1. 引言
电子商务领域的蓬勃发展使得我国电商用户规模持续扩大,在交易过程中,平台掌握了用户的身份信息、支付记录、消费偏好等大量的个人数据,这些数据在为商家精准营销提供便利的同时也成为不法分子侵犯的目标。然而,在司法实践中,司法机关在应对这种类型的犯罪时面临着重重困难。比如电子证据易篡改、难固定的特点致使犯罪证据采信困难。在交易过程中,电商平台存在的多重角色定位,使得其责任边界模糊等。目前现有的法律法规对电商平台的规定不完善会容易引发法律适用冲突,这些问题不仅阻碍了司法机关对犯罪行为的有效打击,也降低了用户对平台营商环境的信任。在理论层面,本文从电子商务相关的法律条文出发结合其他法律比如《个人信息保护法》出发通过分析电子商务平台的法律定位和公民个人信息的内涵,有助于理解电子商务平台下侵犯公民个人信息的理论基础,弥补传统刑法理论在电商领域的研究空白。在实践层面,通过分析司法应对困境提出相对应的司法应对策略,为司法机关提供相应的裁判指引,推动形成完善法律法规体系和平台责任监督机制提高司法效率与公正性,构建安全、健康的电子商务营商环境,保护公民的个人信息安全。
2. 电子商务平台下侵犯公民个人信息罪的理论基础
(一) 电子商务平台的法律定位
数字化浪潮推动着电子商务蓬勃发展,在现代电子商务活动中,电子商务平台扮演着核心角色。根据《中华人民共和国电子商务法》(以下简称《电子商务法》)第9条规定:电子商务平台经营者,是指在电子商务中为交易双方或者多方提供网络经营场所、交易撮合、信息发布等服务,供交易双方或者多方独立开展交易活动的法人或者非法人组织。1这一规定清晰地指出电子商务平台在交易活动中的关键角色-交易中介和服务提供者。电子商务平台为买卖双方提供虚拟的交易空间,降低了交易成本,提高了交易效率并促进商品和服务之间的流通,让许多商家可以在平台上展示商品或提供服务,利用大数据技术将相应的商品或者服务推荐给潜在消费者。享有个人信息权的用户,在其提供给商家的个人信息被非法使用或收集的情况下,只能采用法律手段来保护自己的合法权益[1]。
《个人信息保护法》赋予了电子商务平台信息处理者的重要身份。根据《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)的相关规定,个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。2而电子商务平台在用户注册、交易等经营活动中,频繁收集用户的大量个人信息,包括姓名、联系方式、身份证号、收货地址等。平台对这些信息进行存储、使用、加工、传输等,从而实现精准营销、提升服务质量、保障交易安全等目的。比如,平台通过分析用户的浏览和消费记录,推送给用户感兴趣的商品信息,在这个过程中,平台自主决定信息处理的目的和方式,完全符合《个人信息保护法》中规定的信息处理者的定义。此外,电子商务平台在整个信息系统中还发挥着监管者角色的作用,平台对入驻的商家和平台内的信息流通负有管理和监督职责。
在司法实践中,电子商务平台的法律定位的复杂性和多元性决定了在规制电子商务平台侵犯公民个人信息的行为时,需要综合考虑多种因素,从各种不同的法律方向进行约束,所以准确认识电子商务平台的多重法律定位对认定其在侵犯公民个人信息犯罪中的责任十分重要。当平台直接实施侵犯个人信息的行为,如平台非法收集、出售用户信息,应当承担直接的刑事责任。如果平台因没有尽到交易中介的安全保障义务,或者未履行监管者的职责,致使用户信息泄露,平台可能因不作为而承担相应的刑事责任。
(二) 公民个人信息的刑法边界
