前言:
新零售并不是一个新概念,但随着数字经济的发展以及越来越多的企业进行数字化转型,新的市场机遇不断涌现。为了满足消费者新的消费习惯,线上、线下、移动端以及各种小程序端全面融合的新零售商业模式亦不断推陈出新。
“信息是21世纪的石油,而分析则是内燃机”。[1]大量信息来源和数据分析是新零售的制胜关键。在日趋严格的数据安全监管大背景下,如何做好数据合规管理,平衡商业利益与消费者权益,无疑是新零售企业面临的新挑战。
一、 再识“新零售”
新零售,是指企业以互联网为依托,通过运用大数据、人工智能等先进技术手段,对商品的生产、流通与销售过程进行升级改造,进而重塑业态结构与生态圈,并对线上服务、线下体验以及现代物流进行深度融合的零售新模式。[2]
2016年11月,国务院办公厅下发的《关于推动实体零售创新转型的意见》明确了在我国新零售业态的出现,并确定了国家层面支持实体零售创新转型,促进线上线下跨界融合的零售新业态。之后,商务部深入探讨了实体零售数智化转型特征,认为零售商的产出具有新的内容,强化多场景购物体验,提供消费数据服务,出现了复合型、集合型、满足即时购买需求的经营形态等。[3]
新零售最显著的特征是改变了传统零售业的“货-场-人”的运营模式。在新零售场景下:
1. “消费者(人)”被放到了最重要的位置,企业根据消费者的需求,推送个性化的产品(货)。
2. “新型店铺”和“智能化”,即新零售商运用大数据、人工智能等技术手段,深度融合“线上线下”双应用场景,构建了新型消费“场”。
3. “全渠道”,即新零售商为了形成完整的产业链布局,通过接入物联网设备,利用大数据算法优化资讯流、资金流、商流,线下的服务体验以及物流配送成为新零售的常态。
二、 数据合规管理——新零售面临的挑战
新零售以“人”为出发点,与消费者的接触呈现出点多面广的特征。一方面,企业给消费者提供个性化产品和服务;另一方面,随着线下体验店、线上各种终端应用以及其他信息渠道的延伸和整合,新零售面临着“数据爆炸”的业务现状。
新零售商在不同的业务场景下,需要通过布局各类智能终端设备,实现数据采集、算法运行和数据交互等多个环节。由于不同环节接入的智能设备采集的数据种类、敏感程度、商业价值不同,因而数据收集、处理场景和共享链条更加多样和复杂。例如,新零售从生产环节就涉及对存量用户数据的分析,包括分析客户的购物车数量、重复购买率、点击浏览次数等。在商品销售环节,新零售往往依赖于收集消费者的个人信息,包括生物识别信息,以实现如无人货架、智能收银等服务。在线下体验店结合线上平台双应用场景下,由于线上应用成为收集和分析消费者数据的重要阵地,因此还存在大量的数据同步传输、存储和处理的问题。
新零售能够实现“人-货-场”关系的重构,其最根本的驱动是数据。[4] 随着新零售从消费终端获取的个人信息数量和类别呈现爆发式的增长,且数据分析维度日趋复杂,企业的数据合规管理(尤其是个人信息保护)需满足更高的要求。
三、 新零售的数据合规重点
(一) 新零售对“人脸识别”技术的创新应用
1. 从“人脸验证”“人脸识别”到“人脸分析”
2021年4月发布的《信息安全技术 人脸识别数据安全要求(征求意见稿)》将涉及人脸图像处理的场景分为三类:“人脸验证”“人脸识别”和“人脸分析”。
新零售围绕“人”展开:在新零售发展的初期,人脸识别技术被用于门店安防监控,或对企业内部员工进行跨区域管理(如智慧人脸考勤);之后,新零售通过在实体店布局无人货架和智能收银等设备实现无人零售,在此过程中需要通过对人脸信息的核验实现刷脸支付功能。初期阶段的新零售主要通过采集和处理人脸信息实现“人脸验证”和“人脸识别”。
随着新零售的深入发展,物联网智能设备渗透到零售业的各个环节,对人脸技术的需求逐渐侧重至“人脸分析”,即对客户的人脸图像进行标记、统计、检测和特征分析。例如,企业通过人脸识别技术对客户进行编号,统计客户的访店次数、到店时间、停留区域,识别客户年龄、性别、行为状态和微表情等,再通过对该等信息的收集和处理,达到客流统计分析、客户喜好分析、客户轨迹分析等目的,继而形成用户画像[5],对客户进行精准营销。
近年来,不少知名企业被曝光未经客户同意在其门店安装了人脸识别摄像头抓取人脸信息并进行数据分析。[6]其中,不少违规收集和使用人脸信息的房地产企业受到行政处罚。例如,某地产企业在其售楼处大厅安装人脸识别摄像头,对到访的消费者进行人脸照片抓拍和短视频录制,并上传至企业信息平台。通过该平台与分销商、中介报备系统进行比对后,用于企业与分销商、中介佣金结算。该企业在收集、使用上述个人信息未经消费者同意,也未向消费者明示收集、使用信息的目的、方式和范围,被当地市场监督管理局处以罚款。[7]
为了治理人脸技术的滥用,监管执法部门开展了一系列联合专项行动。部分人脸识别系统供应商被调查后也纷纷表态停用涉及人脸收集并分析的应用,仅通过“数人头”进行客流统计。面对日趋严格的监管,新零售商如何规范收集和处理“人脸识别”的行为?
