摘要: 个人信息在当今盛行的电子商务交易中具有较大经济价值,通过网络和数据进行交易成为最常见的方式必然导致个人信息保护问题凸显。个人信息侵权问题及非法利用增加了群众的不安全感,甚至威胁社会安全、国家安全。本文首先明晰电子商务与消费者个人信息的概念,并分析电子商务中消费者个人信息保护的特殊性,具有难以确定侵权主体、易被识别、易被利用被侵犯的特征。在当前我国立法现状下,电子商务领域消费者个人信息保护存在以下困境:“告知–同意”规则存在不足,未形成信息利用者告知义务标准;大数据算法滥用侵犯消费者公平交易权,比如“大数据杀熟”现象;针对消费者个人信息未进行类型化保护;消费者个人信息损害难以举证,难以证明侵害事实和实际损失。本人在所存困境基础上提出自己的建议,包括完善规则、加大惩罚、司法保护三方面。
Abstract: Personal information has significant economic value in today’s popular e-commerce transactions, and trading through the internet and data has become the most common way, inevitably leading to prominent issues in personal information protection. The issue of personal information infringement and illegal use has increased public insecurity and even threatened social and national security. This article first clarifies the concepts of e-commerce and consumer personal information, and analyzes the particularity of consumer personal information protection in e-commerce, which has the characteristics of difficult to determine the infringing subject, easy to identify, and easy to be exploited and infringed upon. Under the current legislative situation in China, there are the following difficulties in protecting consumer personal information in the field of e-commerce: the “inform consent” rule is insufficient, and there is no standard for the disclosure obligation of information users; the abuse of big data algorithms infringes on consumers’ fair trading rights, such as the phenomenon of “big data killing”; lack of typified protection for consumer personal information; consumer personal information damage is difficult to prove, and it is difficult to prove the facts of infringement and actual losses. On the basis of the existing difficulties, I propose my own suggestions, including improving rules, increasing punishment, and judicial protection.
1. 引言
