1. 前言
随着数字经济的发展,数据的经济价值也在不断提升。消费者的购物渠道、消费体验得到了丰富,便利消费者的同时,也引发了一系列的问题。其中,有关消费者在进行电子商务的过程中,个人信息权益也容易受到侵害。
消费者的个人信息极易成为富有价值的资产。个人信息是电子商务中最基本的也是最有价值的数据资源之一,可以被反复使用,又可以在电商平台间共享流通。一些企业出于经济效益最大化的考虑,最大限度地吸引消费者进行消费。依靠智能算法,深入挖掘并收集整理用户在平台所提供、产生的数据,从而通过算法分析用户的消费特点、购物偏好,对用户进行合理化的个性化信息、产品推送。合理地利用消费者信息能提高电子商务的效率。
个人信息数据蕴含着巨大的经济和社会价值。电商网络平台偏好于更多地获取消费者的个人信息。一些平台使用优势地位甚至不法手段过度地获取消费者的信息、过度处理利用消费者信息,这种行为损害了消费者的权益的同时,整体来看,也不利于行业的健康发展。
2. 消费者个人信息权益的内涵
个人信息是指与特定个人相关联、反映个体特征的具有可识别性的符号系统[1]。而所谓的个人信息的“可识别性”,依照《个人信息保护法》之规定,包括对特定主体的个人身份特征和特定网络活动进行识别。如消费者的年龄、居住地区、使用手机型号以及在消费者消费时所浏览的网址、内容以及购物物品等。
关于公民对个人信息享有的权利。我国的民法典通篇并未提及自然人享有“个人信息权”。但是依据民法典第111条,规定自然人享有“个人信息权益”。法律并未对“个人信息权”进行具体描述,但是该条文实际上已经使得个人信息受法律保护的效果与个人信息权没有差别[2]。但是,也正因我国法律未明确个人信息权的法律属性,所以并不能做到将个人信息权明确定性。因而,在确认个人信息权的相关法律属性时,只能相应的参考属于人格权的隐私权内容。但是需要注意的是,电商平台收集的消费者个人信息并不必然是消费者的隐私。个人信息的外延较隐私信息更大,包括最具有社会属性的个人信息、相对私人的敏感信息和最核心的隐私信息,隐私信息包括犯罪信息、生理疾病等。而在商业活动中,侵犯的主要是非隐私类的个人信息,如个人姓名、身份证号码、电话号码等,该类信息可以定向性的识别某一个人。因为一般个人信息在一定范围内为社会特定人或者不特定人所知晓,其人格性较差,主要体现为财产性。不过,随着传播媒介的发展,个人信息的人格性也越来越强,如近期的“开盒”事件表明,如果受害者的姓名、电话号等非隐私类的信息,在个人社交平台被广泛传播,那么受害者的损失也不仅仅局限在经济方面。开盒案件的被害人及其亲友的安宁通常会受到恶意骚扰,一定程度上导致被害人的心理和生理的健康受到影响。
3. 电商平台滥用消费者信息的行为概述
3.1. 价格歧视
价格歧视又称差别定价,商家依照看似毫无关联的碎片化的个人信息中,利用算法分析归纳出对消费者个人消费偏好和个人经济情况的数据。从而进一步得出不同消费者的价格耐受度、家庭构成、选择偏好、消费能力等对不同的用户进行区别对价。不同的顾客购买的相同商品定制不同的价格。电商平台通过对客户进行精确画像,据此实现“千人千价”、“精确营销”,实现利润最大化的目的。
虽然从经济学的角度进行分析,区别定价能够一定程度上优化产品的配给模式,使得经济处于优势的人,依照自身的需求来购买产品。但是从法学的角度上分析区别定价的行为,针对不同的消费者进行不同定价,不符合民法的公平原则。且《个人信息保护法》第24条明确规定,个人信息处理者不得对个人在交易价格等交易条件下实行不合理的差别待遇。
我国法律明确禁止价格歧视行为,但是因为不同的电商平台的算法,通常作为商业机密进行保护,所以消费者在举证时存在一定的困难。而且在互联网场景下,消费者进行电子商务活动时,通常自己独立完成。如果不刻意地寻找其他消费者进行比价或者更换不同的账号、手机完成相同交易,就容易产生信息差,无法知道自己支付的价格是否与他人存在差异。
由于网站的忠诚用户对网站存在路径依赖,网络对其的个人信息掌握也更加全面,所以忠诚用户即使发现自己的报价较新用户更高,但是该价格相对于其他平台,也较为划算。且通过算法,该报价也符合忠诚用户的心理价位,能够让其接受。另一方面,杀熟的定价相较于一般定价,加价程度也未超出许多。消费者的权利受侵害程度较小,因此,即便电商杀熟广泛地侵害的数量群体庞大的消费者。但是其侵权属于“普遍而轻微”。因此,消费者选择沉默的可能性,也远大于维权的可能性。
