电商领域消费者个人信息“告知同意”规则研究
Research on the “Informed Consent” Rules of Consumers’ Personal Information in the E-Commerce Field
摘要: 互联网时代,电商行业的发展离不开个人信息的助力。消费者个人信息作为重要的数字资源,以庞大的体量汇聚在网络平台,经过聚合转化为数据,具有巨大的商业价值,成为社会治理和经济发展的核心竞争力。在此背景下,个人信息保护变得尤为重要。告知同意规则是个人信息保护体系中的核心规则,在《中华人民共和国个人信息保护法》中居于重要地位。但由于信息主体与信息处理者之间地位的不平等,告知义务沦为形式,同意作用逐渐虚化,这一规则并未达到理想的效果,加剧了信息主体合法权益受到损害的风险。传统的格式条款已经不再满足个人信息领域告知同意规则的适用,作为个人信息收集、利用的重要主体,应对网络平台提出更高的要求以保护个人信息权益,对此可以通过对现有告知同意规则的适用进行完善,使之能在数字语境下更有效地应对个人信息保护所面临的挑战。
Abstract: In the Internet era, the development of the e-commerce industry cannot be separated from the help of personal information. As an important digital resource, consumers’ personal information is gathered on the network platform in a huge volume and converted into data through aggregation, which has huge commercial value and becomes the core competitiveness of social governance and economic development. Against this backdrop, the protection of personal information has become particularly crucial. The rule of consent is the core rule in the personal information protection system and plays an important role in the Personal Information Protection Law. However, due to the unequal status between the information subject and the information processor, the obligation to inform has become a formality and the role of consent has gradually become hollow. This rule has not achieved the desired effect and has intensified the risk of the legitimate rights and interests of the information subject being damaged. Traditional standard terms no longer meet the application of consent rules in the field of personal information. As an important subject of personal information collection and utilization, network platforms should put forward higher requirements to protect the rights and interests of personal information. In this regard, the application of the existing “consent rules” can be improved. Enable it to more effectively address the challenges of personal information protection in the digital context.
文章引用:姚永琪. 电商领域消费者个人信息“告知同意”规则研究[J]. 电子商务评论, 2025, 14(4): 552-558. https://doi.org/10.12677/ecl.2025.144921

1. 引言

随着互联网时代的到来,大数据的发展被视为重要的战略资源。个人信息变得尤为重要,大量的个人信息通过整合被重塑为“数据”,成为现代社会管理与经济发展的关键。据《2023年度中国电子商务市场数据报告》显示,我国电子商务交易总额显著增长,从2019年的35.63万亿元增至2023年的50.57万亿元,年增长率达到了显著的水平。1由此可见,电子商务在日常生活中的普及程度,网络消费俨然成为当下最为常见的交易方式。而由此关联的个人信息数据量可谓巨大。电商行业在大数据技术的加持下提高了对个人信息的使用程度,推动了电商行业的发展,但同时海量的个人信息被信息收集者收集用于多种用途,造成了过度收集、滥用甚至销售个人信息的情况。对此,我国在《民法典》中初步搭建了告知同意规则的法律框架,并在随后实施的《个人信息保护法》中进一步细化,将其定位为个人信息保护的核心规则,“个人同意 + 特定例外事由”成为规范个人信息处理行为的准则,这一模式凸显了告知同意的核心地位。然而,在司法实践中,告知同意规则的具体应用仍面临诸多问题。本文将针对当下存在的侵害个人信息的行为,分析电商领域消费者个人信息保护的困境并提出相应的解决方案。

2. 电商领域消费者个人信息及告知同意规则概述

2.1. 电子商务消费者个人信息界定

在我国的法律体系中,电子商务被广泛地定义为通过互联网等信息网络以及各类数字平台销售商品或者提供服务的经营活动。

当前消费者的概念主要在我国《消费者权益保护法》中有明确规定,是指为了个人生活需要购买、使用商品或者接受服务的自然人。2

电子商务消费者与传统消费者在消费方式以及媒介上存在显著差异。传统消费者通常通过线下支付获取商品或服务,通常属于银货两讫,而电子商务消费者则通过网络先支付后收货的方式购买商品或服务。尽管消费方式不同,但电商消费者仍符合法律中消费者的定位。

