1. 引言
近几年来,互联网的快速发展、数据应用的更新和电子商务的蓬勃崛起,为我们提供了方便,但也存在着一定的风险。处于电子商务链条中心的电商平台,在法律、法规的外在约束以及产业企业的内在规范的共同作用下,对用户个人信息的收集、保管、利用的权限与操作需求持续进行规范。《个人信息保护法》的出台,使我国现行的个人信息保护制度更加完善,并与已有的有关立法相互衔接。但是,在社会化电商的新特性对个人信息权利的侵犯中,依然存在着不合理和不合法的问题,这是在电商合规的大背景下迫切需要解决的问题。
2. 电商平台消费者个人信息概述
2.1. 电商平台的界定
2.1.1. 电商平台的概念
电商平台(又称电商平台)是一种在互联网上为商户和消费者建立的一个虚拟的交易场所,是进行电子商务运营的一个重要载体。电商平台经营者是指为交易双方或者多个以上的人建立和运营一个网上交易场地,同时,还负责制定交易规则,调解纠纷,提供撮合交易、发布广告等服务的组织,比如我们生活中常用到的淘宝,京东,拼多多。电子商务运营商改变了传统的线下交易模式,建立了一个网上交易平台,让用户和商家在任何时间、任何地点都可以通过手机进行操作,完成交易,大大提高了商业效能。
2.1.2. 电商平台的特征
第一,电商平台可从市场的双边获益。传统的交易市场,只有买卖双方两个主体,而电商平台对此进行了突破,它通过建立一个虚拟的平台,使一方是在电商平台上销售商品或服务的商家,另一方则是具有购买需要的消费者,这样就形成了双边市场。以淘宝为例,一方是商家,一方是网上购物的客户,若是淘宝平台双方都有更多的用户,那么平台运营商就能获得更多的利润[1]。淘宝的顾客在不需要支付任何费用的情况下,就可以享受到多种平台的服务,而另一方面,如果商家想要在淘宝平台上做生意,就必须将自己的利润分给平台进行宣传。
第二,作为网络贸易空间的构建者,电商平台也承担了相关的管理与争议解决功能。一方面,电商平台作为信息中介的提供者,为买卖双方提供信息媒介,促进两者之间交易的发生与完成;另一方面,其作为交易的组织者与管理者,搭建起网络交易诚信体系,包括在线评价、第三方支付、网上纠纷解决等。由于电商平台的实际组织和管理地位以及对技术和运营环境的控制权,使得在平台中对商户的个人信息的管理也更有优势和方便。
2.2. 电商平台消费者个人信息的界定
对于“个人信息”,《民法典》和《网络安全法》均采用了定义和列举相结合的方式。《网络安全法》对“个人信息”的定义是:以电子或者其它媒介记录下来,可以独立或者与其它信息相结合而对特定自然人进行身份鉴定的信息,其中包括姓名,身份证号,出生日期,自然人生物信息,联系电话,住址等;《民法典》在借鉴《网络安全法》的基础上,对“个人信息”进行了界定,即“通过电子或者其它手段记录的可以独立或者与其它信息相结合的各种类型的信息”,并不全面地列举了姓名,出生日期,身份证号码,自然人生物信息,住所,联系信息,医疗信息,行踪信息以及电子邮件。《个人信息保护法》增设了关联概念,明确了个人信息的界定为“已识别或者可识别的自然人有关”,扩大了个人信息的范围,而不是罗列个人信息的种类,而以其具有可辨别性和关联性来限定个人信息保护的范围,并以其能否根据具体自然人的身份来确定其是否为个人信息[2]。电商平台的消费者个人信息,是指当顾客在电商平台上浏览、购买、使用商品或服务的时候,将商品或服务提供给平台的,或者是在交易过程中得到的,由平台以电子方式保存并记录下来的,平台可以对具体的顾客进行直接的身份鉴定,或者与其它的信息相结合,或者利用信息集成的分析方法,对具体的顾客进行间接的身份识别,其中既有顾客在网上交易时主动提供的姓名、联系方式、家庭住址等,还包含了顾客在网上交易过程中生成的浏览记录、购物记录、地理位置、搜索记录等与用户相关的个人信息。
3. 电商平台消费者个人信息泄露的原因及危害
3.1. 电商平台消费者个人信息泄露的原因
3.1.1. 消费者缺乏对个人信息的保护意识