随着社会经济的快速发展,大数据时代背景下电子技术的突飞猛进,人们的消费方式发生了重大转变,短短数十年间消费模式和样态与以往相比已焕然一新。传统的消费模式已不再占据主流,电子商务成为人们日常生活中不可或缺的交易方式,线下店铺也受到电商平台的严重冲击,各类商品被陈列于互联网上由人们自由挑选,为我国经济注入新的动力,为百姓提供便利的同时刺激了经济发展。但是,在电子商务带给社会、人民福利的同时必须证实其中的隐患,个人信息在当今存在较大利用价值和财产价值,电商平台交易中购买、送货、商家储存信息等各个环节都需利用消费者的个人信息,如何在电商交易中保护好消费者的个人信息显得十分重要。我国于2021年颁布施行《个人信息保护法》,是首部针对个人信息的专门性法律,弥补了大数据时代背景下对个人信息权益保护不足的缺陷,统一了法律适用的标准进一步保障了民众的个人信息权。可是法律实施并不理想,在电商交易中存在难以落实和力度不够的问题,本文将立足于当前电子商务交易中消费者个人信息保护的困境寻求解决路径,进一步完善在电子商务交易中对消费者的保护措施。
2. 电子商务与消费者个人信息概述
2.1. 电子商务
在大数据背景与经济多样化快速发展的中国新时代,电子商务转变了人民的消费模式,交易不再只有单一的线下模式,通过网络和数据实现交易的往来成为当代最常见的方式。在这样一种背景与影响下,个人信息的价值急速上升,信息在科技手段的加持下会产生较大经济价值,因此个人信息在电子商务领域的保护面临重大挑战。我国商务部公布的《电子商务模式规范》中对电子商务这一概念下了定义,并按照交易主体的不同将电子商务分为四类:
第一类是企业之间(Business to Business,简称B2B)即交易双方均为企业,这类主体在电子商务交易中较早呈现。B2B的运作流程一般是商业客户将所需货物名称、数量等基础信息发送给销售商,销售商依据商业客户的订单向供货商进行产品查询,如果有货能够满足用户需求销售商便会找运输商,以保证运输没问题后会给商业客户一个回答并向供货商发出发货通知,客户通过支付网关发出付款通知,最后支付网关向销售商发出交易成功的转账通知。典型的便是某一商业主体通过电商平台向销售采购货物,销售商需根据客户订单向供应商查询有无货物。第二类是企业(或其它组织机构)和消费者之间(Business to Consumer,简称B2C),交易双方为企业和个人消费者,该种模式在电子商务中非常流行,且近几年发展十分迅速,成为当今主流的商业形态。所提供的消费产品也一应俱全个人消费者通过网络平台可以购买各类想要的商品。第三类是消费者之间(Consumer to Consumer,简称C2C),消费者与消费者借助电商平台沟通,卖方出价买方看是否能达成买卖协议,互联网只是一个平台并非买卖双方相当于中介作用,消费者才是真正买卖合同当事人。比如“咸鱼”、“转转”等二手平台,即为买卖双方提供了交易的平台,是在电子商务普及后发展起来的新型消费模式。第四类是政府与企业之间(Government to Business,简称G2B),在这类模式当中政府即是消费者又是监管者,政府通过电商平台进行招标,中标企业与之形成交易关系。以上四类便是我国《电子商务模式规范》对电子商务进行的分类。而消费者个人信息保护主要涉及B2C与C2C两种模式,因该两种模式中的交易主体均存在个人消费者。
2.2. 消费者个人信息
所谓消费者,我国《消费者权益保护法》第2条给出了定义1,消费者即在交易模式中购买、使用商品或接受服务的个人,与其进行交易的是为了获取利润或利益的商家。法人或其他主体并不属于消费者的范畴,法人和其他主体与个人消费者在性质和立法保护上都有本质区别,针对法人可以用反不正当竞争法或保护商业秘密的法律法规予以保护其数字和隐私安[1]。关于个人信息的定义,我国《个人信息保护法》第4条规定:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”通过定义可知可以是电子记录也可是其他方式记录,本文研究的电子商务平台中的个人信息主要以电子记录形成数据。个人信息的特点便是具有可识别性,通过该信息可以判别出是某位自然人,所以我国对个人信息的保护限于自然人。
