摘要: 数字经济时代,信息和数据成为推动电商领域经济增长的重要因素。与此同时,电子商务领域消费者个人信息保护方面的问题也日益凸显,主要包括:“告知–同意”规制存在适用困境、敏感个人信息保护不足以及大数据“杀熟”行为侵害消费者合法权益。针对以上消费者个人信息保护方面的不足与疏漏,可以从电商平台的隐私政策、算法披露、内部管理等方面进行优化,通过提高平台隐私政策的透明度、建立电商平台算法披露与评估制度、加强平台内部管理来完善电商平台的消费者个人信息保护体系,从而促进电商行业的健康可持续发展。
Abstract: In the era of digital economy, information and data have become important factors driving economic growth in the e-commerce sector. At the same time, issues related to the protection of consumer personal information in the field of e-commerce are becoming increasingly prominent, mainly including difficulties in the application of the “informed consent” regulation, insufficient protection of sensitive personal information, and the infringement of consumers’ legitimate rights and interests by big data price discrimination behavior. In response to the shortcomings and omissions in the protection of consumer personal information mentioned above, optimization can be carried out from the aspects of privacy policies, algorithm disclosure, and internal management of e-commerce platforms. By improving the transparency of platform privacy policies, establishing an algorithm disclosure and evaluation system for e-commerce platforms, and strengthening internal management, the consumer personal information protection system of e-commerce platforms can be improved, thereby promoting the healthy and sustainable development of the e-commerce industry.
1. 引言
数字经济时代,网络购物已深度融入人们的日常生活,成为现代消费不可或缺的组成部分。然而,随着电子商务的蓬勃发展,消费者个人信息泄露、滥用等问题日益凸显,不仅侵害了消费者的合法权益,也制约着电商行业的可持续发展。在电子商务中,电商平台作为消费者个人信息收集和处理的核心主体之一,其在利用消费者个人信息获得更大经济利益的同时,也承担着不可推卸的社会责任和法律责任。我国《消费者权益保护法》《电子商务法》等多部法律均规定了电商平台保护消费者个人信息的主体责任,构建科学、有效的消费者个人信息保护体系,既是电商平台履行责任和义务的必然要求,也是推动电商行业持续健康发展的关键所在。本文拟从电商平台保护视角出发,探讨电子商务中消费者个人信息的保护路径,旨在为电商平台进一步完善对消费者个人信息的保护体系提供可行性建议。
2. 电子商务消费者个人信息保护概述
2.1. 个人信息的界定
