电子商务经营者个人信息保护分析

摘要：在电子商务蓬勃发展的今天，各种与电子商务相关的信息保护成为消费者与经营者共同关心的热点问题。今年新颁布的电子商务法对个人信息保护方面的责任从电子商务经营者角度进行了规定，并对承担信息保护义务的方式、方法等都进行了明确的阐明。本文旨在从具体的电子商务法律条文出发，结合我国其他个人信息保护相关法规，根据我国电子商务交易活动的需求，分析探讨了电子商务经营者各种个人信息保护的权利与义务，以期使电子商务经营者在经营实践中，能明确各种信息保护责任，并从电子商务安全管理角度对安全管理规范制度进行了阐述，旨在有利于促进我国电子商务的健康发展。

关键词：电子商务经营者、个人信息保护、电子商务法、安全措施、安全制度

进入网络信息爆炸时代，计算机网络所具备的超级强大的数据处理能力，使现代社会个人信息的收集与交换发生了前所未有的变革，与个人生活息息相关的信息在今天的大数据时代已经成为一种非常重要的可以带来经济利益的资源。今天，全世界90%以上的信息是以数字形式存储的，在电子商务交易活动中，人们利用计算机网络技术迅速搜寻、储存、送达与个人或企业相关的数据信息，信息流、物流和资金流构成了一个网络化的商务交易生态系统，《中国电子商务报2018》显示：2018年中国电子商务交易额达到31.63万亿元，网络零售规模全球第一。在电子商务迅猛发展的同时，为追逐各种经济利益而产生的：非法收集、盗窃、买卖、欺诈骗取等侵犯个人信息权的行为时有发生，破坏了电子商务发展所需要的健康社会环境，同时给网民带来了经济损失，有些甚至危及公民的生命和财产安全。为保障电子商务交易活动的安全性，新颁布的电子商务法中设专门条款对个人信息保护方面的内容进行了规定，电子商务法第23条、第24条、第25条规定具体的电子商务交易活动中个人信息的保护内容。本文将从电子商务经营者责任出发对电子商务交易活动中的与个人信息保护相关的部分展开法律分析，并对电子商务经营者依法所必须履行的个人信息保护的方法与措施进行了论述。

1、电子商务经营者与个人信息权

在虚拟环境下从事的电子商务交易，电子商务经营者必须获取消费者的个人信息方可完成整个购买、物流、支付的全过程，因此，电子商务经营者对消费者个人信息的利用与个人信息安全和保护，从交易活动的开始就是一个矛盾对立统一体。所谓电子商务经营者根据《电子商务法》第9条规定：是指通过互联网等信息网络从事销售商品或者提供服务等经营活动的自然人、法人和非法人组织，包括：电子商务平台经营者、平台内经营者以及通过自建网站、其他网络服务销售商品或者提供服务的电子商务经营者。个人信息，按照2016年颁布的《中华人民共和国网络安全法》的第76条第5款的规定：以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。公民的个人信息还包括通信通讯联系方式、通信记录和内容、账号（淘宝号、QQ号、支付宝账号、银行账号等）信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。个人信息是自然人在社会生存发展状态下所与生俱来或后天获取的他人可知或不可披露于众的所有信息内容的总称。个人信息权指任何公民，都享有支配或自主裁决其个人信息的权利。个人信息权的内容包括：收集和利用个人的信息的知情权，以及本人利用或授权他人利用其信息的决定权等方面的内容，个人拥有的与其相关信息的控制权等。个人信息权有学者认为他是一种可以被所有者占有、利用和出售并带来经济利益的商品；也有学者认为他是一种个人隐私内容，侵犯个人信息就是侵害信息主体个人隐私的内容；另有观点认为任意收集、处理或利用个人信息是对公民个人人格利益的侵犯。个人信息权属于受民法保护一种独立的民事权利，是人格权的一部分。我国民法第111条规定：“自然人的个人信息受法律保护，任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”个人信息在现代社会已成为一种在信息发展中产生的新生利益，其所有、控制、支配等需要法律规范予以制约与调整。在大数据、云计算的时代，在不断完善的数据挖掘技术基础上，商家通过大数据系统收集个人消费信息，利用碰撞、对比、串联等方式获取消费者全面的个人身份和消费特征等信息，可以对每个消费者的生活轨迹、消费习惯等信息了如指掌。所以，电子商务经营者如何合理合法地利用消费者个人信息，防止在商务活动中侵犯个人信息行为的发生已成为电子商务中个人信息保护的瓶颈问题。电子商务活动中，相关个人信息权侵犯问题的产生主要表现为：（1）不当收集个人信息；电子商务平台及其经营者可以轻易获取消费者各种人身安全相关的信息，借助大数据分析，电商企业可以了解消费者的个人生活等轨迹，使用不当，对消费者权益将形成危害。（2）个人信息不法交易；获取个人信息背后是巨大的商业利益产业链，根据消费者爱好兴趣消费取向，个人信息在商家之间的买卖，很可能构成对消费者利益对损害。（3）个人信息的泄露；如：近年来，个人隐私信息泄露、盗用、贩卖事件时有发生，骚挠、诈骗电话和邮件仍然肆虐，电子商务平台是信息泄露“重灾区”。如：2018年9月，中国消费者协会在北京所的《APP个人信息泄露情况》显示：曾经遭遇到个人信息泄露情况的受访者占85.2%，当消费者电子商务经营者的个人信息泄露后，约85.5%的受访者曾收到推销电话或短信的骚挠，约75.0%的受访者接到诈骗电话，约63.4%的受访者收到垃圾邮件。调查结果显示经营者未经本人同意收集个人信息，约占总样本的62.2%，经营者或违法分子泄露、出售或非法向他人提供个人信息占调查总样本60.6%，网络服务漏洞形成个人信息泄露57.4%，通过电脑病毒或钓鱼网站等非法手段获取个人信息分别是34.4%和26.2%。保护个人信息权是电子商务交易活动中需要引起足够重视的内容，对电子商务中个人信息的保护，与规范电子商务参与者的行为，维护网络交易市场的正常社会秩序，以及促进电子商务可持续地健康发展等密切相关。