我国《网络安全法》《民法典》《个人信息保护法》等法律都对个人信息的概念进行了界定。其中,2017年开始施行的《网络安全法》第七十六条规定“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名……”。32021年施行的《民法典》第一千零三十四条规定“个人信息是以电子或者其他方式记录……”。42021年开始施行的《个人信息保护法》第四条将个人信息界定为“以电子或者其他方式记录的……”5

总的来说,信息与其主体之间的特定联系是核心,都能使得个体通过信息被识别。即使在匿名的情况下,也存在被技术手段识别的可能,电商消费者个人信息最大的特点就是,除了法律中规定的传统个人信息,如姓名、地址、电话外,还包括生活习惯、消费偏好、社交关系等通过信息技术和网络算法推断出的信息。因此,电商消费者个人信息可界定为通过网络购买商品或服务时记录的可用于直接或间接识别个人身份的信息集合[1]

2.2. 电子商务消费者个人信息特征

在大数据技术的加持下,消费者的购买行为以及使用平台具有特殊性,这些特殊性直接影响到消费者个人信息的性质,与传统消费场景相比,电子商务消费者的个人信息具有可识别性、易得性以及高价值性。

2.2.1. 可识别性

按照消费者个人信息的来源,可以分为用户主动填报的原始个人信息,如姓名、个人联系方式等,以及衍生个人信息,如用户搜索、交易等行为自然产生的行为痕迹信息、用户使用APP形成的APP好友列表等信息[2]。与传统个人信息相比,电子商务消费者的个人信息包含了更多的间接信息。随着大数据算法的不断发展,数据整合能力不断增强,对于间接个人信息也可以做到精准识别,电子商务平台可以通过分析消费者的浏览记录、搜索历史等准确定位消费者的习惯及其身份,从而借助这些信息定制个性化营销方案,提高交易的成功率,比如,向旅游爱好者推送相关旅游用品的信息。

2.2.2. 易得性

随着各类电商APP涌入人们的日常生活,个人要开展与其他主体的交易合作,必须交换真实的个人信息。例如,外卖平台上的点单功能,顾客和商家都必须交换自己的联系方式和地址,否则将无法进行下单与配送,虽然通常采用的是虚拟号码,但在注册各类外卖APP时就已经上传了真实个人信息。总之,各类电商平台的个人信息填写,使得数字化的个人信息变得越来越普遍与易得。

2.2.3. 高价值性

在数字经济时代,消费者个人信息在网络市场中得到广泛应用,已然成为驱动数字经济发展的关键生产要素,其财产属性也显著增强[3]。如今,像淘宝、京东这类大型电商平台,能够借助大数据算法,依据消费者的搜索、浏览和购物记录等,剖析消费者的偏好,进而精准推送消费者可能感兴趣的商品,还会提供同类商品的销量排名、收藏榜单等信息[4],这不仅为消费者购物提供了参考,也为商家运营策略调整提供了数字化依据。正是因为消费者个人信息的财产属性增强,价值愈发凸显,各大电商平台才更加重视对消费者个人信息的运用。

2.3. 告知同意规则概述

告知同意规则起源于生物医学领域的知情同意原则。在医疗场景下,这一原则旨在确保患者在接受医疗服务时,能全面知悉相关信息,进而自主地做出决策。鉴于“人格尊严与自由”是最高位阶的法益[5],出于保护这一法益的目的,学术界进一步将知情同意原则引入到个人信息领域。

告知同意规则是个人信息保护的核心规则之一,在我国《个人信息保护法》以及《网络安全法》等法律中都有详细规定。2021年发布的《个人信息保护法》以“个人同意 + 特定例外事由”规范了个人信息处理行为,凸显了告知同意规则在个人信息保护体系中的核心地位。根据《个人信息保护法》,处理个人信息应当在事先充分告知的前提下取得个人同意,不得误导、欺诈、胁迫等;不得以个人不同意为由拒绝提供产品或服务。6

在个人信息处理的语境下,告知同意规则指的是信息处理者在开展个人信息收集、处理活动前,有义务向信息主体全面、详尽地告知信息收集的具体内容、使用目的,以及其他关于信息处理的详细情况,在获得对方明确授权的情况下才能进行信息处理的规则[6]。目前各类电商平台通常是以隐私协议、用户协议等方式进行告知。

告知与同意两者具有密切关系,但二者并不是平行关系。告知是同意的前提和基础,只有在信息处理者告知的前提下,个人信息主体达到知情状态后才能进入同意的环节。个人信息主体有充分的自由决定是否授权其个人信息给信息处理者,其同意行为实际上是赋予信息处理者法律上的责任豁免权,一旦权利人进行授权,便意味着其允许对方对个人信息进行处理。