对于个人信息的内涵,我国《民法典》《个人信息保护法》以及《网络安全法》都进行了界定,但不同的法律文件对个人信息的定义并非完全相同。首先,各法律在对个人信息的定义中都强调个人信息是“以电子或者其他方式记录的”,即个人信息不同于个人信息的载体,不应将两者混淆。其次,《民法典》和《网络安全法》都采取概括 + 列举的方式对个人信息作出界定,而《个人信息保护法》只界定了何为个人信息,并指出个人信息不包括匿名化处理后的信息,并未列举具体的个人信息。再次,各法律对个人信息的界定标准都采取识别说。识别说认为,个人信息的核心特征是具有识别性,就是指信息能够识别出特定自然人。至于识别的对象,《网络安全法》将其限定为“自然人个人身份”,《民法典》未作限制。从《民法典》第1034条第2款列举的具体个人信息来看,《民法典》规定的个人信息既可以是能够识别自然人身份的信息(如生物识别信息),也可以是反映特定自然人活动情况的信息(如行踪信息),以及能够识别、反映特定自然人其他方面的信息(如健康信息)。最后,虽然各法律都采取了识别说的界定标准,但是具体规定仍然有所不同。《民法典》和《网络安全法》强调的是信息的“可识别”,包括“单独识别”和“结合识别”两种方式。而《个人信息保护法》规定个人信息“与已识别或者可识别的自然人有关”,区分了“已识别的自然人”和“可识别的自然人”两种不同的情况:在未知自然人身份的情况下,构成个人信息的关键是信息的“可识别”;在已知自然人身份的情况下,是否构成个人信息不再看该信息是否具有可识别性,而是看信息是否与该自然人有关。
实际上,个人信息具有相对性,法律列举的信息并非固定不变,有些信息是否属于个人信息,必须结合具体场景进行动态判断[1]。当个人作为消费者时,其在日常生活消费过程中被记录的各种信息是否构成个人信息,也需要考虑具体的场景。随着大数据和算法技术的进步,信息处理者通过碎片化信息识别自然人的能力不断增强,原本难以关联的数据可能通过交叉分析被重新识别为个人信息。因此,相较于传统消费模式,通过信息网络进行消费产生的个人信息的范围可能更为广泛:除了消费者的姓名、身份证号、联系方式、住址等基本信息外,还包括浏览足迹、购物收藏、交易记录等信息。
2.2. 电子商务消费者个人信息保护的立法现状
目前,我国关于电子商务消费者个人信息保护的规定分散于大量的法律文件当中,形成了较为完善的法律保护体系。首先,我国已出台针对个人信息保护的专门性立法,即《个人信息保护法》。该法以八章的体量建构起个人信息的保护框架,内容涵盖个人信息的定义、个人信息处理的原则和具体规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、个人信息保护的履职部门以及违反个人信息保护义务的法律责任等内容。其次,我国多部领域性立法当中涉及个人信息保护的内容。全国人大常委会在2013年修订《消费者权益保护法》时增加了关于消费者个人信息保护的内容,主要的条款是第14条、第29条、第50条和第56条,包含明确消费者个人信息依法保护的权利、经营者收集和使用消费者个人信息应当遵循的原则、经营者对消费者个人信息的安全保障义务、侵害消费者个人信息应当承担的法律责任等内容。《电子商务法》作为规范电子商务领域的综合性法律,其中有不少与个人信息保护有关的内容。例如,该法第24条规定电子商务经营者应当明示用户查询、更正、删除个人信息的方式和程序并为用户行使这些权利提供便利,第31条规定了电子商务平台经营者对交易信息、商品和服务信息的记录、保存义务。此外,《网络安全法》和《数据安全法》两部领域性立法也是我国个人信息保护法律体系的重要组成部分。最后,我国《民法典》和《刑法》两部基本法律也有关于个人信息保护的内容。《民法典》不仅在总则编当中明确规定“自然人的个人信息受法律保护”,而且在人格权编当中设立“隐私权和个人信息保护”一章对个人信息保护作了具体规定。《刑法》设立侵犯公民个人信息罪,将非法获取、出售或提供公民个人信息的行为纳入刑事规制范围。当然,除了全国人大及其常委会制定的法律之外,我国还颁布了许多行政法规、部门规章以及其他规范性文件来具体化上位法的规定和严密个人信息保护法网,例如《网络数据安全管理条例》《个人信息保护合规审计管理办法》《儿童个人信息网络保护规定》《信息安全技术 个人信息安全规范》等。
3. 电子商务消费者个人信息保护的不足与困境
3.1. “告知–同意”规则的适用困境