2. 对人脸识别技术的规范和合规建议
针对人脸识别滥用现象,国家相继出台了一系列关于人脸识别技术的法律规范。其中,最值得关注的是最高人民法院2021年6月发布的《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题》(简称“人脸识别司法解释”),以及2021年11月11日实施的《个人信息保护法》(简称“《个保法》”)。《个保法》明确了“生物识别信息”属于敏感个人信息的范畴,需要事先征得个人信息主体的单独同意才能收集和处理。以下是目前中国主要涉及人脸识别信息相关的法律、法规、司法解释以及相关标准草案:
基于人脸识别信息的敏感性和合规风险,我们建议新零售商依据不同的应用场景,采取以下合规措施:
(1) 细分具体场景,确保取得单独同意
“单独同意”是《个保法》对处理敏感个人信息提出的新要求。为保障消费者的知情权,新零售商应对收集、使用敏感个人信息的目的、方式和范围等内容向个人信息主体进行披露,继而获得其单独授权。
在实际的业务场景中,新零售商可通过线下和线上结合的形式取得单独同意:在线下门店设置监控的区域,可采用明显的标识公示告知,如张贴警示牌;线上平台可在通过向客户推送信息、使用弹窗或其他类似方式取得客户的单独同意。
以某新零售商为例,其隐私政策既适用于其线下实体零售体验店,又适用于线上门店,包括官网、移动客户端、小程序等。在其关于人脸信息的条款中,明确说明了会员需主动提交人脸信息以用于特殊会员资格的验核、登记、公示以及其他页面协议明确告知的目的。该新零售商要求特殊会员主动提交人脸信息以解锁非基础业务,实际上采用的就是有明示效果的“选择同意”(opt-in)模式,而结合不同页面又满足了不同场景的告知需求,以达到取得单独同意的效果。
(2) 不超范围收集和处理
处理人脸信息,不得超出个人同意的使用目的和范围。以前述新零售商为例,若拟将采集客户的人脸信息用于资格验核以外的其他目的(不在原来同意的目的范围内),例如分析消费者行为,则应需要明确告知个人消费者并取得其单独同意。
(3) 不变相收集个人信息,尊重个人的拒绝权和撤回权
对人脸信息,无论是线下抑或是线上同意,均需要列明《个保法》规定需要告知同意的事项,且不得与其他授权捆绑等方式取得个人同意。依据《个保法》的规定,个人信息处理者不能以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务,仅处理个人信息属于提供产品或者服务所必需的例外。在消费者拒绝人脸信息的采集后,新零售商不得拒绝提供基础服务,或多次重复向消费者发送采集和处理请求。在取得个人重新授权之前,不得自行变更处理方式和目的。
(4) 依法进行自评估和个人信息影响评估
依据《个保法》的要求,个人信息处理者处理敏感个人信息应当事前进行个人信息保护影响评估。若新零售商拟利用采集的人脸信息进行“自动化决策”同样也属于需要进行评估的具体事项。结合《信息安全技术 个人信息安全影响评估指南》(GB/T39335-2020)的指引,企业应该在事前开展对涉及“人脸信息”等敏感个人信息的识别,并结合实际的业务场景以及采用的识别技术,开展具体的评估活动。
(5) 严格控制与第三方共享场景
新零售拥有多渠道信息交互能力,但由于人脸信息具有强人身性和被侵犯后难以救济性的特点,因此对人脸信息的共享场景应该进行明确限制,除非得到个人信息主体或未成年人监护人的单独同意,否则新零售商不得向第三方提供其所收集和处理的人脸信息。
(二) 新零售的算法和个性化推荐
算法推荐是指利用生成合成类、个性化推送类、排序精选类、检索过滤类、调度决策类等技术向用户提供信息。[8]
个性化推荐是基于特定个人信息主体的网络浏览历史、兴趣爱好、消费记录和习惯等个人信息,向该个人信息主体展示信息内容、提供商品或服务的搜索结果等活动。[9]
如果说人脸识别技术在传统零售业中也有所涉及,那么利用大数据对个人消费者进行各类侧面分析,则是新零售中更为突出的特征。有人说,新零售就是一种算法,设计新算法是新零售的制胜之道。[10]以下是新零售业态下的算法推荐模型:
1. “不杀熟”和“不强制”——“个性化推荐”的合规边界
个性化推荐的实现通常分为两步,第一步是对用户信息、行为的收集;第二步是使用推荐算法进行分析。
