1. 概述
在信息技术日新月异的今天,电子商务以便捷性、高效性和全球化特征,迅速渗透到社会经济的各个角落,成为推动经济发展的重要引擎。在此期间,互联网、大数据、云计算等技术的广泛应用,不仅极大丰富了商品和服务的交易方式,还深刻改变了消费者的购物习惯。然而,电子商务的蓬勃发展在带来便利的同时,也引发了一系列关于消费者个人信息保护的问题。随着电子商务活动的日益频繁,消费者的姓名、住址、电话号码、银行卡信息等敏感信息在交易过程中被大量收集、存储和分析,这些信息一旦泄露或被不当使用,将严重威胁消费者的隐私权、财产权甚至人身安全,对个人的生活造成极大侵扰。因此,对电子商务领域中消费者个人信息保护的研究,不仅具有重要的现实意义,还是维护社会稳定、促进电子商务健康发展的必然要求。
1.1. 电子商务消费者个人信息的界定
1.1.1. 个人信息的内涵与外延
我国《民法典》第1034条规定,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。这一定义明确了个人信息的关键特征在于其识别性,即通过该信息能够直接或间接地确定特定的自然人。
从外延来看,个人信息涵盖的范围极为广泛。《民法典》在列举个人信息的类型时采用了“等”字的兜底性表述,充分表明个人信息的类型不限于该条款所列的类型[1],还包括个人的职业信息、教育背景、消费习惯、兴趣爱好、网络账号及密码等。随着信息技术的不断发展和电子商务应用场景的日益丰富,隐私权、个人信息保护范围在不断的扩张,适应了个人信息类型发展变化的客观要求。消费者使用的智能设备所产生的设备信息、位置信息、使用习惯信息等也属于个人信息范畴。
1.1.2. 电子商务消费者个人信息的独特性
电子商务消费者个人信息除了具备一般个人信息的识别性特征外,还具有其独特之处。
大数据时代下,个人信息具有较强的财产属性。因为消费者个人的信息与网络交易活动紧密相关。某些商家或者企业会在消费者选择平台消费时通过收集其浏览商品的时间、购买次数、支付价格、评价等消费信息进行分析、利用,以此能够更加精准地为消费者制定相应的营销策略、优化产品服务和设计,进而实现经济利益的最大化[2]。
其次,电子商务消费者个人信息具有较强的动态性。在消费者持续参与电子商务活动的过程中,其个人信息会不断更新和丰富。例如,消费者的购买记录会随着时间的推移而不断增加,其浏览商品的种类和频率也可能发生变化,这些动态变化的信息能够更全面、准确地反映消费者的消费行为和需求。
1.2. 我国现行法律法规关于消费者个人信息保护的规定
我国在个人信息保护方面实行的是“碎片化”立法,虽然有像《民法典》这样的通用准则对个人信息保护进行了规范,但是随着科学技术的发展,传统产业与信息技术的融合不断突破,因此呈现出了通用规则无法规制的复杂情形。当然,基于此国家出台了类如《个人信息保护法》《消费者权益法》与《电子商务法》等专项法律法规来规制相关情形,但仍未解决个人信息保护边界模糊的核心问题,且在侵权主体认定与举证责任分配上存在明显缺陷,为消费者维权设置了重重障碍[3]。
1.3. 研究现状与研究意义
目前学界多围绕消费者个人信息保护相关法律规定、技术防护、监管机制等角度进行研究,虽然在法律层面有《民法典》《个人信息保护法》等法律进行规范,但如上文所述立法呈现“碎片化”情形。另外,对于技术层面、监管层面等问题如何做到理论与实际相对接还在讨论中,即在目前行业自律不足和监管缺位的情况下消费者信息保护成了亟待研究的问题。
本文在承接现有成果的情况下,聚焦信息收集、算法侵害、监管缺陷等问题,并试图从多维度提出相关对策,为保护消费者权益、促进电商健康发展提供边际贡献。
2. 电子商务信息消费者个人信息保护面临困境
2.1. 信息收集方式的隐蔽
