1. 消费者个人信息被侵害的主要表现
1.1. 个人信息被非法收集、储存
个人信息在电子商务领域具有重要的商业价值,因此电子商务经营者会尽可能采集和存储更多的消费者个人信息 [1] 。电子商务经营者非法收集消费者个人信息的主要表现形式为:一是所收集的信息超出正常经营所需要的,二是利用模糊的格式条款,诱使消费者签署格式条款,以此非法收集消费者的个人信息。消费者在电商平台进行交易的各个环节,从消费者注册账号成为该平台用户开始,到消费者与平台经营者进行交易为止,在各个环节都有被电子商务经营者非法收集其个人信息的风险。
尽管消费者的个人信息泄露不一定是因个人信息的收集而泄露,但电子商务经营者的收集行为依然违法,理由如下:第一,消费者将某些信息列入隐私的时候,这些个人信息的保护就等于是对个人隐私的保护,未经消费者同意而超过正常使用限度就是对隐私的侵犯;第二,国家管理部门为了对公民进行实名认证的需要,授权给电商平台个人认证项目,其目的是确认用户身份,因此平台会有用户的认证信息。这些认证信息本不应当由平台所存储,但许多平台自设认证程序,非法保留认证信息,使认证信息超出本来应该起的作用,这实际上也侵害了消费者个人信息权 [2] 。
1.2. 个人信息被非法篡改、泄露
利用非法手段篡改消费者个人信息、非法泄露消费者个人信息是目前使消费者个人信息遭受侵害最频繁两个手段。在大数据时代,想要拥有市场就先要拥有流量,只有掌握了信息和流量,就在市场中拥有了绝对的话语权,电商平台亦是如此 [3] 。电子商务经营者为增加浏览量和点击量,让其受到更多客户的关注与青睐,不惜铤而走险,在消费者不知情的情况下通过违法将收集到的消费者个人信息进行篡改和整合,并加以使用。对既有的信息进行恶意的篡改进而博取消费者的眼球,让消费者不加思索地将错误的信息进行修改,利用消费者心理因素达到非法收集的目的。
消费者个人信息泄露是其个人信息遭受侵害的重灾区,因此不少人调侃在大数据时代没有个人隐私。消费者注册账号的时候,需要同意电商平台制定的隐私条款,因此掌握了消费者姓名、性别、手机号码等信息的填写、手机通讯录和相册访问、获取地理位置授权等诸多个人信息。不仅如此,消费者在浏览、收藏商品的过程中,平台借助大数据分析消费者喜好,有针对的向消费者推送商品,这个过程用户的浏览痕迹和商品访问痕迹也被平台所搜集。因此不法分子会利用技术手段,对消费者的基本信息和偏好进行分析,实施侵害消费者合法权益的违法行为。
1.3. 个人信息被非法买卖、利用
消费者个人信息在电子商务领域具有巨大的商业价值,因此电商平台之间的竞争表现为抢市场、抢用户,拥有更多消费者个人信息的电子商务平台具有更强的竞争力。因此实践中常常出现电子商务的经营者、管理者等能接触消费者个人信息的人员利用职位便利,在消费者不知情的情况下出售个人信息,对消费者的人身和财产安全都造成严重威胁,侵害了消费者的个人信息权益,也损害了电子商务市场的健康运行。
个人信息的非法利用,表现为对消费者个人信息的共享、交换。一些电子商务平台为了商业利益,彼此之间共享、交换掌握的用户个人信息,在这个过程中,消费者个人信息遭到泄露、篡改和出售的风险大大增加。
2. 电子商务领域消费者个人信息权益保护的困境
2.1. 法律规范缺乏对个人信息类型化
目前,我国关于个人信息保护规定分散在各法律法规中,虽然2021年我国颁布了《个人信息保护法》,但由于法条规定较为笼统,没有形成完整的保护体系。最为重要的是,当前的《个人信息保护法》仅大致的将个人信息区分为直接个人信息和间接个人信息,并没有对公民个人信息进行类型化。类型化是指将本质特征相同的事物进行分类,分类的方法包括概括、归纳、说明等,是一种把事物与规范相对应协调的同化过程 [4] 。
按照下面方式进行分类,能更好的保护公民的个人信息:一、身份信息和行为信息。身份信息指的是与特定身份相关联的信息,例如姓氏、通讯方式、住址等信息,根据这些信息能直接识别出自然人的身份。行为信息指的是通过消费者在电子商务平台进行交易时,能根据其购物习惯、购物日期、商品评价等识别出身份的信息。二、偏隐私信息和非隐私信息。两者区分点在于是否涉及个人私密的经历。
