1. 引言
随着互联网技术的更新迭代,电子商务作为数字化信息技术推动下发展出的一种商业创新,在促进互联网电商平台建立的同时为消费者提供了一种新的消费环境,其方便、省时、品类多样等特点吸引越来越多的人加入新型消费模式中。然而,在享受互联网为人们带来便利的同时,电子商务的发展也增加了消费者个人信息安全的潜在隐患。一方面,大数据时代背景下,任何电商平台的注册和使用都以消费者提供自己的个人信息作为交易基础,消费者大量的个人信息通过十分隐蔽的方式被商家非法收集。另一方面,传统商业模式向数字经济的转变使商家认识到个人信息中极丰富的商业价值,诱使其不断开发利用新的技术方式类似cookie这种特有技术对个人信息进行跟踪和利用。电商平台通过对用户信息的广泛集中收集,对用户的需求、喜好、购买力等进行定向分析,从而可以达到平台对消费者“一对一”的精准营销,不定时地经常向消费者发送大量营销短信和电话,一定程度上侵害了消费者生活安宁权,但相比于资本强大的平台商家,消费者处于市场经济竞争中的不利地位。另外,我国法律规范对电子商务背景下个人信息保护的缺失,使消费者对个人信息保护的维权之路更加困难。如何处理好电子商务快速发展背景下对消费者个人信息的有效保护是当前亟需解决的重要问题。
2. 电子商务背景下个人信息保护概述
2.1. 电子商务发展下对个人信息保护的影响
《中华人民共和国电子商务法》(以下简称《电子商务法》)1中对电子商务的含义作了明确规定,电子商务作为数字平台经济的典型商业模式已经成为线上经济发展的基础设施,它为消费者、网络平台、平台商家三方主体搭建联络轨道,维持三方利益需求和平衡,突破传统经济运营模式,创造互联网市场的巨大活力,不仅带动国内经济贸易的快速增长,也促进国际商事合作。消费者个人信息是互联网交易中必不可少的一部分,而个人信息也是消费者最重要的一项权利 [1] 。《中华人民共和国网络安全法》中首次界定了个人信息的含义:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”2021年8月通过的《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)也对个人信息作了规定。2目前学术上对个人信息有个体特征说、个人数据说、生理特征与社会特征说等学说,但其内涵大抵是一致的,简单来说,个人信息是能够识别个人特征与他人作明显区分的数据信息。电子商务领域中个人信息有其特殊性,基于互联网对数字化信息处理的技术,个人信息在电子商务平台能够被长久保存并能够通过加工处理的方式覆盖多个主体,这为一些不法分子实施违法以及犯罪行为提供了极大的便利。实践中侵害个人信息的案件已不在少数,如湖北公安机关破获徐某等人利用外挂程序非法获取公民个人信息案、广东公安机关破获某公司非法获取公民个人信息实施诈骗案等,这些类似事件的频繁发生对个人信息保护造成严重威胁。
2.2. 电子商务发展下个人信息保护的意义
现阶段,个人信息在互联网中被过度收集和泄露的情况十分严重,数字经济不断发展的环境下,信息聚合开发背后隐藏的隐私侵犯、数据泄露引起广大民众对个人信息安全问题产生担忧和困惑。信息本身具有的隐蔽性强、传输时间短、低成本获得的特点在虚拟的网络环境中保护难度加大,这就需要我们明确知道电子商务背景下个人信息保护的重要性。
