分享到
EN
  • 专业文章 Articles

完美日记的数据保护“完美”吗?

竞争与反垄断

  2020年11月19日,国货彩妆品牌“完美日记”的母公司,广州逸仙电子商务有限公司(以下简称为“逸仙电商”或“逸仙”)正式在美国纽交所挂牌上市。近几年来,随着网红新经济模式的崛起与发展,美妆等快销品行业日新月异,逸仙作为一家创始于2016年的新公司,短短四年时间内,孵化出包括完美日记、小奥汀、完子心选三大美妆品牌,并成为中国第一家在美国上市的国货美妆品牌,其发展速度令人惊叹。

  逸仙电商在其IPO(首次公开募股)招股说明书中,将这一成功归功于“数字化本地DTC业务模式”(digitally native DTC business model,以下简称“DTC模式”),强调数据驱动产品研发,数据有利客户交流,数据是业务决策的依据以及更好满足客户需求的基础。由此可见,对逸仙电商的商业模式而言,数据无疑是其成功的核心竞争力。

  然而,机遇与风险并存,逸仙电商在挖掘和利用数据价值的同时,也面临着日益严格的数据保护监管要求和难以预测的潜在数据安全风险。在此背景下,本文从数据合规的角度,立足逸仙电商的招股说明书,分析其由数据驱动的商业模式以及该模式下潜在的风险,以探讨作为完美日记的母公司,其数据保护是否同样“完美”?

一、DTC模式成功的背后:海量数据收集与分析

  DTC营销模型即“Direct to Consumer”,也即“直面消费者”。不同于传统美妆行业的分销模式,逸仙电商通过全渠道(自营电商旗舰店、微信渠道、线下体验店、利用KOL和名人合作伙伴推动在线社交营销活动)直接面向消费者,使品牌能够直接与客户互动,为消费者提供集成的线上和线下体验。同时,通过与广泛的客户群以及KOL直接互动,收集有关消费者行为和偏好的数据,搭建客户洞察数据库,进而建立综合性平台以支持不同的商业模式并实现相应的核心功能。


  具体而言,从营销角度,基于平台的商业模式及其核心功能如下:


二、具体而言,从营销角度,基于平台的商业模式及其核心功能如下:

  对美妆行业而言,业绩和销量在某种程度上会受到时尚和美容趋势以及消费者喜好和习惯的驱动,同时,在KOL营销模式下,消费者的判断也会受到社交与数字媒体所传播的信息和意见的影响。逸仙电商在动荡的市场因素中,无疑通过DTC模式大幅提升了其应对变化的判断力与反应力——DTC模式使品牌方可以实时访问有关客户行为、偏好和反馈的大量数据;在此基础上,依靠与客户的深入互动以及先进的大数据分析,企业能够以有效和高效的方式预测行业趋势以及消费者的行为并对其做出反应。简言之,DTC模式下收集的数据既可以为业务决策提供依据,也能更好地满足客户的需求,评估新产品的市场接受度和潜在销量。

三、DTC模式下的数据类型:以个人信息为主导

  从逸仙电商招股说明书中披露的内容来看,其基于DTC模式收集的数据主要有以下三种类型(以下摘录了逸仙电商招股说明书原文并附翻译,供参考):

  • market research data, for example, market size, top brands and channels and products, the most popular KOLs and content. This data gives us a holistic view of the market, including supply, demand and pricing trends.

    (市场研究数据。例如市场规模,顶级品牌、渠道和产品,最受欢迎的KOL和内容。这些数据使我们可以全面了解市场,包括供应、需求和价格趋势。)

  • our sales orders by day, by SKU, by channel and by customer. This data guides us in forecasting sales, inventory, supplies and commodities to optimize the cost and efficiency of our supply chain.

    (按天、按SKU、按渠道和按客户的销售订单。该数据可指导我们预测销售、库存、供应和商品,以优化供应链的成本和效率。)

  • behavioral data generated on our social platforms. The data provides us with valuable insights on customers’ shopping experience and helps us offer products, services and content that directly address their needs.”