消费者作为一种较为特殊的法律主体,其个人信息也具有特殊性,结合消费者和个人信息的概念消费者个人信息指的是在购买、使用商品或接受服务过程中形成的可以识别是某位自然人的各类信息,具有识别性是其核心,通过其内容能够单独或与其他信息结合而识别出特定消费者。“识别说”在学界支持者较多,信息与信息主体相对应,他人能够通过信息识别出相应的信息主体,有的可以直接识别,比如知悉姓名、身份证号码便可识别具体消费者,有的需与其他信息结合识别即间接识别,比如购买记录。个人信息权益保护在近几年得到重视,其与人格权密切相关,因为涉及姓名权、肖像权、隐私权等,于消费者而言其具有较大人格价值在当今大数据时代背景下,消费者个人信息也具有极大经济价值,通过科技手段捕获消费者的喜好、购买记录等可以获得非常多的隐形收入。
2.3. 电子商务中消费者个人信息保护的特殊性
与传统消费模式相比,当今的互联网消费模式具有灵活性、抽象性、虚拟性等特点,消费者在个人信息领域还存在主体地位不平等的特点,信息处理者掌握着大量信息资源,而消费者在日常生活中难以获取数据和信息,对于其维权而言造成困扰。在网络发达的今天个人信息侵权时常发生,个人信息权益保护引起学界和社会的广泛讨论,做好个人信息权的全方位保护才能保证消费者的安全感,进一步保障新型经济的有效进行。对于电子商务中消费者个人信息保护的特殊性,总结下来有以下几点:第一,难以确定侵权主体;电子商务中的交易涉及商家、消费者、运输者等,流程非单一的,卖家与买家在电商平台达成初步交易的协定后会通知物流公司进行运输,而后再配送,涉及多个环节。期间不免都会有个人信息的收集和处理,所以在某一侵权结果发生时,较难确定是哪一环节哪一主体侵犯其个人信息权益。比如薛祥飞与浙江淘宝网络有限公司个人信息保护、隐私权纠纷一案2中,原告在个人信息受到侵权的前提下无法证明侵权人到底是淘宝公司还是物流公司,被告淘宝公司认为物流公司将信息泄露并以此推脱责任,最终因原告提供的证据无法支撑谁是侵权人及侵权行为而败诉。第二,易被识别;消费者在电商平台的购买记录、浏览记录等都极易被当今的各种科技手段截取,平台掌控者以及经营者获取消费者数据更为容易,科技的进步使得个人信息被识别的可能性大大增加。第三,易被利用被侵犯;当今社会个人信息的价值远超以往,电商平台中通过数据分析便可知消费者的消费偏向和消费能力以向其推送符合其预期的消费品,商家可运用个人信息获取巨大利润[2]。消费者在平台上一般会多次消费,为了方便下次消费一般会将个人信息在平台保存,这些信息也会在消费的各个阶段使用,人们对自己信息的掌握程度被削弱形成易被利用被侵犯的局面。
3. 我国个人信息保护立法现状
社会快速发展针对消费者个人信息的保护也在不断进步,法律具有滞后性,在社会生活中出现了需要解决的问题时法律才会为了约束问题带来的后果而产生。我国对个人信息保护起步较晚,这与社会经济及社会观念均有关系。但随着人民群众的个人信息愈发面临挑战,被窃取、被利用造成人民利益受损的现象越来越严重之际,关于个人信息保护的法律也在不断完善,渐成体系。
我国于2017年颁布施行《网络安全法》,该法第一条规定了本法颁布实行的目的,为了保障网络安全,维护网络空间主权和国家安全社会公共利益保护公民、法人和其他组织的合法权益而颁布。该法是我国针对网络安全实施保护的一部综合性法律,与网络时代、网络社会相呼应,在立法上加强保障网络平台中各类主体的权益保护。当中首次规定了网络服务者及产品提供者在收集利用个人信息时,需要获得信息主体的同意并采取防范措施。2019年我国颁布实行《电子商务法》,其是在电子商务发展迅猛,电商平台运营过程中个人信息保护问题凸显情况下,应运而生的一部法律。该法较为系统的规定了电商经营者对于平台用户和消费者个人信息及其权益的保护义务。且设立了应如何采取防范措施、禁止出售个人信息等关键条款,并规定了处罚原则。2021年我国《民法典》颁布施行,作为我国首部法典,其在人格权编第六章中专章规定了个人信息保护,个人信息权益的性质与人格权息息相关,可能涉及姓名权肖像权荣誉权等,将其规定于人格权编的下属内容属情理之中。个人信息权作为一种新型权利,在《民法典》中予以明文规定明确了我国对个人信息保护的决心,也提升了个人信息权的层次。在《民法典》之后,《个人信息保护法》也于2021年生效,与前者相比其进行了更细致的规定,前者是位阶更高的一般法后者是特别法。其是我国第一部关于个人信息的专门法,为规范个人信息处理活动、促进个人信息合理利用而制定。在法律的指引下,还出台了许多行政法规,比如《关键信息基础设施安全保护条例》《网络交易监督管理办法》《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》等等,这些法律法规均为电子商务领域中消费者个人信息保护提供支撑与依据。但是通过司法现状可知,电子商务中的个人信息侵权案件仍然频发,且被侵权人维权较难,法律规定存在原则化和实施力度不足的问题,比如关于个人信息侵权的损害赔偿问题,按照个人因此受到的损失或者个人信息处理者因此获得的利益确定,但电子商务领域中无论个人受损还是个人信息处理者获益均难以确定。