首先,个人信息是公民享有的基本权利内容,任何人在未经本人同意的情况下都不应被获取和使用。一个人的基本信息构成特有个人的名片,掌握其个人信息就意味着对他的个人生活、财务状况、社交范围有了精确的了解,借此很大概率会被有心人利用成为实施侵害行为甚至犯罪行为的工具。其次,数字经济下数据信息就代表着财富,这也是电子商务平台以及各商家争先收集消费者个人信息的主要原因。很多企业、公司对收集的消费者的信息通过技术分析手段实现对消费者的精准营销,不仅提高了成交效率,也降低市场经营成本,个人信息收集的越详细就意味着抢占更多的市场先机,无论对平台还是商家来说都是百利而无一害的。最后,在当前国际经济贸易往来如此频繁密切的情况下,个人信息在其他国家已经建立起了严密的保护机制,相较于其他国家我国近几年才出台有关个人信息保护的法律法规已经落后,我国应紧跟国际潮流,不仅在经济上增强实力,在相关配套的法律规定中也要重视个人信息保护的重要性,做到与国际接轨。
3. 电子商务背景下我国个人信息保护存在的问题
3.1. 个人信息的非法收集和泄露
1) 消费者在申请注册电商平台之初,一般都需要提供个人基本信息为注册条件,如本人真实姓名、身份证号码、电话号码和家庭住址等。消费者提供给平台个人信息是在意思自治原则下与平台建立的一种契约行为,即允许平台合理使用其个人信息以此获得便捷周全的商品服务,商家获取消费者个人信息后也为再次能与消费者进行交易创造条件,这对双方无疑都是有益处的。然而随着平台对用户个人信息的大量收集以及其中蕴含的经济效益的不断体现,平台商家不再满足单个消费者提供的基本信息。为谋取更多更快的经济利益,电商平台相互之间对消费者的个人信息似乎达成默契,实行信息储存和共享,消费者个人信息通过各电商平台流转和交换之后,有关消费者的日常生活、工作爱好、财务往来甚至家庭亲属各类信息以及个人隐私无处遁形。如淘宝、天猫电商平台与支付宝支付平台对消费者个人信息实行共通共享,不仅完全掌握了消费者的消费记录、消费需求和消费爱好,也对消费者的个人和家庭的财务能力和消费倾向一目了然;以及抖音和微信平台,通过分析用户日常浏览记录,有针对性地对消费者推广相关的商品营销,在用户无意识中对其进行商品消费灌输,从而谋取更多的经济利益。平台商家获得消费者更精确的个人信息后,利用现代先进的信息技术手段对其日常生活消费、目的消费进行剖析,以此源源不断地为消费者传输商品广告类信息以刺激他们的潜在购买欲,这已经完全超过了消费者最初与平台建立契约中允许平台使用个人信息的合意范围。
2) 实践中不仅各电商平台对消费者个人信息进行收集,在巨大经济利益刺激下催生专门提供信息服务的中介公司,甚至形成一些兜售个人信息的黑色产业链,对消费者信息明码标价进行贩卖。除此之外,一些公司和企业为获取更详细的消费者信息,雇佣网络黑客通过非正常技术手段侵入消费者个人计算机系统,常见的恶意攻击技术手段包括监听与口令攻击、网络欺骗攻击、WWW攻击、木马攻击、缓冲区溢出攻击、使用核心级别的rootkits攻击、端口攻击、“嗅探式”后门攻击、状态操作攻击、SQL代码嵌入攻击等方式,可谓五花八门 [2] 。2016年6月李某某及其犯罪团伙利用“快递单号生成器”等软件筛选快递单号,并勾结快递公司内部人员查询对应的公民个人信息七万多条,牟取不法利益三万余元 [3] 。互联网下的市场经济竞争中,数字化信息技术高速发展,消费者个人信息不断在社会生活中展现出独特的商业价值,掌握更多的消费者个人信息可以更好地完善自身的产业策略,增强自身的市场竞争力 [4] 。在如此巨大的可图利益下,个人信息因其经济价值被不少企业商家视作俎上之肉,由此形成的信息交易产业链更使消费者的个人信息保护权益如一纸空文,任人宰割。
3.2. 对消费者个人信息保护的立法缺失
