1. 引言
随着智能终端的普及、网络互联互通,我们进入大数据时代。数字建设助推中国经济高速发展的同时,也给人们日常的生产、生活中添加了电子商务因素,带来了极大的方便。在此背景下,个人信息的收集和运用成为一种常态,深入到人们工作和生活的方方面面,甚至包括身体健康、人际关系等隐私问题。近年来,个人信息侵权案件频发,为我们敲响了警钟,个人信息的保护问题纳入了法律,足见个人信息侵权的危害和国家对个人信息的保护、重视[1]。
在电子商务蓬勃发展的大环境中,个人信息这种新的资源在使用过程中并不会被消耗,而是可以进行再利用,从而产生更大的经济价值。这就导致了平台与商家在获取与利用个人信息时,极易出现“疯狂”行为,从而导致对个人信息权利的侵害。比如,平台或商家对个人资料的强行获取,对个人数据进行了过多的挖掘和分析,甚至是出售个人资料,这不仅损害了真正的消费者的利益,也损害了那些可能成为消费者的用户的利益。与此同时,由于互联网大数据本身的特性,以及平台经营者与用户之间的不对等性,使得个人信息权利受到的侵害并不局限于个体,而且侵权人的范围更广,侵权后果更严重。所以,在网络环境下,如何对个人信息进行快速、高效的保护,是一个非常迫切和重要的课题。
2. 电子商务背景下个人信息概述
既然要研究电商背景下个人信息保护的路径规制,势必首先要理清电子商务即电商以及个人信息的概念。
(一) 电商的概念界定
根据《中华人民共和国电子商务法》(以下简称《电子商务法》)第二条的规定,关于电子商务的概念,一般是指通过互联网等信息网络销售商品或者提供服务的经营活动。而从相关网络交易立法——《网络交易监督管理办法》第2条和《网络交易管理办法》第3条可以看出,在我国立法中“电子商务”几乎等同于“网络交易”。
(二) 个人信息的概念界定
我国《民法典》第1034条对个人信息的概念予以了明文规定,认为个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。我国《网络安全法》、《信息安全技术个人信息安全规范》也做出了类似的相关规定。
我国《个人信息保护法》第四条第一款对个人信息的概念和范围同样进行了明确,认为个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。而根据《个人信息保护法》第七十三条的规定,匿名化是指个人信息经过处理无法识别特定自然人且不能复原的过程。因此,个人信息的范围排除了经匿名化处理后的信息,其核心的界定标准是识别性,这种识别性是一种动态的识别,包括已识别和可识别[2]。与此同时,《个人信息保护法》还强调了对于个人信息中“个人敏感信息”的重点保护,该法第二十八条规定,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息[3],包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。
而学术界对于个人信息的界定观点主要分为以下三种:“隐私型”、“关联型”和“识别型”。从2020年颁布的《民法典》定义和在2021年出台的《个人信息保护法》中关于个人信息的定义,可见“识别型”的观点更符合我国当下的语境。
3. 电子商务背景下个人信息保护困境
(一) 告知与同意标准不够完善
