刘荣军

（北京理工大学 法学院，北京 100081）

一、用户个人信息保护责任

（一）相关概念的界定

在《网络安全法》出台之前，我国多部法律对个人信息安全问题作出回应，包括诸如《消费者权益保护法》（第14条、第29条、第50条）、《侵权责任法》（第2条）、《邮政法》（第35条、第76条）等在内，均对个人信息保护作出了立法规定。但遗憾的是，上述法律文件均未从法律上对“个人信息”作出权威定义。直到2016年，全国人大常委会审议通过的《网络安全法》才对个人信息作出了权威定义：个人信息是指“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”。

2018年全国人大常委会审议通过的《电子商务法》对电子商务中的相关概念均作出了权威定义，其中电子商务平台经营者是指“在电子商务中为交易双方或者多方提供网络经营场所、交易撮合、信息发布等服务，供交易双方或者多方独立开展交易活动的法人或者非法人组织”。

笔者认为，用户上传到电子商务平台的个人信息以及用户的交易信息、对商品服务的评价信息等在内均应当被认定为用户个人信息。在上述信息中，部分评价信息可能兼具有帮助第三人了解经营者提供的商品或服务质量、售后服务、物流等信息功能，如拍照分享中的面部信息等与某个自然人联系起来，进而识别该自然人。故上述信息原则上均应当纳入用户个人信息范畴进行保护。

（二）当前我国用户个人信息保护立法概况

我国多部民商事法律法规都对公民个人信息进行了立法规制和保护。如我国《消费者权益保护法》第14条规定，消费者的个人信息受到法律保护。第29条规定，经营者收集消费者信息应事先告知消费者并征得同意，收集信息后应当履行保密义务、防止泄露义务。第50条规定，经营者给消费者的个人信息带来侵害的，应当赔偿损失。另外，我国《食品安全法》以及最新出台的《网络安全法》《电子商务法》等法律法规均对个人信息保护做出规定。为此，2009年全国人大常委会表决通过了 《刑法修正案（七）》，修正案对非法买卖个人信息的行为进行了刑法意义上的规制。施行不久，广东珠海香洲区人民法院即于2010年做出了我国首例出售、非法提供个人信息罪的有罪判决。2015年全国人大常委会表决通过了《刑法修正案（九）》，再次扩大了范围。用户个人信息系公民隐私权的权利客体，应当受到法律法规的保护，这也是公民基本权利保护的应有之义。因此，电子商务平台经营者更应当重点保护用户个人信息。

（三）当前电子商务平台用户个人信息保护中存在的问题

电子商务的出现改变了传统的消费习惯和商业理念。一方面，消费者不再局限于实体店购买商品或服务，通过电子商务平台足不出户即可快速地获取优质高效的商品或服务。另一方面，商户通过电商平台为国内外消费者提供优质商品和服务，不再需要沿街租用商铺、交纳高额租赁费、投入巨额广告宣传费，大大减少了商户的经营成本，间接地影响了商品或服务的价格。诸如淘宝、京东、当当、拼多多、国美、苏宁易购等电商平台的出现深刻地改变了我们的生活方式。消费者作为电商平台的用户，如欲通过电商平台获取快捷的平台中介服务，购物前必须注册电商平台的账户并提供有效的个人信息，商品若需邮寄，还需要消费者提供邮寄地址，只有这样才能实现购物的全流程。但是，用户提交个人信息并由商务平台储存，将不可避免地产生信息被第三人窃取、泄露、买卖等问题的出现，引致“电信”诈骗、短信推销等现象的频发。由此，对个人信息的保护越来越受到用户、社会和国家的重视，个人信息保护制度的建立也成为国家立法的重要论题。

发生用户个人信息泄露后果严重，危害巨大。用户个人信息的泄露会给用户带来不必要的麻烦，会使用户人身和财产安全面临威胁，甚至造成严重伤害，不可逆的危害结果也将严重破坏持续的、安宁的生活环境和正常的社会秩序，给和谐社会带来极大的威胁和破坏。中国中央电视台节目《3·15晚会》曾经对个人信息泄露的现象进行过专题报道，一度引起全国人民的热烈关注。个人信息泄露所造成的严重后果，已经引发用户的厌恶情绪。并且某些不法分子以信息推介、业务推广为借口，利用非法获取的用户个人信息，不分时段地肆意拨打骚扰电话、推送骚扰邮件或发送骚扰短信，对用户的正常生活秩序造成了恶劣的影响。

二、引致用户个人信息泄露的主要原因

（一）缺乏信息保护的自觉性，管理制度不健全

电子商务平台经营者，通过向平台内经营者收取服务费、管理费，或者对交易费用提成，即可维持平台的正常运营。但某些平台经营者却不惜将用户个人信息出卖给他人以获取非法利益，尤其是某些运营存在困难、资金短缺的小型电子商务平台，在利益面前，极易向第三方售卖用户个人信息。当然，也有平台经营者管理制度不健全，缺少对职工的有效管理，或者是职工个人原因，造成员工售卖用户个人信息的现象发生。