在电子商务领域,信息收集方式的隐蔽性已成为消费者个人信息保护的重要难题。一方面,电商平台常以长篇幅的形式获取消费者的信息授权。消费者在注册电商平台账号或使用某些服务时,往往需要勾选同意平台提供的用户协议和隐私政策才能继续操作。这些协议和政策通常篇幅较长、语言晦涩,包含大量专业法律术语,消费者很少会仔细阅读全部内容,只能被迫同意所有条款,无法对信息收集的范围和用途进行自主选择。例如,部分电商平台的隐私政策中会包含“允许平台将您的个人信息共享给关联公司及合作第三方用于营销推广”等条款,消费者在不知情或被迫同意的情况下,个人信息就可能被多方收集和使用。
另一方面,隐形收集行为频发。一些电商平台或商家会通过技术手段,在消费者未明确知晓和同意的情况下,收集其个人信息。例如,部分电商APP在后台运行时,会自动获取消费者的设备型号、地理位置信息、浏览历史等数据,甚至会读取消费者手机中的通讯录、短信等敏感信息。此外,一些电商平台还会通过不合法的第三方插件,收集消费者在其他网站或APP上的浏览记录和使用习惯,以建构更加全面的用户信息形象。同时,部分电商平台会以提升用户体验等名义,隐形收集不属于平台交易范围内的信息,使信息收集的边界性呈现模糊状态。目前个别平台在消费者进行简单的购买商品时仍以方便客户支付为由,要求开通“面容支付”,再通过不断推送弹窗使客户即使在一开始拒绝其要求的情况下,随着每次支付时都要对弹窗进行拒绝的懈怠,由此便不自觉地“陷入”平台信息收集的怪圈,更有甚者,会隐形收集消费者的身份证号码、家庭住址等敏感信息,这些信息大多都与交易无关,却都徒增了消费者信息泄露的风险并可能对其隐私权益造成侵害。
2.2. 利用信息进行算法侵害
随着大数据和人工智能技术在电子商务领域的广泛应用,算法已成为电商平台优化运营、提升效率的重要工具。然而,部分电商平台却利用算法技术,对消费者实施信息侵害行为,其中最为典型的就是“算法杀熟”。“算法杀熟”是指电商平台根据消费者的消费历史、浏览记录、支付能力等个人信息,通过算法对不同消费者制定不同的价格策略,使得同一商品或服务对不同消费者呈现不同的价格。例如,在酒店预订、机票购买、打车服务等场景中,部分电商平台会对经常购买高端产品或服务的消费者,展示更高的价格;而对新用户或价格敏感型消费者,则提供较低的优惠价格。这种差异化定价行为,本质上是电商平台利用信息优势对消费者进行歧视性对待,侵犯了消费者的公平交易权。从我国立法现状来看,尚未就消费者保护领域内算法的相关概念、标准和法律后果予以细化,导致司法实践中缺乏可操作性[4]。因此,并不是任何情况下都有“算法杀熟”的判定,在实践中也会存在严格的判定标准。比如在“王某与某某公司网络服务合同纠纷”一案中1,原告以其系最高等级会员,被告收取高额退票费用以及存在故意的大数据“杀熟”及明显价格欺诈为由诉至法院,要求被告予以赔偿,但是法院经过审理过后,认为目前消费者可以通过线上线下各种渠道购票,且原告自述其长期使用“某某”平台,系最高等级会员,显然原告对如何选择更经济的机票具有丰富的经验,其完全可以在下单前进行比价并决定购买与否,其下单购买案涉联程机票系其真实意思表示,被告对此并无过错,不足以认定被告对原告实施欺诈,因此,主张大数据杀熟需要更加完整的证据支持。
除了“算法杀熟”,算法推荐也可能对消费者个人信息权益造成侵害。电商平台通过算法分析消费者的个人信息,向其推送个性化的商品和服务广告。然而,这种推算方式会将平台认为的属于消费者个人喜好的商品不断重复推送,限制了消费者自行决策选择的权利,也让其间接丧失了接触多元化信息的可能。在这个过程中,为了更加“精准”的推送,平台只会不断地加大收集力度,包括浏览记录、搜索关键词、购买回购率等,甚至也不能排除平台将信息与第三方共享的可能,加剧了信息泄露的风险。
此外,算法的不透明性也给消费者个人信息保护带来了挑战。电商平台的算法模型通常属于企业的商业秘密,其运行原理和决策过程不对外公开。消费者无法知晓平台是如何利用自己的个人信息进行算法分析和决策的,也无法对算法的公正性和合理性进行监督。当消费者因算法推荐或定价问题遭受损失时,难以通过法律途径维护自身权益,因为他们无法获取算法运行的相关证据,也无法证明算法存在歧视或侵权行为。
