1. 引言
“互联网+”时代的来临,电商平台蓬勃发展,2022年中国B2C电子商务交易额在全球占比达到37.2%,处于全球领先地位 [1] 。繁荣的电商市场主要依赖数量庞大的消费者群体,其中,消费者个人信息在电商市场的蓬勃发展中发挥举足轻重的作用,通过对海量的用户个人信息进行加工处理可能为电商平台和入驻第三方带来巨大的商业价值。因此,作为电子商务领域重要的资源,各大电商平台都积极对这块“富矿”进行挖掘,这也进一步引发了部分电商平台对个人信息的过度采集和使用。个人信息具有人格属性和财产属性。电商平台对个人信息的过度使用,很有可能引发消费者个人信息的泄露,进而引发对公民人身以及财产权益的侵害,消费者在通过电商平台交易时产生的个人信息需要得到更好的保护。
2. 电子商务中个人信息保护的价值
2.1. 电商平台中个人信息的定义
自1986年联合国国际人权会议提出“数据保护”以来,个人信息保护逐步成为世界关注的焦点议题,各国亦积极立法推进个人信息保护,其中包括日本的《个人信息保护法》,澳大利亚的《隐私法》以及加拿大的《个人信息保护与电子文件法》等法律法规。然而各个国家基本的经济和文化发展水平存在差异,对于个人信息的表述方式亦有所不同。我国《民法典》和《网络安全法》都参考“识别说”认定个人信息,即通过相关信息可以具体确定到某人的可以认定为个人信息。而新颁布的《个人信息法》在“识别说”的基础上加上了“关联说”的标准,一切与已识别或可识别的人有关的信息都属于个人数据,扩大了对个人信息的保护范围 [2] 。
电商平台中的消费者个人信息主要是指消费者在电商平台上购买商品或使用服务过程中产生的,与消费者有关并且能据以直接或间接识别到某个特定消费者的个人信息 [3] 。具体而言,不仅包括消费者在消费过程为了取得商品所填写的姓名、联系方式、家庭住址等个人信息,还包括了电商平台自动收集的消费者在浏览过程中产生的定位信息、购物记录、搜索及浏览记录。这些信息往往由消费者主动提供,对于电商平台而言获取难度低却具有极大的商业价值。
2.2. 电商平台中个人信息的价值
于消费者个人而言,个人信息影响消费者人身或财产权益的安全。大数据时代下的个人信息具有极强的“可识别性”,通过大数据与智能技术便可以基于搜集的个人信息精准定位信息背后的消费者个人,而对个人信息的非法利用可能会引发电信骚扰、电信诈骗或是其他严重影响消费者人身或财产安定状态的行为。
此外,大数据时代下,个人参与网络交互活动基于其“数字人格”。对于消费者而言,个人信息的价值还在于帮助行使信息自决权的信息主体塑造独立且完整的“数字人格”。
于电商平台而言,包含浏览记录、购物记录或购物倾向等在内的个人信息具有极大的商业价值。电商平台可以根据收集的个人信息分析出消费者的购物习惯以及消费能力从而在目标用户的电商平台应用首页精准投放商品广告,还可以通过电子邮件和手机短信的方式向消费者进行精准营销,以此进一步提高平台的成交概率。
除了针对消费者个体开展精准营销,电商平台还可以对收集的海量消费者个人信息进行汇总,依据消费者年龄、地域、产品需求等绘制区域性的大数据消费者画像,电商平台基于此可在全国各区域推行更精准,更具有前瞻性的战略计划。
3. 电子商务交易活动中消费者个人信息保护的立法现状及存在问题
3.1. 我国电商交易活动中消费者个人信息保护立法现状
3.1.1. 《民法典》
首先,《民法典》第111条规定以法律条文的形式明确了对自然人个人信息的保护,将个人信息保护置于空前重要的位置。其次,《民法典》在独立成编的人格权编中加入“隐私权和个人信息保护”的章节,并以列举的形式对个人信息的概念作出了较为明晰的定义,对个人信息与隐私权进行区分保护,将敏感个人信息以隐私权的形式进行保护。此外,《民法典》还完善了公民享有的个人信息权益的内容,明确了信息时代下公民享有知情同意权、查阅和复制个人信息的权利以及删除个人信息的权利。
3.1.2. 《个人信息保护法》
