作者：金茂律师事务所  段洁琦 律师  赵奕 律师助理

问题的提出

大宗商品电子交易平台作为B2B平台，是否会涉及处理个人信息？若涉及，平台必须要制定隐私政策吗？隐私政策应当包含哪些内容，处理个人信息又需要符合哪些要求？

一、大宗商品电子交易平台处理个人信息类型

大宗商品交易双方多为企业，因此大宗商品电子交易平台（以下简称“平台”）实质上是B2B平台，但企业的背后往往是个人在进行操作，因此在用户使用平台进行交易的各个环节，平台往往不可避免地需要收集用户的个人信息。例如：

（1）在注册和登录环节，平台通常要对企业用户进行实名认证，在此过程中则需要获取企业名称、营业执照、法定代表人身份信息、开票信息、纳税人资质信息、收款账号信息、联系电话。法定代表人和联系方式等即涉及到个人信息。

（2）在交易环节，为了能够给用户提供完整的服务，在生成订单时，平台通常需要收集收货人名称、收货地址和手机号码、交易金额、下单时间、订单商户、订单编号等个人信息。

（3）如涉及为个人用户提供相关服务，根据《网络安全法》第二十四条规定，网络运营者为用户提供服务，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。基于此，个人用户通常需要提供手机号码、电子邮箱地址此类个人信息对身份予以认证。

（4）其他涉及个人信息的扩展业务功能。例如，用户上传账号头像或使用扫一扫功能，平台则需要获取用户的设备相机权限。

二、平台制定隐私政策的必要性

如上所述，平台日常运营时很可能会收集和使用用户信息和交易数据，随着数字经济的快速发展，个人信息和隐私的保护问题日益凸显，我国相关法律也已对平台规则制定提出了明确要求：

三、隐私政策具体内容

平台运营者所制定规则原则上应包括收集、使用个人信息的目的、方式和范围，安全规范对其内容提出了更为具体的要求。结合安全规范和其他规定，以及数个大宗商品电商平台的隐私政策，我们对该类政策主要需涵盖的内容总结如下：

（1）个人信息的收集和使用，依据产品或者服务的功能明确所需的个人信息，以清单形式列明每项功能处理个人信息的目的、用途、方式、种类、频次或者时机、保存地点等，以及拒绝处理个人信息对个人的影响。例如找钢网隐私协议第一条第1款规定，用户使用在线交易服务，则应当提供企业认证授权书、身份证照片、银行账户信息、人脸生物信息等信息，但不提供前述信息并不会影响使用基本浏览、搜索功能。欧冶平台的隐私政策对各项服务功能所对应的将收集的个人信息进行了列举。

（2）个人信息的存储与保护，个人信息存储期限或者个人信息存储期限的确定方法、到期后的处理方式；个人信息安全风险及保护措施。如果存在跨境信息传输，应当说明数据类型，以及跨境传输遵守的标准、协议和法律机制。

（3）个人信息主体的权利，个人查阅、复制、更正、删除、限制处理、转移个人信息，以及注销账号、撤回处理个人信息同意的途径和方法。

（4）个人信息的共享、转移和公开披露，向第三方提供个人信息情形及其目的、方式、种类，数据接收方相关信息等。

（5）未成年人个人信息保护，未成年人在个人信息安全风险及其防范措施方面的认知相对不足，他们的个人信息更容易遭受泄露和滥用。鉴于此，电商平台普遍设立了专门保护未成年人个人信息的条款。

（6）Cookies和同类技术，以集中展示等便利用户访问的方式说明产品服务中嵌入的所有收集个人信息的第三方代码、插件的名称，以及每个第三方代码、插件收集个人信息的目的、方式、种类、频次或者时机及其个人信息处理规则。

（7）政策更新，政策发生重大变化时，需及时更新并说明使用何种方式及时通知个人信息主体。

（8）信息处理者的联系方式等，个人信息安全问题的投诉、举报渠道及解决途径，个人信息保护负责人联系方式。

四、隐私政策合规要求

平台在制定隐私政策时，不仅要在内容形式上符合规定，在实际操作上也应当注意在各个方面做到合规。结合现行法律法规以及目前实务中运用情况，我们认为，对大宗商品电子交易平台的隐私政策合规要求主要涉及如下：

（1）收集个人信息合规要求

在收集个人信息时，首先应通过交互界面或设计向用户明示个人信息处理目的、方式、范围等规则，并征求其授权同意，确保收集的合法性。在隐私政策中不应使用概括性语言综述业务功能和所收集个人信息，应当明确描述哪些类型的个人信息属于特定业务功能所必需的，不得使用 “我们收集您的身份等相关信息”此类描述，而应明确写明“我们收集您的姓名、电话号码、地址信息”。

其次，应当注意遵守“最小必要”原则。《个人信息保护法》第6条第2款规定收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。安全规范第5.2条对“最小必要”作出了初步解释，收集的个人信息的类型应与实现产品或服务的业务功能有直接关联，即没有个人信息的参与，产品或服务的功能无法实现；收集个人信息的频率和数量应为业务功能实现所必需的最低频率和最少数量。

（2）存储个人信息合规要求

《个人信息保护法》第17条要求个人信息处理者在处理个人信息前应当告知个人信息保存期限等内容，安全规范第6.1条对个人信息存储期限提出了“最短时间”要求，超出上述个人信息存储期限后，应对个人信息进行删除或匿名化处理。隐私政策应当对用户个人信息的存储期限予以明确说明，欧冶平台就规定其个人信息存储期限为三年，并规定用户注销账户后，平台不会对用户个人信息进行商业化使用。但多数平台在其隐私政策中均表述为 “达成目的所需的期限”，没有明确期限规定，对于在用户注销账号后存储个人信息的期限和方式也未作出规定，因此平台在制定和实际执行隐私政策过程中，应当注意对存储期限作出明确规定。

（3）使用Cookies技术合规要求

为了能够更好服务用户，平台通常会开通个性化推荐，利用Cookies等技术对用户行为进行跟踪和记录。比如钢银网隐私政策中规定，Cookies和web beacon有助于本平台根据用户的信息，向用户提供与用户相关的广告，该类技术仅收集非个人身份信息。但此类技术也可能存在信息泄露的风险，故平台应当在其隐私政策中明确其如何使用Cookies，用户是否有权删除Cookies，明确平台所应当承担的责任。

例如在宗商网隐私政策中，其使用Cookies的目的在于简化用户重复登录的步骤、存储购物偏好或购物车中的商品等数据进而为用户提供购物的偏好设置、帮助用户优化对广告的选择与互动、帮助判断用户的登录状态以及账户或数据安全。欧冶平台的隐私政策中则表明其不使用自动化决策、个性化推荐功能。