目前我国电子商务领域中对消费者个人信息保护的法律规范还不够明确,相关规定零散分布于不同的法律文件中。虽然《个人信息保护法》的出台对非法收集和使用消费者个人信息的行为起到一定限制和约束的作用,但其中多数法律条文主要作原则性规定,内容宽泛笼统,具体规范较少,弱化了法律实际执行的强制效果。其中有法律条文规定,处理信息者不能将消费者不同意开放权限而拒绝为其提供相应的服务,除非达到必需的条件。对于其中的“必需”两字应该如何明确界定,为不法分子留有了可自由发挥的空间。另外,有关个人信息保护的各法律法规之间没有建立完整的规范体系,缺乏系统性和协调性,导致在具体法律适用中法院判决的混乱。例如,《电子商务法》规定电子商务经营者对违反有关个人信息保护的法律法规的行为按照《网络安全法》的规定处理。《网络安全法》和《个人信息保护法》对违法商家的处罚标准为“一百万以下罚款”,而《中华人民共和国消费者权益保护法》(以下简称为《消费者权益保护法》)的标准为“五十万以下罚款”。我国关于个人信息保护相关法律的制定体现了我国对个人信息保护的力度和决心,但毕竟起步较晚,电子商务又作为近几年新兴发展的经济模式,对电子商务领域中特定消费者的个人信息保护存有法律空白,由此带来现实中电子商务平台侵害消费者个人信息的法律问题复杂,难以对该问题形成一个普遍适用的规则标准。《消费者权益保护法》中对消费者个人信息保护维权作了5种方式规定3,但普通民众对法律规定的不熟悉和各法律之间关系不了解,面对具有专业法律团队或法律人士在背后指导的平台和商家,消费者的弱势地位更加凸显,且很多消费者因其购买的商品价值不大,诉讼和聘请律师费用的支出可能远超过商品价格,诉讼程序繁琐且耗时较长,这些种种维权成本的高昂负担严重阻碍了消费者的维权之路。
3.3. 对个人信息保护的执法机制落实偏差
1) 巨额利益驱使的背后一定隐藏着违法和道德缺失的风险。平台或平台经营者对个人信息实施非法侵害的过程中不仅严重影响了消费者正常的生活安宁,对消费者的财产和精神也造成了不同程度的损害。2016年轰动全国的徐玉玉诈骗案4以及2020年发生的圆通快递40万条个人信息泄露案5等无不反应我国具体法律适用的缺陷。“天下之事,不难于立法,而难于法之必行。”从我国当前的立法规定来看,对个人信息民事侵权案件一般适用我国《民法典》侵权责任编中的法律规范,但法律警示作用甚微。消费者个人信息遭受侵害后一般要求侵权者承担赔礼道歉、财产损失、精神损害赔偿的责任,但实际中由于个人信息属于虚拟财产且遭受侵害的具体数量无法评估,消费者的实际损失也就难以计算,精神损害只有达到严重程度才有所救济。除此之外,消费者一方需承担个人信息受侵害的证明责任,对发生侵权行为的调查取证、侵权者的资料收集、信息泄露的方式和时间等等对消费者来说无异于大海捞针。2013年11月5日,在“庞理鹏与北京趣拿信息技术有限公司等隐私权纠纷案”的证据证明方面,一审法院认为庞理鹏应承担举证不能的法律后果,判决驳回了庞理鹏的起诉 [5] 。电商平台作为一个庞大而完整的交易链条,平台、平台商家、物流公司、快递人员等任何一方都有可能是“违法主体”,证明责任的承担无疑将“单打独斗”的消费者置于更边缘地位,使其在个人侵权案件中毫无胜算可言。