《个人信息保护法》的颁布为消费者个人信息保护提供了更坚实的法律保障,其内容也进一步丰富和发展了《民法典》中个人信息保护的相关规定。首先是对个人信息保护含义的丰富,《个人信息保护法》中对个人信息的界定采取“关联说”加“识别说”,扩大了个人信息的范围,加强了对信息主体的保护。其次,细化了信息主体享有的多项权利,对信息主体的知情权、更正权、删除权等多项权利的行使具体情况和救济程序作出更加具体的规定,使之更具有可操作性。此外,除了明确信息主体享有的权利,还规定了提供互联网服务的信息处理者的义务,对提供重要互联网平台服务的个人信息处理者还进一步作出了特殊要求。
3.1.3. 《消费者权益保护法》
《消费者权益保护法》在2013年修改时就已增添了对消费者个人信息进行依法保护的内容。首先明确了消费者在购买和使用商品或服务时产生的个人信息依法受到保护,其次对经营者收集使用消费者个人信息时必须履行的义务作出详尽规定,还对侵害消费者个人信息权利的行为明确规定了民事责任的承担方式,还设定了行政处罚。
3.1.4. 《电子商务法》
《电子商务法》内容更侧重于对电子商务活动中电子商务经营者的规制,要求电商经营者严格履行保护个人信息的义务,规定了电商平台存储用户数据的时长要求。从消费者权利角度出发,《电子商务法》对电商用户的查询权和注销权作出了保护性规定,明确了消费者对于用户信息的查询和注销的权利。
3.1.5. 立法现状小结
《民法典》与《个人信息保护法》颁布以来,个人信息保护的立法在各个领域日趋完善,对个人信息的定义、主体享有的信息权益、信息处理者的责任和义务有了相对明确的规定。但就电子商务领域而言,电商平台中的个人信息保护的立法还相对薄弱,《个人信息保护法》、《消费者权益保护法》以及《电子商务法》中关于电商平台这一新兴平台中的个人信息保护问题的规定大多属于原则性规定,对于电商平台经营者处理和利用消费者个人信息应当遵循的规则和程序也缺乏细化的规定,对于消费者的个人信息保护力度有待加强。
3.2. 电商平台中个人信息保护存在的问题
3.2.1. 电商平台中敏感个人信息处理不合理
敏感信息的泄露。在消费者使用电商平台进行交易的过程中,平台经营者一方或第三方收集大量消费者个人数据,其中既包括消费者主动提供的相对具有社会属性的个人信息,也包括与消费者人格尊严与人身财产紧密联系的个人敏感信息。这些敏感信息直接指向人格尊严以及人身、财产权利 [4] 。但当前的电商平台未能实现对所收集个人信息的精准识别,法律也尚未对敏感个人信息给出统一的判断标准,这使得电商平台对敏感信息的分类存在漏洞。当前,各大电商平台都在积极开发社交功能,诸如淘宝开发的“淘友圈”以及拼多多开发的“拼小圈”,消费者购买商品的记录以公开的方式展示于其社交主页。淘宝网在其卖家服务协议中提及商品实物可能与信息存在分离的情况,无法对商品信息逐一进行审查。在尚未形成完善的信息分类标准的情况下,涉及消费者个人隐私的敏感商品可能会被公开展示于消费者社交平台,进而伤害消费者人格尊严并侵犯其隐私权。因此电商平台对于消费者敏感信息的识别和处理使用还需要进一步得到监督和规制。
3.2.2. “告知–同意”规则的履行仍需完善
告知义务的削弱。“告知–同意”原则是《网络安全法》、《个人信息保护法》、《数据安全法》等多项法律规定的个人信息处理者处理个人信息时应当遵守的基本准则。各大电商平台虽然都依据《个人信息保护法》制定了相关的用户协议以履行告知义务,但也仅是差强人意,仍存在极大的问题。首先,电商平台的隐私政策以及用户服务协议一般采用复杂且冗长的格式条款,对于没有相关专业基础的一般消费者而言,通篇阅读并且理解其条款含义的可能性较小。2018年中消协发布的《APP个人信息泄露情况调查报告》中,仅仅26.7%的受访者反映能够认真阅读完应用权限和用户协议或隐私政策的文字说明。而从不阅读相关条款的受访者一部分是基于对运营商的善意信任,另一部分仅是因为不授权就无法使用平台的服务,消费者只能被迫同意授权 [5] 。在消费者不了解自己个人信息去向以及使用方式的情况下就接受平台协议,在根本上违背了“告知–同意”原则中信息主体基于其个人意志对个人信息进行处分的精神。