目前我国法律并未将消费者个人信息进行类型化,使得一些需要法律保护的信息保护力度不够,而另一些无需法律保护的信息法律却作了专门规定,这显然不利于消费者个人权益的保护 [5] 。
2.2. 平台告知同意规则不足
《个人信息保护法》第十四条规定了告知同意条款,即电商平台在获取消费者个人信息时,应取得消费者的同意。并且同意的标准是:要求平台在消费者完全知情的前提下自愿、明确作出。告知同意条款作为个人信息保护的重要组成部分,该项条款旨在消除个人信息处理者与消费者之间信息不对称的状态,个人信息处理者在收集处理个人信息之前要征得信息所有人的同意并且告知使用用途及目的,以维护个人信息所有者的合法权益 [6] 。但在实践中,用户受网络隐私政策场景中受信息不对称、地位悬殊及“服务要挟”等因素影响,几乎无法基于理性作出有利于己方的判断与选择 [7] 。然而,目前的法律规范对消费者“充分同意”没有一个统一的适用标准,导致各大电商平台在收集个人信息时适用的标准并不统一。在司法实践中,司法机关也无法准确地识别出消费者的真正意图,笼统将用户的打钩、点击行为视为用户认可且同意电商平台对自己个人信息的获取利用 [8] 。因为平台告知同意规则不足,导致消费个人信息如何被有效地传递到各家公司,以及这种传递是否满足公司内部实际运营要求,消费者毫不知情,更增大了消费者遭遇个人信息泄露的可能。
2.3. 义务内容尚不明确
《电子商务法》《个人信息保护法》等相关立法没有明确规定电子商务经营者在每个阶段所应当履行保护个人数据的具体义务,因此需要由相关立法来解决和整合电子商务平台以及经营者的义务。消费者通过电子商务平台进行交易的前提是向电子商务经营者提供交易所必须的个人信息,因此电子商务经营者能顺理成章的获取海量的用户数据,从而建立起一个巨大的用户个人信息数据库,如何妥善保护消费者个人信息安全问题迫在眉睫 [9] 。由于法律始终具有滞后性,在互联网飞速发展和立法滞后的矛盾之间,对个人信息进行保护的很多问题尚处模糊,电子商务经营者具体应履行哪些义务也并不明确。通过比较电子商务经营者与消费者的关系,电子商务经营者的义务可以分为两类:第一是履行一般性保护义务。此时二者在交易的过程中是平等的,在此种情形下,电子商务经营者应当履行平等地位下的一般性保护义务。其次是履行特殊性保护义务。当电子商务经营者在交易中对消费者的个人信息起到监管作用时,此时电子商务经营者与消费者处于不平等的境地。在此种情形下,电子商务经营者应当履行特殊性保护义务 [10] 。
3. 域外电商消费者个人信息保护及对我国的启示
3.1. 域外个人信息立法保护
1) 美国分散性立法。美国为了更好地管理和控制数字资产,采取了针对不同领域对个人信息进行专项立法,并采用了大隐私的概念,并对隐私权做了扩大化的解释,并将个人信息放在了隐私权的保护范围之内 [11] 。美国的法律规范以一种全新的方式规范了网络消费者个人信息保护,不仅要求互联网企业遵守法规,还要求政府采取有效措施。按照美国目前的个人信息保护机制的设计可以防止出现过度行使立法权的问题,还可以摆脱立法的局限性,从而达到有针对性的为消费者提供安全的保障效果。
2) 欧盟统一性立法。欧盟将个人信息保护等同于其他民事权利,与其他民事权利具有同等的重要性利,通过召集法律专家进行论证,经过严格的立法程序,确保了公民个人信息权得到有效保护。为了对消费者的个人信息提供有效的保护,欧盟选择了另外一种立法模式。该模式是这样的:制定专门的法律文件,规范了个人信息的保护标准,并据此建立了相关保护机构,以加强信息安全 [12] 。统一立法标准的好处是,有效避免因一些国家或地区由于行业基础不同而造成的标准不一致的情形。因此,制定专门的法律比行业自律更具精细性和规范性。