3.2. 电商平台滥用隐私协议、政策
3.2.1. 平台优势地位收集、处理个人信息
网站利用算法对消费者进行“用户画像”,一些是消费者主动向平台提供,还有一些并非消费者主动提供,而是算法依照消费者在平台所留下的痕迹计算,属于消费者的被动提供。
电商平台所以能够合法地取得、利用该类更为个性化的信息,是因为平台与消费者之间并不平等的地位,电商平台通常规模较大,如果消费者专注于个人数据的保护,时间成本较高,且容易导致个人生活的混乱,且消费者的认知存在着局限性,所以电商平台作为数据处理者有着专业的优势,以及网络空间的特殊交易环境,导致个人在不理解甚至不知情的情况下处理个人数据等隐私权益,最终使得电商平台利用消费者个人数据有着合法的外观[3]。
个人在进行电子商务的过程中,一般不会阅读或者理解登录界面显示平台的隐私政策和服务协议。即便阅读该格式条款内容,也会因为该隐私条文具有整体性,用户如果对该隐私政策里的特定单项的条文不认可,没有否认该特点条文的权利,只能对该政策的整体进行拒绝。导致的结果就是消费者无法享受全部或者只能享受极其有限服务的状态。这种拒绝隐私条款强迫消费者提供数据的行为,是一种滥用市场支配地位的行为,对消费者的权益造成了严重的影响。
不过,即使在数据的收集中存在着不平等。但是当前的法律法规框架下,电商企业依然对合法收集的个人数据享受着法定权利。因为企业本身收集、存储个人数据需要付出相应的成本。它们需要为用户提供服务或者产品,由此才可以收集到个人数据。用户在使用产品、服务时,即使并未直接支付金钱,也需要付出对价,即同意产品提供者收集其数据,并且在合理的范围内使用数据。因为电子商务的客户群体庞大,所以汇聚成为庞大的数据集。
企业因此对数据集享有民事权利,加之公民的个人数据有较高的商业价值。所以电商企业在获得了用户的同意后收集其个人信息,就可能会发生过度收集数据后,再将相关的信息流通给其他的企业。实践中,企业只需要将相关的数据流通行为纳入相关的协议中,就可以较容易地获得用户的同意。例如江苏省消费者保护委员会发现,一些电商平台如京东、淘宝等大型电商平台均在隐私政策中要求用户同意向第三方共享信息,但未明确告知消费者相关的取消共享的方式。“捆绑同意”与模糊条款,导致用户无法对企业如何处理、利用其个人数据提出要求。电商平台存在获得消费者同意的权利外观,滥用隐私政策。从而仅需要依照自身的单方决定,就可以将消费者个人信息数据进行处理利用。
3.2.2. 平台过度收集信息不利于商业竞争
虽然法律禁止平台过度收集用户信息,但是平台出于经济效益的考虑,以及缺乏相应的监管,平台有着过度收集消费者个人信息的偏好。精确分析个人信息开展个性化服务,也是数字平台最重要的盈利模式。消费者的个人信息是电商平台重要且基本的生产要素,大型电商平台相对于中小型电商平台,掌握大量的用户资源,同时,大型平台在挖取个人信息的算法科技上投入巨大,而深入挖取、算法推理得到的并非用户提供的数据,直接影响到电商平台服务的优劣。数据控制者为了保持市场支配地位而拒绝开放数据资源进行共享和流通,会加剧数据市场集中度,阻碍数字经济发展[4]。
3.2.3. 跨平台信息流通存在的潜在风险
平台需要获得个人的同意才可以进行盈利为目的的信息处理活动。利用不平等的优势,平台以提供相应的便利为对价,较容易获得消费者的个人信息流通权限。但是,跨平台信息流通也存在着风险。跨平台信息流通虽然可以加强平台间的竞争,弱化平台利用消费者个人信息进行的垄断,有利于商业效率。但是,跨平台流通也会损害消费者的个人信息权益,如用户难以得知数据获取企业的相关资质、信息可能在流通中被不法分子利用等。
出于对个人隐私保护的需要,同时也便于信息进行跨平台的流通,将个人信息匿名化的方法也应需求出现。所谓匿名化,是将收集的个人信息中的可识别信息删除,从而导致信息无法追诉到特定的信息主体。信息进行匿名化处理后,将严重降低信息的商业价值,使得信息仅具有统计学上的意义。实践中难以大规模的推广。