同意的生效要件宽泛。在电商平台中,消费者授权电商平台使用个人信息一般有两种形式,第一种是通过点击同意等按钮以明示的方式授权使用其个人信息,在这种情况下,授权界面往往只显示同意按键或勾选选项,具体的用户协议或隐私政策被放置于难以引起注意的位置,并且需要通过二次点击才可以查看相应的内容。第二种是将消费者登录电商平台账号或使用特定服务的行为作为授权处理个人信息的默示同意,消费者想要在电商平台进行交易就需要概括性地对协议中个人信息相关条款也作出同意,消费者属于相当被动的状态,没有能力拒绝或阻止个人信息被收集,否则将可能要牺牲生活的便利甚至被排除在现代社会生活之外 [6] 。电商平台还存在以消费者“默认同意”的方式修改其用户协议和隐私政策以撤回对其收集用户个人信息不利的相关条款,这是对消费者行使个人信息权利的弱化 [7] 。
3.2.3. 消费者救济维权难度高
消费者举证责任过重。电商平台运作依靠网购平台本身、入驻平台的商家、支付服务的提供者以及物流服务的提供者等多方主体,因而当个人信息发生泄露时,难以从上述四者甚至是未知的第三方处对侵权主体进行溯源。《个人信息保护法》中采取了过错推定的归责方式,电商平台需要对于已发生的个人信息侵权行为不存在过错承担举证责任,但消费者仍需要就其个人信息权益受侵害的结果与某一电商平台相关行为存在因果关系作出证明。然而基于网络而存在的互联网电商平台上的行为往往具有一定的隐蔽性和时效性,当消费者发现个人信息权益遭受侵害时,很难依靠自己的力量寻找足够的证据以证明侵害结果与电商平台行为之间存在因果关系。经营具有一定规模的电商平台,一般都拥有专业的信息管理系统和团队,相对于消费者而言在技术上和平台上都具有较大的证明优势。在“庞理鹏案”、“申瑾案”以及“付全贵案”这三个相似的案例中,法院在举证责任以及证明限度方面展现出了偏向消费者一方的态度,将证据证明力的标准改为“具有高度盖然性”,这展现出了减轻消费者个人举证责任,加重第三方审查义务和举证责任的趋向 [8] ,这是一个积极的转变趋向,但仍然需要通过立法来制定符合针对保护网络平台消费者个人信息的规则原则。
消费者实际损失难以证明。既往互联网平台侵犯消费者个人信息权利的案件中,消费者主要要求平台方承担财产损失和精神损害的赔偿以及向当事人赔礼道歉。然而基于个人信息权益侵害造成的财产损失因缺乏统一标准,难以用数额进行衡量。依照《个人信息保护法规定》,赔偿数额的计算仅依照被侵权消费者的直接损失,相对于电商平台运用个人信息取得的商业价值而言及其微小,无法对电商平台滥用个人信息的行为起到惩戒和警示相关行业的作用。同样作为消费者进行交易活动的场所,电商平台交易中的不诚信行为也应当引入《消费者权益保护法》中的惩罚性赔偿以维护消费者权益并警示其他同业者。
4. 完善我国电商平台活动中个人信息保护的建议
4.1. 明晰消费者个人信息权益的范围
4.1.1. 进一步厘清消费者敏感信息的范围
敏感信息的泄露是消费者在使用电商平台时遭受侵害的主要原因之一,因此需要进一步对敏感信息的概念作界定,对信息分类给出相应的判断标准。《民法典》将个人信息分为私密与非私密的个人信息,《个人信息保护法》将个人信息划分为普通的个人信息以及敏感个人信息,但两者就敏感信息这一概念没有作出进一步的规定,实践中缺乏明确具体的分类标准可供实践参考,最终导致敏感个人信息这一概念及相关规定形同虚设。对此,可以参考域外的立法经验,欧盟2018年出台的《通用数据保护条例》中对特殊类型的个人数据作出了详尽的列举,并依据敏感程度的不同对信息处理者作出相应的要求 [9] 。我国可以参考建立健全相应的个人信息分级保护目录制度 [10] ,依据不同敏感程度对信息处理者提出相应的处理要求,禁止电商平台经营者处理绝对敏感的个人信息,并对违反规定擅自收集处理该类信息的电商平台给与惩罚性措施;而其他敏感信息的收集和处理应当在经过消费者明示同意的前提下方可进行。敏感信息牵涉到消费者的人身与财产权益,被投放至互联网中时,可能带来的损害是被无限放大的,因此为了保护消费者的合法权益,有必要对敏感信息的分类标准和不同的处理规则进一步细化。
