从《电子商务法》颁布实施看企业大数据应用与合规

经过三次公开征求意见、四次审议及修改，2018年8月31日十三届全国人大常委会第五次会议表决通过《电子商务法》，作为我国电子商务领域的第一部专门法律将于2019年1月1日起正式施行。《电子商务法》对电子商务经营者、电子商务合同的订立与履行、电子商务争议解决、电子商务促进、法律责任五个方面进行了明确的法律规范。《电子商务法》的出台旨在保障电子商务各方主体合法权益、规范电子商务行为，对开展电子商务各类企业提出更高的合规要求。

本文将就《电子商务法》对企业大数据应用和合规的影响进行解读：

《电子商务法》整体框架

1. 《电子商务法》第九条：“本法所称电子商务经营者，是指通过互联网等信息网络从事销售商品或者提供服务的经营活动的自然人、法人和非法人组织，包括电子商务平台经营者、平台内经营者以及通过自建网站、其他网络服务销售商品或者提供服务的电子商务经营者。”
   
   解读：《电子商务法》适用的电子商务经营者范围覆盖全部通过互联网开展商品销售和提供服务企业，这其中不仅包括了天猫、京东等大型互联网电子商务平台企业，也包含了通过互联网进行业务交易的传统企业。对于传统企业来说，无论是自建网站开展电子商务活动，还是通过平台入驻，微信、论坛社区、直播平台等社交媒体销售商品或者提供服务也属于“电子商务经营者”，都需要受到《电子商务法》的约束，由于这些渠道的多样性，以及相关电子商务交易数据可能会涉及到第三方，数据管理和应用将更具挑战。
   
   
2. 《电子商务法》第十八条规定：“电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的，应当同时向该消费者提供不针对其个人特征的选项，尊重和平等保护消费者合法权益。”
   
   解读：目前大量电子商务企业通过大数据分析、用户画像等方法实现精准营销和个性化商品及服务推送，甚至出现大数据杀熟等现象。未来对于这类大数据分析成果的应用将受到严格限制，企业必须重视各类大数据分析成果应用场景的合规性。
   
   
3. 《电子商务法》第二十三条和二十四条规定：“电子商务经营者收集、使用其用户的个人信息，应当遵守法律、行政法规有关个人信息保护的规定。”、“电子商务经营者应当明示用户信息查询、更正、删除以及用户注销的方式、程序，不得对用户信息查询、更正、删除以及用户注销设置不合理条件。电子商务经营者收到用户信息查询或者更正、删除的申请的，应当在核实身份后及时提供查询或者更正、删除用户信息。用户注销的，电子商务经营者应当立即删除该用户的信息。”
   
   解读：电子商务企业收集、存储了大量的用户个人信息，这些信息的泄露或者滥用将对用户、企业以及社会都产生一定的影响。《电子商务法》再次强调了企业个人信息保护的责任与义务，企业应当尽快对照《网络安全法》、《个人信息安全规范》等关于个人信息保护的要求，盘点所控制、处理的个人信息，识别自身的个人信息安全管理缺陷，特别是如何响应用户访问、注销其个人信息的请求等容易被忽略的场景，尽快建立完善的个人信息保护体系。

无论是互联网电商企业还是传统企业都应当认真评估《电子商务法》对企业大数据应用的影响，在合规的前提下，充分挖掘和提升大数据资源价值。我们建议企业在《电子商务法》正式生效前，立即采取以下行动：

1. 全面盘点：梳理企业电子商务和数据管理现状，整理电子商务数据分布、管控与信息保护措施、数据存储和处置流程、数据交换交易模式以及利用电子商务大数据分析结果的应用场景。
2. 合规分析：通过开展大数据应用合规审计等方式，参照《电子商务法》、《网络安全法》等法律法规要求，建立企业大数据应用风险合规框架，对当前电子商务数据管理和应用合规情况进行差异分析，识别不合规风险与事项，发现不合规运营场景与模式。
3. 整改行动：基于上一步合规分析的结果应根据影响程度、整改成本等尽快明确整改策略、整改计划与具体执行方案，如果确实不能在2019年1月1日之前改善完成到位的企业应考虑替代性程序或方法。

《电子商务法》的颁布与实施，不仅对电子商务数据应用提出更高合规要求，同时也鼓励企业在依法合规的基础上运用各类创新技术充分挖掘电子商务数据资产价值，从而推动企业大数据应用的发展。在此背景下，我们建议企业从业务应用、技术开发到管理控制三个方面开展大数据应用能力提升工作：

1. 业务应用能力提升：通过大数据赋能，为业务运营提供基于大数据的支撑方案，推动业务持续创新和管理决策不断优化；
2. 技术开发能力提升：利用大数据、云计算等新技术，搭建数据技术平台，加速各类大数据应用的快速实现；
3. 管理控制能力提升：形成完善的数据管理制度、数据管理流程、数据管理组织，为实现数据价值提供保障。

关于德勤大数据合规风险服务

随着大数据、人工智能、云计算在企业运营过程中发挥的作用越来越大，更应关注大数据应用本身的合规风险。德勤风险咨询团队从《网络安全法》、《电子商务法》、《信息安全技术-个人信息安全规范》等法律法规出发，建立了覆盖大数据采集、大数据算法、大数据应用、大数据交换和大数据安全的合规风险框架，帮助企业对大数据合规情况进行全面评估并提出合规建议。