平台所掌握的消费者数据可以分为三种:自愿数据、服务数据和衍生数据[5]。对于消费者自愿公开在网络上的数据,任何平台都有利用的权利。而对于消费者在网络购物的过程中所提供给平台的服务数据以及电商平台通过算法分析进一步得出的具有更高价值的衍生数据,相较于自愿数据更具有个性化也更能精确的描绘消费者的画像。因而隐私性也相较于自愿数据更强。但是,我国法律并没有对消费者数据的类型进行分类,也并未区别保护不同种类的数据。
作为数据持有方的电商平台向第三方平台流通消费者的个人的信息时,由于格式条款的规定以及平台刻意复杂化消费者为保护个人信息安全需要进行的操作设置,导致了用户难以有选择性地决定数据持有平台向其他的数据获取平台的其个人信息开放类型和数量。一定程度上损失了用户的数据权利。
此外,用户的姓名、联系方式、住址等基本信息属于服务数据,商业价值不如平台深入挖掘的用户相关的衍生数据。因此平台对服务数据的保护力度也相对有限。在跨平台传输信息的过程中,由于涉及第三方平台,此外,用户个人信息由于保护力度不足,所以通过非法手段被其他平台个体知晓的可能会一步扩大。现实中也常见以“退货”、“返现”等借口进行诈骗犯罪。犯罪分子通过不法渠道获得消费者的个人信息实现来达到变现目的的同时,也侵害消费者的权益。
4. 消费者信息保护存在的问题分析
4.1. 法律法规的不健全弱化导致执法出现困境
首先,法律并没有将职权明确到具体的职能部门,这就导致执法部门的行政执法权过于分散。虽然《个人信息保护法》和《电子商务法》等法律规定市场监督管理部门或者履行个人信息保护职责的部门,享有对非法处理、使用个人信息的电子商务平台的执法权。跨部门联合执法的沟通协调效率相较于特定部门执法较低,多部门在处理专业技术性较强的侵害消费者个人信息的过程中,也容易产生管辖权的争议。
其次,我国的法律法规虽然规定了对侵害消费者个人信息权利的行为的处理办法,但是在具体适用上,还存在模糊之处。这就导致了,针对具体的案件,法律难以进行具体的适用。执法部门所依据的执法依据,只能依靠规章和指导性文件等较低层级的法律文件。由于这类低层级的法律文件的处罚的上限低于法律,相应的,对平台的处罚威慑力也不足。
4.2. 消费者维权所面临的困局
电子商务场景下,电商平台侵害消费者信息权益的行为具有隐蔽性和技术性。且由于个体消费行为的分散和独立性,大量消费者难以自主发现“区别定价”。即使用户发现自身权益受损,现行制度下,如果消费者采取法律的途径维护自身的权益,仍然需要消费者主动进行证据的搜集和固定。但是,由于电子商务平台的数字性,消费者对数字证据的提取、固定证据的难度也较大。所以消费者在寻求救济以维护自身权益的过程中往往面对举证成本过高或者举证不能的困境。与此同时,由于杀熟的价差多呈现“微额累计”的特征,即电商平台提供的报价,相差并不太大。但是微小的价差如果扩大到整个用户群体,平台通过此手段获得的利益则相当庞大。但是,也正因对个体的利益损害轻微,所以,对于单个的消费者而言,维权需要花费的成本则远高于微小的利益损失,所以个体倾向于默许这种价差的存在。这样就进一步助长了侵害消费者信息权益的事件发生。
4.3. 平台滥用格式条款的现象较为普遍
我国的《个人信息保护法》在第13到18条详细规定了告知同意制度。告知同意是个人信息保护的核心,也是保障个人信息主体的信息权益的前提。实践中,电商平台在业务开启前,通过交互界面或者弹窗、提示条等设计,向个人信息主体告知基本业务功能所必要的信息。会设置有关用户隐私权的点击合同、形式也为格式条款。
电商平台是为各交易方提供网络经营场所、交易撮合、信息发布等活动的网络平台。所以,用户所提供的必要信息,应当围绕在平台的基础功能,也就是“购物”这个目的上。消费者所需要提供的信息,仅限于“姓名、联系方式、地址”这三项信息。如果个人信息主体不同意平台收集所必要的个人信息,那么平台理应有权利拒绝向个人主体提供业务服务。而对于平台的扩展业务功能,消费者如果不同意平台进行收集,那么平台也应当向消费者提供最基本的服务,而非单纯拒绝或者降低基本功能的服务质量。