2、个人信息权法律保护与电子商务

用立法方式保护公民个人信息权是世界各国共同实践和采用的方法。如德国《联邦个人资料保护法》；英国《个人资料保护法》；日本、韩国颁布的公民《个人信息保护法》等相关法律规定。全国人大法律委员会经研究认为，个人信息权利是公民在现代信息社会享有的重要权利。明确对个人信息的保护对于保护公民的人格尊严，使公民免受非法侵扰，维护正常社会秩序具有现实意义。从电子商务经营者角度规定电子商务个人信息保护，成为2019年1月1日施行的《电子商务法》的一大亮点。电子商务法第23条规定：“电子商务经营者收集、使用其用户的个人信息，应当遵守法律、行政法规有关个人信息保护的规定。”该条明确规定了电子商务经营者在进行电子商务交易活动中，必须遵守国家法律、法规的规定，保护当事人所享有的个人信息权。第24条规定：“电子商务经营者应当明示用户信息查询、更正、删除以及用户注销对方式、程序，不得对用户信息查询、更正、删除以及用户注销设置不合理条件。”第25条规定“有关主管部门依照法律、行政法规的规定要求电子商务经营者提供有关电子商务数据信息的，电子商务经营者应当提供。”在互联网技术迅速发展的今天，信息时代的到来，人们生活在各种信息始终被收集、处理、利用和交换的环境中，信息成为极具经济价值的新生利益，而个人信息已经纳入我国《民法》保护的范畴。电子商务法中的规定，是民法中关于个人信息保护的扩展与延伸。个人信息的专条法律规定，体现了我国法律对人格尊严的关照和对社会现实的尊重，为人民法院裁判侵害个人信息权利的案件提供了法律基准和依据。民法规定了对个人信息权的保护属于人格权保护的内容，通过民法总则确立了个人信息权是一种独立的人格权并予以保护，其作用将有助于我国个人信息保护法律体系的建立。《电子商务法》中明确规定了电子商务经营者对个人信息保护的责任和义务，电子商务法第9条规定：电子商务平台经营者、平台内经营者和其他网络商品或服务提供商都属于电子商务经营者的范围。《网络安全法》第41条规定网络运营者收集、使用个人信息的基本原则和具体要求：网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则；规定了公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意，不得违反法律、行政法规和双方的约定收集、使用个人信息。个人信息条款在网络安全法中是以“安全”为基本要求，即：严格保密是网络运营者收集使用信息的基本制度。为维护网络安全，网络运营者应当采取技术措施确保其收集的个人信息安全，防止个人信息的被泄露、销毁、损坏和丢失。在发生信息安全问题时，网络运营者应当迅速采取各种补救措施，并及时按规定告知用户和相关主管部门。同时作为用户一旦发现网络运营商有违反法律、法规或双方约定收集、使用其个人信息行为或结果的，有权要求网络运营商对相关信息进行删除或更正。《网络安全法》适用的对象是网络经营者（网络所有者、管理者、网络服务提供者），保障安全是网络安全法中的核心内容，因此对个人信息泄露的防止、网络运营商的运营责任和个人信息的非法销售等《网络安全法》都进行了详细的规范。《刑法》第253条规定：“违反国家有关规定，向他人出售或提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。违反国家有关规定，将在履行职责或提供服务过程中获得的公民个人信息，出售或提供给他人的，依照前款的规定从重处罚。”《刑法》对严重破坏个人网络信息安全、扰乱或伤害公民人身与财产利益的网络犯罪行为进行了刑事法律规范，其目的是加强保证公民信息保密程度，保障公民个人信息的合法权益，侵犯个人信息的网络犯罪将依法追究刑事责任，以期预防与严厉打击各种侵犯公民个人信息相关的违法犯罪行为，更有效地防范和化解侵犯个人信息的风险。作为个人信息权的享有者，在无法控制自己向商家所提供个人信息被非法利用或收集的情况下，只能求助于法律手段来保护自身的合法权益。我国目前尚未颁布个人信息保护法，个人信息保护法已列入全国人大常委会的立法规划，对个人信息保护的规定与规范散见在各个部门法规中，作为电子商务经营者需要熟悉和了解有关个人信息保护内容的各个具体条款和内容，方能更好地实现经营操作与制度管理上对个人信息的严格保护或保密。