《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定的公民个人信息是指:“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”在司法实践中,这一规定对公民个人信息进行了明确界定,认为公民个人信息的核心属性是可识别性。这也与《网络安全法》规定的个人信息是一致的。3
在电子商务平台场景中,公民个人信息的类型越来越广泛。用户的姓名、身份证号等信息可直接用于识别身份,属于敏感的公民个人信息,自然受到刑法的保护。而用户长时间积累的消费金额、浏览记录等非身份信息,尽管不能单独识别特定自然人的身份,但与其他信息相结合,便能准确勾勒出用户画像从而反映其特定活动情况,这同样也被纳入刑法保护范围。除了上述一般信息外,用户在电商平台购买商品时涉及的支付密码信息、附带配送服务中的实时位置信息等对电商平台运营过程中的交易安全、服务体验都具有重要意义,但也面临着被侵犯的紧迫风险。比如这个支付密码一旦泄露的话,用户的财产安全将会受到直接的威胁。因此,刑法对于电商平台特有的公民个人信息,应该给予严格的保护,在认定相关犯罪行为时,需要充分考虑个人信息的敏感度、重要性以及被侵犯后可能产生的严重后果。在跨境电商快速发展的今天,公民个人信息的跨境传输问题也显现出来。不同国家和地区对个人信息保护的法律规定存在明显的差异,这将使跨境传输中的个人信息面临更高的风险。当一些国家对个人信息的保护能力比较弱时,如果我国的公民个人信息传输到这些国家或地区,可能会面临被非法获取、滥用的风险。所以对于涉及到跨境传输公民个人信息的犯罪行为,刑法对其界定更加复杂。对于没有经过许可将我国的公民个人信息跨境传输至不符合安全标准国家或地区的行为,应结合具体情境来综合判断这种行为是否构成侵犯公民个人信息罪。如果传输行为导致公民个人信息大量泄露,对公民造成不良影响,如引起大规模的电信诈骗、用户的财产遭受重大损失等,应当依法追究刑事责任。
3. 电商平台下侵犯公民个人信息罪的司法困境
(一) 平台责任认定困境
电子商务平台在不同业务中的法律角色不同,根据《电子商务法》第9条第2款的规定,平台内的交易主体“独立”进行交易,平台经营者属于提供网上媒介服务的“第三方”,其目的是促使平台内的交易主体直接开展交易。而当平台作为企业出售自己的商品时,就属于《电子商务法》第9条第1款规定的“通过自建网站销售商品或者提供服务的电子商务经营者”,不再被称为平台经营者。《电子商务法》中平台经营者所担任的角色比较广泛,该法第46条还规定:“除本法第9条第2款规定的服务外,电子商务平台经营者可以按照平台服务协议和交易规则,为经营者之间的电子商务提供仓储、物流、支付结算、交收等服务。”[2]电子商务平台经营者不仅提供网络经营场所、交易合作等媒介服务,还开展自营业务和辅助合同履行业务两类非媒介业务。由此可见,《电子商务法》中所谓的平台经营者既可能是网上仅提供媒介服务的经营者,也可能是直接参与交易的“经营者”。在侵犯公民个人信息罪中,这种混合地位导致平台难以明确应当承担的责任类型及范围,如平台在自营业务中的责任和作为平台内经营者的责任划分不清晰。
主观上的故意是认定平台侵犯公民个人信息的刑事责任的重要构成要件之一。然而,对于平台是否 “明知”商家或第三方服务商存在侵权行为,法律和司法解释均没有作出明确的规定。在实践中,平台往往以用户协议、隐私政策等宣称其已经履行管理义务,但实际上可能存在无视侵权行为或者未采取有效措施制止侵权行为的情况。不仅仅是故意犯罪,平台的过失行为也可能导致用户个人信息泄露。但是在实际运营活动中,法律对于平台过失责任的界定也很模糊。平台在管理信息过程中,可能因技术漏洞、疏于管理等原因未能及时发现并制止侵权行为。这种情况平台的疏忽行为是否构成过失犯罪,以及过失的程度如何认定,都缺乏明确的标准。不同的法院在类似案件的判决中,对平台过失责任的认定存在较大差异,一些法院认为平台只要存在一定的管理漏洞就应当承担刑事责任,而有的法院则认为平台的过失行为必须达到严重程度才构成犯罪。