首先,将“告知–同意”条款作为个人信息保护的一个重要内容,其目的是为了解决个人信息处理者和消费者之间存在的信息不对称问题,个人信息处理者在进行个人信息的采集处理前,必须取得信息所有人的同意,并将其使用的目的告诉给他,从而保护他的合法利益。但现行立法对其“充分性”缺乏明确的规定,造成了各应用程序在采集个人信息方面的标准不尽一致。在司法实务中,因对个人信息保护政策不甚清楚,法官也不能正确认定商用者的真实目的,将此类告知视为对其已经取得相关权利的一种肯定。特别要指出的是,在电子商务的背景下,很多企业或运营商都会用一种比较笼统的方式来表述“我们会与关联方和合作伙伴进行信息交换,以实现我们的业务目标”。由于缺乏有效的监督,消费者并不知道自己的隐私是怎样被高效地传递给各个企业,也不知道该怎样才能达到企业的内部运作需求,这就增加了消费者面对隐私泄漏的风险。
其次,同意生效要件有强人所难之嫌疑。分析了我国目前对电子商务产业的保护状况,可以看出:个人信息的许可有两种形态,一种是明示的同意,也就是通过打勾、点击等行为来表示自己的兴趣。第二种观点认为,登陆、使用行为构成了默认的同意。在该准则下,网络运营商通过隐私政策、个人信息保护政策等资料,向用户告知用户个人信息的采集与利用,即便用户按下了“同意”按钮,也不能真实地了解该信息的意义。由于要让用户使用这个软件,他们需要对软件的信息进行一般的同意,这样就不会给用户讨价还价的机会。虽然他们都认真地看过了这些规定,但对于是否让运营商利用自己的个人数据,他们还是没有过多发言权,这里其实隐约可以体现出经营者一方的优势地位,体现出经营者与消费者之间天然不对等以及信息不对称局面。第三个方面则是将平台跟踪的范围和用途表达得含糊不清,让用户很难在信息分享中形成一个合理的期望,例如“让你得到更容易的接入经验”。网络服务提供商正是基于这样一种不可舍弃的需要,才能在满足法定告知义务的情况下,在用户不愿意接受的情况下,用户别无选择。因此,当用户没有考虑到用户的隐私保护条款时,就会直接点击“同意”,而不会对其进行任何的选择。
(二) 网络消费者个人信息保护差异化缺失
在网上消费的过程中,网络运营商或第三方会搜集到很多消费者的个人资料,这些资料包括:姓名、家庭地址、购物偏好、身体健康状况、消费习惯等。但由于《个人信息保护法》并没有对用户的敏感个人信息进行分类,因此,在实际操作中,存在着“一刀切”等问题。导致敏感个人信息被架空。
(三) 个人信息侵权损害认定困难
什么是损害,我国法律规定并不具体。一般认为,侵权法上的损害是民事主体因侵权行为人的侵权行为而遭受的财产上的损失和非财产上的伤害,后者包括人身损害和精神损害。杨立新教授认为,一行为使得信息主体的人身、财产以及其他利益受到侵害,并致使其减少或消失的客观事实,叫做损害事实。王利明教授认为,传统侵权法上的损害是指侵权法保护的某人的利益因一定事实的发生而遭受不利的影响。
对于侵权责任认定来说,损害很重要。从《个人信息保护法》第69条第1款规定中“造成损害”四字可以看出:在个人信息侵权责任的成立上,应以损害的发生为前提。法学界通常认为,构成损害通常需要满足3个条件:一是损害是民事权益受到侵害所致的后果;二是该损害具有可补救性,即具有补救的必要性和可能性;三是此损害应为已发生之客观事实,不应包含未发生之损害,即确定性[4]。
即便关于损害存在上述共识,但在实践中,对于个人信息侵权中损害的认定仍旧存在困难,主要源于个人信息损害表现的一些特殊性。首先是个人信息侵权损害表现有潜伏性,鉴于个人信息呈现的数字化、电子化特征,在侵权中的损害往往比其他类型的损害更加隐蔽,损害常常发生在未来,难以预料。侵权行为发生后,相应的损害是否发生或何时表现出来尚不确定,即具有潜伏性;其次是个人信息侵权损害表现有无形性,在传统侵权中,损害多以“现实”的形式存在,人身侵害和财产损失通常看得见、算得出。而在当前网络畅通的大数据时代,虚拟空间、数字数据占据了人们工作、生活的半壁江山,个人信息损害大多是以电子信息数据的收集、泄露、传播、使用等形式进行,与传统的侵权损害相比,不直接作用于人身和财产,危害结果可以说是无形的、多样的,受害人往往不能在第一时间感知;最后是个人信息侵权损害表现有难评估性,司法实践中,个人信息侵权损害不像通常的人身侵害、财产损失,可以等级或量的形式予以确定,再加上往往涉及不同领域、不同信息处理者,在定量方面,个人信息损害的轻重程度、大小具有难以评估性,为个人信息侵权中损害的认定带来困难。
