1. 引言
随着大数据、人工智能技术的不断发展,互联网行业迅速发展,网购已然成为人们生活的重要组成部分。根据第53次《中国互联网络发展统计报告》显示,至2023年12月,我国网民规模达10.92亿人,较2022年12月新增网民2480万人,互联网普及率达77.5% [1]。由此可见,网络消费俨然成为当下最为常见的交易方式,电商行业在大数据技术的加持下,提高了对个人信息的使用程度,推动了电商行业的发展,但消费者个人信息保护的问题也日渐凸显。信息处理者违规收集、使用和销售消费者个人信息等乱象层出不穷。电商平台经营者违规收集消费者个人信息扰乱行业秩序,诱导式收集、超范围收集消费者个人信息等现象似乎已经成为电商行业甚至是其他行业默认的行业潜规则。本文针对当下层出不穷的各种侵害个人信息的行为,分析电商领域消费者个人信息保护的困境,据此提出相应的法律规制方案。
2. 电商平台及消费者个人信息界定
2.1. 电子商务平台的界定
我国《电子商务法》将电子商务定义为“通过互联网等信息网络销售商品或者提供服务的经营活动”,1根据商务部2022年发布的《中国电子商务报告》有“电子商务要将电商平台、消费者、企业联结为基于互联网的交易产业化生态链”的表述[2],综合二者,可以将电子商务理解为网络交易活动。
根据交易主体类型不同进行划分,可以将电商平台分为四种经营模式:第一种模式交易主体双方都是企业,即B2B模式(Business to Business);第二种模式是以天猫超市、京东等为典型代表的B2C模式(Business to Consumer),即交易主体一方为企业,另一方则是消费者个人;第三种则是Online to Online,即O2O,该模式的特点为将线上消费者带到现实中去,让消费者有线下购物的体验;最后一种则是Consumer to Consumer,即C2C模式,该模式是交易双方在第三方搭建的电商平台上进行交易的经营模式,此种模式最为典型的体现当属淘宝。本文研究的是在电商行业高度发达的背景下,如何规制电商平台侵害消费者个人信息的行为,故本文将研究视角限缩于B2C和C2C的电商模式中。
2.2. 消费者个人信息界定
2.2.1. 消费者个人信息界定
我国《民法典》《网络安全法》《个人信息保护法》等法律都对个人信息的概念进行了界定。其中,2017年施行的《网络安全法》采取定义加列举的方式将个人信息界定为:“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名……。”22021年实施的《民法典》沿用了《网络安全法》的定义模式,将个人信息定义为“以电子或者其它方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期……”。3《个人信息保护法》第4条对个人信息的概念进行界定,即以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。4
2.2.2. 电商领域消费者个人信息界定
电商领域消费者个人信息是指消费者在电商平台浏览、购买、使用商品或者服务时提供的或者因交易产生的,由电商平台存储和记录的个人信息[3]。在电子商务领域,消费者会授权电商平台经营者在一定范围内收集、使用其个人信息。电子商务领域具有个人信息的易得性、可识别性、商业价值高以及易被侵犯等许多特性。
第一:个人信息具有易得性。笔者通过对不同类型的各种电子商务平台的隐私政策(也称隐私声明或隐私保护协议)进行调研后发现,各大电商平台都以用户同意为其平台注册的必要条件,具体如表1所示。平台的隐私政策文件要求用户同意才能注册和使用该电商平台提供的服务,这种形式的隐私政策实际上不甚合理,剥夺了用户的选择权[4]。此外,消费者从注册平台账号开始,平台向其提供服务的每一阶段消费者个人信息会被收集,例如消费者的姓名、电话号码、地址、购物喜好等。