平台业务的多样化加剧了个人信息侵权风险,在不同业务场景下电子商务平台担任着不同的法律角色,平台角色不同,义务标准也有差异。电子商务平台的安全保障义务是针对的是消费者,这种义务是在管理义务上产生的网络和信息安全等方面的安保义务[3],该义务标准不是静态单一的,而是随着业务难度、风险强度等逐级增加。电子商务平台下侵犯公民个人信息罪的司法应对,核心在于构建一个与业务场景深度链接的 “义务阶梯” 模型。司法机关在刑事司法中对平台责任的认定,关键是判断其有没有违反对应的层级注意义务标准,以此来认定其“是否具有主观过错从而构成侵犯公民个人信息罪的单位犯罪或者共同犯罪。所以利用这个模型可以区分平台在信息发布、自营销售、支付服务等业务场景下的法律角色与注意义务标准,从而为司法机关在刑事司法中适用相应的注意义务标准提供帮助。平台业务的多样化加剧了个人信息侵权风险,在不同业务场景下电子商务平台担任着不同的法律角色,平台角色不同,义务标准也有差异。电子商务平台的安全保障义务是针对的是消费者,这种义务是在管理义务上产生的网络和信息安全等方面的安保义务。在上海技宇网络科技有限公司与支付宝( 中国) 网络技术有限公司服务合同纠纷一案中,技宇公司主张支付宝对其大额支付行为没有及时提示和撤回消息,应当承担支付安全保障责任。4支付服务提供者承担的支付安全保障义务已经偏离最开始的法律规定,难以解决支付安全问题[4]。
总之,《电子商务法》的制定使得平台责任在法律适用上出现平台责任的困惑主要是因为在现实生活中存在着许多各种不同形态的平台,有必要的是,它们应该承担与其功能和属性相对应的平台责任。但《电子商务法》考虑到其自身立法的相关情况,只针对一种特定类型的平台也就是电商平台,规定了比较具体的平台责任体系,而对于其他类型的平台,其规定却存在着大量缺失。这就会导致在承担平台责任上可能出现“全有”“全无”的明显差异,比如当某个平台被界定为电商平台的时候,它就要承担相应的平台责任,而当它没有被定性为电商平台的话,基本上不承担任何平台责任。所以这样庞大的责任落差导致一些从事政策研究或者政府事务的人员,刻意避开参加与电商平台相关的各种研讨会,以防其行为被认为是“在事实上”或“在实际上”来认同电商平台属性[5]。
(二) 证据采信困境
在电子商务平台环境下,侵犯公民个人信息犯罪的证据属于电子证据,比如用户浏览信息、服务器访问记录等。这种电子证据容易被篡改,还很容易丢失,收集起来比较困难。如果平台商家非法收集用户信息的话,就会对这些数据信息进行修改或删除。在侵犯公民个人信息犯罪案件中,控方承担主要的举证责任,但面临诸多困难。辩方一般会利用控方举证困难对其有利的条件,提出合理怀疑为自己辩解,从而增加了案件的定罪难度。在李开祥侵犯公民个人信息案中,5被告人李开祥制作黑客软件伪装的“颜值检测”软件盗窃用户的照片,有些照片包含人脸信息、自然人姓名、家庭住址等100多条公民个人信息。他利用互联网平台的开放性,以不特定公众为目标,侵犯公民的个人信息。辩护人以检察机关没有对涉案8100万余条数据信息的真实性逐一核实为由否认证据效力,这暴露出批量信息认定的普遍矛盾。