(四) 执法监管制度不够完善
消费者在网上购物时,会产生海量的个人信息,而平台与商户则根据其消费、浏览等海量的个人信息,对其消费水平与喜好进行精确的分析。信息在传输、存储和使用过程中,存在着信息泄漏、滥用和篡改等多种风险,给信息监督带来了严峻挑战。《个人信息保护法》于2021年通过,其中特别针对个人信息保护部门进行了专门的规制。但是,在《反垄断法》中,关于信息管制的内容,却是比较笼统,主要是针对规则的制定,以及与其它部门的联动监管相配合,而没有更多的具体的措施。单纯从消费者信息保护方面来看,依靠《个人信息保护法》以及行政机关采取的各种措施进行的监督,存在着规定零散、法规笼统等缺陷,而在实践中,因为各个部门之间的职责划分不清,也难以发挥出应有的作用。
对于电商行业而言,单纯从现有的规制手段来看,传统的事后规制已经无法适应实践发展的需求。在电商平台上,因为用户从进入平台开始,就一直伴随着个人数据的生成,仅限于对商家进行调查、警告和罚款等行为,无法满足电商消费者对个人信息的保护需求,也不利于电商产业的良性、健康发展。由于科技的快速发展,出现了一些新的问题,且由于市场监管机构是主要的执法机构,因此,各行政机构的执法权限也是模糊的,而且,也没有对电商产业进行特别的监管,无法从根本上将经营者侵犯消费者的个人资料的可能性给扼杀掉。
4. 电商背景下个人信息保护的规制建议
(一) 告知与同意标准相应完善
首先,对“充分性”的通知标准进行改进。在告知方法上,为使“充分性”的有关内容能更好的传递给消费者,电商企业应以清晰、易理解和便于查询的方式将有关的个人信息保护策略公布给用户。具体来说,就是在对用户的个人资料进行采集前,通过一个独立的窗口来完成对用户的个人信息保护政策等的告知,并采用向下一步的方式向下一次的授权。在告知内容上,电商经营者应采用简洁易懂的“用户友好型”的语言,将有关的信息处理过程告诉消费者,并用醒目的字体突出显示关键文字,供消费者查询。关于第三方分享信息,如果电商经营者基于商业实践的客观需求,对第三方和信息分享的范围进行界定,建立起一套有效的信息保障措施,严格按照《个人信息保护法》中的规定来保证信息的安全性,同时也要让消费者知道第三方以及信息分享的范围。
其次,对承诺的生效条件进行完善。第一,应当将承诺的形式要素限制在明确的同意范围之内。目前,对于同意原则,我国立法上没有明确的规定,主要有两个原则,即明示同意原则和默示同意原则。而默认的同意则会造成不知道处理情况或不完全知道有关情况的情况下,使授权无效。为此,应通过“点击”、“勾选”、“填表”等多种方法来建立“授权”制度,以最大限度地保护用户的隐私与个人信息安全。
(二) 网络消费者个人信息区分类型保护
为更好地保护用户的个人信息,可以将其分为如下类型:第一,身份信息与行为信息。身份资料是指具有特定身份的人,如姓、通信方法、住址等,也就是与具体身份相关的信息。行为资料是指在网上购物过程中,消费者在购物过程中所发生的各种行为,如购物习惯,购物日期,购物成功,满足感等。尽管这种行为数据没有很强的辨识能力,但是它能够准确的反映出人们的日常生活,通过技术手段,我们可以知道他们的购物偏好,消费习惯,日常需要,甚至是金钱状况。第二、部分私人资料与部分非私人资料。这两种不同之处,就是它是否牵涉到了一个人的私人经验。由于不同国家的国情不同,在国际上对二者的定义并不是很明确,所以很难用一个统一的标准来区分,比如收入和财产情况等。第三、性格资料与社会资料。个性信息是指具有一定的自然性质的信息,而社会性信息则是具有一定的社会性,每一个社会成员都具有自然和社会两种身份,参加社会活动的个人信息,例如家庭住址、婚姻状况等都是个体性信息,而姓名、肖像等则是社会性信息。
