一、“新零售”的定义

“新零售”的概念最早由马云在2016年10月的云栖大会上提出，自2017年以来，表现为以阿里为代表的电商企业，大规模投资或收购线下企业，并以自营或联营方式开展线下业务，如阿里巴巴在2017年11月收购传统零售业巨头大润发，打通了线上线上全渠道布局，在今年4月份全资收购了外卖界翘楚饿了么，将饿了么即时配送体系重构阿里新零售的“人货场”基础设施，还有最近阿里巴巴与星巴克深度战略合作共同打造线上新零售智慧门店，实现了与星巴克700万付费会员的数据共享。

“新零售”的本质究竟是什么？从电商角度看，由于近几年的增速趋于平缓，成本攀升，流量红利大不如前，电商平台急于寻求突破，于是通过利用线下零售商网点优势，排兵布局，抢占市场，打造线下门店，节省成本的同时大大提升物流效率；对于线下零售商来说，正好可以借助于电商平台的大数据和活跃的用户量，一改长时间的惨淡经营，也可结束与线上平台的僵持对峙状态，化敌为友，实现互利共赢，因此，“新零售”，简单来讲“线上+线下+物流”模式应运而生，加速了零售经营模式和商业模式的创新，其一问世就引发了零售行业的巨大变革。

商务部将新零售定义为：以消费者体验为中⼼，以⾏业降本增效为⽬的，以技术创新为驱动的要素全⾯更新的零售。

二、盒马鲜生模式

提到“新零售”，不得不提“盒马鲜生”。可以说新零售不仅改变了零售业的经营模式，也重塑了人们的消费习惯。盒马鲜生是阿里巴巴重构线下超市新零售业态的一种新的尝试。盒马鲜生既是超市，又有生鲜，也提供餐饮服务。用户可以到店挑选、购买，也可以通过盒马APP下单，用户通过支付宝支付。盒马最大的特点之一是快速配送，附近3公里内，下单后30分钟必达。

盒马鲜生从创立迄今，已在北京、上海等地开设了20多家实体门店，它通过线上、线下与现代物流技术融合的创新型业态：线下与银泰商业、百联、三江购物等开展合作，在用户端与淘宝、支付宝会员体系相关联，供应链端采取直采，与天猫超市联合采购等方式，并提供30分钟必达的优质配送服务。实现数据和技术驱动的新零售平台。

数据显示，通过科技层面的创新、数据驱动的运营方式和线上线下一体的经营思路，盒马已实现用户月购买次数达到4.5次，坪效是传统超市的3-5倍，线上商品转化率达到了35%，高于传统电商。

三、新零售领域数据合规和隐私保护探索

然而，“新零售”给消费者个人信息保护带来了前所未有的挑战，以“盒马鲜生”为例，盒马APP通过关联的淘宝平台账户、支付宝账户或在盒马APP注册的用户账户收集用户的个人信息，如用户浏览、搜索记录、订单信息、位置信息提取用户的购买习惯、行为偏好等，形成“用户画像”，向用户发送定向广告。商家收集消费者的购买意向和消费习惯，作出数据分析后主动推荐或通过定制化“广告推送”时，如何确保个人信息不被泄露和滥用？平台与平台相互合作，或基于关联关系，共享用户数据时，是否尽到提前告知义务并取得用户的明示同意，且如何确保共享第三方在用户授权范围内使用这些数据？

针对以上问题，“新零售”商家应当注意只以法律允许的方式及范围内收集和使用用户个人信息，并应当制定必要合理的措施以免信息泄露或被滥用。

四、我国《个人信息安全规范》的主要内容

2018年5月1日正式实施的国家标准——《信息安全技术 个人信息安全规范》（以下简称“《规范》”）（GB/T 35273-2017）针对个人信息面临的安全问题，规范个人信息控制者在收集、保存、使用、共享、转让等处理环节的义务，旨在遏制个人信息的非法收集、滥用和泄露。

《规范》明确了收集个人信息的合规性要求，主要包括以下四个方面：

1. 收集个人信息的合法性要求

收集个人信息时不得采取隐瞒、欺诈、诱骗或强迫等方式，不得从非法渠道获取个人信息，不得收集法律明令禁止收集的个人信息。收集信息时应把握收集个人信息最小化要求，收集的个人信息应与实现产品或服务的业务功能有直接关系。

2.收集个人信息时的授权同意

收集个人信息前，应向个人信息主体明确告知所提供产品或服务的不同业务功能分别收集的个人信息类型，及收集、使用个人信息的规则（例如收集和使用个人信息的目的、收集方式和频率、存放地域、存储期限、对外共享、转让等有关情况），并获得个人信息主体的授权同意。

间接获取个人信息时，还应要求个人信息提供方说明个人信息来源，应了解个人信息提供方已获得个人信息处理的授权同意范围，包括使用目的，个人信息主体是否授权同意转让、共享等。

3.收集个人敏感信息的明示同意

收集个人敏感信息，如身份证号码、银行账户等，应确保提供个人敏感信息的主体作出明示同意是完全知情且自愿的。收集时，应向个人信息主体告知所提供产品或服务的核心业务功能及所必须收集的个人敏感信息，并告知拒绝提供的后果。如提供其他附加功能需收集个人敏感信息，收集前应允许个人信息主体选择是否提供，当拒绝提供时，不应以此为由停止提供核心业务功能。

4.《规范》还详细规定了《隐私政策》的内容和发布

个人信息控制者应制定隐私政策，包括个人信息控制者的基本情况，如注册名称、注册地址、常用办公地点和相关负责人的联系方式等；收集、使用个人信息的目的，以及所涵盖的各个业务功能，例如将个人信息用于商业广告推送，将个人信息用于形成用户画像等用途；各业务功能分别收集的个人信息以及收集方式和频率、存放地域、存储期限等个人信息处理规则和实际收集的个人信息范围；对外共享、转让个人信息的目的，涉及的个人信息类型、接收个人信息的第三方类型，以及所承担的相应法律责任；遵循的个人信息安全基本原则，具备的数据安全能力，以及采取的个人信息安全保护措施。

五、我国法律环境下的“新零售”合规分析

基于《个人信息安全规范》的要求，结合我国“新零售”实践，我们分别从信息收集和共享两个方面分析。

从信息收集方面，消费者到店消费，门店进行的个人资料采集、人脸识别、人像采集等都应获得用户授权（一般数据）/明示同意（敏感数据），建议在店门口处放置海报、告示等就此向消费者作出明确、清晰的说明。消费者进店购物时，通过APP注册时，APP会向用户展示用户协议和隐私政策，建议在用户协议和隐私政策中对人脸识别、抓拍、用户跟踪（如有）等做到充分告知和提示。

在信息共享方面，根据《个人信息安全规范》规定，应征得用户明示同意（比如弹窗告知），并告知转移的目的、数据类型、接收方保护能力等关键信息。如盒马的隐私条款中规定了共享、转让、公开披露个人信息的情形及其例外：“个人信息共享在以下几种情形下进行：明确同意共享；法定共享；与关联公司共享；与授权合作伙伴共享。”

总结:新零售是很前沿的模式，其本质是将数字化和技术驱动、打通全渠道以更灵活的供应链，最终提升消费者体验与行业效率。“新零售”在风风火火的扩张同时，使得个人信息安全面临巨大的挑战，我们通过分析梳理新零售模式下数据流通的环节，发现有迹可循，故此，我们可以比照相对成熟的互联网模式进行数据合规和风险控制，对于具体问题进行具体分析。