3) 日本折中式立法。二战后,日本的法律体系深受美国影响,因此,在个人信息保护上,日本一开始主要借鉴了美国的行业自律模式,采用了类似于美国的“单行立法 + 行业自律”相结合的模式;后又吸取欧盟的经验,颁布统一的法律文件;最终形成了“政府立法 + 行业自律”相结合的兼容模式。这种模式的好处是:以个人信息保护监管机构为主导,结合重要领域的专门立法、行业规范以及第三方的监督,以期达到最佳的个人信息安全状态行业自律和第三方监管等方式,共同促进个人信息保护水平的提升 [13] 。
3.2. 域外个人信息立法保护对我国的借鉴意义
许多发达国家都在立法过程中,均通过不同的形式展示了自身保护消费者个人信息的能力。总结对我国的启示,有以下几个方面:
第一,要加强行业自律。从国际的立法经验来看,不同国家对于行业自律的政策存在差异。例如,欧盟的政策包括了统一的制度和强调行业自治;美国的政策将分散的制度和行业自治紧密联系起来,并存在一定程度的立法;而日本则采取了折中的模式,注重实际效果,强调灵活性和适应性。这三种立法模式并不是互相矛盾的,而是可以相互借鉴。虽然我国的国情与美国不同,无法选择美国模式发展行业自律,但是我们应当建立自己的行业自律机制,以保障消费者个人信息权益。行业自律具有灵活性强的优点,能够弥补立法的缺陷,填补监管不足的空缺。在以法律为基础的同时,加强网络消费者行业组织的建设,是保障消费者权益的重要措施。
第二,统一立法标准。在个人信息保护方面,不同国家和地区有不同的立法模式。欧盟采取了统一立法模式,而日本则将个人信息保护立法和行业自律相结合。针对我国国情,我们也采取了立法为主、行业自律为辅的监管模式。2021年,我国颁布并实施了《个人信息保护法》,该法能够解决因立法分散导致消费者个人信息保护规定之间存在差异性和缺乏统一标准的问题,并为保护公民的权益提供了有力的依据。
第三,实现信息保护与流转的平衡。许多国家都非常注重保护公民的隐私权利,特别是美国、欧盟和日本都在这方面做出了很多的努力。尽管互联网技术的发展给隐私安全带来了新的挑战,但我们应该采取适当的措施来平衡保护隐私和促进信息流通的需求,不能过度保护而限制信息的自由流动。我们需要加强立法,加强监管,确保个人信息的安全性和隐私受到充分保护,同时也要让个人信息的使用在合理的范围内发挥最大的价值。
4. 电商领域消费者个人信息保护完善建议
4.1. 个人信息类型化区分
4.1.1. 直接个人信息和间接个人信息
针对个人信息的分类问题,我国目前还没有明确的法律规定。不过,一般可以将个人信息分为两类。第一类是直接个人信息,指的是可以直接识别出个人身份的信息,如姓名、身份证号、肖像等。第二类是间接个人信息,指的是需要结合其他信息才能识别出个人身份的信息,如学历、性别、体重等。这样的分类方法可以客观地反映个人信息的特征,不受他人主观状态的影响,也有助于更好地保护个人隐私。同时,我们需要加强立法和监管,确保个人信息的安全和隐私得到充分保护,同时也要让个人信息的使用在合理的范围内发挥最大的价值。
4.1.2. 敏感个人信息和一般个人信息
对于个人信息的分类,在我国学界主要聚焦于个人敏感信息和个人一般信息的讨论。欧盟颁布的《一般数据保护条例》(以下简称“GDPR”)将个人信息分为个人敏感信息和个人一般信息两类。GDPR是全球范围内备受赞誉的法律规范,其对个人信息的分类明显经过了多次考量。我国可以借鉴GDPR的相关规定,来对个人信息进行分类。个人敏感信息由信息主体更具有主动性,外界获取难度更大,一般只有亲密的家人或朋友才能知晓。敏感个人信息应当被划分为私密信息,同时在GDPR中也对其分类更加严格。我国法律中没有直接涉及敏感个人信息的条款,但在某些行业规则中,术语“敏感个人信息”经常被提到。例如,腾讯公司在其内部规则之一的《隐私政策》中对个人敏感信息进行了简单列举。一般个人信息是其他人容易得到的信息,信息主体对一般个人信息的控制较少。学界划分敏感性个人信息和一般性个人信息的目的是为了对个人信息进行差别化保护,并强化对敏感性个人信息的保护。当需要使用敏感性个人信息时,应该在信息主体充分了解原因、方式、目标等情况下进行使用,并确保信息主体在收集、储存、利用等各个环节都知情且同意。只有结合实际情况采取相应的保护措施,才能以最优的方式保障信息安全。