Table 1. Privacy policy overview of e-commerce platform
表1. 电商平台隐私政策概况
平台名称 |
电商平台隐私政策的独立性 |
用户同意是否为其平台注册的必要条件 |
淘宝 |
《淘宝平台服务协议》 |
是 |
《隐私权政策》 |
京东 |
《京东用户注册协议》 |
是 |
《京东隐私政策》 |
抖音 |
《“抖音”用户服务协议》 |
是 |
《“抖音”隐私政策》 |
美团 |
《美团用户服务协议》 |
是 |
《美团隐私政策》 |
小红书 |
《小红书用户服务协议》 |
是 |
《小红书用户隐私政策》 |
第二,可识别性较强。个人信息具有可识别性,消费者作为服务的接受者,其身份相较于一般公民具有特殊性。平台经营者为了更加方便、快捷地提供服务,平台经营者收集的个人信息会相较于其他公民个人信息有所扩充,这也导致了消费者个人信息更容易被结合识别到特定的消费者。
第三,商业价值高。在数字经济时代,消费者个人信息蕴含着巨大的商业价值,电商平台可运用个人信息获取高额的商业利润[5]。消费者个人信息承载着巨大的商业价值,使得消费者的个人信息一跃成为最具价值的“数据资产”。
第四,易被侵害。首先,由于消费者个人信息蕴含着巨大的商业价值,部分商家、信息处理者会经不住巨额利润的诱惑而铤而走险,非法收集、使用、销售消费者个人信息。其次,随着互联网、大数据等技术的不断成熟,个人信息已经在收集、存储、使用上形成了完整的产业链。个人信息多呈现电子化的样态,为了提高效率与便捷性,商家或者信息处理者在收集信息后会将其存储下来。这对于消费者个人来说,其个人信息似乎不再属于他自己,电商平台对其收集、处理的个人信息支配力度更强,自然个人信息也就更容易被侵害。
2.3. 电商领域消费者个人信息的侵权样态
2.3.1. 信息处理者非法收集个人信息
电商平台收集用户个人信息一般需要满足提供服务的必要,也即电商平台应当按照能满足其提供服务的要求,在必要限度内收集用户个人信息,不得私自超越范围违法收集用户的信息。但是,在实践中,很多电商平台都没有遵循上述原则,违反相关的原则收集用户信息,例如支付宝不当收集用户信息受到行政处罚一案中5,支付宝收集的个人金融信息不符合最少、必要的原则,对用户信息的收集超出了必要限度。
2.3.2. 信息管理者非法销售个人信息
在数字经济时代,随着互联网、大数据技术的高速发展,消费者个人信息逐渐展现出了其特有的商业价值,消费者个人信息也因此逐渐被当作一种商品。特别是在电子商务领域,经营者可以根据其掌握的个人信息对消费者进行针对性的广告推送,更好地完善其自身的经营策略,在市场竞争中抢占先机。因此,商家为了其能够在竞争中占据优势地位以获取更大的利益,会在提供服务尽可能地收集消费者个人信息。
在实践中,一些电商企业为了增强自身竞争力,与有业务往来的同行电商进行交易,互相交换其所掌握的消费者个人信息。更有甚者,其为了谋取更大地利益,选择将其掌握的消费者个人信息售卖给第三方平台。例如汪某某、王某、姚某某侵犯公民个人信息一案中,6被告人汪某某、王某、姚某某等为电子商务有限公司、网络科技有限公司及商贸有限公司的工作人员,多次在网上非法收集、出售他人个人信息。
3. 电子商务领域消费者个人信息保护的现实困境
电子商务具有高效性、便捷性等特点,获得了广大消费者的认可,成为了数字经济的重要组成部分。但是,电子商务给消费者带来高效与便捷的同时,不可避免地给消费者个人信息带来了潜在的威胁,消费者个人信息泄露的风险也随之而来[6]。根据第50次《中国互联网络发展状况统计报告》显示,截至2022年6月,我国网民规模达10.51亿人次,但是遭遇个人信息泄露的网民比例高达21.8% [7]。由此可见,电子商务领域侵犯消费者个人信息的现象屡见不鲜,因此,完善电商领域消费者个人信息保护措施具有重要意义。