4.1.2. 明确消费者在电商平台中享有的个人信息权利
依据《个人信息保护法》,消费者在使用电商平台的过程中,享有包括知情权、决定权、删除权等使用或保护其个人信息的权利,具体而言,消费者在参与电商平台交易的过程中,有充分知悉了解其个人信息处理主体、处理方法和事后处理方式的权利,消费者被允许独立且自由地依法支配、使用、修改或删除其个人信息,在权利遭受平台方侵害时可以要求侵权方停止侵害并向司法机关寻求救济。法律需要进一步对这些权利使用的具体情况以及行使程序作出更加明确的规定,这样才可以保证信息主体充分享有独立支配自身个人信息的自由。
4.2. 完善告知同意规则
4.2.1. 提高电商平台“告知”的标准
为了使告知同意规则切实得到应用,使消费者在充分理解平台的用户协议以及隐私政策的基础上行使个人信息的支配权,电商平台应当尽量使用通俗易懂、简明扼要的语言组织用户隐私政策的文字,并就其中的关键信息使用明显的字号或颜色标注,尤其是对信息处理主体以及第三方主体、信息的使用目的与方法应当特别作出标注,以充分满足消费者的知情权。
《个人信息保护法》规定应当对敏感个人信息作特殊保护,因此电商平台还应当在隐私保护协议中以明显的方式区分可能收集处理的一般个人信息与敏感个人信息以引起消费者的重视。除此以外,在每次收集和使用消费者敏感个人信息时应当以弹窗或其他形式取得消费者的同意。
4.2.2. 完善消费者的同意方式
电商平台隐私协议取得消费者同意应当尽可能采取明示同意的方式,即消费者主动点击或勾选平台方设置的“同意”按键以表达同意签订隐私协议的意思表示,避免电商平台通过默认同意或勾选的方式与消费者签订隐私协议的现象。为了敦促消费者对其签约行为加强重视,可以参考将隐私协议的同意方式修改为电子签名同意方式。一方面签名更能代表消费者主体的真实性,另一方面也使得消费者对其授权行为更加关注。同时,有学者提出可以基于同意强度的不同进行区分适用,对信息处理者处理敏感度较弱的个人信息在首次明示同意后可采取默认同意的授权方式,而针对个人尊严和自由发展密切相关的个人信息则需采取明确同意的授权方式 [11] ,这种区分可以将消费者从频繁授权的麻木状态中解放出来,有更多精力审慎处理敏感度较高的个人信息授权行为。
4.3. 完善网络消费者个人信息权益受损时的救济途径
4.3.1. 降低消费者的举证责任
消费者作为个体,在个人信息权益受损时收集证据及相关信息的能力有限,而成规模的电商平台具有强大的信息能力和既成的信息管理体系。为了实现平等,应当结合具体场景适当向消费者一侧赋予倾斜保护,降低消费者的举证责任。根据《个人信息保护法》规定,个人信息侵权案件的归责方式为过错推定,虽然由信息处理者一方承担主要举证责任,但消费者一方仍需要提供证据证明自身遭遇的损害结果与电商平台的某一行为之间有因果关系,并且需要达到“唯一指向性”的证明标准,这对于处于弱势地位的消费者而言难度仍然很大,消费者的权益难以得到救济。因此,建议将电商平台对消费者个人信息侵权采用“无过错”归责原则,这样可以大大降低消费者举证难度,同时也符合社会公益,可以敦促电商平台加强对自身个人信息处理行为的审视,推动对个人信息保护的正向发展 [12] 。
4.3.2. 建立针对电商平台的惩罚性赔偿制度
目前《个人信息保护法》中尚未有关于侵犯公民个人信息权益而给予惩罚性赔偿的规定,《消费者权益保护法》也仅将惩罚性赔偿规则适用于三种与个人信息保护关系较疏远的情形。相较于电商平台通过收集处理个人信息获得的财产性利益,消费者个人在个人信息侵权案件中获得的侵害赔偿微不足道,面对这种个人信息权益难以得到补偿的情况,应当通过建立电子商务领域的惩罚性赔偿制度来予以弥补。对违反法律规定收集或处理消费者个人信息造成严重后果的电商平台,可以对其要求惩罚性赔偿。一方面,这是对被侵害了个人信息权益的消费者的回应,另一方面也是通过加重经济责任的方式以引起电商平台对于其保护消费者合法个人信息权益的重视。