电子商务法信息保护及风险防范研究

时间:2022-03-07 09:52:26

电子商务法信息保护及风险防范研究

[摘要]随着互联网和大数据时代的到来,电子商务发展迅猛。与此同时,消费者对于电子交易过程中所产生的个人信息安全问题也愈加重视。在电子商务给生活带来便捷的同时,也引起消费者对个人信息安全的关注。2019年1月1日《电子商务法》正式开始实施,继《网络安全法》之后,该法再次重申了对个人信息的保护。文章将从个人信息的概述出发,对比《电子商务法》与《网络安全法》对个人信息保护的区别,分析电子商务中个人信息保护的相关要求,进而提出经营者风险防范策略,以强化信息安全,促进电子商务蓬勃发展。

[关键词]个人信息;电子商务;风险规避

一、个人信息概述

(一)个人信息的由来及定义。“个人信息”一词与大数据时代的到来相伴而生,不同国家和地区对其有不同的表述,如“私人数据”“个人数据”“私人信息”等。就其概念而言,我国法律并没有明确统一的界定,学界对此也看法不一。理论上对于这一概念主要采用不穷尽的列举式或概括式进行阐述。前者通过罗列出某几类信息对其加以定义,例如《网络安全法》中列举了姓名、电话号码、身份证号、住址等;后者则较为笼统地对其加以概括,例如欧盟对于个人信息的定义表述为“任何能够或可能与自然人相关联的信息”。(二)个人信息的范围。在当今社会,信息的利用价值逐步增大,个人信息的可利用性使其不仅具有人格意义更具有财产价值。因此,不宜将个人信息范围划分得过于狭窄,应尽可能囊括更多的方面。笔者认为,个人信息应强调匹配识别性,其范围主要是通过一定联系能够或直接或间接的对应出某一特定自然人的所有信息。根据不同的划分方法,可以分为距离自然人不同远近的信息、专业化、行业化信息以及敏感信息等。

二、《电子商务法》对个人信息的保护

(一)《电子商务法》中相关条文分布。《电子商务法》的立法目的在于尽量平衡安全与发展,其中信息安全是不可忽视的一环。由于我国已经将个人信息列入立法规划之内,此前的《网络安全法》也对此内容有所涉及,所以《电子商务法》中并没有太多相关的条文。但本法对于个人信息保护的规定与《民法总则》《刑法》以及《网络安全法》中的相关内容相互衔接,承上启下。《电子商务法》中有关个人信息的部分主要有第五条、第二十三条至二十五条、第二十七条、第三十一条、第五十七条、第六十九条以及第七十九条等,较为分散,大致可分成三类。第一类是宣誓性条款,如总则中的第五条;第二类是具有实际内容的义务性要求,如分则中的第二十三条;第三类是法律责任。总体上,先在总则中明确电子商务中个人信息保护这一基本原则,要求经营者落实个人信息保护义务。分则中又明确了不得私自保存、及时删除、严格保密、信息核实等义务及违反义务的后果。(二)《电子商务法》中的电商义务与责任豁免。《电子商务法》中对个人信息保护不止做了一般性的规定,同时对一些平台提出了特殊要求。以更正、删除、注销信息为例,实践中多数电商平台都赋予用户自主修改交易过程中提供的个人信息内容的权利,这类信息往往不具备唯一性,用户可自行修改,无需电商经营者的配合。而对于相应的实名制信息或特征识别信息(如身份证照片、指纹信息、人脸信息等),因其具有高度的身份识别性,一旦泄露会给用户带来巨大的人身或者财产损失隐患。《电子商务法》中对此规定这类信息的更正、删除和注销可以随时行使,而无需前置条件,很大程度地保证了用户个人信息安全。同时,《电子商务法》中对于删除也规定了例外情形,当法律另有规定或者是经营者和消费者之间有特别约定的时候,可就此问题做特殊处理,这一规定很好的化解了双方意见分歧。由此可见,个人信息正逐步从消极性权利转变为积极性权利。与此同时,《电子商务法》在保护个人信息的同时,其第二十五条也对电子商务经营者提供有关数据作出了责任豁免的规定。电子商务经营者作为信息的拥有者不能垄断信息,对于有关主管部门依照法律、行政法规的规定要求提供的,应当提供。在此情况下,要求提供信息的有关主管部门应当采取必要措施保障用户信息安全,不得泄露、出售或者非法向他人提供。实际上,此条规定是对经营者责任的豁免,在这种情况下,如果经营者提供数据符合法律规范,那么对于提供信息造成的泄漏,电子商务经营者可以免责。《电子商务法》对于个人数据保护的深入必须结合电子商务的业态,结合该行业信息化的具体操作与运用。对于电子商务领域如何利用个人信息,往往与业外人想象的相去甚远。它一定程度上收集了很多匿名化的用户信息(如用户画像),在这方面《电子商务法》第十八条已经进行了规定,但是未来仍然可以借鉴其他国家经验和学者的观点加以细化。