关于个人信息的处理,我国《民法典》《个人信息保护法》均确立了以“告知–同意”为核心的个人信息处理规则[2]。这一规则包含告知规则和同意规则两个方面,告知是同意的前提,二者共同构成处理个人信息行为的合法性基础[3]。对电商平台来说,“告知–同意”规制的遵守主要体现在平台的隐私政策上:平台通过隐私政策告知用户个人信息处理的目的、范围、方式、保护措施等内容,一般同时设置“同意”勾选框供用户选择,用户是否同意和接受隐私政策直接决定其是否能成功注册平台和使用平台的服务。从隐私政策的形式上来看,多数电商平台的隐私政策可读性有待提高,存在表达晦涩、篇幅冗长、重点不突出等问题。从隐私政策的内容上来看,多数平台的隐私政策大篇幅强调平台的权利而极少提及平台在信息处理过程中应当承担的义务和责任[4]。从用户的选择上来看,对于隐私政策,用户只能选择“全有”或“全无”[5]。电商平台的隐私政策多为格式合同,是一方预先拟定内容的单向告知,用户没有磋商的余地,只能选择同意或者不同意,当用户没有其他替代方案或者不想花费时间成本去寻找其他替代方案时,就只能选择同意和接受平台的隐私政策,否则就无法使用平台的服务。
3.2. 敏感个人信息保护不足
首先是敏感个人信息界定模糊的问题。《个人信息保护法》定义了敏感个人信息,并对敏感个人信息规定了不同于一般个人信息的处理规则和保护义务。电商平台作为信息处理者,对于收集的用户个人信息应当实行分类管理和保护,对其中的敏感个人信息应当采取更为严格的保护措施。但是何为敏感个人信息?《个人信息保护法》在定义之后只列举了生物识别、行踪轨迹等典型敏感个人信息,并未明确网购场景下的购物收藏、浏览足迹等行为数据是否纳入敏感个人信息的保护范围,导致电商平台在数据分类处理时缺乏统一标准,很可能将敏感个人信息当作一般个人信息来处理。其次,敏感个人信息的处理缺乏相关细则。《个人信息保护法》专门针对敏感个人信息处理的规定仅有五个条文,且基本上是一些原则性的规定,无法适应规范敏感个人信息处理的实际需求。例如,该法第30条规定了个人信息处理者在处理敏感个人信息前应当告知的事项,包括告知处理敏感个人信息的目的和必要性,但是处理目的是否明确、合理,是否具有处理敏感个人信息的充分必要性,完全是由信息处理者来判断。最后,对儿童个人信息保护不足。《个人信息保护法》规定不满十四周岁未成年人的个人信息属于敏感个人信息,因此电商平台应当对此类信息负有更高的安全保障义务。然而,《电子商务法》规定在电子商务中推定当事人具有相应的民事行为能力,因此多数电商平台并不会主动采取措施来确认用户是否为儿童或者未成年人,导致将实际收集到的儿童个人信息当成一般个人信息,从而采取一般个人信息的处理规则和保护标准。
3.3. 大数据“杀熟”行为背后的技术异化
大数据“杀熟”是具有信息优势的经营者对消费者的一种差别定价行为,其核心机制是利用忠诚客户的路径依赖以及消费者与经营者之间的信息不对称[6]。在数字经济时代,信息和数据已经成为推动经济增长的关键生产要素。在此背景下,电商平台利用自身的信息优势地位,通过对采集的海量用户数据进行大数据分析,能够构建起用户的消费画像,从而实现对用户进行精准营销,提升自身服务效率。但是,电商平台也可能为了追求利益的最大化,通过算法技术就同一商品或服务针对不同用户显示不同的价格,尤其是向经常下单的熟客标示高于其他顾客的价格,使得原本应当提升服务效率的技术手段异化为电商平台实施价格歧视的工具。在传统的线下购物场景中,对于经常光顾的熟客,商家往往会给予其更多的消费优惠,以保证顾客的回头率,但是大数据“杀熟”行为的主要目标却是这种高频消费者,辜负了忠诚消费者对经营者和电商平台的信任。电商平台大数据“杀熟”行为深刻揭示了数据红利与算法侵权之间的博弈,此种行为不但违背了公平交易原则,侵犯了消费者的合法权益,而且破坏市场信任机制,导致消费者对数字经济的整体信任度下降。此外,由于算法定价行为的隐蔽性及算法技术的不透明性,消费者往往难以有效举证自身权益受损的事实,导致消费者通过司法渠道获得相应救济也面临现实困境[7]。
4. 电子商务消费者个人信息保护的完善建议
4.1. 提高电商平台隐私政策的透明度