    (在我们的社交平台上生成的行为数据。这些数据为我们提供了有关客户购物体验的宝贵情报,并帮助我们提供直接满足客户需求的产品、服务和内容。)

  从以上三种数据类型来看,第一类数据主要是市场调研内容,与个人信息的直接关联度较低。而第二类和第三类数据,即销售订单数据、客户线上的行为数据,根据现行有效的法律《网络安全法》中对个人信息的定义,其事实上包含了个人信息(如订单中的姓名、电话、地址;线上浏览行为;消费偏好等),因此该类数据将严格受到中国个人信息保护相关法律法规的保护,是企业在进行数据合规工作时应重点关注的对象。

四、数据依赖型业务模式的合规性分析

  事实上,作为国货美妆行业中具有标志性的企业之一,逸仙电商采用DTC模式意味着其背后的数据量级一定是巨大的。庞大的数据体量是逸仙的核心竞争力所在,这也反映了其对数据的高度依赖。但与此同时,为了维持这种数据依赖型业务模式的稳定,以最大化数据带来的市场效益,逸仙也面临着严格的数据合规要求以及不容小觑的数据安全风险。

  试想,在中国日益复杂及完善的数据保护监管体系下,一旦逸仙处理(包括收集、存储、使用、加工、传输、提供等活动)数据的合法性基础存在任何瑕疵或者发生数据安全事件,均有可能打破其业务模式的平衡。对于企业而言,改变已经通过市场竞争考验的业务模式往往是致命的打击。

  从逸仙招股说明书中披露的风险事项来看,显然其已意识到了这一点。以下摘录了招股说明书中披露的与数据保护相关的几点风险,在此基础上,对比逸仙及行业内其他上市企业的实践,探讨当前在中国的数据保护法律环境下,作为完美日记的母公司,逸仙电商的数据合规是否同样“完美”。

1. 数据处理行为的合法性基础

a)  逸仙的当前实践和潜在风险

  逸仙在其招股说明书中称“我们收集、存储、处理和使用各种客户数据和信息,以分析不断变化的消费者喜好和时尚趋势……”。同时,其进一步提到了可能面临的两方面风险:一是“某些数据收集活动可能被视为超出了范围或未经顾客同意”;二是“受制于不断变化的法律和法规,这可能会进一步限制客户数据的收集和使用”。

  就逸仙旗下品牌而言,以完美日记在天猫和小程序的线上店铺为例,其均未提供完美日记独立的隐私政策,而仅公示了天猫的隐私政策,或微信线上店铺小程序服务提供者“汇智为美(广州)商贸有限公司”的隐私政策。对此,由于逸仙并未作为直接的告知方向用户取得同意,因此其通过天猫和小程序的线上店铺取得用户个人信息的合法性基础有待讨论。

b)  简评

  对比与逸仙所在行业及营销模式相似的欧莱雅来看,一方面,欧莱雅在其官网上公示了隐私政策,并在其小程序店铺中,附上了其官网隐私政策的链接,向用户实现了告知;另一方面,在欧莱雅天猫线上店铺,其采用会员制形式,用户可以通过天猫的页面链接至欧莱雅会员俱乐部完成会员注册,注册时即以链接跳转的方式实现了收集主体(即个人信息控制者)从天猫到欧莱雅的转变。

  中国对个人信息的收集、使用等处理行为以及数据的安全保护作出了一系列的规定,但由于目前尚未有生效的统一且独立的法律,相关的规定散见于法律、法规、指南和国家标准中,且行政监管呈“九龙治水”之态,故应对复杂的法律要求和监管规则对企业是一种挑战。但是“万变不离其宗”,在中国现行有效的法律体系内,处理个人信息的合法性基础即获得主体的授权同意,在实践中,公示隐私政策并要求个人信息主体点击同意是较为常见的做法。因此对企业而言,制定一份内容清晰、通俗易懂、条理清楚的隐私政策,以使用户了解企业收集、使用其个人信息的目的、范围、方式等,是企业落实数据保护工作的基础。

