电商平台的信息泄露防范义务研究
2020-06-08杨熙
杨熙
摘 要:随着网络技术的迅猛发展,在电商平台上购物的消费方式越来越受欢迎,给人们的生活带来诸多的便利。但是同时,电商平台的信息泄露问题层出不穷,由此给消费者带来一定的财产损失,并且对消费者的人身财产安全构成威胁,如此也会对市场经营秩序造成影响。在法律上我们应当对电商平台的信息泄露设定更加严格的法律规制去防范消费者的信息泄露,并对未履行义务造成的结果承担相应的法律责任。对我国《民法总则》和《消费者权益保护法》及《网络安全法》中的条款进行分析,我国对电商平台中消费者个人信息保护的法律规定还不全面,对电子商务平台相关的义务内容缺乏具体规定,并且在法律责任方面也没有进行详细的说明。文章就现行法律中存在的问题进行探讨,对完善电商平台消费者信息的保护提出相关建议。
关键词:电商平台;信息泄露;防范;义务;责任
一、电商平台个人信息泄露的危害
1.侵害消费者财产权益
在《电子商务法》中,要求电商经营者提供商品或提供服务的同时,应当保障消费者的人身财产安全,在电商平台开展经营活动中获取利益的同时,需要对消费者的个人信息进行保密,一旦消费者的个人信息被第三人利用,就有对消费者造成财产侵害的可能,由于第三人利用泄露信息对消费者进行欺诈等侵权行为,而导致消费者的财产造成损失,电商平台责无旁贷。
《中国网民权益保护调查报告》2016年的调查结果中,84%的网民表示个人信息泄露之后,生活安宁受到干扰,并且接二连三收到骚扰电话和诈骗信息。例如以商品质量问题或者退税等为借口,引诱消费者上钩从而骗取钱财,还有一类是从商户处购买个人信息从而进行销售和诈骗,如果消费者不能掌握信息泄露的证据,就很难追究电商平台的责任,互联网的隐蔽性让犯罪分子的行踪难以追查,诈骗案件层出不穷。
2.扰乱互联网市场经济秩序
信息泄露给市场秩序带来了很多负面的影响。有很多的用户注册信息、开房信息和付款信息被放在“暗网”上销售,2016年京东数据泄露事件,引发了社会各界的关注。这些数据流入到黑色产业链之中,下游阶段的购买者和使用者,主要是诈骗或用于放贷和催收的网络贷款平台,或者用于精准营销的各类市场主体,使得整个社会上的非法贷款群体十分活跃。
在网络交易中,黑客通过窃取平台用户信息,从而在交易所外进行交易的行为,由于不能受到法律的监管从而也会影响交易所内的秩序,交易行为由于脱离了国家安全系统的保护,容易产生多次泄露的风险,交易数据不受合法限制,容易出现不可控的高风险情形。在平台上这些被出售和流通的客户数据,有些涉及行业机密和国际安全信息,如果被用于非法途径,会给社会安全带来巨大的风险。
个人信息泄露所催生的非法信息交易产业链,对社会的经济秩序和社会安全都是严重的威胁,阻碍市场交易和数据行业的发展。
二、电商平台个人信息保护存在的问题
1.个人信息泄露防范义务规定不够全面
从电商平台的角色来说,电商平台既是经营者也是需要为顾客个人信息承担安全责任的一方,在《电子商务法》中对电商平台不得泄露消费者个人信息的规定也不够全面,《网络安全法》中规定网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,具体内容包括“制定内部安全管理制度和操作流程,确定网络安全负责人采取防范病毒攻击的技术措施,采取检测记录手段,保留网络运行安全,日志采取数据分类,备份加密”等措施,这条规定只是涉及一些十分基础的义务。我国目前没有专门的《个人信息保护法》,其他的法律规制都散落在各个规章与部门规范性文件当中,由于由不同的主管部门出台,因此法律效力层次低,也不能与发展迅速的互联网环境相匹配,电商平台在履行法律规定的义务的同时,很容易找到管制中的漏洞,诸多电商平台对自己应当履行的义务极其不重视。电商平台信息泄露的方法多种多样,可能会有内部人员偷盗或者因系统漏洞被窃取,其中内部人员偷盗的情形占大部分,出现非法出售客户信息的平台是必然的结果。