3.1. 平台与用户之间的协商对话存在隔阂
电商平台隐私政策查找困难。笔者对目前较为流行的几大电商的隐私政策进行调研,发现各大电商平台均存在隐私政策较为隐蔽,用户不易查找等问题。例如,美团用户需要连续点击“我的–设置–隐私设置–隐私政策”才能成功找到隐私政策所在,这也是大多数电商平台所存在的问题(如表2所示)。此外,还有一些电商平台在其网页端查找不到其隐私政策,例如拼多多在其网页端则查找不到用户想要查找的隐私政策。最后,各平台的隐私政策均存在表述晦涩、模糊、篇幅过长等问题,此种表述不利于消费者理解隐私政策。例如,京东隐私政策分为八点,9709个字,其中大部分内容都是和消费者个人信息相关的规定,且其表达方式晦涩难懂,无形中增加了消费者阅读、理解的难度,如此便会出现实践中消费者对各大电商APP的隐私政策置之不理,随意浏览后就点击同意,所以就导致消费者并没有真正的知晓就点击同意的困境。
Table 2. Ways for users to find privacy policies
表2. 用户查找隐私政策的途径
平台 |
查找隐私政策的路径及点击次数 |
淘宝 |
“我的–设置–隐私–隐私政策”/4次 |
京东 |
“我的–设置–关于京东APP–隐私政策”/4次 |
抖音 |
“我的–设置–隐私政策”3次 |
美团 |
“我的–设置–隐私设置–隐私政策”/4次 |
小红书 |
“我的–设置–关于小红书–隐私政策”/3次 |
3.2. 监管机制不健全
电商领域个人信息保护的监管主体多元化,包括行政、行业协会等社会组织、平台自我监管等。然而,就目前的监管情况来看,行政监管由政府包揽,政府的监管理念落后、监管效率低下、事前预防与事后监管不平衡、多头监管;行业协会等社会组织自律机制的缺失;平台自我监管不到位,监管作用不明显,各监管主体之间没有形成有效的衔接体系。
首先,对于政府负责的行政监管,《个人信息保护法》第六章以专章的形式规定了履行个人信息保护职责的部门。然而,《个人信息保护法》中规定的行政监管方式存在多头监管,各行政监管部门之间缺乏统一的协调体系,各监管部门之间相互推诿,造成监管难以形成合力,导致监管效果低下。其次,对于行业协会等社会组织的监管,在电商领域,我国并没有专门的行业协会,行业监管机制的缺位、自律机制的不健全。最后,电商平台经营者扮演着双重角色,电商平台经营者不仅是最大的信息控制者,又是电商平台的管理者,其承担着消费者个人信息处理是否得当的监管义务。但是,实践中,消费者个人信息蕴含着巨大的财产性利益,一些信息处理者在巨大的财产性利益的诱惑下会选择铤而走险,导致超范围收集个人信息、诱导式收集个人信息的现象频发,深究其背后原因,很大程度上是平台自我监管不到位,导致消费者个人信息处于危险边缘。
3.3. 消费者维权难
电商行业高速发展,一方面给消费者带来了生活上的便利,另一方面也给消费者个人信息带来了巨大的潜在威胁[8]。当消费者发现自己的个人信息被侵害时,消费者除了可以选择仲裁、和解等非诉方式解决外,还可以选择诉讼等方式解决纠纷。当消费者个人信息纠纷不能通过其他非诉方式解决时,诉讼则成为了解决个人信息侵权纠纷的最终途径,然而,电子商务领域个人信息侵权纠纷难以通过侵权之诉得到妥善解决。在网络交易实践中,信息处理者处理消费者个人信息的行为具有较为隐蔽、专业性强等特点,导致消费者不能第一时间发现其个人信息遭受侵害。这导致了消费者不能及时采取措施维护消费者个人信息权益,会导致后续维权困难,消费者可能会承担败诉等不利后果。