2. 网络安全与数据泄露

a)  逸仙的当前实践和潜在风险

  在互联网技术高速发展的今天,数据安全事件犹如悬在企业头顶的达摩克利斯之剑。诱发安全事件和数据泄露的原因是多元的,比如黑客攻击、系统漏洞、员工泄露、错误操作等,尽管企业努力采取安全措施,降低事件发生的风险,但由于技术限制,难以完全避免事件发生的可能。对于逸仙这类高度依赖数据且数据体量庞大的企业来说,一旦发生网络安全或数据泄露事件,将可能给企业造成重大甚至致命的影响。

  逸仙在其招股说明书中提到“我们越来越依赖信息技术,如果我们无法防止服务中断,数据损坏,基于网络的攻击或网络安全漏洞,我们的运营可能会受到干扰”。与此同时,其还披露了防范数据泄露的实践,“我们的数据经过加密并保存在云服务器上,与互联网隔离,受到访问控制的保护,并进一步备份到远程服务器中,以最大程度地减少数据丢失或破坏的可能性……”。此外,逸仙进一步披露其“投入了专门由工程师和技术人员组成的数据安全团队,建立严格的内部制度,仅向具有严格定义和分层访问权限的有限员工授权访问机密的个人数据,并从内部控制和管理企业各个部门对数据的使用,不与外部第三方共享数据”。不过,逸仙是否落实了网络安全等级保护相关工作,从当前披露的信息来看不得而知。

b)  简评

  根据《网络安全法》的规定,网络运营者(网络的所有者、管理者和网络服务提供者)有落实网络安全等级保护工作的义务——程序性义务主要是落实网络安全等级测评及备案工作;实质性义务强调企业内部的管理措施,比如日常的漏洞监测、系统维护、安全评估、网络安全培训、应急演练以及负责人员的指定等。由于互联网技术的复杂性,网络安全并非一个绝对化的概念,但企业应尽可能地防范风险,监测、维护信息技术及系统的稳定性,降低风险发生的可能。

  在落实网络安全等级保护义务的基础上,预防数据泄露事件,还需加强对员工的培训。逸仙的实践是值得借鉴的,如数据的本地化管理、不与第三方共享数据、对不同的员工设置分级访问权限、设置隔离墙等,降低因外部攻击、内部员工行为等导致的数据泄露风险。

3. 自动化决策

a)  逸仙的当前实践和潜在风险

  从逸仙披露的内容来看,逸仙会依靠专有的数据分析算法来分析客户数据,预测消费者的喜好,并推荐客户可能感兴趣的相关内容。这种通过预先设定的算法完成自动化决策是目前广泛采用的营销方式。然而,尽管企业可能已经在算法的开发和持续改进上进行了大量投资,仍难以确保算法不会携带任何可能损害数据分析结果的缺陷或漏洞,无法完全保证分析结果的准确性,进而可能对后续的商业决策产生不利影响。

  此外,如果该等自动化决策存在对用户的歧视性对待(如销售价格、产品质量的差异化),或者未向用户提供关闭或退出该等自动化决策机制的选择,则可能有违反法律法规及监管要求的风险。

b)  简评

  2020年10月1日生效的《信息安全技术个人信息安全规范》(“《规范》”)中对“信息系统自动决策机制的使用”作出了规定。该《规范》虽然是推荐性适用的国家标准,但作为对法律规定的补充和细化,对企业落地合规工作有重要的指导性意义。《规范》中要求:

  个人信息控制者业务运营所使用的信息系统,具备自动决策机制且能对个人信息主体权益造成显著影响的,应:a)在规划设计阶段或首次使用前开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施;b)在使用过程中定期(至少每年一次)开展个人信息安全影响评估,并依评估结果改进保护个人信息主体的措施;c)向个人信息主体提供针对自动决策结果的投诉渠道,并支持对自动决策结果的人工复核。