3. 告知同意规则适用困境

电子商务得以迅猛发展,离不开对消费者个人信息的收集与运用。这一过程虽创造了巨额经济效益,却也使消费者隐私保护遭遇严峻挑战。告知同意规则的核心要素包括“告知”和“同意”的全面实现,其实施在理论与实践中均遇到了重大挑战。信息处理者的“告知”义务呈现出形式化的趋势,而信息主体的“同意”作用也逐渐虚化,存在着明显的瑕疵。《个人信息保护法》虽然明确规定了信息处理者的告知义务,但在实际操作中,大量APP仍存在“强制授权”、“过度索权”、“隐秘收集”[7]等违法处理个人信息的问题;信息主体虽然被赋予信息自主权,但在不授权则不允许使用的情况下,消费者不得不同意各类APP提供的“霸王条款”,2023年中消协发布的消费维权年主题调查结果表明,互联网平台APP产品强制要求授权并索取个人信息的做法,引发多数受访者反感。调查数据显示,高达46.7%的受访者对当前APP这类强制行为持否定态度[2],严重侵犯了消费者的数字权益。

3.1. 告知义务沦为形式

目前,各类电商平台通常会采用服务条款、用户协议或隐私政策等书面格式条款的形式履行告知义务,其所要求的同意并非事前协商而是事后同意,因此其很容易在形式上满足“告知”的义务。当前,部分企业进行告知并非为了将真实意图准确传达给用户,本质上是想借告知程序使个人信息收集、处理行为合法化,以规避法律风险,常采用格式化文件来达成这一目的。信息处理者对告知内容是否通俗易懂并不关心,他们惯用篇幅冗长、内容繁杂且满是专业术语的告知文件。在这种情况下,信息主体或是随意浏览,或是挑着看,甚至直接放弃阅读,直接点击“同意”按钮,就走完了告知同意流程。

第一,告知内容篇幅冗长,信息主体阅读意愿较低。一项针对我国社交媒体用户对隐私政策阅读意愿的实证研究结果显示:隐私政策字符数在5500字左右时,阅读率处于57%~66%这个区间;而当字符数达到9500字左右,阅读率却仅有5% [8]。依据网经社发布的《2023年8月AppStore中国互联网下载量数据报告》,7十个大类中各类下载量排名第一的APP,仅有“学信网”字符数量在万字以下,其余均在万字以上(见表1),甚至还存在反复修改、调整的相关政策,并且大多数使用专业术语,加大了消费者的阅读、理解的难度,造成了消费者不愿读、不想读,在并不真正了解隐私政策的情况下点击同意的困境。

Table 1. The character quantity of the privacy policies of the top-ranked Apps in August 2023 in various fields

1. 2023年8月各个领域下载量排名第一APP隐私协议字符数量

各类排行

第一APP

隐私政策更新日期和字符数量

各类排行

第一APP

隐私政策更新日期和字符数量

购物类

拼多多

2023年8月22日13,307个字符

医疗类

小豆苗

2023年7月18日13,867字符

生活类

支付宝

2023年1月4日13,836字符

金融类

中国农业银行

2022年1月26日22,190字符

旅游出行类

儿童类

铁路12306

2023年2月8日11,201字符

社交类

小红书

2023年2月24日13,116字符

餐饮类

饿了么

2023年7月20日16,239字符

商务类

企业微信

2023年8月2日13,907字符

教育类

学信网

2022年9月30日6690字符

第二,电商平台隐私政策查找困难。电商平台隐私政策查找困难。目前,各大电商平台均存在隐私政策较为隐蔽,用户不易查找等问题。例如,淘宝用户需要连续点击“我的淘宝–设置–隐私设置–隐私政策摘要”才能成功找到隐私政策所在,这也是大多数电商平台所存在的问题。此外,还有一些电商平台在其网页端查找不到其隐私政策,例如拼多多在其网页端则查找不到用户想要查找的隐私政策。