2.3. 信息保护监督管理机制的缺陷
目前,我国电子商务领域消费者个人信息保护的监督管理机制还存在诸多缺陷,难以有效保障消费者的个人信息安全。首先,监管主体较为分散,导致职责划分不明确。电子商务领域的个人信息保护涉及市场监管、网信、公安等多个部门,各部门之间的监管职责不可避免地存在交叉和重叠,但也会存在监管空白区域。例如,电商平台的经营行为由市场监管部门进行负责,而个人信息保护和打击信息侵权违法犯罪又分别由网信部门和公安部门进行管理。但由于各部门之间缺乏有效的协调配合机制,导致在实际监管过程中出现不少“踢皮球”或者重复监管的问题,降低了监管效率。
随着电子商务技术的不断发展,经营者将算法权利作为商业秘密,把数据算法隐含在合法外表下,因此严重缺乏透明性。若存在黑客利用技术手段进行数据窃取和网络攻击电商平台用户数据时,电商平台储存的信息往往给不法分子对信息进行利用和挖掘提供了信息巢穴。然而,目前我国相关监管部门的技术装备和检测手段还无法满足新形势下的监管需求,难以及时发现和查处各类侵犯消费者个人信息的违法行为。监管部门在面对海量的电商数据和复杂的网络环境时,往往显得力不从心,无法实现对个人信息保护的全方位、实时性监管。
再者,行业自律机制不完善。互联网的普及让个人信息权益保护变得更加复杂,但政府监管尚难以全面覆盖,行业自律机制尚未成熟,违规行为时有发生[5]。虽然我国已经出台了一些关于电子商务行业个人信息保护的自律规范和标准,但由于缺乏有效的激励和约束机制,部分电商企业对这些规范和标准的执行力度不足。一些电商企业为了追求短期经济利益,忽视了消费者个人信息保护工作,不按照行业规范要求采取信息安全保障措施,导致个人信息泄露事件频发。同时,行业协会在推动企业自律方面的作用还没有得到充分发挥,缺乏对企业的有效监督和指导,无法形成有效的行业自律氛围。
消费者作为个人信息的所有者,虽然具有监督电商企业信息保护行为的权利,但由于缺乏必要的专业知识和信息获取渠道,难以对电商平台的信息保护工作进行有效监督。当消费者发现个人信息可能被泄露或滥用时,往往无法及时向相关部门举报,也无法提供有效的证据支持。同时,媒体和公众对电子商务领域个人信息保护问题的关注度还不够高,缺乏对侵犯个人信息行为的舆论监督,使得部分电商企业能够肆意侵犯消费者个人信息而不受社会舆论的谴责。
3. 电子商务环境下消费者个人信息保护的对策研究
3.1. 规范信息收集方式,强化信息告知规则
1) 明确信息收集的“必要性”原则:大数据特有的数据类型繁多,整合速度快等要求相关部门应出台具体的实施细则,明确电子商务企业收集消费者个人信息的“必要”范围。对于与交易无关的个人信息,如消费者的社交关系、家庭收入等,企业不得随意收集。同时,要求企业在收集个人信息前,必须对收集信息的必要性进行评估,加强技术保护和行业自律,同时要辅以必要的行政手段,从而才能对信息收集的必要性进行保障[6]。
2) 优化信息告知形式和内容:电商平台应采用简洁的语言,将用户协议和隐私政策进行拆分,针对不同类型的信息收集和使用行为,制定不同的提示方式,比如通过不同颜色或者不同字体予以告知,避免出现不易识别的情况。例如,将信息收集的目的、范围、方式等内容,以清单或图表的形式呈现给消费者,让消费者能够清晰了解自己的个人信息将如何被处理。同时,要求电商平台在消费者注册或使用服务过程中,通过弹窗、短信等方式,对关键的信息告知内容进行重点提示,确保消费者能够知晓并理解相关条款。
在信息收集之后,也要允许消费者享有个人信息授权的撤回权,当然此渠道需要电商平台予以提供,比如在APP设置中允许消费者进行个性化设置,使授权信息和管理信息享有平等地位。如若消费者已经撤回授权,则平台需要及时停止对个人信息的搜集和使用,并删除已经搜集的相关信息。
3.2. 强化技术防护措施,提高信息安全指数