三、《电子商务法》和《网络安全法》关于个人信息保护的区别

在《电子商务法》出台以前,《网络安全法》就已经对个人信息保护作出了相应的规定。对比两部法律可以发现,二者既一脉相承又相互区别。(一)适用对象不同。从适用对象上来看,《网络安全法》主要针对网络经营者,包括境内的一切网络建设者、运营者、维护者和使用网络者,不区分内、外资企业,一律受制于《网络安全法》的各项规定;《电子商务法》在此基础上,将生活中常见的朋友圈微商、各平台直播销售等纳入调整范围,进一步明确了适用主体为利用互联网进行销售或提供服务的电子商务经营者。(二)从保护方式和留存期限不同。从保护方式和留存期限来看,《网络安全法》规定的方式较为笼统,时间较短。在最低限度上规定留存网络日志的时间不得少于6个月;《电子商务法》则进一步在数据储存上进行了完善和细化。不仅将数据区分为商品、服务等不同类型,对于信息保存时间的规定也较长,最低限度为自交易完成之日起3年。(三)权利实现方式不同。从实现权利的方式上来看,《网络安全法》中规定了“个人信息删除权”,并为此权力设置了前提。权利主体在网络运营方违反法律或合约的前提下,对于信息错误有权要求更正,对侵权方有权要求将违法收集的个人信息及时删除;《电子商务法》承延了这一权利,并就删除权的行使明确了电子商务经营者的信息删除程序与方式,同时,对于权利行使,未设置违法违约这一前提。

四、《电子商务法》实施下经营者的风险防范

(一)个人信息收集和使用保存的最小化。信息接触量减少,泄漏的风险也会随之减少。个人信息收集和使用保存的最小化意味着在不影响特定目的的情况下,将信息收集保存限制在最小范围内。具体到每一步骤中,收集的个人信息应与经营者经营的业务直接相关,即需收集的信息是服务或功能实现的必要条件且收集频率与数量都应当维持最低值;在保存上,保存期限不应超过实现服务所需的最短时间,在目的实现后应及时清除信息或对信息进行匿名处理以兼顾个人信息保护与数据利用;在使用个人信息时,应将个人信息与特定自然人的关联隐去,避免精确映射出权利人,且使用范围不得超出收集个人信息时所明确告知用户的目的范围并需与经营者业务范围相关联。(二)将用户知情强化为用户明示同意。实践中,多数电子商务经营者在收集使用消费者信息时往往履行的是告知义务,但《民法总则》及《电子商务法》等都明确规定需要消费者同意,电子商务经营者应当强化权利人的同意权这是电子商务经营者收集使用个人信息是否合法的关键所在。尽管对于同意方式,法律并没有明确规定采取明示还是默示,但笔者认为,明示同意更为保险。通常而言,电子商务经营者往往采用默示的方式取得用户同意,比如“一旦您选择使用或继续使用,即表示您认可并接受相关协议”。这种方式存在较大的风险,一旦发生信息泄露,电子商务经营者将陷入被动。因此,对于某些敏感信息,如保险信息等应取得被收集者的明示同意。同时,电子商务经营者之间往往存在信息流动,为防范风险,对于从他方获取的信息,应当审慎审核他方资质,对于其是否有权提供个人信息以及其收集信息是否取得权利人同意进行核实确定。并且,应当对这种审查进行记录保存,以作为涉诉后的证据。(三)寻找第三方信息交互平台转移风险。目前,电子商务经营者多是直接接触个人信息,在类似案件中往往难以证明自己没有过错和泄漏行为,也没有办法避免接触到消费者个人信息。对此,我们可以参见国外和快递业目前的做法,寻找一个专门的权威第三方平台,在交易过程中,消费者将个人信息提供给第三方平台,由第三方平台对信息进行处理,利用信息技术通过代码完成个人信息与电子商务经营者的交互。这样既避免了经营者大量直接接触个人信息,将信息泄漏的法律责任大部分转移给专门的第三方,同时第三方也可以起到监督和证明作用,对电子商务经营者过错等提供证明,避免经营者举证困难。(四)个人信息泄露的投诉的规范处理。实践操作中,电子商务经营者在被投诉泄露消费个人信息后,首先采取的举动往往是划清关系,极力强调与经营者无关或者建议消费者向有关部门反映而不是主动采取相应的措施。这种消极态度实际上已经违反了有关规定。对此,笔者认为电子商务经营者在处理此类问题时,应当首先对投诉内容和事项进行登记,进而向投诉人询问相关线索。其次应当立即启动风险预警,核实信息系统是否出现漏洞并采取相应的技术补救措施,按照规定向有关部门进行报告备案。最后将处理结果向消费者予以反馈。此外,我实现这一系列的过程的顺利进行,电子商务经营者应当事先制定相应的规章制度,并建立专门的部门,定期组织技术培训,系统维护及数据备份等。

五、结语

《电子商务法》的颁布对于保障电子商务各方主体的合法权益,规范电子商务行为,维护市场秩序等方面起到了很好的指向性作用。而新法的实施又将会出现新的实践问题,需在今后进行更多深入的研究,从而更好地规范电子商务经营者的经营活动,促进电子商务持续健康发展。

作者:刘雪营 胡天琦 单位:渤海大学政法学院