另一方面,诉讼程序冗杂、诉讼时间长等因素造成诉讼成本高,所以,高昂的诉讼成本让消费者对诉讼的救济方式望而却步。此外,诉讼方式是事后的被动救济方式,而诉讼的结果往往只能使侵权者通过对消费者进行赔偿、赔礼道歉等方式对消费者进行事后救济。这些救济措施只能为消费者带来一定程度上的心理安慰,并不能从根本上解决问题。
3.4. 消费者个人信息保护类型化的缺失
电商平台经营者为了更好地服务消费者,会在消费者注册个人账号以及获得平台服务时收集不同的消费者个人信息。平台经营者收集消费者个人信息后,其一方面承担着保护消费者个人信息的义务,另一方面又需要处理、利用消费者个人信息。平台经营者在利用消费者个人信息的过程中,为了保护消费者个人信息不被泄露,需要对消费者个人信息进行匿名化处理。然而,《个人信息保护法》并未明确指出以何种标准划分个人信息,这就导致了在实践中,平台经营者没有一个明确的标准加以区分,不知何种个人信息需要匿名化处理、需要匿名化处理到何种程度,使得消费者个人信息处于匿名与不匿名之间的模糊地带,不利于消费者个人信息保护与使用之间的平衡。
目前我国法律、法规并未对个人信息进行类型化区分,这会导致本该进行保护的个人信息却未予以保护或者保护力度不足;本不该进行保护的个人信息,法律却予以保护的困境。
4. 电商领域消费者个人信息保护完善对策
4.1. 拓宽平台与用户之间的对话路径
首先,隐私政策的查找问题上,平台可以选择在下载页面选择向用户展示其隐私政策,用户可以在下载安装前便可知晓隐私政策,并做出是否下载的决定。平台经营者还可以修改隐私政策的查找方式,可以简化查找步骤,将隐私政策作为单独的一个选项置于“平台–我的”页面,可以一定程度上简化隐私政策的查找步骤,方便消费者在需要时查找隐私政策。其次,在隐私政策制定上提高用户的参与度。目前,各大电商平台隐私政策的制定几乎都由其自己单方面完成,然而,隐私政策很大程度上具有合同属性,其大部分涉及消费者个人信息的条款都类似于格式条款,消费者需要使用电商平台时只能选择同意或者不同意。这种由平台单方面制定的隐私政策难以就消费者个人信息的保护形成合意,故平台可以采取在制定、修改其隐私政策的过程中充分考虑消费者的诉求,提高用户的参与度。第三,对于传统隐私政策冗长、晦涩的表述,会使用户产生抗拒心理,并未真正做到仔细阅读并知情后才点击同意,大部分用户都是潦草阅读后即点击同意,并未真正达到告知同意规则的立法目的。对此,平台需要增强隐私政策的显著性与通俗性,以达到告知同意规则的立法目的。最后,平台可以建立专项的客户沟通途径,成立专门的部门或者制定专门的人员与消费者进行沟通,以解决消费者对隐私政策或者个人信息收集、利用的相关疑问。
4.2. 完善消费者个人信息保护的监管机制
消费者个人信息收集、处理的合规监管,本应该由行政机关负责,行政监管在范围广、发展快的电商领域,其监管方式往往显得捉襟见肘,无法达到常态化的“监管–治理”效果。因此,在个人信息权益保护上,应当建立健全行政机关、行业组织、平台自身监管之间的监管体系。对于行政监管而言,应当明确具体负责的监管机关,由国家网信部门进行统筹,明确各行政监管机关之间的具体职责,防止各机关之间的相互推诿。对于行业协会而言,我国可以借鉴美国的行业自律手段,结合我国的实际情况,分领域、分阶段逐渐建立健全行业协会的监管机制,实现行业内自律。此外,还应当完善平台企业内部“独立监督机构”的设置。《个人信息保护法》第58条规定平台应当成立独立的机构对个人信息的保护情况进行监督,且机构的成员应当由外部人员组成。7因此,大型电商平台应当肩负起个人信息保护的重任。然而,实践中,各大电商平台的隐私政策均未出现关于外部独立监管机构的内容,这就导致了《个人信息保护法》第58条的规定落空。对此,行政机关应当监督各大电商平台逐步建立健全独立监管机构的设置。
4.3. 推行个人信息保护的公益诉讼制度