一些用户还没有意识到个人信息泄漏给造成的危害,他们的网络安全意识还不够强。账号和密码太过单一,一般都是用自己的生日或者名字的拼音来代替,再加上一些用户使用的各种支付方式都是一样的,这就给犯罪分子提供了方便。一旦个人账户资料被盗取,犯罪分子就会利用大数据信息分析软件,从点到点,从点到面,对个人资料进行二次加工,由此挖掘出更多客户私密的习惯和信息,从而给用户的财产、甚至人身安全带来巨大的隐患。由于手机的智能程度越来越高,目前大多数的消费者都是通过手机在电商平台上进行消费或者提供服务,有些消费者的警惕性并不高,他们在出行的时候,更愿意通过免费的移动充电站,连接到免费的无线网络,这就增加了用户的隐私和数据被窃取的危险。
3.1.2. 缺乏行业规范和自律
我国从《中国互联网行业自律公约》角度出发,构建了基于互联网行业的行业自律机制,其次,基于《中国电子商务诚信公约》,由网络产业自律所形成了具有自我约束力的网络平台行业协会,这是目前国内针对电商平台的个人信息保护行业自律的两大源头。但是,《中国互联网行业自律公约》对于网络用户数据的保护的规定只是一种大概性的,并不够具体;《中国电子商务诚信公约》也仅仅提出了“强化对消费者隐私的管理,保障消费者的各项信息和数据的安全性”。
这一规定范围太广,不能有效地促进电商平台对消费者的个人信息的保护,也缺乏可操作性。电商平台与电子商务从业者的自律,绝大部分体现在把用户隐私保护协议这样的标准化条款添加到平台网站的页面中,并且放置在并不醒目的位置。此种行为表面上看起来是对于用户隐私的保护,但其实是应付《中国互联网行业自律公约》和《中国电子商务诚信公约》的一种表面工作,没有起到提升行业自律水平的作用,也没有加重平台和从业人员的责任[3]。
3.2. 电商平台信息泄露的危害
3.2.1. 侵害消费者财产权益
我国《电子商务法》对网络购物平台的经营活动作出了明确的规定,在进行商业活动的过程中,必须保护好顾客的个人资料,如果顾客的个人资料被第三者使用,就有可能给顾客带来财产上的损害,因为第三者通过泄漏信息来欺骗顾客,给顾客带来了财产上的损害,因此,电商平台有义务承担起这一责任。有相关研究表明,84%的网友称,在自己的隐私被泄露后,他们的生活变得很不平静,而且经常会接到骚扰电话、诈骗短信。比如,以产品质量有问题、退款为由,诱使顾客上当,用这种方式来达到骗钱的目的,或者从卖家那里买来一些私人数据,然后进行销售或者诈骗[4]。如果消费者拿不到任何证据证明这些信息已经泄露出去,那就很难让电商平台承担责任了,并且因为网络的隐蔽性,导致无法追踪到犯罪分子,致使诈骗事件不断发生。
3.2.2. 破坏网络市场经济秩序
信息泄露给市场经济秩序带来了很多的不利影响。在线交易时,黑客盗取平台使用者的数据,并在交易所之外进行交易,这种行为无法受到法律的监管,会对交易所的秩序产生一定的影响。没有了国家的安保系统,信息泄露的风险很大,如果没有法律的监管,很容易出现无法控制的风险。假若用户在互联网上交易的数据中包含商业秘密和国家机密,一旦被非法获取,将对国家公共安全构成重大威胁。由个人信息泄漏引发的违法信息交易链条,已成为影响我国经济与社会安全的重要因素,也是制约我国数据产业健康发展的重要因素之一。
4. 电商平台消费者个人信息保护存在的问题
4.1. 电商平台防止个人信息泄漏的义务条款不完善
从电商平台的视角来看,电商平台不单单只是一个运营商,它还应该对消费者的个人资料承担责任,然而,《电子商务法》中有关“不得泄露用户个人信息”的条款是存在相应缺陷的,《网络安全法》中规定,网络经营者进行安全防护要以网络安全等级保护体系为基准,“建立起企业自己内部的安全管理制度和工作程序,明确由网络安全主管人员采取技术措施对病毒进行防护以及检测和记录,对数据进行分类,备份加密”等,这些都是非常基本的责任。在我国,《个人信息保护法》并没有具体的规定,其它的法律规定分散在各种规章和部门规范性文件之中,因为是由不同的主管部门制定的,所以,法律的效力并不高,而且还无法适应飞速发展的网络环境。电商平台在履行自己的法律责任时,常常会暴露出监管上的不足,许多电商平台对自己应该承担的责任并不够重视。在电商平台中,信息泄露的途径有很多种,包括内部窃取和系统漏洞。在这些情况中,由内部人员进行盗窃的情况最为常见。