4. 电子商务领域消费者个人信息保护存在的困境
4.1. “告知–同意”规则存在不足
在利用电商平台交易过程中,个人信息处理者与消费者之间对于信息掌控的程度本就具有不对称性。告知–同意条款作为个人信息保护的重要手段,对于消除信息地位不平等有重要作用,信息处理者在利用信息之际需要告知信息主体利用原因及用途并取得同意。然而立法中针对告知–同意的标准并未作统一规定,什么程度属于达到消费者对于信息利用的充分认识实践中也没有达成统一的标准与认知。各大商业主体往往会将消费者的个人信息进行关联和交流使用,为了更好地满足业务目的和快捷高效成为他们脱责的说辞。在使用各大App过程中可以发现,电子商务行业中个人信息处理者获得信息主体授权主要通过两种方式实现。第一种是弹出窗口,使用者通过打勾确定授权,第二种是使用该软件即默认授权同意。一般弹出的格式条款都具有内容较多、字体较小的特点,生活中人们也很少认真阅读,大多数人急于使用App而草率地勾选弹出的格式条款,其实并未真正理解当中的含义及自己授权了什么[3]。如果消费者不点击同意则无法使用App,所以针对此类授权消费者没有可选择性,如果发生个人信息侵权,网络服务提供者也会以已经履行告知义务来推辞责任,但是这种告知标准显然难以达到对消费者数据保护的效果。
4.2. 大数据算法滥用
在大数据时代背景下,网络技术为电商平台提供技术支撑和算法支持。消费者个人信息于商家而言具有重大商业价值。大数据算法在整合众多数据的基础之上,可以判断出消费者的购物倾向、购物能力、购物偏好等信息,其具有技术性强、隐蔽性高的特点。因个人信息在当今网络平台具有的特殊性能导致利用大数据算法进行杀熟的现象,即同样的商品或服务针对不同的人群收取不同的价格,老客户所看到的价格比新客户还高,消费水平高的人群所看到的价格也会较高。大数据算法为社会发展和经济建设作出重大贡献,但是针对消费者的杀熟显然是算法滥用。现实生活中倘若消费者对此等现象进行投诉,大多数商家也会以受数量、时间等影响属于正常价格波动来进行合法性解释。
4.3. 针对消费者个人信息未进行类型化保护
日常生活中,人们在电商平台购物涉及到的个人信息有姓名、手机号码、家庭住址、消费习惯等等,基于不同标准个人信息可以进行不同分类。根据是否涉及隐私可以分为隐私信息和非隐私信息;但是两者的界定并不明晰司法实践中裁判者往往结合事实和信息主体的个人感受进行自由裁量,隐私信息的收集与曝光对他人的伤害性更强,侵权后果更严重。根据是否与特定身份相关联可以分为身份信息和行为信息;身份信息是与身份相关联的比如可以依据姓名、住址等识别出某位主体的信息,行为信息是指在电商平台购物过程中消费者的行为活动,比如是否购买、购买了什么、下单日期、等信息。但是,目前我国法律并未对个人信息保护进行类型化,无论是《民法典》还是《个人信息保护法》都以个人信息进行整体保护。在当今纷繁复杂的网络中消费者的个人信息,有的需要着重保护而有的无需加以保护,未实施类型化保护易导致司法资源的浪费,同时也不利于权益保护[4]。
4.4. 消费者个人信息损害难以举证
个人信息侵权案件中被侵权人常见的诉讼请求包括财产损害赔偿和精神损害赔偿,赔偿的前提是存在侵权损害事实,证明损害则是一大难点。我国《个人信息保护法》第69条规定了处理个人信息侵害个人信息权益造成损害时信息处理者的归责原则,采用过错推定,损害赔偿的数额按照个人受损或信息处理者获益多少来判断。但因“损害”是否包含“精神损害”并未明晰,在司法实践中该条款仅在财产损害赔偿范围内适用,精神损害赔偿仍然按照《民法典》中的相关规定适用过错原则,由被侵权人举证证明损害事实。但是,无论是过错推定原则还是过错原则,电子商务平台中交易双方存在个人信息处理地位不平等的事实,消费者难以获取数据信息来证明相关事项[5]。而且因信息数据有流动性大、隐蔽性强的特点,也很难估算实际损害,于精神损害这种抽象性损害而言更是难以证明。
5. 完善电子商务交易中消费者个人信息保护的建议
5.1. 进一步完善“告知–同意”规则