4.2. 优化信息收集阶段消费者个人信息的告知同意规则
告知同意规则能在“入口端”就缩小消费者个人信息权受损的风险敞口,有前置式预防作用 [14] 。由于现有告知规则缺少明确的告知标准,导致电商经营者的信息处理告知文本本应实现的“告知–知情–同意”逻辑链中的“知情”环节缺位 [15] 。因此,就有必要在告知同意规则中引入“充分性”标准,“充分性”标准如下:
首先,在告知方式方面。电商经营者应当采用醒目、直观和易于理解的方式向消费者提供告知文本。建议电商经营者在收集消费者个人信息之前或者更改处理方式之前,通过单独的弹窗突出展示个人信息保护政策,并采用下拉页面的方式设置,要求消费者阅读完整文本后方可进入下一授权环节。同时,电商经营者还应当在平台首页显著位置设置链接,以方便消费者随时查阅最新版本的个人信息保护政策。
其次,在告知内容方面。在告知消费者相关的信息处理情况方面,我国应该达到GDPR和美国最新立法草案所提出的“透明度”目标。这意味着电商经营者需要使用简洁明了、通俗易懂以及避免歧义的“用户友好型”语言来告知消费者相关信息的收集、使用、目的和方式,以及采取的信息泄露防范措施,消费者享有的具体信息控制权能及其实现途径,以及电商经营者的联络方式等。
4.3. 健全义务体系
4.3.1. 电商平台和商家对消费者的义务
电商平台很少会对消费者在进行交易过程中个人信息保护进行提醒,因此电商平台应当在重要阶段对消费者进行提醒,其中之一是在页面上设置关键信息的输入提醒机制,比如在消费者与客服对话时提醒其不要轻易发送电话号码、身份证号码、银行卡号、工作单位等重要个人信息。此外,平台还应该在消费者下单时提醒其保存支付截图、购物记录等,并在物流更新页面上设置妥善处理快递单的提示等。为了更好地承担企业社会责任,电商平台应该加大技术投入,防止遭遇攻击。此外,还可以采取措施提高消费者个人信息保护意识,例如发布网络安全防骗指南或个人信息安全保护手册等文件让消费者阅读,消费者可通过阅读该文件获得抵用卷等优惠。
4.3.2. 平台与商家相互间权利义务
在平台与商家的权利方面,平台必须与商家签订用户信息保密协议,保护消费者的个人信息权益,同时商家需要在消费者个人信息权受到损害时承担赔偿责任。针对从事短视频制作、修图、简历修改等业务的商家,平台应该采取更加严格的监管措施,并要求商家在商品详情页面附上个人信息保密的承诺书。平台也应该承担起监管责任,建立黑名单制度,加强引进专门性法律人才,调解消费者与商家因个人信息权被侵犯产生的纠纷。在商家承担的义务方面,平台应该加大技术投入,避免因非法利用或技术操作失误而泄露商家与消费者买卖过程中的消费者信息,如果发生泄露,应该加倍赔偿商家损失;平台在制定协议和隐私政策时也应该广泛征求商家意见,及时告知商家并提出整改建议,平台应当及时反馈商家提出的诉求。
5. 结语
电子商务的飞速发展不仅极大提高了经济活动的效益,在为消费者提供极大的便利的同时,也存在损害消费者个人信息的问题。当前,我国已经形成了相对完整的个人信息保护法律体系,其中《个人信息保护法》和《民法典》对个人信息的安全保障进行了明确的规定。但是,由于个人信息保护在我国起步较晚,因此难免存在一定的不足,需要在日后的法律建设工作中逐步优化调整。为了加强个人信息权益保护,除了通过立法的方式将个人信息类型化,还可以通过优化信息收集阶段消费者个人信息的告知同意规则,同时健全平台和商家应尽的义务,这些都是有效的对策。作为我国法律体系的重要组成部分,消费者个人信息保护需要与信息技术的发展相适应,并需要社会各方的共同努力,才能够逐步完善。