当前告知内容存在诸多问题,其成因可从两方面剖析。从提供告知内容的主体——信息处理者来看,他们的目的并非真诚地履行告知义务,而是一边规避法律风险,一边争取获取更多个人信息收集与处理的授权。为此,他们在隐私政策里尽可能罗列大量个人信息目录,使得告知内容繁杂冗长,这是造成阅读困难的首要因素。不仅如此,告知者还会在隐私政策中嵌入链接、使用专业词汇,进一步增加理解门槛。他们通过这些手段,让信息主体难以耐心阅读,降低其认真做同意决策的意愿,促使信息主体草率浏览甚至直接放弃阅读,进而轻易交出个人信息的控制权。从告知内容本身角度而言,由于相关法律规章制度没有对信息处理者收集个人信息的范围做出详细规定,也未明确限定其收集界限,这就给信息处理者留下了操作空间。他们不断扩充隐私政策内容,妄图凭借一次授权,获取永久性、无限制的信息处理权限。

3.2. 同意的作用虚化

告知同意规则制定的初衷在于赋予信息主体对其个人信息的处理一定的自由选择权,保护其处于相对弱势地位的合法权益[9]。在实践中,同意主要通过两种模式实现:浏览同意和点击同意[10]。浏览同意一般直接将隐私政策弹出页面,用户的浏览行为即视为同意的意思表示;点击同意则会在使用者初次使用时呈现出“同意”和“不同意”两种选项,用户只有点击同意后才能视为同意,从而继续使用平台提供的服务,否则将无法继续使用该服务。在这种情形下,用户给出的“同意”,并非基于对信息的充分了解而自愿作出的真实意思表示,实则是在无奈之下的被迫选择。即便用户清楚知晓同意隐私政策即意味着个人敏感信息将被收集,也明白这可能会带来潜在风险,但由于在双方关系中处于弱势地位,他们根本没有与信息处理者协商的空间。摆在用户面前的只有两个极端选项:要么违心接受,任由信息被收集;要么拒绝同意,放弃享受对方提供的服务。从表面上看,其给予了信息主体自主选择的权利。然而,拥有行使同意权的机会,并不等同于真正切实享有同意权。当信息主体的选择权无法有效行使,也就是在拒绝选项受限、缺乏自由的情况下,即便看似能够做出同意与否的选择,实际上“同意”也仅仅沦为毫无实质意义的形式,只是做做表面功夫罢了。

在隐私条款的制定中,信息处理者所提供的条款通常涵盖了“共享”,即在信息主体授权后,信息处理者可以继续收集信息主体因使用其服务而持续产生的个人信息。若用户不接受特定的隐私服务条款,则可能面临无法使用或者无法完全使用平台全部功能的局面,用户不得不在此情况下接受信息处理者所提供的隐私条款,由此,信息主体的同意作用在实践中被明显虚化。

4. 告知同意规则适用的完善路径

随着互联网的快速发展以及其在电商领域的广泛应用,大数据的收集和利用已经成为发展的趋势,现有的告知同意规则亟须完善以适应新时代的发展需求。由于信息主体与信息收集者在数字领域地位的不平等,信息收集者很容易利用技术手段侵害信息主体的数字权益,因此,需要综合运用法律、技术以及监管手段加强对信息处理者的监督与引导,增强告知同意规则的可操作性,充分保护消费者对个人信息的知情权与自主处理权。

4.1. 明确信息收集者的告知义务

如前文所述,同意的前提要件是信息收集者应当履行充分的告知义务,因此应明确告知义务的具体内容以及履行方式,进而提升告知义务履行的质量。

首先,信息处理者应充分考虑客户的需求,将重要信息和关键事项放在前置位置,并使用显著标志引起用户注意,使用户更容易获取和理解核心内容。其次,由于用户类型复杂,应当尽量简化表达,使用通俗易懂的语言,避免使用过多的专业法律术语,以提高用户的理解度。此外,信息收集者还应明确收集处理的范围、目的、方式以及用户可能面临的风险。

最后,在收集个人敏感信息时,必须向用户特别告知,告知内容应涵盖完整的隐私政策文本,在信息收集者每次使用这些敏感信息时都要以清晰、明确的方式向用户提示其使用情况,从而保障个人对其敏感信息处理的知情权和自主决定权。在某些特定情形下,这些敏感信息的处理虽无需个人的明确同意,但仍然需要符合法律规定的特定条件,数据处理者必须保证数据处理的合法性、透明度,同时落实完善保护措施,严格遵守适用相关法律要求,并提供清晰明了、用户可自愿选择的知情同意规则。

