电商平台消费者个人数据保护
E-Commerce Platform Consumer Personal Data Protection
DOI: 10.12677/ecl.2024.133993, PDF, HTML, XML,   
作者: 陈熠翔:贵州大学法学院,贵州 贵阳
关键词: 个人数据电商平台数据保护Personal Data E-Commerce Platform Data Protection
摘要: 电商平台消费者的个人数据因其特征而频遭侵害,因此具有现实保护意义。就理论构造而言,对电商平台消费者的个人数据进行保护具有正当性,因为消费者对其个人数据不仅享有个人信息权益,而且其个人数据还可作为民事权利的客体加以保护。但目前我国现行法规对于消费者个人数据的保护存在不足,主要体现在事后监管及消费者救济不足两方面。因此需要从平台的监管以及对于消费者的救济两方面进行完善。
Abstract: The personal data of consumers on e-commerce platforms is frequently infringed due to their characteristics, so it is of practical significance to protect them. In terms of theoretical construction, the protection of the personal data of consumers on e-commerce platforms is justified, because consumers not only have personal information rights and interests in their personal data, but also their personal data can be protected as the object of civil rights. However, at present, China’s current laws and regulations have insufficient protection of consumers’ personal data, which is mainly reflected in two aspects: post-event supervision and insufficient consumer relief. Therefore, it is necessary to improve the supervision of the platform and the relief for consumers.
文章引用:陈熠翔. 电商平台消费者个人数据保护[J]. 电子商务评论, 2024, 13(3): 8111-8117. https://doi.org/10.12677/ecl.2024.133993

1. 引言

据中国互联网络信息中心发布的第52次《中国互联网络发展状况统计报告》显示,截止2023年6月,我国网络购物用户规模达8.84亿人。2023年上半年,全国网上零售额达7.16万亿元1。网络购物行业的蓬勃发展离不开用户的海量个人数据作为支撑。电商平台正是通过利用海量的消费者个人数据,来实现广告或商品的精准投放,进而获取更多的收益。然而,电商平台与商家为追求更好的经济效益,往往会过度收集消费者个人数据进行分析利用。更有甚者通过倒卖个人数据来获利2。消费者个人数据极易遭受严重的侵害。因此,如何在法理上寻找对消费者个人数据的有效支撑和从制度上探寻如何对消费者个人数据进行有效保护,成为亟待解决的重要问题。

个人数据是指载有可识别特定自然人信息的数据,也可理解为以电子或其他方式对已识别或可识别的自然人有关的各种信息的记录3。本文所讨论的电商平台消费者个人数据,即个人通过电商平台进行购物所产生的一系列可识别特定自然人信息的数据。其中包括个人电话、居住地址或是身高体重等一系列能指向特定自然人的信息。

2. 电商平台消费者个人数据保护必要性

2.1. 电商平台消费者个人数据频繁遭受侵害

首先,电商平台消费者个人数据的特征决定了其易遭受侵害。在网络购物中,当消费者浏览电商平台时,会产生浏览记录信息。而当交易达成时,消费者需向商家提供自身的个人身份、居住地址等信息。在完整的网络购物过程中,每经历一个环节,就会导致部分信息的产生。这一系列的信息经过平台利用算法进行集合后会形成可利用的增值数据[1]。组成电商平台消费者个人数据的信息是海量化、碎片化的,在形成过程中具有广泛性的特征。同时,平台在每个环节均可提取消费者的相关信息并通过算法生成可利用的数据,也导致消费者的个人数据具有极易获得性的特征。除上述特征外,各类信息汇总而成的消费者个人数据本身蕴含了较大的商业价值[2]。就消费者个人数据的特征而言,因其极易获得,且具有较大的商业价值,这使得部分商家或是平台会过度获取消费者信息来生成专属个人数据,在未经消费者同意的情况下进行分析利用,来追求更高的经济效益。

其次,电商平台消费者个人数据遭受侵害的方式呈多样化。其一是平台会依托大数据处理技术过度收集消费者个人数据。通过对消费者的个人数据进行处理分析,能够得出消费者的消费习惯、经济状况等信息。平台为更好的精准投放商品推荐,获取更大的经济收益,会利用“爬虫技术”或是“关联推断”等技术过度收集消费者的个人信息。例如许多平台会以“个性化推荐”的名义来过度收集用户的个人信息形成个人数据。其二是形成非法利用和非法交易链条来流转消费者个人数据。所谓的非法利用,是指超出合理范围内的利用。平台往往未经用户同意便将其生成的用户个人数据进行分析处理。用户的个人数据本身也容易成为非法交易的对象,个人数据被非法倒卖和交易的案例随处可见。