4. 全球化监管下的域内外法律适用

  除前述在业务中可能面临的风险点外,就法律的适用而言,由于数据的流动性,企业不可避免地还会面临域内外数据保护法律适用的挑战。逸仙在其招股说明书中也披露了这一点。

  首先,从中国境内立法的角度,随着数据保护和隐私问题越来越受到社会的关注,企业现有的合法业务模式可能会受制于新的法律、法规。为了适应新的监管要求,企业可能需要不时调整数据活动实践,这种调整对于高度依赖数据的企业来说,往往牵一发而动全身。

  其次,出海业务还将面临适用其他国家当前和未来与数据保护相关的法律(如GDPR、CCPA等)的问题,这对企业综合了解域内外法律法规以及寻求恰当的合规路径提出了不小的挑战。

五、数据资产的维护:逸仙值得借鉴的“三个重视”

  逸仙电商的业务模式决定了其对数据的高度依赖性,也决定了逸仙在制定数据管理及保护措施时,首要的考虑即加强其对数据资产的控制,确保该等资产不会被外泄或者稀释。这一点也为诸多类似的数据依赖型企业所关注。就如何维护企业的数据核心资产,从逸仙招股说明书中披露的内容来看,主要有以下三点值得借鉴:

1. 重视数据本地化控制

  不同于传统美妆企业将数据分析外包给第三方的商业实践,逸仙电商投入了大量的人力、物力、财力自行运营与管理其客户洞察数据库,独立负责数据分析工作,避免向第三方供应商传输数据,这有助于逸仙保持其对数据资产的控制。

2. 重视数据安全

  作为一家高度依赖数据的电商企业,保障其数据安全即保障其资产安全。逸仙电商对此投入了专门由工程师和技术人员组成的数据安全团队,建立严格的内部协议,仅向具有严格定义和分层访问权限的有限员工授权访问机密的个人数据,并从内部控制和管理企业各个部门中数据的使用,不与外部第三方共享数据。

3. 重视对数据的持续投资

  逸仙电商显然对其数据资产这一核心竞争力十分重视,从其招股说明书中披露的内容来看,逸仙电商将就本次发行的净收益部分用于数据分析技术的开发,并在未来的经营战略中继续增强数据能力投入,尤其是在AI和大数据分析领域,以提升预测和遵循客户偏好、趋势和行为的能力。

结 语

  近年来,随着“数据即资产”观念的深入,诸多企业都逐渐开辟了数据战略的发展道路,类似逸仙电商的高度依赖数据的业务模式不在少数,但这种模式无疑在带来高收益的同时,也伴随着高风险。

  数据高度依赖型企业的数据合规工作,相较于其他企业而言,由于数据体量庞大以及数据背后所承载的巨大商业价值,更需要重视对数据的统筹管理。具体而言,有必要梳理现有的数据资产,落实数据分级分类管理工作,建立健全最符合公司实际情况的数据管理制度。数据安全方面,企业宜从公司治理角度明确部门分工,落实数据安全责任制,使安全的概念深入每一个员工的意识。数据使用方面,企业应高度重视数据处理的合法性基础,落实源头审核、过程评估、定期复核的管理模式。

  企业难以找到完美的商业模式,但尽早筹谋远虑,规划合规工作,可以在不完美的模式里找到最接近完美的答案。

相关文章
  • 查看详情

    一文读懂中国基本医疗保险制度和“互联网+”医疗服务医保...

  • 查看详情

    股权分散引发资本角逐——荃银高科公司控制权争夺案例研...

  • 查看详情

    130号令下如何对专业投资者进行细化分类

关注:
地 址:上海市浦东新区银城中路501号上海中心大厦15/16层
电 话:+86 21 5878 5888