可是,实践中平台存在滥用隐私政策的倾向,这一目的旨在从消费者身上获得更多的个人信息,从而获得最大的利益。由于“基本功能”的范围和内容,法律法规并没有说明明确。所以,电商平台为了扩大获得个人信息的范围,如淘宝网的《淘宝网隐私政策》(以下简称《隐私政策》)中的个性化部分提到,淘宝网有权对用户的搜索、加购物车等用户在平台上所生成的信息进行收集使用。另一方面,由于网购和用户的生活密切相关,而且有些购买记录甚至可以成为用户的隐私。如购买医疗、生理等私密性较强的商品的记录,其人身较强、私密性也较强,如果此类敏感类信息被网站与购买一般类商品的信息一并收集、处理,并不利于对用户的隐私的保护。
同时,企业为了维护自身的经济利益、规避相应的法律责任,更偏好在隐私协议中,扩张自身处理个人信息的权利。仍以淘宝网为例,用户同意的是《隐私政策》,依照合同的相对性,享有处理个人信息使用、处理权限的仅有淘宝网,而不包含阿里旗下的其他平台,如天猫、飞猪。但是,企业为了扩大关联方的利益,《隐私政策》中又进一步提到,数据使用过程中,会将相关数据与关联方、合作方进行分享、使用。依照《淘宝平台服务协议》(以下简称《协议》)的说明,《隐私政策》是《协议》的重要补充,如果用户对包含《隐私政策》在内的《协议》的任何条款不同意,那么用户就无法完成注册程序,在此情境下,消费者只能选择接受该格式条款的一切内容。鉴于电子商务已经深入嵌入日常生活,如果消费者放弃缔约,会对个人生活产生较大的负面影响。所以,消费者只能被迫接受格式条款,但实质上,存在着陷入缔约不平等的困境。
另一方面,为了让消费者同意平台的隐私政策。隐私政策的文本内容,通常字数较多、又混杂法律、移动通讯相关的术语。这一目的是提高一般消费者的阅读理解难度。消费者为了快速进行电子商务活动,消费者通常不会完整地阅读该隐私协议,并且隐私协议也不存在拒绝或者可商榷的事项,所以,消费者更偏好于随意处分有关个人信息的同意权。
综上,电商平台存在依照协议合法地处理消费者的个人信息的外观,但是实质上看,消费者在缔约过程中面临被迫同意、意思自治缺失、知情成本过高等问题。这也就导致了法律规定的消费者的同意权,在实践中难以得到落实。
5. 保护消费者个人信息权益的途径
5.1. 完善法律规范和监管构架
关于保护消费者个人信息的法律法规,还需进一步地细化和完善。从权利义务的角度进行分析,由于电商平台基于技术和市场支配地位,实质上形成了对消费者的优势地位。并且,用户对个人信息的保护和维权的意识也并不强,一定程度上助长了电商平台过度挖掘利用消费者信息,进而损害消费者权益的行为。因此,从保护消费者权益的角度出发,同时确保实质上的公平能够得到维护,因此,就需要平台承担更多的法律责任。
现有的法律层级较低,处罚上限不高,因此就需要从立法的层面入手。具体可以从立法层面入手,明确处罚标准、提高罚款额度。在法律层面上,因为电子商务发展日新月异,侵权的手段也是层出不穷。仅靠规则难以处理新型的侵权案件以及对企业的对个人信息的收集整理进行管理,因此需要及时发布典型案例,来统一执法尺度。同时,可以参照域外的立法经验和治理信息的手段,对国内的大型个人信息使用平台进行管控,如:大型数据持有者必须向联邦贸易委员会提交年度算法影响评估,要求说明他们目前正在采取的处理信息的手段和信息的用途等,以减轻其算法的潜在危害。这都说明,政府需要对平台进行监管。这样能够防止实质不平等发生的时候,也能维护消费者的权益。
强化我国监管机构执法的内部的统筹协调和执法专业性。我国目前并没有专门负责网络平台个人信息监管的治理部门,对于个人信息的监管的形式,是多部门分散监管为基础,国家网信部门进行协调统筹。这种多部门分散监管的模式较为依靠行业进行自我调节。由于涉及多部门执法,多部门的分工与配合就需要进一步的强化。可以由法律明确设定有关个人信息监管的议事协调机构。这样,在重大的涉个人信息侵权案件发生、部门间无法充分应对紧急和复杂的任务时,议事协调机构可以较为迅速地解决协调失灵的问题。对突发的个人信息侵权案件进行及时响应,能够整合分散职能,也可以尽快将恶性事件的负面影响降到最低。