2) 行政机关作为市场监管中的重要一环,对个人信息遭受侵害后的救济承担着首当其冲的责任,但现实中具体的行政部门的执行效果并不理想。首先,消费者个人信息的收集和处理往往是在消费者不知情的情况下发生的,隐蔽性强,技术手段快速专业,当发生个人信息侵权事件后,尽管政府监管部门或其他相关行政执法人员迅速介入展开调查,但对于这种损害已经发生的事后取证是比较困难的,再加上有些电商平台及商家对政府部门的执法行为抱有抵触消极的态度,在相关部门和人员开展调查工作中不给与积极配合,造成类似事件的累加和拖延,降低行政工作效率,很难使此类案件赢得好的处理结果。其次,目前有多个行政部门对个人信息侵权问题有权进行监管,部门之间权责划分不明确,不同的行政执法部门、监管部门之间职责混乱,打击方式和力度各有不同,亦或发生侵权事件后各个部门间相互推脱责任,怠于执法,无法形成监管合力,这更加放纵了个人信息侵权行为的肆意妄为。
3.4. 消费者对个人信息保护意识薄弱
互联网发展以及智能手机普及程度之广泛使越来越多的人追随各式新颖APP的下载使用,如抖音、小红书、拼多多等电商平台如雨后春笋般在人们生活中活跃。为了体验这些平台所带来新奇便捷的商品和服务,大量消费者在最初下载和注册时常忽略有关个人信息或隐私类条款,通常不经浏览和阅读即授权平台或商家对个人信息随意进行查看和收集。很多人不能意识到个人信息被大量收集后可能带来的危险,只了解这是注册使用电商平台服务必须同意或接受的内容,殊不知自己提供的个人信息将用作怎样的处理和流转。大数据分析技术下个人信息涵盖的不仅仅是单独个人,也包括与自己有关的亲属、朋友中的个人信息,比如亲友帮忙支付,拼多多帮忙砍价,邀请亲友注册获得新人大礼包、红包等,这些诱惑也可能在无形中泄露信息。在这些信息被频繁的流转和使用中,不免被一些不法分子或网络黑客截获,进而将其用之违法犯罪。特别是对于未成年或老年人等对互联网操作不熟悉的特殊人群,网络安全意识薄弱,更容易遭受网络信息诈骗。
4. 电子商务背景下个人信息保护措施
4.1. 加强电商平台自我管理机制
各电商平台为应对法律规范对其的基本要求,一般会在消费者下载注册相应APP时告知用户阅读并同意平台中的隐私条款,但实践中大部分用户只进行粗略浏览或直接选择同意的方式完成注册。消费者对隐私条款的忽略和不重视在未来发生争议时维护自我权益的过程处于不利地位,这就要求网络平台提供者在用户下载注册相应APP给予明确显眼的提示和说明,例如,在提供隐私条款中,为用户预留更多的时间阅读并通过隐私条款,对个人重要信息的处理,如真实姓名、电话号码、家庭住址、身份证号码以星级符号或其他明显方式加以提示说明。对隐私条款中个人信息使用的地点和时间、方式列入条款较前的位置。例如当下广泛使用的抖音平台,对发布者发布的涉及个人敏感隐私类的信息予以限制,对短时间内大量提供相似内容有可能泄露个人信息或隐私的内容不允许公布和传播。对于用户对隐私条款中有异议的或认知模糊的情况,平台可采取调查问卷的方式收集,在用户阅览以及同意平台提供的隐私条款之后可以弹出用户对隐私条款的意见调查表从而进行归纳收集,对用户反馈较多的问题做出反馈和调整,从而对消费者个人信息的收集和使用做到更好的规制和保护。
4.2. 完善个人信息保护法律制度
个人信息侵权的泛滥最终要以具体明确的法律规定作为治理手段。我国《个人信息保护法》作为个人信息保护的基本法,对电子商务领域的信息侵权行为也应进行细化。鉴于电子商务领域的消费者个人信息保护具有权利主体弱势地位更加明显、权利客体范围更加广阔、侵权行为主体更加复杂多样、侵权行为发生的隐蔽性更强、个人信息财产权属性更加突出等特点,我国应制定更具行业针对性的电子商务消费者个人信息保护法律规范,从而为电商消费者个人信息安全提供更加周全细致的保护。当个人信息受到侵害,消费者个人难以抵抗资本强大的电商平台,在证明责任的承担上,消费者只要能提供平台或商家实施了侵权行为,过度使用或非法泄露或传播了个人信息并造成一定的损失即可。