2.2. 电商平台消费者个人数据保护不足

现有法规对电商平台消费者个人数据保护不足。前文已提到,电商平台消费者在浏览商品,购买商品等多个环节均会产生大量的信息,平台通过技术生成消费者个人数据并以此来分析消费者的个人偏好或是经济状况等。而这些数据在处理过程中则面临着泄露、滥用或是篡改的风险[3]。目前我国现有对个人数据的保护主要还是以《个人信息保护法》为主[4]。其第六章规定了个人信息保护的相关部门。但该部分规定较为笼统,并未有详细的可行且有效的措施。从消费者角度出发,很难形成有效的保护规制。从电商平台角度而言,现行法规规定的事后监管模式也不满足现实需求。在一个完整的购物过程中,消费者的相应信息被平台收集利用,自侵害发生之时才能对电商平台进行监管。这样的事后模式并不利于电子商务行业的发展,也不利于保护消费者的个人数据。

不论是因何种方式造成对消费者个人数据的侵害,因个人数据被侵害所造成的“苦果”均由消费者自身承担。且消费者进行维权的难度也远大于其他类型的维权。其理由一是对平台所规定的个人信息披露义务规定不严格。个人数据因其具有较大的商业价值而容易被贩卖[5]。平台在数据泄露后,因考虑到企业声誉,往往不会第一时间及时通知消费者,使得数据后果往往更为严重。2016年发生的“徐玉玉案”4便是有力佐证。其二是消费者在进行维权时存在举证困难。消费者在寻求救济的时候,不仅要懂法找法,还要懂得平台的一系列规则,这对于消费者来说是巨大的举证负担。网络世界瞬息万变,当消费者发现个人数据被侵犯时,其证据往往较难固定,或相应证据已流失。另一方面,个人数据在市场上往往会经历多次流转,这会导致损害进一步扩大。作为消费者,对于不断扩大的损害结果往往无能为力。

3. 电商平台消费者个人数据保护正当性

3.1. 消费者对其个人数据享有个人信息权益

2022年发布的《数据二十条》明确指出,要探索建立数据产权制度5。可见,对于作为第五大生产要素的数据而言,确立其权利及权益的重要性自不待言。而对于本文所涉及的电商消费者的个人数据而言,以何种权益为基础进行规制和保护,则是讨论的重点。

电商平台的消费者对其个人信息享有个人信息权益是毫无争议的。但是消费者就其在购物中所产生的个人数据而言是否享有个人信息权益,学界对此却存在不同看法。有学者认为,需将个人信息和个人数据区分开来进行讨论。基于此,消费者无法以个人信息权益为请求权基础来对电商平台进行授权或是对电商平台主张个人数据权利。而在笔者看来,不应当在任何时候都区分个人信息与个人数据。若在任何阶段都严格区分个人数据与个人信息,则会导致在讨论个人数据的问题上陷入循环论证中[6]。须知,信息乃是数据产生价值的本质原因。倘若数据中不含有任何信息,则数据不会有任何价值[7]。严格区分个人数据与个人信息,实则变相承认了个人数据可以脱离个人信息而独立存在。试问,若电商平台只是单纯的拥有一串以0和1组成的二进制代码,而不蕴含任何信息的所谓的个人数据,该种数据有何商业价值?法律对此种数据进行规制和保护也失去了意义。个人数据与个人信息的区分没有意义,它们仅是从不同角度看待同一事物产生的结果而已。

我国在《民法典》与《个人信息保护法》当中对个人数据的保护均做出了规定。不仅保护了个人对其个人数据的精神利益,还保护了个人数据的经济利益[8]。通过前述分析可知,电商平台消费者的个人数据亦享有个人信息权益。而个人信息权益作为人格权益的一种,本身并不能直接被转让、放弃或继承。但是消费者可以将针对个人数据的某些权利交由电商平台来行使,进而获得一定的报酬。从而实现对个人数据的财产性利益。当然,消费者本人享有对其个人数据进行处理的知情权与决定权。该项权利可以积极行使(授权电商平台对数据进行处理),也可以通过消极的方式进行行使(禁止电商平台处理该数据)。