2.漏洞治理与告知义务制度不完善
《网络安全法》中多为推荐性标准,与平台泄露个人信息相关的强制性标准并没有出现。我国制定了七项有关漏洞治理的推荐性标准,其中四项与个人信息直接相关,分别规定了信息安全漏洞分类、管理规范、登记划分指南以及标识和描述规范,并未出现强制性要求,很多平台对此置之不理。
同时,我国并未建立完善的漏洞报告制度,在《计算机信息网络国际联网安全保护管理办法》中,仅对非授权入侵系统做出规定,要求其向公安部门进行报告。法律也并未对向有关部门报告漏洞的义务进行规定,对告知的对象、方式及情形都未进行详细规定,如何进行告知也未做出说明,如立法在这个方向上有缺失,那漏洞报告的义务就无人履行。电商平台存在巨大的系统性安全风险漏洞,就会被黑客利用和攻击,给电商平台和其用户造成损失。
其次,法律所规定的具有信息泄露告知义务的情形中人数和损失数额较高,不附合实际履行条件,在实践中难达到履行告知义务的门槛,操作难度较大,且告知义务缺乏具体业务内容使得漏洞告知义务难以履行。电商平台中的交易较为隐蔽,消费者难以直观地观察交易场所内采取何种措施保障人身和财产安全,事实上,极少有平台会采取并实施推荐性国家标准或行业标准。如果电商平台能在消费者进行消费之前告知予以何种保护标准,在之后的信息泄露纠纷中,消费者可以对照这些信息进行核实。实际情况下,很多平台会采取如“我们已采取有效措施,对您的信息安全进行保护”等笼统的说法,并未对其详细内容进行公示,这是由于立法上并未对平台的告知义务进行强制且详细的规定。美国各州截至2018年均制定了相关数据泄露通知法案,我国可做出参考。
3.电商平台法律责任不明确
若没有明确的法律责任,则会缺乏有效的威慑,不利于对权力的保护与义务的履行。对于电商平台主动泄露个人信息的行为,消费者一般通过两种途径主张民事责任,首先是主张违约责任,消费者可主张解除合同,并对违约行为要求赔偿,但首先主张解除合同会给消费者的生活带来极大的不便,消费者出于弱势的地位,解除合同等于放弃平台给自己提供的服务,而主张赔偿损失,由于个人信息的价值难以估量,因此要求赔偿这个方法最终也会无疾而终。民法总则中对个人信息进行了保护性的规定,但是并未规定其为具体民事权利,因此个人信息的请求权未得到公众的认可,泄露个人信息是否构成民事侵权行为成为争议。《侵权法》第二条规定侵权民事权益也构成侵权行为,但在列举具体民事权利中并未提及个人信息,主张个人信息的侵权责任成为空白。实践中,消费者大多以侵害隐私权来主张该权益,但是这种做法也仅适用于被泄露个人信息后确有发生侵犯隐私全的行为,而不能囊括其他種类的侵权行为。
对于电商平台由于未采取措施致使信息泄露的情形,电商平台是否承担民事责任成为争议。《电子商务法》第38条仅规定了关系到生命健康的商品和服务,并未将电商平台的安全保障义务扩张到个人信息保护领域,因此电商平台是否对消费者的个人信息具有安全保障义务没有立法根据。针对电商平台为履行信息泄露告知义务的情形,法律上也没有明确其民事责任,当电商平台未履行信息泄露告知义务时,并不影响双方订立合同,一般来说遭受信息泄露的消费者纠纷,通常会被归入隐私权纠纷、侵权责任纠纷和网络购物合同纠纷的案由中,最终也以证据不足或刑事案件尚未侦破而告终,诉讼中举证难度大,证明责任中诉讼成本过高,法律责任不明确,导致了司法判决较少,消费者能够从中获得赔偿的案件屈指可数。