4.2. 电商平台法律责任不明确
若没有明确的法律责任,就不能形成足够的震慑作用,不能很好地保障公民的权益,也不能更好地履行公民的义务。在此类有意泄露个人信息的案件中,消费者可以通过以下两种途径要求其承担民事责任:第一种是主张违约责任,也就是消费者可以请求解除合同,并要求对方对违约行为进行补偿,但如果是在对方提出解约之前,则会对对方的生活带来极大的困扰。在这类恶意泄露的情形下,消费者一般有两种方式来捍卫其权利,一是主张违约责任,也就是消费者可以请求解除合同,并可以就违约行为请求赔偿,但是,若由消费者先提出解约,将会给其生活造成很大的麻烦。因为消费者处于劣势地位,如果毁约的话,就相当于放弃了平台为他们提供的服务,至于索赔,因为个人资料的价值是很难衡量的,所以这种索赔方式最后也只能不了了之。在现实生活中,大多数消费者都会以侵犯隐私为由要求保护自己的权利,但这只限于被泄露的个人信息确实被用于侵权行为中。对于那些由于电商平台没有采取有效的应对措施而导致的信息泄漏,电商平台是否应负民事责任也尚不明确[5]。《电子商务法》第38条只对涉及到生命安全的服务和商品等方面的内容进行了限制性规定,但并未将其延伸至个人信息的保护范围,因此,对于网络购物平台而言,对于用户的个人信息,是否存在安全保障责任,这一点并不明确。目前,我国立法并没有针对电商平台违反信息泄露的通知义务而需要承担民事责任这一问题进行探讨。在电商平台没有尽到信息泄漏的通知义务的情况下,不影响双方合同的签订,一般而言,涉及到个人隐私的纠纷,一般都会被归类为隐私权纠纷、侵权责任纠纷、网购合同纠纷等,这些纠纷往往都是因为缺乏足够的证据或者是刑事案件还没有侦破而无疾而终。由于在诉讼中存在着举证困难、举证费用高昂、法律责任不明等问题,致使我国法院对此的判决数量很少,很少有消费者能得到相应的赔偿。目前,我国《刑法》对泄密义务的具体规定还不够完善,只有在未履行或未完全履行行政责任的情况下,方可对其进行追究。总结来说,预防电子商务信息泄漏的法律责任不清晰,很难进行,这也导致了消费者维权困难。
4.3. 电商平台的告知流于形式消费者知情缺乏保障
告知同意规则,作为信息处理的基准,明确要求任何组织或个体,在着手处理个人信息之前,必须向信息主体清晰无误地传达相关信息,且唯有在获得信息主体明确同意后,方能对该信息进行进一步处理。除非法律另有特殊规定,任何未经授权的信息处理行为均视为违法,严格保障了信息主体的权益不受侵犯。在网络交易中,电商平台对消费者个人信息的保护机制始于隐私政策,它不仅是保护消费者隐私的起点,也是电商经营者责任与诚信的体现。在收集消费者个人信息的每一个关键环节,电商经营者都承担着向消费者详尽告知的义务,确保消费者能够全面了解在电商平台各项活动中,其个人信息将被如何收集、使用及保护。这一过程,实质上是赋予了消费者充分的自主权,让他们基于全面的信息理解,自主决定是否接受平台关于信息处理的规定。告知同意规则,其精髓在于“告知–知情–同意”这一连贯流程。其中,“知情”作为连接“告知”与“同意”的桥梁,其重要性不言而喻。告知不仅要详尽、准确,还需以易于理解的方式呈现,确保信息主体能够真正达到“知情”的状态。
但是,在实践中,由于“知情”的缺失,使得消费者的“实际知情”很难得到保障。在此背景下,知情同意机制为个体提供了一种选择,使个体可以选择是否将自己的信息提供给他人以此来获取某些服务。这就是“信息自主决定权”的表现,也就是消费者必须对自己的个人信息有控制权和选择权,能够自主地选择对自己个人信息的处理。然而实际情况是,消费者要面临大量的电商平台和平台上的商户,他们要收集自己的个人信息,并且他们还会不断地对相关政策进行更新和调整,这让消费者感到非常困惑,以致于他们会随便地跳过或者不看公告中的内容,而直接点击“同意”[6]。现实中,绝大多数消费者在同意电商平台提供的隐私政策时并不确切知道自己究竟向平台提供了多少个人信息,隐私政策的复杂,阅读和理解的成本高昂,加之潜在风险的遥远,消费者对其置之不理也符合个人行为的成本和效益的考量。电商平台最突出的告知通病表现在电商经营者对于第三方信息共享的通知不够透明,多采取模糊表述如“为实现业务目的,我们会与关联方和合作方共享信息”。由于对用户信息的共享不够清楚,导致了信息的自由流动,使得用户的个人信息受到侵害的风险越来越大。