电商平台消费者个人也正是基于个人信息权益,才能将对其个人数据进行收集、加工以及其他财产性权利授权给他人行使。而在《数据二十条》当中也提出了要健全个人信息数据确权授权机制的要求。在《个人信息保护法》中所构建的告知同意制度则赋予了个人对于数据的自主决定权。目前我国对于个人信息的自主决定权的商业利用规定甚少,横向比较域外立法可以发现,德国现行法中规定,只要在宪法所规定的规则框架下,个人信息自决权是能够被商业化利用[9]。当然,消费者只能对电商平台所掌握数据中涉及自身个人数据部分主张权利。目前国内的电商平台在对消费者的数据进行收集和处理时,往往不会提前告知消费者,这在一定程度上侵害了消费者的对于个人数据处理的自主决定权。因此,在电商平台消费者对其个人数据享有个人信息权益的理论基础上,应当对消费者的个人数据进行保护。

3.2. 消费者个人数据可作为民事权利客体保护

所谓民事权利的客体,是民事权利和义务所指向的对象。通常民事权利的客体有三种:第一是作为所有权客体的有体物,第二是作为知识产权客体的无体物,第三是法律所规定的可以作为他物权客体的权利。有学者认为,因为数据依托于计算机和网络而存在,属于无形物的范畴。同时数据因为能够同时被多个主体掌握,故其不具有独占性[10]。这部分学者认为数据因为无形而缺乏民事权利客体所要求的独立性,无法被权利化。同时,数据依赖于载体才能发挥其工具属性,本身不具有独立的经济价值。其经济价值是由所承载的信息价值所决定的。因此数据不能作为民事权利的客体。但该观点是否成立还有待商榷。

笔者赞同数据能够成为民事权利的客体的观点。其理由如下:第一,正如前文所述,在当今背景下讨论数据,不能简单地将数据与信息完全区分开来进行讨论。个人数据正是因为承载着诸多个人信息,才能具有经济利益或是一定程度上涉及到经济利益。换言之,当讨论电商消费者对其个人数据的民事权利的时,实则是在讨论消费者对于其个人数据中所承载的个人信息的相关权利[11]。第二,虽说数据作为无形物,需要通过存储介质或是电脑终端等载体进行存储或转让。但这并不意味着人们无法将数据作为民事权利的客体进行占有和支配。就知识产权的客体作品、发明等而言,也具有无形性。但这并不妨碍法律为鼓励更多的智力成果产生而构建了知识产权制度。故不应以一种事物是否满足一般民事权利客体的特征来判断其能否成为民事权利客体,而要以法律是否有必要将其作为民事权利的客体进行判断。从保护电商平台消费者相关权益的角度出发,应当将个人数据作为民事权利的客体。

将电商平台消费者的个人数据作为民事权利的优势在于:一方面能使得消费者能够有效的控制自己的个人数据,防止个人数据的泄露和非法利用。另一方面能够降低消费者在获取电商平台服务时所付出的成本。因为消费者授权电商平台处理其个人数据时,电商平台应当支付一定的报酬。承认个人数据作为民事权利的客体后,便要探讨与个人数据相关的权利内容。

在大数据时代,个人数据被前所未有的收集、存储和利用。就电商平台消费者的个人数据权利而言,权利本身并不是消费者所涉及的隐私利益,因为隐私利益有隐私权来进行规制。权利本身也不是消费者就个人数据进行交易而获得的经济利益。因为能够产生经济利益的是海量的消费者个人数据。因此,消费者的个人数据权利应当是对个人数据被电商平台进行收集、存储和加工过程中的自主决定性利益。因此,该项权利总共有以下三项内容:其一,电商平台消费者知道其个人数据被电商平台基于何种目的而收集,在何种范围内使用,并在此基础上同意的利益。其二,授权个人数据转让与否的利益。其三,查询个人数据,并在个人数据出现错误或遗漏时要求电商平台予以更正或删除的利益。当下,消费者的个人数据被电商平台收集和处理已经是不可逆转的趋势。因此,通过构建个人数据作为民事权利的一项客体,能够有效的赋予消费者有关个人数据的信息自决权,从而对消费者的个人数据进行保护。

4. 电商平台消费者个人数据保护现状分析

4.1. 平台存在监管不足

随着电商平台的不断发展,电商平台的规模不断壮大。与线下购物不同,电商平台的消费者往往只能通过平台商家在商品详细页面提供的图片或视频来了解商品的相关参数。此种间接了解商品的方式往往会导致宣传图与商品实际物差别过大。在此基础上产生的纠纷也越来越多。在消费者的个人信息进行保护中产生的问题也与此类似[12]。虽说现行《个人信息保护法》虽说对个人信息保护做出了规定,但是现行规定对电商平台的监管和事前规制方面却并未做细致规定。前文已提到,消费者的个人信息产生于购物全过程,并汇集后经处理成为消费者的个人数据。而只有当侵害发生后,相应的机构才能根据现行法规进行监管和对商家做出处理。此种事后监管行为,并不利于保护消费者的个人数据,也不利于电商平台的健康发展。除此之外,《电子商务法》虽规定以市场监督管理部门为执法牵头机关,但是对于其他各行政机关的执法范围以及相关的权责分配不明晰,这导致了没有针对电商行业做出特别监管的部门。这一定程度上也导致了行政机关对电商平台的监管存在缺陷,进一步导致了消费者个人数据频繁遭受侵害。