消费者的具体损失以及精神损害的赔偿法律应规定明确统一的损害赔偿金额,具体案件的法律适用中法院在规定的赔偿金额内自我裁量。政府也应建立相关的监管部门,对现行大量的电商平台对个人信息收集和传输行为进行有效定期审核。对不正当使用用户信息的行为或者存在可能泄露或滥用用户信息的行为进行处罚和警告并向社会公众公示。对于严重的不正当的个人信息侵害行为引入刑罚作为惩处手段,以刑法作为规制个人信息保护的最有力的屏障。行政法和民法以及其他有关个人信息保护的相关法律规范不仅要以原则性规定为指导前提,更要以明确具体的法律规定予以完善。
4.3. 加强个人信息自我保护意识
在个人信息使用过程中,消费者与平台商家对个人信息的处理存在部分共同的价值取向,消费者希望信息处理者在不过度使用或暴露本人信息的基础上处理个人信息从而能为消费者提供更完善周到的服务,信息处理者也希望在消费者提供的有限信息内获得尽可能多的有用信息价值从而提高自己为消费者提供更精准的商品服务。商业活动中,尤其是在网络电子平台上消费者和信息处理者对彼此的交易环境、交易心理以及交易目的都不了解的情况下,都报有能够高效便捷满足自己利益需求的想法。国家在制定相关立法规范时应意识到自由市场环境下个人信息使用和处理的必要性和优越性,对经营者和消费者在意识自治范围内不宜过度干涉。但在现实生活中,平台在与消费者建立合同的过程中,提供的往往是合同条款,很多时候消费者不注意条款内容,对其中可能增加自己义务减免平台责任的内容不认真进行核实,这就造成平台发生侵害消费者个人信息后以此逃避法律规定的现象。为此,消费者对个人信息的处理应予以重视。第一,了解个人信息被收集使用的渠道和目的,尽量减少他人对自己个人信息收集的数量,明确信息走向。第二,在使用自己个人信息过程中注意保护个人隐私和使用频率,避免被其他有心人记录或窃取。第三,尤其重视在互联网上对个人信息的定期清理和删除,以及浏览内容和浏览记录的清除。对平台商家提供的隐私条款或涉及个人信息处理的规定认真审查,不可报以无所谓的随意心态。
5. 结论
电商经济蓬勃发展下消费者在获得电商平台提供的便捷服务的同时,其消费者个人信息保护的重要性日益凸显。我国近些年出台的有关个人信息保护的法律法规对侵害个人信息的行为已经有所警示和防范,但社会始终处于前进变化中,面对复杂的电商环境不仅要完善我国当前的立法规定,也要着眼于法律适用中政府和法院应承担的责任,使消费者意识到保护个人信息的重要性,从立法、司法、执法、守法各方面努力,促进电子商务的快速发展与个人信息保护协同共进。
NOTES
1《电子商务法》第二条规定:“本法所称电子商务,是指通过互联网等信息网络销售商品或者提供服务的经营活动。”
2《个人信息保护法》第四条规定:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”
3《消费者权益保护法》第三十九条规定:“消费者和经营者发生消费者权益争议的,可以通过下列途径解决:① 与经营者和解;② 请求消费者协会或者依法成立的其他调节组织调节;③ 向有关行政部门投诉;④ 根据与经营者达成的仲裁协议提请仲裁机构仲裁;⑤ 向人民法院提起诉讼。”
4中华人民共和国最高人民检察院:公诉人详解徐玉玉被电信诈骗致死案办案历程, https://www.spp.gov.cn/zdgz/201706/t20170627_194085.shtml。
5人民网:40万条个人信息泄露,圆通被约谈,http://it.people.com.cn/n1/2020/1126/c1009-31945204.html。