电商企业在利用消费者个人信息时需明确、充分地履行告知义务,告知利用信息内容、利用目的等,增强消费者将个人信息授权后地安全感。如上述而言,当前电商环境中告知–同意规则的实施并不理想,没有统一的标准和告知形式,消费者对信息处理存在明示同意和默示同意两种形式。默示同意极容易导致消费者对个人信息利用内容不知悉或未充分认识的情况下同意商家利用其信息。所以本人认为完善“告知–同意”规则主要包括两方面,一是明晰告知标准,需达到明确且充分的程度,在利用信息之前需充分展示信息利用的请求或通知并将预防措施及责任后果单独陈列。针对重点内容,比如利用哪些信息、敏感信息、不非法使用、不故意泄露等保证条款用显著字体及颜色予以标注。二是消费者的同意应仅限于明示同意,具体可以通过勾选已知悉选项、签字等形式实现,避免在消费者未知情的情况下利用其个人信息,保障信息主体对信息利用的决定权。
5.2. 加大大数据算法滥用的处罚程度
近几年针对网络安全、个人信息方面的立法进程不断加快,我国社会为消费者的权益保护也付出巨大努力,但是大数据算法滥用问题未得到充分解决。大数据杀熟无疑是以一种不公平的方式对待消费者,把消费者进行了等级分配破环其公平交易权,破坏经济市场的正常秩序。现实生活中消费者也很难发现此行为,除非和他人进行对比,其次就算发现了也很难固定证据[6]。所以本人认为应加大对大数据算法滥用的惩罚程度,社会各部门达成加大处罚的共识,司法机关和行政机关积极落实处罚制度,除消费者投诉外积极主动调查市场中的大数据杀熟现象并进行处罚。法律层面更是应对加大处罚程度作出回应,2024年7月即将施行的《消费者权益保护法实施细则》中规定了大数据杀熟的处理情况,明确经营者不得对商品或服务在同等交易条件下设置不同价格或收费标准,这是对大数据算法滥用惩治的重要进步。但如何能有效实施需依靠多方力量,通过提高罚款、加重法律责任来提升惩罚力度,同时将罚款用于补贴被侵权人,减少维权成本进而鼓励消费者积极维权。
5.3. 完善电子商务领域消费者个人信息的司法保护
我国社会保障消费者个人信息必然需依靠法律,立法层面需颁布施行相关法律规定,司法层面要坚决实施相关规则。消费者权益保护坚持以人民为中心,遵循合法、公平、高效的原则,为进一步公平而高效地保护消费者权益,本人认为应对个人信息进行分类,对不同类型地个人信息进行不同程度地保护。对于隐私信息、身份信息应加大保护力度和侵权惩戒力度,因其涉及个人尊严和人格的可能性大,对信息利用的决定权应完全由信息主体掌握。而非隐私信息、行为信息等隐私性不强的信息,为实现高效原则着重对财产损失的保护。如何分类,分类标准是什么均需有法律制定机关进行统一规定,保证司法实践中的同一性。
其次,应降低电商交易中消费者的举证责任,现实生活中消费者证明信息利用者的举证责任过重,证明责任分配不合理是导致消费者维权困难的重要原因之一。本人认为如果消费者提供了存在个人信息侵权的初步证据,即应由信息利用者证明其行为没有对信息主体造成损害,其中的损害包括财产损害也包括精神损害。应当利用高度可能性的标准判断侵权行为是否存在,司法机关或行政机关在判断侵权行为时以客观正常人的角度考虑是否达到高度可能性,如果明显存在侵权的可能即可肯定侵权行为的存在。
6. 结语
在如今大数据时代背景和新型消费模式下,电子商务交易中的个人信息保护对法律、制度、规范等都提出更高要求,国家发展必然要依靠科技发展,但不得滥用科学技术侵犯人民的信息权益。在法律上把握好行为自由和权益保障的天枰才能促进电商行业的良性发展,如果企业或商家肆意收集个人信息、掌控个人信息,定会导致群众权益严重受损,破坏交易环境打破经济平衡。信息安全不仅关乎个人,更关乎社会和国家,随着近两年对个人信息保护的重视程度显增,社会各界应形成合力保障信息权益。电商领域中应进一步完善“告知–同意”规则,加大大数据算法滥用的处罚程度,比如对大数据杀熟侵犯消费者公平交易权的行为应加大处罚力度,完善电子商务领域消费者个人信息的司法保护是开展前两项措施的保障,进行分类保护且降低被侵权人的举证责任是司法实践中加强个人信息保护的有效途径。所以,为适应时代变化,进一步扫除大数据与科技所带来的负面影响,保障电子商务交易中的个人信息有着举足轻重的意义,但无论是立法还是执法都不可能一蹴而就,需社会各界根据实践经验长期不断完善。
NOTES
1《中华人民共和国消费者权益保护法》第2条:“消费者为生活消费需要购买、使用商品或者接受服务,其权益受本法保护。”
2浙江省杭州市互联网法院(2022)浙0192民初4259号民事判决书。