消费者个人信息具有较强的私权益属性,电商平台与消费者之间形式上是平等主体,故二者之间发生的个人信息侵权纠纷是属于民事纠纷,最高人民法院于2020年12月颁布的《民法典》司法解释中也将“个人信息保护”单列为一项民事案由,这也就意味着消费者可以通过传统的提起民事诉讼的方式来维护其合法权益。但是,面对无论是经济基础还是技术手段都远超消费者的电商平台经营者,二者实质上是不平等的。所以,由单个消费者就单个案件提起私益诉讼不仅难以获得救济,还容易造成司法资源的浪费,更何况,大规模的信息泄露事件同时涉及到社会的公共利益。随着数字经济的发展,个人信息的私益属性与共益属性之间不再有明确的区分标准保护平台用户信息安全不再仅仅是个体消费者的需求,同时也涉及到社会治理和国家治理的公共价值实现[9]。在此背景下,公益诉讼便是一种更为高效的个人信息保护的救济方式,这也是对《个人信息保护法》第70条之规定的落实。8目前司法实践中也是逐步出现了关于个人信息保护公益诉讼的典型案例,例如2020年杭州市下城区检察院提起的个人信息保护民事公益诉讼案9。在电商领域推行个人信息保护的公益诉讼制度,能够有效整合社会资源,形成全方位的个人信息保护屏障[4]。
4.4. 建构消费者个人信息区分保护模式
平台对消费者个人信息处理的边界模糊,究其原因,很大程度上是消费者个人信息利用与保护之间难以平衡的结果。故可以以个人信息的敏感程度为标准,兼顾消费者个人信息权益与电商经营者利益,突出个人信息的保护重点,更好地平衡个人信息保护与利用之间的价值平衡。
首先,对于敏感的消费者个人信息,禁止目的外的使用。敏感个人信息因具有极强的人身属性,承载着消费者的人格尊严及自由。所以,一旦消费者的敏感个人信息遭受侵害,会给消费者造成严重的损害后果,故对其保护应当有更为严格的限制,应将消费者敏感个人信息严格限制于“告知同意”的范围内。其次,对于消费者的一般个人信息,则可以适度地允许目的外的使用。对于不具备极强人身依附性以及不能直接识别关联信息主体的一般消费者个人信息,因其识别度较低,所以可以适当放宽标准,在合理控制风险的前提下,发挥信息的可利用价值,在满足特定条件时,可以适度超出告知的范围。但与此同时,平台也应当加强风险预判与合理管控,将个人信息的处理风险控制在合理的范围内。
正如美国私法学者保罗·欧姆所说:“个人信息保护和个人信息利用在匿名化这个场景中,存在一对很难协调的矛盾,即匿名化缺失,则不能很好地维护隐私与个人信息权益;匿名化过度,必然减损信息使用价值”[10]。由此可见,对消费者个人信息进行类型化区分,可以给平台经营者一个客观的参考标准,在提高个人信息保护程度的同时,也有利于商家使用消费者个人信息,提高社会资源的流通。
5. 结语
电子商务自上世纪90年代起步,再到如今的蓬勃发展,离不开互联网的支撑与个人信息的影响,如今,电子商务已经成为我国市场经济新的增长点。随着电商行业的不断发展壮大,电商平台在高度发展的大数据技术的支撑下能够更为全面、充分的处理、利用消费者个人信息,这同时也意味着消费者个人信息也极易被侵害。消费者个人信息的保护与利用如同硬币的两面,对消费者个人信息过度保护或者过度利用均不可取,如何在二者之间寻得平衡尤为关键。故笔者希望以《民法典》《个人信息保护法》等法律为依托,针对当下存在的侵害消费者个人信息的各种乱象,提出具体的解决措施,力求达到消费者个人信息的保护与利用之间真正平衡的状态。
NOTES
1《电子商务法》第2条。
2《网络安全法》第76条第5款。
3《民法典》第1043条。
4《个人信息保护法》第4条。
5杭银处罚字[2018]23号。
6(2019)皖13刑终104号。
7《个人信息保护法》第58条第2款。
8《个人信息保护法》第70条。
9(2020)浙0192民初10605号。