（二）法律责任不明确，惩处力度偏弱

尽管颁布了多部保护个人信息的相关法律，但这些规定多是宣示性规定或原则性规定。在用户个人信息遭到泄露时，用户很难运用法律维护自己的合法权益。《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》（法释〔2014〕11号）第18条虽然对侵权人的侵权责任做出了规定，但该惩罚依旧局限于补偿性原则，被侵权人可以获得为制止侵权人的侵权行为而支出的合理而必要的费用赔偿，包括调查取证费用、诉讼费用等，侵权人只需赔偿侵权行为造成的显性损失即可，被侵权人的隐形损失或因缺少证据支撑的损失根本无法得到赔偿，并且法律未对侵权人课以惩罚性赔偿，上述规定显然缺少足够的惩戒力度和威慑力。刑事领域，为打击侵犯个人信息的刑事犯罪，最高人民法院、最高人民检察院联合出台了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（法释〔2017〕10号），法释〔2017〕10号司法解释对于打击严重侵犯个人信息的犯罪具有重要意义，该解释第1条对刑法意义上的“公民个人信息”做出了权威定义，第5条对“情节严重”情形做出了详细规定。法释〔2017〕10号第12条规定，针对侵犯个人信息并构成犯罪的行为可以课以违法所得的一倍以上五倍以下的罚金，但这针对的仅是犯罪行为，对于不构成犯罪的民事行为仍为空白。

三、完善建议和应对对策

（一）完善平台用户评价机制

笔者认为，对于电子商务，用户在网站上的交易信息、对商品服务的评价信息等不仅应当被认定为用户个人信息，而且更应当受到强有力的保护。用户评价是众多消费者对平台内经营者所提供的商品、服务所做出的合理评价，高质量的用户评价在为平台用户确定经营者、购买经营者商品或服务方面起着不可忽视的作用，对其他用户的决策产生巨大的影响，能够帮助平台用户选择适合自己的商品和服务，减少平台用户不必要的时间成本。

但是，在实践中却存在这样一种现象，即平台内经营者通过或变相通过好评返现的方式，诱导平台用户对其提供的商品或服务做出不实评价，也有不少平台内经营者通过第三方兼职“刷”好评。由于缺乏评价删除制度，使得违背真实意思的平台用户事后无法更改、删除自己作出的评价。因此，应当建立用户评价的更改、删除机制，使得用户评价机制更具灵活性，赋予平台用户更充分的评价自由权。

（二）建立惩罚性赔偿制度，增强保护力度

惩罚性赔偿可以惩罚、遏制不法行为人的不法行为，在用户个人信息保护民事领域参照适用刑事规范的惩罚性赔偿制度，可以有效减少侵犯用户个人信息行为的发生。针对侵犯用户个人信息的售卖、贩卖、盗窃等民事侵权行为，可以参照法释〔2017〕10号第12条规定，对主观上故意或存在重大过失的侵权人课以被侵权人财产损失的一倍以上五倍以下的惩罚性赔偿。这不仅可以督促电子商务平台经营者提高用户个人信息保护的意识，倒逼平台经营者加强对用户个人信息的保护，还可以对某些潜在的意欲侵犯用户个人信息的侵权人产生巨大的威慑，有效减少侵犯用户个人信息行为的发生。

（三）合理调整用户交易信息的留存期限

在交易前难以见到实体商品是电子商务的一大缺点，交易完成后出现的商品质量、服务质量瑕疵，将不可避免地产生后续维权活动。电子商务平台经营者应当对交易信息进行足够时长的保存，为用户维权提供协助服务。这将实现用户权益保护和电子商务平台知名度提高的双赢局面。所以，电子商务平台经营者应当注重对交易信息的保护和留存，留存时间至少不短于我国 《消费者权益保护法》规定的“三包”最长期限。鉴于某些电子产品的使用寿命长达数年之久，且不排除在“三包”期之后的使用过程中出现质量缺陷或安全问题，造成用户人身、财产的损失，笔者认为对该类交易信息的留存时间可以更久一些。所以，电子商务平台经营者应当针对不同种类商品、服务的交易信息，建立科学合理的留存时间，这既有利于用户权益的维护，也可以避免过高的企业成本和负担。在此问题上，工商行政部门和消费者协会应当出台相关的行政规章和行业规章，规范电子商务平台经营者的交易信息留存期限。

总之，用户个人信息保护是社会重点关注的课题，电子商务平台经营者应当严格履行用户个人信息保护义务。这需要电子商务平台经营者、平台内经营者、用户、行业协会、政府部门各方的共同努力。相信在不久的将来，用户个人信息将会受到越来越周密的保护，极大地改善电子商务环境，提高用户交易安全。