4.2. 消费者救济不足

针对消费者的救济不足问题主要体现在以下方面:首先是对平台履行信息泄露通知义务的履行规定不严格。电商平台消费者的个人数据因具有较大的商业价值,往往会被不法之徒进行整理并贩卖。电商平台作为消费者个人数据的持有者,在消费者个人数据遭到泄露之时,因考虑到企业自身声誉,往往不会第一时间通知到消费者。此举不仅导致消费者无法及时进行维权,还会导致侵害的进一步扩大。此次,电商平台消费者针对个人数据维权举证难度高。消费者要想维权,不仅要懂得相关的法律规定,还要认真研读尔和掌握平台的信息处理规则[13]。由于网络世界每秒都在发生着翻天覆地的变化,消费者在寻求相关法律救济的过程中,相应的证据可能就已经“渺无音信”。即使消费者本次维权成功。但未来也还有可能因为本次泄露的个人数据而再次遭受侵害。最后,现行法规对于平台的惩罚不够严格。这不仅导致了作为受害者的消费者无法获得较高的赔偿,也导致了电商平台侵权成本低。该种现象往往会促生侵权行为的发生[14]

5. 电商平台消费者个人数据保护完善建议

5.1. 完善对平台的监管

首先要构建针对电商平台的全链条监管。在商务部、中央网信办、发改委联合发布的《“十四五”电子商务发展规划》中提到:“坚持包容审慎监管”“构建‘事前事中事后全链条监管框架’,提高和各部门联动和监管的能力”6。电商平台消费者个人数据产生于购物全过程,传统的事后救济已经不能满足现实需求。随着电商平台的不断发展,在网络购物中电商平台相对于消费者有着更高的优势地位[15]。因此需要在现有的制度框架下构建事前的预防性监管,使其与现有的事后性监管结合起来。具有针对性的全链条审查应当成为审查常态。通过对事前审查、事中审查以及事后审查相结合,全方位的防范消费者个人数据的泄露。此举不仅能为消费者提供多元的保护模式,还能使得电商行业呈现更为良好的发展态势。

其次是要增设特别监管。个人数据需要被有效监管,才能防止平台权利所带来的结构性伤害[16]。前文提到,在现行的《个人信息保护法》当中规定由国家网信部门负责统筹、国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作。可见,我国目前并没有就个人数据保护成立一个专门且统一的监管部门。现国外不少国家已经就个人数据保护设立了相应的保护机构。例如在英国,其个人数据监管机构系英国信息专员办公室。信息专员的职能是情报处理、根据数据主体的请求,提出权利行使状况的相关信息。除此之外,信息专员还有调查、纠正、授权和警告的权利7。英国信息专员办公室的设置能够有效的降低侵犯个人数据的行为[17]。就我国而言,单独设立专门的监管机构耗时较长,成本较高,不满足保护个人数据的迫切需求。因此,可以单独增设电商平台消费者个人数据保护岗位来对个人数据的保护进行监督。还可以招募一批了解算法的工作人员对平台的行为进行审查,以判断平台有无过度收集个人数据或非法利用个人数据等行为的出现。

5.2. 完善对电商平台消费者的救济

目前我国对于个人数据受到侵犯的个人的救济面临平台不愿披露相关消息以及举证难等问题。为改善现状,应从以下三点着手。第一是要强化电商平台的信息泄露通知义务。消费者就个人数据遭受侵害进行维权屡陷被动局面,究其原因是因为平台披露不够及时。各企业考虑到自己的声誉,在发生个人数据泄露事件时往往会选择内部处理,降低该事件带来的影响。而各大电商平台往往关联性较强,很难追溯到第一责任人[18]。因此,需要通过强化平台的信息泄露通知义务,使得消费者能够第一时间知晓自身的个人数据已泄露,以便于追究相关责任人。第二是降低消费者的证明标准。《个人信息保护法》第69条虽规定了过错推定原则。但仍未解决消费者举证难的窘境。依现行法律所规定的证明力标准,在个人数据遭受侵害的案件中,受害者需要对侵害行为、损害结果以及因果关系的举证要达成“唯一指向性”[19]。此种证明责任太高。故应当降低证明责任。换言之,侵害行为和损害结果之间的联系只要有相当因果关系,即可满足侵权要件。第三,引入惩罚性赔偿。作为《消费者权益保护法》的一项制度,惩罚性赔偿的意义不仅在于最大程度弥补消费者的损失,还能够震慑电商平台和商家。目前惩罚性赔偿并未引入有关个人数据保护领域。在国外,美国已将惩罚性赔偿制度引入了个人信息保护领域。我国也可借鉴该模式,通过惩罚性赔偿制度来改善电商平台消费者个人数据频遭侵犯的现象。