5. 电商平台消费者个人信息保护相关建议
5.1. 完善电商平台的信息泄漏预防义务条款
改进电商平台信息泄漏的安全管理义务,当务之急,就是要尽快制定与《网络安全法》相对应的网络安全等级保护体系,并制定相应的标准。现在我们所谓的网络安全等级保护系统,其实就是在以前国家颁布的计算机信息安全等级保护系统基础上发展起来的。与此相应,义务主体由原来的信息系统经营者扩大到整个网络运营者。为此,在建立相关的制度规范时,必须符合如下条件。首先,要结合时代特征,对我国当前的网络安全状况和需要进行深入的研究,并且要有一定的前瞻性。其次,应对目前现行适用的国家标准进行梳理,在法律要求该项义务需满足“国家标准的强制性要求”的情形下,对现行国家标准进行改进,制订新的国家标准。最后就是要加强国际间的交流与合作,积极参与国际标准化工作,广泛吸纳国内外的先进标准。
5.2. 明确电商平台的法律责任
义务的履行需要法律责任的承担作为保障,要确保信息安全,就必须从行政、民事和刑事三个层面来确定电商平台的责任,主要分为以下几种情形:其一,如果电商平台故意泄漏了这些信息之后并没有采取相应的保护措施,那么消费者可以要求其承担相应的违约和侵权责任。我们可以将电商平台的义务理解为一种附合同的带有契约性质的义务,在使用客户的个人数据的过程中,电商平台应当对其个人信息进行保护,如果违反了这一义务,同样要承担违约责任并进行赔偿。其二,电商平台的信息泄漏行为也可以视作是一种侵权行为,由于信息泄漏的行为,侵犯了权利人的安全权,如果发生了伤害就应该负起侵权责任。在实践中,个人信息的价值和损失是难以衡量的,当电商平台没有尽到信息泄漏的告知义务,我们可以将惩罚性赔偿金的概念引入到电商平台中,并将罚款数额作为一种保障措施,促使电商平台提前告知消费者。
5.3. 规范电商平台对消费者告知义务的履行
在消费者向电商平台表示同意其处理个人信息的情况下,告知同意原则具有事前防范功能,因此有必要从告知文件入手加以规制。从法律层面来说,并不能保证消费者完全知情,也不能强制要求消费者知情,但是,通过对信息处理者的告知义务进行规制,可以使消费者在何种情况下获得完全知情,并在多大程度上知情得到一定的保证。
为保障消费者的个人信息权利,避免平台过分地搜集用户的个人资料,以谋取利润,在履行平台的告知义务时,要对基本业务和拓展业务分别告知,在拓展业务时,更要将其详细告知。平台的基本业务要求对用户的个人资料进行采集,以使其能够完成网上交易,其中包括注册,下单,浏览,支付等所需的个人资料。拓展业务依赖于消费者的位置、相册、语音、通讯录等信息。欧美各国在获得拓展业务的信息时,均须经消费者同意才能实施,而我国法律对这一点并无明确规定,因此,消费者在这一点上无法做出明确规定,只有完全接受或者完全放弃[7]。事实上,这种行为限制了消费者选择不同业务的权利,也削弱了消费者表示同意时的真实性。为此,应对电商平台经营者要求用户以完全同意或完全否定的绑定方式进行授权的告知方式进行限定,并在隐私条款中一次实现对电商平台基本业务所必需的个人信息授权。扩展业务通知不得夹杂在隐私权条款内,须经客户详细同意。同时,电商平台也需要为用户提供方便的撤销承诺程序,并通过文字通知用户自动撤销同意,以保证用户自主授权。
其次,网信部门应订立相关的规章制度,构建电商平台的隐私政策备案体系,并加大审核力度,发现违规或侵犯用户信息权利的电商企业,根据实际情况做出相应纠正。
6. 结语
在消费轨迹与个人信息高度趋同的今天,大型电商平台掌控着大量的用户数据,若出现信息泄漏、滥用等问题,将产生极其严重的后果,这就要求电商平台要充分发挥其“守门人”的作用,按照公开、公平、公正的原则制定规则,并接受社会监督。让消费者可以在一个安全的电商环境中进行消费和接受服务,对电商平台的健康、可持续发展也是有益的。