根据我国刑法的规定,对信息泄露防范义务的具体内容并不完善,要求只有在行政责任未履行或未完全履行的情况下,才能够追究其刑事责任。法律上规定了致使用户信息泄漏,造成严重后果才可被处以刑罚,举证困难并且量刑较困难。综上所述,电商信息泄露防范的法律责任不明确且难以追究,是消费者难以保障自身权益的原因。
三、电商平台信息泄露防范义务制度的完善
1.完善电商平台的信息泄露防范义务规定
首先,需要完善安全管理义务,针对已有的国家标准,与时代相结合,义务主体应当扩展到全体网络运营商,并且制定强制性标准,引导电商平台向高标准的要求靠齐,同时加强和国外的合作交流,学习并采用国外的经验和标准,尽快引进适合我国国情的义务标准。
其次,应当完善信息漏洞防范义务,在交易之前告知消费者保护的范围和内容,规定电商平台在发现漏洞后立即告知消费者,并在法律上明确规定报告的时间地点、详细和报告标准,保障消费者的知情权,让消费者在后续的交易中防范风险。
最后,应当完善信息泄露报告告知义务,在法律规定上设置能够合理履行的报告条件,并完善具体的义务内容,明确报告的对象、时间及报告方式,让电商平台在发现漏洞之后能第一时间上报,而不是造成严重后果之后才上报,避免不必要的经济损失和社会危害。
2.明确电商平台的法律责任
义务的履行需要法律责任作为基础保障,在行政责任、民事责任和刑事责任上共同明确电商平台的责任,才是保障信息安全的最终办法,分为三种情形:
电商平台主动信息泄露之后,应当明确电商平台未按照规定采取保护措施,消费者可主张违约责任和侵权责任,我们可将电商平台的义务视为合同附随义务,电商平台在对消费者的个人信息进行使用的同时,也应当附随对其个人信息进行保护的义务,如果违反了该项合同义务,也应当承担违约责任并且赔償损害。另外一种说法我们可将信息泄露看成是电商平台的侵权行为,信息泄露行为侵害了权利主体的安全权,造成损害的,应当承担侵权责任;电商平台未实施有效措施致使信息泄露的,应当认为电商平台对商户信息有安全保障义务,在信息被窃取和利用的情况下,承担补充责任;电商平台未履行信息泄露告知义务的,介于个人信息价值和损失无法估量,在我国可以引入惩罚性赔偿金这一概念,规定处罚金额是促进电商平台提早告知的保障性办法。
信息泄露是困扰消费者们的一大法律问题,电商平台与消费者之间存在地位不对等的情况,消费者很难在信息泄露的第一时间发现,往往是在第三者已取得信息,并对其发出数据和诈骗信息时才有所察觉,在实践中应当对消费者适当倾斜保护,从而最大化地保证消费者在进行电子商务活动中的个人信息的安全。明确电商平台信息泄露防范义务的具体内容,有助于遏制信息泄露这一社会问题,保障消费者的合法权益。如果消费者能在一个安全的电商环境中进行消费和接受服务,有利于电商平台的健康可持续发展。
参考文献:
[1]阚志军,熊文萍.电商行业用户信息保护机制创新研究.电子商务,2019(04).
[2]包涵.浅谈电子商务对个人信息的保护.法制博览,2020(03).
[3]徐肖.电子时代下中的个人信息保护研究.区域治理,2019(08).
[4]刘雪营,胡天琦.《电子商务法》对个人信息保护及经营者风险防范研究.法制与经济,2019(02).