3、电子商务经营者依法保护个人信息措施分析

电子商务交易活动中个人信息被侵犯的形式多种多样，为了有效保障个人信息所有者对个人信息的控制权，努力降低信息被泄露和被滥用的风险，一方面需要通过立法手段来达到减少或消除非法侵害个人信息权屡禁不止的情况发生，同时电子商务经营者需要在技术上、规范管理制度上采取措施依法保护电子商务交易中的各种个人信息。第一，电子商务经营者需要严格遵守既定个人信息权保护等法律规范；目前，电子商务中个人信息安全问题主要集中在：网络安全与交易安全活动中，存在着如盗取信息、黑客攻击网络、恶意破坏、假冒身份和网络故障等；《网络安全法》的目的是保护网络安全，管理互联网信息内容，规范网络安全事件管理制度等，并对关键信息基础设施予以安全建设与保护。电子商务经营者应当明示用户信息的有关查询、更正、删除情况，不得任意设置不合理条件对相关用户个人信息之进行查询、更正、删除或对用户进行注销。（1）查询、更正或删除信息，如果经营者收到有关要求对用户个人信息进行查询、更正或删除的申请时，电子商务经营者应当在核实当事人身份等认证信息后，及时进行查询或者更正、删除该用户信息。（2）删除用户信息，如果是被注销的用户，电子商务经营者应当立即删除用户所存的全部信息；（3）依法保存信息，依照法律、行政法规的规定或者双方的约定需保存的信息，将依法律规定予以保存。电子商务经营者依法应当向有关主管部门要求提供电子商务数据信息，其相关主管部门应当采取必要安全措施，确保电子商务经营者所提供的数据信息的安全。第二，电子商务经营者需要从互联网系统安全角度来保障公民的个人信息保护；保证电子商务中个人信息安全的基础是拥有安全的个人信息体系，电子商务安全依赖于互联网系统设施的安全，安全的互联网技术、设施以及安全系统是解决电子商务安全的基本保障。相关的互联网安全技术包括：（1）防火墙技术，即由软件和硬件组建成的一个或一组系统，它位于企业或网络群体计算机与外界通道之间，其目的是加强互联外网与内部网之间的安全防范。构成控制网络内外的信息交流，提供接入控制和审查跟踪，在外部网和内部网间的界面构造一个安全屏障。（2）IPSec和虚拟专用网；IPSec在网络层上对数据包进行高强度的安全处理，提供数据源验证、无链接数据完整性、数据机密性、抗重播和有限的业务流机密性等安全服务。（3）Web安全协议，实现网络安全的途径有多种，如可使用安全套接层协议来实现Web的安全；另外，安全电子交易（SET）是目前已经标准化且被业界广泛接受的一种网际网络信用卡机制。（4）计算机病毒防治技术，防治计算机病毒技术有观点将其分为病毒预防、检测和清除技术。病毒的预防技术：禁止病毒对计算机系统的传染和破坏的技术方法；预防技术，系指对磁盘引导区的保护技术，对可执行程序的加密技术，控制读写的和对系统的监控技术等。病毒的检测技术，是一种对各种计算机病毒进行判断和检查的技术，具体检测技术内容包括：其一，根据计算机病毒的关键字词、程序段特征性的内容、病毒表现特性以及传染方式、文件内容长短多少的变化，在对特征进行归类的基础上建立的病毒检测技术；其二，不针对具体病毒的相关程序，对文件或数据段进行检测和计算并保存其结果，之后将定期或不定期地利用保存的结果对该文件、数据段进行检测。计算机病毒消除技术是计算机病毒传染程序的逆过程。