除了人脸信息外,新零售商通常还会从线上平台大量收集不同维度的个人信息进行算法分析,例如,收集客户在网站的行为数据(页面浏览频次、页面停留时间、浏览路径,评论和内容),偏好数据(使用特定APP或网页、收藏内容、品牌和默认地理位置),交易数据和信用数据(重复购买率、收入和资产、学历、信用评分)等。
新零售商通过推荐算法,对上述身份识别信息和行为信息进行处理和分析,并最终形成用户标签/画像,对符合客户兴趣爱好和日常购买习惯的商品和服务进行个性化推荐。
为了提升服务效率和和优化客户体验,向客户提供“个性化推荐”并非违法;但是伴随算法推荐违规收集个人信息、向用户强制定向推送以及大数据杀熟等行为却频频发生,备受诟病。
2021年,某知名平台“大数据杀熟”案被法院判处该平台对其APP要求消费者概括性授权问题进行整改。
2022年4月,工信部最新发布的侵害用户权益行为的APP名单中,我们发现不少企业因为违规收集个人信息,强制用户使用定向推送功能等多种原因被处罚。[11] 其中,与算法推荐关系最为密切的是“强制用户使用定向推送功能”,即企业的APP端未向用户告知或未以显著方式标示,就将收集到的用户搜索、浏览记录、使用习惯等个人信息用于定向推送或精准营销,且未提供关闭该功能的选项。
2. 对个性化推荐的法律监管和合规建议
就个性化推荐,《电子商务法》率先要求电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的,应当同时向该消费者提供不针对其个人特征的选项。[12]此后《个保法》进一步对自动化决策进行了规范。2022年3月1日实施的《互联网信息服务算法推荐管理规定》对个性化推送和检索过滤等提出了更加具体的要求以保障消费者权益。
遏制大数据杀熟和对算法推荐进行严格监管已是必然之势。以下是目前我国就个性化推荐治理的主要法律法规和标准:
基于以上法律规定和标准规范,建议新零售商采取如下合规措施:
(1) 遵循告知同意原则
对于收集的个人信息用于算法推荐的,需要明确收集个人信息的边界。例如,在隐私政策或单独页面中告知消费者,并取得消费者明示同意。例如在其隐私政策中列出“个人信息收集清单”,告知消费者收集的具体个人信息,以及如何处理该等个人信息。
(2) 规范个性化推荐的功能设置
根据对授权方式的细化要求,将“个性化推荐”设置在平台中相关醒目的位置,并开启一键关闭功能。例如,设计在APP级别较高的目录中,隐藏式的按钮将不符合便捷的要求。同时,赋予个人选择权和撤回权。实际上,部分用户关闭个性化推荐后,由于无法精准的匹配目标产品,而可能选择重新启用该功能。
(3) 避免强制、频繁、过度索取用户权限
强制、频繁、过度索取权限通常表现为向用户多次索取与当前服务场景无关的权限,用户拒绝授权后,导致应用关闭或退出,客户无法正常使用。零售商在其配套的APP应用中,应尽量避免使用重复的或无法关闭的弹窗获取用户授权,或者在不提供其他变更选项时,仅提供长期授权的选项,如使用“始终允许”或“使用应用/APP时开启”。
(三) 新零售与第三方数据交互的风险
1. 数据交互的具体场景和风险识别
随着数据资产的发展,新零售业数据的交互渠道逐渐扩展至多方。总体上,数据交互可通常分为集团内部以及与外部第三方之间交互两类场景。
第一类是集团内部的数据交互,此类数据共享场景在传统零售业中也大量存在。主要表现为集团内部各关联公司之间和各个部门之间通过信息系统平台进行数据统一化管理,并依据所设权限进行数据交互。
在集团内部数据交互场景下,关联公司之间还可能存在线下门店和线上APP的信息同步的特殊情形。例如,消费者在线下购买之后,相关数据能实时地同步到APP,系统可以自动识别客户的购买历史、优惠券和积分以及订单数据(收货人、收货地址、电话号码)等。在此双应用场景下,数据交互的紧密性提高数据分析的时效性和准确性,但同步交互对数据的合规要求也更高。
第二类是与第三方合作伙伴(例如技术或服务提供商)的数据交互,此类数据交互模式在新零售业中占比较大。由于新零售需要接入不同的智能设备,而相关技术服务往往来自第三方服务商,如平台上接入第三方在线支付、位置定位等辅助功能。针对部分新零售商对客户数据需求量大,但自身信息渠道受限,可能还需要通过与客户数据丰富的第三方平台(如数据服务商)通过合作取得部分个人信息。
2. 交互个人信息的法律规范和合规建议
以下是个人信息交互的主要法律和规范:
就新零售业态下的数据交互,建议零售商重点关注如下问题:
(1) 关注数据交互的合规风险
