必须,如果收集的用户个人信息与其提供的服务无关则属于违法收集,应当承担相应的法律后果(这一点在后文中予以阐释)。但是,对于如何认定“与提供的服务无关”是一个比较复杂的事实认定问题。
在此次“丰菜大战”事件中,如果菜鸟要求顺丰提供非淘宝订单的用户数据是否属于超越提供服务的范围呢?应当说,菜鸟作为一家提供物流信息服务第三方平台,菜鸟定位就是大数据驱动的智能供应链协同平台,其关键词就是:大数据、智能、协同。由此仅就其收集非淘宝平台的用户物流数据而言,基本上仍属于与其提供服务相关。当然,仍然要注意到的是,这仅仅是当事方的说法,特别是菜鸟要求顺丰提供的用户数据范围是否超越其合理使用的范畴仍不十分清楚,所以更深层的内容还需待相关事实的厘清。
(图为菜鸟平台发布的数据)
2.收集用户信息的合法性与原则
根据《网络安全法》第41条第1款规定:
网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
网络服务提供者收集的数据与其提供的服务相关并不意味着其收集行为当然合法与正当,还需要公开收集、使用规则、目的、方式与范围,特别重要的是,要做征得用户的同意。在这方面,菜鸟做的如何呢?对此,笔者特意在菜鸟官网查询了其《用户协议》与《隐私政策》。应当说,菜鸟的协议与隐私政策还是比较完备的,其在《隐私政策》第三部分“我们如何收集信息”与用户约定了多项用户个人信息的收集与使用政策。
那么,第三个问题来了:互联网公司是否有权直接获取其他平台收集的用户个人信息数据?
应当说,菜鸟在使用用户个人信息数据的合规方面做的是比较完备的,但是这并不意味着菜鸟就有权直接调取顺丰或者其他物流公司收集的用户个人信息数据。根据《网络安全法》第42条第1款的规定:
网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
显然,物流公司将其收集的用户个人信息与第三方共享,必须要经过用户授权同意,否则法律不支持。这也就意味着,如果顺丰等物流公司向菜鸟等第三方平台提供其收集、产生的用户个人数据时,顺丰等物流公司必须征得其用户的同意,未经征得用户同意的,不得向第三方提供。因此,菜鸟要求顺丰提供用户个人信息数据时,物流公司(数据收集与掌控者)必须向用户(数据所有者)征得同意。也正因如此,顺丰公司在公告中明确指出:“要保护用户个人隐私”(当然,这背后实质是对核心数据控制权的争夺)。因此,如果菜鸟或者顺丰等物流公司未经用户同意的情况下,将用户个人数据进行交换、买卖、提供、获取,属于违法行为。
那么,第四个问题来了:如果互联网公司未履行用户个人信息保护责任将会承担何种责任?
没有制裁就没有法律。如果互联网公司违反了保护用户个人数据安全的义务,应当承担何种法律责任?
1.刑事责任
根据两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》的规定,未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息”。行为人由此可能构成“侵犯公民个人信息罪”。
2.行政责任
根据《网络安全法》第六十四条规定:网络运营者、网络产品或者服务的提供者侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
3.民事责任
根据《民法总则》第一百一十一条规定:自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
其实,最后还有一个问题:
保护“用户个人信息数据段安全”的手段,非常有可能演化为一种对对手实施“降维打击”的武器。举个例子:如果类似菜鸟这样的物流数据寡头,以保护用户隐私安全为名,只向商户提供匿名订单信息,而不提供客户的具体信息,使商户不能导出自己分析的数据端口,无法对仓储进行精确布局,最后不得不向其妥协,接受其基础设施作为备货仓库。
编排/谢昊
责编/张洁 微信号:zhengbeiqing0726
在读
相关阅读
热门评论
点击看看法律人在讨论什么