病毒消除的技术操作多发生在某种病毒被发现之后，并对其进行仔细分析研究，才能研制出来具有相应解毒功能的软件。（5）网络入侵检测技术。随着网络技术的飞速发展，网络入侵种类不断翻新（漏洞扫描、口令破解、系统后门、Web攻击等），网络入侵的检测方法包括：其一，异常检测法，即选取正常模式审计的相关数学特征，检查各种事件数据流中是否存在与之相违背的异常模式情况。相应的手段有对统计异常的检测法、基于神经网络的异常检测法、基于规则异常性的检测方法。其二，误用检测，即总结、概括已知的入侵模式来检测入侵。入侵者常常会利用系统和应用软件中存在的弱点来进行攻击，而这些弱点可能会组织成某种模式。误用检测的方法包括：基于串匹配的误用检测法；基于专家系统的误用检测法、基于状态转移的误用检测方法、基于模型的误用入侵检测方法。其三，混合检测方法，包括基于生物免疫的入侵检测、基于Agent的入侵检测模式，此处Agent实际上是某种软件实体在网络中执行某项特定监视任务。第三，电子商务经营者需要从系统安全制度上规范个人信息安全管理；建立了安全的硬件、软件和技术体系，还需要建立与安全防范的相匹配的制度才能实现整个电子商务生态系统的安全运营。实现电子商务的安全风险管理需要健全的规章制度。电子商务是在网络环境中完成的商务交易活动，因此除了可能遭受互联网的各种攻击和信息风险外，还会遭遇来自企业内部的攻击，对于这些破坏电子商务安全性的攻击，仅仅依靠技术措施是无法彻底防范的，还需要配套建立健全的电子商务安全管理制度和管理规范，并严格予以执行。制定的网络信息安全制度的基本要求包括：（1）对用户的鉴别与确认制度，即在使用计算机前要求个人用户必须按程序要求输入自己的用户名和身份鉴别口令等；（2）控制存取制度，即用户登录后，在使用程序或数据时，计算机将按程序自动核对该用户的权限，根据用户对该项资源所授予的控制权限对资源进行存取；（3）保证数据的完整性，保证数据不会被非法的肆意修改或删除的制度或规定；（4）跟踪与审计，跟踪制度即建立网络交易系统，系统自动记录整个网络系统运行的全过程；审计，指对系统运行日志进行检查和审核及时监控和筛选违反安全要求的记录，审计能力的强弱对防止计算机网络犯罪并获取法律证据尤其重要；（5）应急措施，当发生紧急事件或计算机系统突发故障时，计算机系统有应急计划辅助软件或应急措施，排除故障或危险，能容错继续运行或迅速修复持续运行，最大限度地减少损失。制定网络系统日常维护制度、人员管理制度、保密制度、跟踪、审计、稽核制度等。第四，对电子商务消费者进行个人信息保护的宣传教育；电子商务消费者的掌握正确电子商务平台操作和安全的网上购物行为习惯，实际上也是其个人信息保护的重要环节。电子商务经营者需要借助平台提供各种详尽的安全操作说明和演示，反复提醒电子商务参与者防止个人身份等隐私信息的泄露或被盗的方式与方法，提醒消费者避免会导致网络信息风险的操作行为发生，防患于未然。全社会进行网络个人信息保护知识的宣传和教育，提高公民的自保意识，将是保护网络个人信息安全的比较主动有效的方法。针对各种电子商务交易活动的需要，其相应的个人信息保护措施可能有所不同，但提高全社会公民的法制意识，遵纪守法，配以行之有效的互联网安全设施体系与安全制度与措施，将是保障电子商务健康发展的关键内容。

作者:聂进 单位:武汉大学信息管理学院