像电子数据的收集、提取与分析,这些需要专业的技术来支持,如果司法机关因技术的限制,可能无法获取充分的证据来证明。而电子商务平台的犯罪主体在犯罪过程中却能掌握重要的电子数据,处于证据优势地位,例如商家利用一些技术手段来隐藏其非法收集用户信息的行为。目前对于侵犯公民个人信息的大量犯罪案件,证据采信困境导致司法机关因证据不足难以侦破或难以定罪量刑。而在某种案件中,虽然能够确定犯罪嫌疑人,但因无法获取关键的电子证据致使难以形成完整的证据链,结果只能对犯罪嫌疑人作出不起诉或无罪的判决。另外有些电子商务平台并不重视用户的个人信息保护,甚至是漠不关心。这表明当发生了个人信息缺失或者泄露事件,司法机关缺乏相关证据无法追究平台责任,平台也不需要承担相应的法律后果。这会导致平台在信息安全防护措施完善等方面缺乏内在动力,更深入增加了用户个人信息泄露风险。与此同时,遭受损失的用户也因举证困难,不能通过法律途径获得有效赔偿和救济。
4. 电商平台下侵犯公民个人信息罪的司法应对策略
(一) 完善平台用户个人信息保护法律法规体系
完善电子商务平台用户个人信息保护法律法规体系,是应对“侵犯公民个人信息罪”的重要法律基础。对于电子商务平台上的个人信息处理规则的局限性,应该优先落实电商平台隐私保护政策。我国在个人信息保护立法方面,最早是在公法层面对个人信息加以保护。起初《刑法修正案(五)》对侵害公民个人信息犯罪作出规定,再者是《网络安全法》规定把保护个人信息作为维护网络安全的重要组成部分。在私法层面,《消费者权益保护法》对个人信息保护作出了规定。《民法典》详细规定了“隐私权”和“个人信息”。作为个人信息保护领域的基本法,我国的《个人信息保护法》在2021年8月正式通过,在11月开始实施,这部法律为处理个人信息提供了指引也回应了长期存在的争议。这部统一适用的个人信息保护法是系统性和权威性的,但是在现实中很难统一适用不同行业的不同情况。电子商务平台下的消费者个人信息的权利主体地位更加低下,客体范围涵盖广泛,导致侵权行为主体更加复杂,更容易被忽视,同时消费者的个人信息更容易被侵犯。从国外立法现状来看,虽然美国联邦没有统一的个人信息保护立法,但在制定宏观政策的时候更加重视专业领域和地方重点立法,我国有必要思考是否借鉴美国的这种做法,制定并出台针对具体行业领域电子商务消费者个人信息保护法律规范,以此为电子商务平台个人信息安全提供更加周密的保护。
欧盟的《通用数据保护条例》,从多个不同方面建立起完整的个人信息保护框架,包括基本原则、信息主体的权利、信息控制者与处理者的义务[6]。这种制度对信息处理者提出了相对严格的要求,也在一定范围和限度降低了滥用个人信息滥用的可能性。我国在建立平台审查方面可参考欧盟《通用数据保护条例》(GDPR)种的“合规激励” 制度,在法律法规中规定:如果电商平台要建立完善的个人信息保护合规体系(比如设立独立的个人信息保护部门),并且在信息泄露后及时采取有效补救措施,最终没有造成严重后果的,可以减轻或免除刑事责任。若电商平台主动地向监管部门报告自身存在的合规漏洞,并积极加以整改,这也可以作为刑事诉讼中的量刑情节予以考量。
(二) 强化平台责任监管机制
对于电子商务平台下的侵犯公民个人信息犯罪,一般的刑事制裁虽然具有震慑力,但难以从根本上制止平台领域规模大、技术性强的犯罪手段。根据《个人信息保护法》第五十八条的规定,用户数量巨大、业务类型复杂的重要平台(特别是互联网平台)应当履行严格的保护个人信息的义务。在刑事司法中,可以将平台是否履行了与其规模和技术手段相适应的“积极保障义务”作为判断平台构不构成(特别是单位犯罪中)间接故意或过失的核心标准。这包括:建立完善的电子数据分级分类管理制度、对员工进行常态化安全培训、对平台内经营者的数据处理活动进行必要监督、及时修复已经出现的涉及安全的系统漏洞等。