6. 结语

电商平台在收集和处理消费者个人数据时平台往往会对消费者的个人数据造成侵害。在理论上,对于消费者的个人数据保护有着天然的正当性。然而现行法规对于消费者个人数据的保护存在明显不足之处。为此,需要从平台的监管以及消费者的救济两方面完善相关立法规制,以便于对电商平台消费者的个人数据提供更好的保护。

NOTES

1参见中国互联网络信息中心官网,https://www.cnnic.cn/n4/2023/0828/c88-10829.html,2024年5月19日访问。

2参见刘琪:《数据黑市起底:市场规模估计已超1500亿,“一切需求皆可爬”》,载澎湃网,https://www.thepaper.cn/newsDetail_forward_16367714,2024年5月19日访问。

3《数据安全法》第3条第1款,《个人信息保护法》第4条第1款。

42016年8月21日,徐玉玉因被诈骗电话骗走上大学的费用9900元,伤心欲绝,郁结于心,最终导致心脏骤停,虽经医院全力抢救,但仍不幸离世。

5参见国务院官网,https://www.gov.cn/zhengce/2022-12/19/content_5732695.htm,2024年4月15日访问。

6参见《“十四五”电子商务发展规划》。

7有关英国信息专员办公室的内容源于ICO官网信息和英国《2018年数据保护法》的有关规定。

参考文献

[1] 姚佳. 企业数据权益: 控制、排他性与可转让性[J]. 法学评论, 2023, 41(4): 149-159.
[2] 程啸. 论大数据时代的个人数据权利[J]. 中国社会科学, 2018(3): 102-122.
[3] 袁康. 可信算法的法律规制[J]. 东方法学, 2021(3): 5-20.
[4] 程啸. 侵害个人信息权益的侵权责任[J]. 中国法律评论, 2021(5): 59-69.
[5] 侯利阳. 论平台内经营者数据的权利配置[J]. 政法论丛, 2024(1): 81-93.
[6] 姚佳. 数据权益的构造及其动态比较[J]. 中国应用法学, 2023(3): 42-53.
[7] 梅夏英. 信息和数据概念区分的法律意义[J]. 比较法研究, 2020(6): 151-162.
[8] 程啸. 论个人信息权益[J]. 华东政法大学学报, 2023, 26(1): 6-21.
[9] 程啸. 论数据权益[J]. 国家检察官学院学报, 2023, 31(5): 77-94.
[10] 梅夏英. 数据的法律属性及其民法定位[J]. 中国社会科学, 2016(9): 164-183.
[11] 刘建刚. 数据权的证成[J]. 北京政法职业学院学报, 2016(4): 19-25.
[12] 胡安琪, 李明发. 网络消费格式管辖条款三维规制体系论: 方式、对象及逻辑顺位[J]. 河北法学, 2020, 38(11): 102-117.
[13] 王雪乔, 段伟文. 大数据时代个人数据整体性权益保护的构建与反思[J]. 学术研究, 2024(2): 15-19.
[14] 洪芳, 陈英. 国外个人信息保护立法对我国启示与借鉴[J]. 北方金融, 2021(11): 63-65.
[15] 唐林, 张玲玲. 个人信息泄露通知制度中自由裁量的规制研究[J]. 重庆大学学报(社会科学版), 2022, 28(3): 219-229.
[16] 孙淑婷, 阿依加马丽·苏皮. 《民法典》背景下个人信息侵权举证责任探究[J]. 山西省政法管理干部学院学报, 2022, 35(1): 46-49.
[17] 俞金香, 齐润发. 消费者个人信息保护法律制度的优化——以电商平台经营者与消费者的博弈为视角[J]. 西南石油大学学报(社会科学版), 2021, 23(5): 85-92.
[18] 郭绮玲. 跨境电商中个人信息保护的不足与完善[J]. 企业科技与发展, 2020(10): 111-113.
[19] 高洁. 电子商务环境下消费者个人数据安全问题及解决对策[J]. 南阳理工学院学报, 2018, 10(3): 51-53+62.

为你推荐