知情权的充分保障是个人信息决定权得以实现的基础[8],提高电商平台隐私政策的透明度是保障消费者知情权的关键。一是提高隐私政策的可读性。电商平台隐私政策涉及的内容虽然较多,但可以制作两个版本,一个完整版和一个简化版,简化版只需要保留完整版隐私政策的框架和突出其中的关键核心内容,如淘宝APP的“设置–隐私设置”当中就有一个“隐私政策摘要”。同时可以考虑将简化版本的内容以视频讲解的形式呈现,此种方式在降低理解门槛的同时也能有效提升隐私政策对用户的吸引力[9]。二是行业协会制定和发布电商平台隐私政策的行业模板。目前,各电商平台隐私政策的内容架构大致相同。行业协会可以制定统一的电商平台隐私政策模板,进一步规范电商平台隐私政策的内容和形式[10]。当然,各电商平台可以在行业模板的基础上增加内容,以适应各自的实际需要。三是建立隐私政策反馈和异议处理机制。各电商平台应该建立有效的隐私政策反馈和异议处理机制,增强与用户就隐私政策的沟通交流。用户在同意隐私政策之前可以通过该渠道询问对隐私政策的疑惑之处,在使用平台服务的过程中遇到的任何有关个人信息的问题都可以通过该渠道进行咨询,平台应当及时作出回复,并定期整理用户的反馈和异议,以便对隐私政策的内容作出修改和更新。
4.2. 建立电商平台的算法披露与评估制度
为遏制电商平台的大数据“杀熟”行为,有必要构建以算法披露与评估为核心的制度框架。首先,建立电商平台算法强制披露制度。电商平台使用的各种算法尤其是关于商品定价方面的算法有必要予以披露,有关主管部门可以规定电商平台应当披露的算法信息并提供标准化的披露模板,电商平台应当在其平台界面设置“算法披露”板块,消费者可以随时在该板块下载平台的算法规则和信息。算法披露应当注重信息披露的效果,优化算法解释的方式和内容侧重,以降低受众的理解难度[11]。通过算法披露制度可以提升算法透明度,一定程度上减少平台和消费者之间的信息不对称。其次,建立算法第三方评估机制。由于大数据和算法技术具有高度专业性,普通消费者难以判断特定场景下的算法是否合理及是否存在侵害消费者个人权益的可能性。为此,建议由监管部门或者独立第三方机构定期审查电商平台算法模型的公平性、合理性,重点审查是否存在针对特定用户群体的歧视性变量。同时建立算法透明度评级制度,对电商平台算法的透明度划分等级并予以统一公示,以此激励电商平台不断提高平台算法的透明度。最后,建立算法歧视反馈机制。电商平台披露的算法规则可能与实际使用的算法模型不一致,其是否通过算法实施定价歧视等损害消费者合法权益的行为,只有消费者才是最直接的感知者。因此,应当建立专门的算法歧视反馈机制,消费者可以通过该机制及时向有关监管部门举报电商平台的算法歧视行为。
4.3. 加强电商平台的内部管理
除了一系列对电商平台个人信息处理行为的规范要求和外部监督制度,电商平台的内部管理对于消费者个人信息的保护也是非常重要的。当前,非法买卖消费者个人信息的黑色产业链猖獗,而电商平台内部管理疏漏容易变成消费者个人信息泄露的诱因。电商平台应建立完备、有效的用户个人信息保护管理制度。在内部机构设置上,平台需配备专职人员负责个人信息保护事务,大型电商平台更应设立专门的个人信息保护管理部门,该部门需全面承担平台用户个人信息的内部和外部风险监控职能,同时负责就个人信息保护事项与政府监管机构、第三方组织沟通协调。在内部岗位权限管理方面,必须实行严格的分级授权体系,对涉及敏感数据的操作实施双人复核机制,并定期开展权限分配合理性审查。此外,平台应通过多种措施强化员工对用户个人信息的保护意识。例如,通过制定《用户个人信息保护员工守则》等管理性文件,为员工提供能够随时查阅的行为准则;针对高度接触用户敏感个人信息的岗位,平台需实施定期专项培训,内容涵盖数据加密技术、个人信息保护法规及违规操作后果等;将保密意识纳入员工绩效考核体系,通过量化评估指标(如保密培训参与度、违规操作发生率等)与奖惩机制挂钩,确保个人信息保护制度得到有效执行。以上措施有助于防范个人信息内部泄露风险,在保障用户权益的同时维护平台商誉。
5. 结语
尽管我国已构建起相对完备的电子商务消费者个人信息保护法律体系,但在保护的规范层面和实践层面上都存在许多不足与困境。随着电商行业的不断发展壮大,电商平台在保护消费者个人信息方面也承担着越来越多的责任。同时,随着技术的迭代与法律的逐步完善,个人信息保护将从传统的被动防御模式向主动治理模式转变。对于电商平台来说,对消费者个人信息和数据的利用既是机遇也是风险和挑战,平台应当继续完善自身的消费者个人信息保护体系,不断从制度、技术等方面优化自身的消费者个人信息保护路径,为数字经济时代的个人信息安全提供可持续的解决方案。