(三) 加强个人信息侵权损害确定性的认定分析
从我国司法实践来看,个人信息侵权案件中,最大的争议就是对损害事实的确定,这影响着侵权行为的定性、责任认定和损害赔偿。《个人信息保护法》第69条规定,个人信息处理者不能证明自己没有过错的,承担赔偿责任,无法确定损失,则根据实际情况确定。可见损害结果的认定和标准以证明损害的实际发生为前提,不能证明发生损害的则不予支持[5],这符合《民法典》的精神,在司法实践中也被法官广泛使用,既能保证被侵权人的合理诉求,也可避免被侵权人因过度主张损失而受益所造成的不公平,推动了对个人信息的有效保护。
但在现实生活中,鉴于网络信息大数据时代,如前文所述,个人信息侵权损害表现出的潜伏性、无形性、难评估性等认定难的问题,仅以损害已发生作为损害确定性的认定标准,也确有不妥之处,在法学学术研究和司法实践中均存在着争议。如:个人信息因处理者不当泄露,损害可能会在未来发生,信息泄露可能会给个人信息权益人带来焦虑和担心,甚至影响了个人的工作或生活,但该未来损害不具有现实性,不具备证明可能,不能认定。可见,如果仅以损害的实际发生确定个人信息侵权损害,不利于压实个人信息处理者的责任,不利于全面保护个人信息权益。
鉴于大数据时代个人信息侵权损害的特殊性,个人信息侵权损害通常是间接的,侵权行为发生时,相关损害不一定马上发生,在未来发生的可能性大,或当个人信息权人得知被侵权时,产生担心和焦虑情绪进而影响工作和生活。有必要将部分未来之损害纳入《个人信息保护法》的损害范围,予以认定。我国最高法院的司法解释关于后续医疗费的赔偿规定也体现出我国侵权损害可赔偿的损害不限于已发生,也包括未发生的损害。按照损害确定性程度的不同,我们将未来之损害分为确定的未来损害、可能的未来损害、臆想性未来损害、中间性未来损害。
确定的未来损害,是指侵权行为实际发生之后,被侵权人所受实际损害虽然当前未发生,但是由于损害赔偿范围比较具体,可以基本确定的损害。例如,在人身伤害中,后续的治疗费问题就是一种确定的未来损害。
可能的未来损害,是指侵权行为发生后,将来损害是否会发生以及损害赔偿的范围不确定的损害,其存在发生的可能性,但损害实际尚未发生且发生可能性较小。
中间性损害,是指损害范围和因果关系证明存在不确定性或模糊性,其存在发生的可能,但损害实际尚未发生且发生可能性较大。臆想性未来损害是指未来损害是主观臆想出来的,并非客观存在的,此种损害不具有救济的正当性和合理性,也没有救济的必要和可能。
同一侵权行为可能对不同的个人信息权人产生不同的损害结果,对于损害的确认,还应该根据不同案件的具体情况,进行综合分析判断,合理确定实际损害和未来之损害,不能简单一概而论。
(四) 完善相应的事后执法监管制度
如果能够在电商平台还没有出现侵犯个人信息的风险之前,就通过日常和定期的执法监督,监控整个信息的使用和处理过程,找到可能出现侵权的问题点,就可能对前面提到的事后监管的负面效应进行有效的改进。
5. 结语
我们身处电商洪流,个人信息对于电商媒体而言,其利益价值日益突出,相伴随而来的,便是个人信息易遭受侵权问题,因此个人信息的保护非常重要。在反思电商背景下个人信息保护困境之后,如何通过一系列手段与救济机制来对个人信息进行保护则任重道远。