此外,由于个人信息的涉及信息网络安全等技术性较强的专业,还需要强化参与执法的人员素质。针对算法歧视、非法数据流动等技术性较强案件,由于个人信息保护部门是在原有的职能部门上形成的,因此,原有的工作人员可能并不具备相应的技术。所以就需要社会层面的技术专家、和社会组织、部门进行支持联络,同时,设定相应的考核标准来明确执法人员的技术、资质要求,同时加大对相应执法人员的资质培训。这样才能强化监管部门的专业素质,从而提高个人信息保护的力量。
5.2. 优化消费者的权益救济机制
传统救济机制面临举证责任分配失衡、维权成本收益倒挂及救济程序迟滞的缺陷。首先,需要完善公益诉讼机制。电商平台的针对消费者个人信息的侵权具有同质化侵权和微量损害的特征,这中碎片化的损害,单一的消费者进行维权,会导致个体维权成本明显高于收益。引入公益诉讼,就有利于将较为分散的消费者的诉求进行集中处理,可以明显的降低个体维权成本,能够切实保护消费者的权益。其次要多元化举报途径,构建数字化纠纷协同治理平台。消费者只需提交证明电商平台存在“大数据杀熟”的初步证据,如差异化定价的截图、异常的营销信息等基础性证据,就应当进行及时的查处[6]。对提供有效侵权线索的举报人,给予一定的奖励金。这能相应的降低消费者的举证责任,同时提高消费者的维权积极性,能够使得消费者的权益得到保护。
5.3. 构建新型的消费者同意制度
允许消费者对隐私政策中的相应内容进行拒绝。这一前提就要明确电商平台所需要的基本业务功能信息和扩展业务功能所需的信息范围,不过法律并没有对基本业务功能和扩展业务功能进行定义,因而也未明确二种定义的边界。关于基本业务和扩展业务的范围,应从个人消费者为中心确定平台的基本业务范围,即消费者进行分析。如选择使用该平台所期待和最根本的需求出发,进行分析总结。而非依照平台自身定位、产品服务范围来划分基本业务。淘宝网的《隐私政策》中,个性化信息被设定在基本服务下。因此,消费者浏览、搜索、交易记录等生成性信息成了平台提供基本服务的必要信息。消费者如果需要使用平台的基本功能,就必须提供该类信息而无权拒绝。通过阅读《隐私政策》,平台利用该个性化信息向客户匹配偏好的内容。如果依照消费者的核心需求进行判断,个性化推荐并不应当被认为是电商平台的基础功能。而之所以出现平台将个性化所以在此基础上,如果消费者拒绝平台收集、使用自己的个性化信息,也应当是合理的。如果能从法律的层面进行明确,才能有效的缩小基本业务的范围,也能让改善服务质量、提升消费者购物体验等平台服务,避免电商平台的的基本业务功能被扩大,减少平台对消费者个人信息的收集使用,从而最大限度的保护消费者的个人信息同意权。
利用算法将个人信息分层,并且给与用户更多的信息自主决策权,这样才能降低用户个人信息泄露的风险。由于个人信息可以分为敏感信息和一般敏感信息,消费者在平台上所留下的,具有隐私性质的信息,如成人用品购买记录、药品购买记录等,平台应当给与消费者删除该信息的权利。通过将权利更多的赋予消费者,这样才能维护消费者的个人权益。
设立多版本的隐私政策,降低消费者的阅读门槛。由于隐私政策的编纂由平台进行,虽然,我国市场监督管理总局、国家标准化管理委员会发布的《个人信息安全规范》中,提供了相应的模版,但是内容仍较为繁琐,因此,可以额外发布简易版的《隐私政策》,该简易版的《隐私政策》主要将涉及用户同意知情、存在风险等明文告知,当用户对某条款更加关注、或者想要深入了解隐私权相应内容,再阅读专业版的具体《隐私政策》。这样能促进用户对隐私条款进行完整的阅读,维护用户的同意知情权。
6. 结语
在数字经济快速发展的时代背景下,消费者的个人信息已经成为电子商务的核心生产要素,但是法律保护仍面临较多的挑战。虽然《个人信息保护法》等法律规范已经为消费者提供了基础的保障,但是,实践中,还存在电商平台强制消费者授权、滥用消费者个人信息的现象。为此,在立法层面,应细化个人信息权益的边界,明确“区别定价”等行为的违法性,并针对不同敏感程度的个人信息实施分类保护;监管层面,需构建专业化的大数据监管机构,通过技术手段实时监控算法运行,打破平台数据垄断,促进行业公平竞争;救济层面,应完善公益诉讼制度、降低消费者举证难度,并推动数字化纠纷解决平台的普及,以实现对分散性权益侵害的高效应对。通过法律保障消费者的个人信息权益,从而实现电子商务高质量发展。