再者,从平台经济角度来看,这种经济模式是结合创新和发展并且不断更新的经济模式,因此应该防止过界的行政干预,从而避免让平台发展遭受不良的影响。设定强制性法律义务应当遵守谦抑性原则,也就是说不要轻易去承担行政责任,只有通过审视经济成本和投入所带来的收益的确属于平台监管的衡量范围,才可以明确行政责任的承担。而对于在规范绩效中模糊的平台监管措施,平台可以凭着自己是否愿意的态度去实施,如果愿意可以采用温和的监管措施来引导其实施。
社会共治模式下的电子商务平台承担的安全保障义务正在从传统的专业模式转向更加广泛的高端企业社会责任,所以这种模式下的平台实施机制和法律责任机制当然也在改变以顺应这种转变。对于承担企业社会责任的平台安全保障义务,更多地依靠软法规范和温和的法律责任机制来保障实施。当然国家有必要借助宣言、口号、指南等办法让平台企业承担更多的责任。这样监管部门也可以采用谈话和劝诫等温和手段鼓励平台企业做好自我规制。另外电商平台企业在国家的指导下可以建立内部的自治规章、管理规定等来对其平台内相关部门进行监管。督促平台履行社会责任的软法,原则上是不具有法律约束力但是有实际效果的行为规范,像道德一样它的实施主要依赖社会舆论、其他外部影响等产生的社会压力,再加上有利益诱导这种激励机制,实施起来更加便捷。强化协商性与自愿式的温和监管措施,可能在不同程度上去影响甚至能够改变经营者的经营行为,从而达到填补硬法规制的滞后性漏洞的效果[7]。
(三) 证据采信与司法协作优化
对于证据采信困境,其核心在于原告或公诉方举证负担加重,特别是在电子商务平台下,由于电子证据容易变化使得个人用户难以获取平台内部数据。在程序上,应当建立与平台义务对应的举证责任体系,对于公诉方掌握的批量公民个人信息的真实性,公诉方只需要证明该信息来自平台数据库、具有可识别性,就可以推断该信息是真实的。6而被告人如果主张信息是虚假的,需要提供证明数据来源的证据、第三方核验报告等,这就可以减轻原告或者公诉方的举证责任。在实体上,应当建立由监管机构或司法机关认可的第三方数据托管与审计机制。按照《个人信息保护法》第58条,7大型平台也能进行外部审计。目前网络安全审查对个人信息保护至关重要,审查机构审计个人信息的关联材料可以减少安全审查时间[8],由网信办、公安部等监管机构授权第三方机构对电子商务平台的数据处理活动进行实时托管和定期审计。在司法实践中,除非对方提出反证,就可以推定第三方出具的审计报告具有法律效力,所以该机制可以作为强化证据的辅助手段从而减轻原告举证负担。
5. 结语
虽然本文为电商平台下侵犯公民个人信息罪的司法应对提供了一些具体策略,但在数字经济与电子商务深度融合的时代背景下,与此相关的法律问题将会变得越来越复杂,比如人工智能可能会对用户的信息挖掘引发新类型的侵权风险等严峻问题。加强对电子商务平台的个人信息保护成为迫切关注的焦点,所以应当继续关注技术发展动态,进一步完善相关法律法规与司法解释,加强国际司法合作与经验交流,推动构建更加完备的公民个人信息保护司法体系,更好地保护电商平台领域内的公民个人信息安全。
NOTES
1参见《中华人民共和国电子商务法》第9条。
2参见《中华人民共和国个人信息保护法》第37条第1款。
3《网络安全法》第76条规定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”
4参见上海技宇网络科技有限公司与支付宝(中国)网络技术有限公司服务合同纠纷一审民事判决书,(2018)沪0115民初26533号。
5参见李开祥侵犯公民个人信息刑事附带民事公益诉讼案,最高人民法院指导性案例192号(2022)。
6参见《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第11条第3款。
7参见《中华人民共和国个人信息保护法》第58条第1款。