1) 推动电商企业加强信息安全技术建设:可以采用智能化监管系统来加强信息安全的保护,即“通过自然语言处理(NLP)、机器学习(ML)等技术对海量数据进行分析和挖掘”[7],依托先进的人工智能和大数据技术来实时监控平台掌握的信息安全情况。当然,也要鼓励电子商务企业加大对信息安全技术的投入采用先进的加密技术,对消费者在电商平台上的交易数据、个人信息等进行加密传输,防止信息在传输过程中被窃取;采用多因素身份认证技术,如指纹识别、人脸识别、短信验证码等,加强对消费者账号的安全保护,防止账号被盗用。同时,要求电商企业定期对信息安全技术进行更新和升级,及时应对新的安全威胁。
2) 建立个人信息安全风险评估机制:互联网的蓬勃发展下,大量数据信息既复杂又繁多,电子商务企业可以定期对其收集、存储、使用的消费者个人信息进行安全风险评估,识别潜在的安全风险,并采取相应的防范措施。企业应将风险评估结果向监管部门报告,并根据评估结果制定整改计划,不断完善信息安全保护措施。同时,鼓励第三方专业机构为电商企业提供信息安全风险评估服务,提高风险评估的专业性和客观性。
3) 加强数据安全应急处置能力:电子商务企业应制定完善的个人信息安全事件应急预案,明确应急处置的流程、责任分工和应对措施。当发生个人信息泄露、丢失等安全事件时,企业应立即启动应急预案,采取措施防止事态扩大,如停止相关业务、封锁漏洞等,并及时向监管部门和消费者报告事件情况。同时,企业应积极配合监管部门的调查处理工作,协助消费者采取补救措施,如修改密码、更换银行卡等,最大限度地减少消费者的损失。此外,监管部门应建立个人信息安全事件通报和共享机制,及时向社会公众发布信息安全预警信息,提高整个电子商务行业的信息安全应急处置能力。
3.3. 建立相应约束机制,减少信息算法杀熟
1) 加强对算法的监管:相关部门应建立算法备案和审查制度,要求电子商务企业将其用于定价、推荐等业务的算法模型向监管部门备案。监管部门应对备案的算法模型进行审查,重点检查算法是否存在歧视性、不公平性等问题。对于存在问题的算法,要求企业进行整改,整改不合格的,不得投入使用。对监管模式进行适当的创新,也可以借鉴欧盟GDPR中的“数据保护官”制度,建立有中国特色的数据保护体系,即可以建立一个具备多学科专业知识检测人员共同组成的机构,实施无间断动态监控,制定应急预案,发生信息泄露时及时报告,将信息不正当利用的情形“扼杀”在摇篮里[8]。
2) 保障消费者知情权提高信息保护意识:电商平台应向消费者公开算法的基本原理、决策逻辑和影响因素,让消费者了解平台是如何利用其个人信息进行算法分析和决策的。除了国家和平台的保护,用户个人对于信息的保护意识也尤为重要,在平台告知信息收集时,要仔细甄别其信息含义,避免由于疏忽而勾选平台收集信息的条件[9]。同时,也要避免在上网过程中随意填写个人的身份信息,如遇到莫名弹窗或者链接,切勿随意点击,从用户自己一方避免信息的不合理收集,特别是在购物平台的推销广告一旦填写将会一直推送相关产品,让用户不明所以地承受平台算法“侵害”。
在收集信息后,平台应向消费者说明差异化定价的依据和计算方法,如果存在消费者对该不同于其他结果的现状有意见,平台需要提供合理的解释以及配置一定数量的线上客服,供消费者予以申诉。同时,要求电商平台对算法结果进行公示,定期向消费者推送商品或者服务的相关信息,接受消费者的监督。
3) 防止“信息茧房”效应:部分消费者针对相关平台“定制化”提供产品并不必然地认为其方便购买,反而在某些情况下,画面呈现重复状推送,使选择更加单一。监管部门可制定相关标准,要求电商平台在算法推荐中,设置一定比例的非个性化推荐内容,如热门商品、新品推荐等,让消费者能够接触到更多多元化的信息,打破“信息茧房”的束缚。同时,鼓励电商平台为消费者提供算法推荐关闭功能,允许消费者自主选择是否接受个性化推荐,赋予消费者更多的选择权。
NOTES
1上海市浦东新区人民法院(2024)沪0115民初96471号民事判决书。