集团内部关联公司之间的数据交互风险相对可控,但需注意相应的合规要求。例如,如集团内部之间的交互属于共享或其他向“其他个人信息处理者”(即集团内关联方)提供的情形,则应留意对个人信息主体的特别告知并取得其单独同意。
对于将数据与外部第三方交互的场景,由于外部主体与集团内部的数据安全保障体系可能存在差异,因此,在此类场景下建议企业对数据交互进行深入的风险排摸,充分评估第三方数据保障能力,并且通过数据保护协议明确双方数据保护的权利和责任。
(2) 区分对外提供、委托处理和共同处理的场景
不同的数据交互场景下,各方相应的合规义务有所区别。企业在进行个人信息交互之前,需要明确委托处理,向其他个人信息处理者提供以及共同处理的边界,根据数据交互的目的和方式判断具体性质,并通过签订协议明确各方责任承担。例如,在委托处理的场景下,个人信息处理者将直接承担受托方数据处理的行为后果,受托方需要确保在委托方明确指示的处理范围内处理个人信息。在各方构成共同处理的场景下,如侵害个人信息权益且造成损害的,各方需对个人信息主体承担连带责任,因此需要尽可能详细地明确各方在共同处理中的角色、分工、权利、义务等各项事宜。
(3) 事前进行个人信息保护影响评估
在委托处理个人信息、向其他个人信息处理者提供个人信息的场景下,《个保法》明确要求须事前进行个人信息保护影响评估。企业需结合评估的结果,依据个人信息处理活动的风险程度考虑采取审计、加密传输、持续监控、访问控制等措施,保障数据传输安全。
评估的具体内容需涉及信息类型,传输频次,是否涉及跨境传输等,在使用第三方工具场景下(如使用SDK或API,云平台),还要对该工具进行技术和安全能力评估。若新零售企业是通过“云”构建统一的数据管理平台,实现线上和线下的数据交互,还需要注意审查第三方云计算提供商的合规意识和能力。
四、 小结
数字经济的蓬勃发展给新零售带来了新的机遇,也给个体消费者带来了新的购物体验。但是,新零售模式下对于人脸识别技术的使用、自动化决策、算法推荐的应用以及不同场景下个人信息的复杂交互,又给新零售业态的个人信息保护和数据合规带来了前所未有的挑战。
我们建议新零售企业在面对日益严格的数据合规监管时,采取以下措施降低相应的法律风险:
1. 基于消费者的同意作为个人信息处理的基础,仅在消费者充分知情,并自愿、明确同意的情形下采集并处理个人信息;
2. 定期开展合规审计,并对处理的个人信息进行分级分类;
3. 建立全生命周期的数据风险识别和评估机制,提前识别风险等级。零售业一般涉及大量个人信息,随着网购群体的逐渐年轻化,需要特别重视对未成年人的个人信息的保护;
4. 对复杂的个人信息交互场景进行梳理,界定数据交互的性质,明确各方的权利义务;以及
5. 加强对数据泄露的监管,建立全面且切实有效的数据安全事件应急预案与风险处置机制。
来源"Information is the oil of the 21st century, and analytics is the combustion engine." Peter Sondergaard (1965-), Gartner
参见耿启俭:连锁联盟——新零售时代实体店崛起之道。
参见2016年9月11日,商务部流通产业促进中心发布《走进零售新时代——深度解读新零售》报告
参见普华永道,《“新零售”时代,零售企业的制胜之道》。
定义来源《GB/T 35273-2020 信息安全技术 个人信息安全规范》,用户画像是指通过收集、汇聚、分析个人信息,对某特定自然人个人特征,如职业、经济、健康、教育、个人喜好、信用、行为等方面作出分析或预测,形成其个人特征模型的过程。
来源https://user.guancha.cn/main/content?id=490507
来源https://www.zjzwfw.gov.cn/zjzw/punish/frontpunish/detail.do?unid=330503252021050004&webid=114&guid=330503252021050004
《互联网信息服务算法推荐管理规定》第2条。
定义来源《信息安全技术-个人信息安全规范》3.16条。
参见陈欢:《新零售其实是一种算法》。
来源https://www.miit.gov.cn/jgsj/xgj/fwjd/art/2022/art_9e8067b629cb487b82cdb3d44b1c722e.html
《电子商务法》第18条。