4.2. 完善动态的同意规则机制

在数据处理过程中,同意机制的优化对于保障个人信息权益十分关键。

第一,灵活设置同意形式。法律可采用动态且宽松的政策,设置明示同意和默示同意。点击确认这类明确的操作可认定为明示同意;用户在知晓隐私政策后继续浏览行为,可视为默示同意,也就是部分学者提出的“弱同意”模式。在权利不对等的情况下,即便加强同意强度,也难以保证同意的真实与自愿。只有当用户能真实表达内心意愿时,明示同意才有实际意义,否则默示同意反而更能缓解信息主体与处理者间的矛盾。

第二,赋予信息主体撤回权。为强化用户对个人信息的控制权,隐私政策应明确信息主体有权随时撤回之前给予的同意。数据控制者需提供便捷、易操作的撤回机制,在用户撤回同意后,及时停止相关数据处理活动。并且,当信息主体撤销同意,在法律、行政法规规定的保存期限届满后,信息处理者应主动删除个人信息,信息主体也有权要求删除。赋予不受限制的撤销权,能进一步保护用户隐私,在与信息收集者的不平等地位中维护自身权益。

第三,确保同意的真实性。数据控制者应采取措施来验证用户同意行为的真实性,比如采用可追溯的同意记录、双重确认机制等。同时,确保同意选项清晰明确,与其他选项有明显区分,让用户清晰地了解同意或拒绝的后果,能够自主做出选择。另外,知情同意是保障个人对敏感信息处理拥有知情权和自主决定权的重要机制。数据处理者务必向个人充分披露数据处理的目的、范围、方式以及可能存在的风险和后果,个人需在理解的基础上,明确同意特殊类别数据的处理,以此保障自身权益。

5. 结语

在数字化浪潮席卷的当今时代,个人信息已然成为众多信息收集者积累平台用户的关键要素。对信息主体而言,个人信息是至关重要的隐私。一旦用户难以掌控自身个人信息,就会丧失知情与自我保护的权利,这不仅损害个人权益,也不利于大数据时代互联网经济的健康发展。特别是在信息主体与信息收集者地位不对等的情形下,这种矛盾愈发凸显。告知同意规则旨在解决数字地位不平等所引起的信息不对等问题,通过完善该规则,个人信息主体与信息处理者双方的利益都得到了有效保障,推进绿色数字经济发展。告知同意规则蕴含深刻的法律理论基础,其维护了宪法层面的人格尊严与信息自由。

NOTES

1参见《中国电子商务报告2023》https://www.100ec.cn/detail--6639728.html

2参见《中华人民共和国消费者权益保护法》第2条。

3《中华人民共和国网络安全法》第76条。

4《中华人民共和国民法典》第1034条。

5《中华人民共和国个人信息保护法》第4条。

6参见《中华人民共和国个人信息保护法》。

7《2023年8月AppStore 中国互联网下载量数据报告》,载网经社数字经济新媒体2023年8月3日, http://www.100ec.cn/detail--6631563.html

参考文献

[1] 吴健强. 电子商务消费者个人信息法律保护问题研究[D]: [硕士学位论文]. 哈尔滨: 哈尔滨商业大学, 2024.
[2] 李亮. APP处理个人信息的限度[J]. 社会科学战线, 2022(11): 267-273.
[3] 彭诚信. 论个人信息的双重法律属性[J]. 清华法学, 2021, 15(6): 78-97.
[4] 陈开攀. 数字经济背景下消费者个人信息保护研究[J]. 新疆开放大学学报, 2024, 28(3): 67-71.
[5] 程啸. 个人信息保护法理解与适用[M]. 北京: 中国法制出版社, 2021.
[6] 齐雨彤. 个人信息保护告知同意规则研究[D]: [硕士学位论文]. 长春: 吉林财经大学, 2024.
[7] 袁莹莹. 网络平台个人信息“告知同意”规则的困境与出路[J]. 网络安全与数据治理, 2024, 43(10): 83-90.
[8] 李勇. 论消费者个人信息之保护——以告知后同意为中心[J]. 理论月刊, 2014(8): 124-128.
[9] 龙雨. 个人信息处理中知情同意规则的适用困境与应对[D]: [硕士学位论文]. 重庆: 西南政法大学, 2022.
[10] 范海潮, 顾理平. 探寻平衡之道: 隐私保护中知情同意原则的实践困境与修正[J]. 新闻与传播研究, 2021, 28(2): 70-85+127-128.

为你推荐