浅谈电子商务中对个人信息的保护
2020-11-30
上海大学,上海 200444
一、电子商务实践中用户个人信息保护存在的问题
电子商务在我国发展已趋成熟,提供的平台形式也愈加丰富,除了传统的购物网站外,目前普及的还有手机应用软件、社交媒体平台等,形式上的多样化也增加了电商运营者采集用户信息的渠道。实践中,电商运营者在采集和使用个人信息时往往会出现不利于用户的情形发生,比如,不主动向用户展示隐私条款,尤其在新兴的电商购物渠道,如微信小程序等社交媒体上销售产品,很多电商运营者未提供相关条款的查阅渠道。即便展示,隐私条款内容笼统,也不对个人信息的采集和使用目的、方式等加以明确说明。若条款内容过于复杂,一般消费者无法理解。还有比较常见的问题是许多电商运营者不给用户提供删除个人信息、撤回个人信息授权、关闭信息收集的功能权限或过度收集与提供服务无关的个人信息并将该等信息转让或与第三方共享。这些是实践中许多电商运营主体在采集和使用用户信息时的常见情况,对用户隐私权的保护带来许多负面影响。
二、我国对个人信息保护的相关法律规定
目前我国对于用户个人信息收集和保护虽没有明确规定,但网络安全法律体系已基本成型。涉及电子商务用户个人信息保护的法律规定主要有《网络安全法》、《电子商务法》、以及其他如《刑法》、《民法总则》、《消费者权益保护法》中涉及个人信息保护的条款,笔者在此不再赘述。
(一)《网络安全法》对个人信息保护的相关规定
《网安法》适用的对象包括电商运营者在内的网络经营者,《网安法》对个人信息的保护主要体现在网络信息安全一章中,而一些比较大型的电商平台可能会被认定为关键信息基础设施运营者而受到更严格的法律规制。
《网安法》规定了网络运营者在对个人信息收集时应遵循的主要原则,收集信息前应经过被收集人的同意并告知被收集人收集信息的目的、方式和范围等信息,网络运营者不得过度收集与提供服务无关的信息,也不得将收集到的个人信息擅自提供给第三方,也有对个人信息删除权的规定。
《网安法》明确了许多网络运营者维护网络安全的责任义务,其中的规定也涵盖了许多网络运营者在业务运作时不恰当收集、使用用户个人信息应予以规范的情况,但相关规定还是比较笼统的原则性条文。值得一提的是国家之后制定的《信息安全技术个人信息安全规范》(以下简称“《规范》”),《规范》中对于个人信息的保护内容与《网安法》可谓相辅相成,《规范》在《网安法》对于“个人信息”定义的基础上又进一步做出了更具体的定义,也确立了许多与目前技术发展相适应的信息安全标准,为网络经营者在收集和使用个人信息过程中的难点提供了解决思路,但《规范》属于推荐性国家标准,并不具有绝对强制性。
(二)《电子商务法》对个人信息保护的有关规定
《电商法》规制的是电子商务经营者,包括平台经营者、平台内经营者以及诸如自建网站等其他通过网络销售商品或服务的经营者,因此除了传统购物网站、手机应用购物软件外,在一些社交媒体平台从事商品销售的,甚至视频直播销售也属于该法律的规制对象。
《电商法》对于个人信息的保护规定主要体现在要求购物平台向用户公示相关平台规则、政策,进一步要求电商运营者应当遵守诸如《网安法》等相关法律规定,还比《网安法》在运营者允许用户撤回个人信息授权、删除、更正用户信息等方面做了更严格的要求。《网安法》仅规定在个人发现网络运营者违法、违约使用信息或信息有误时有权要求运营者删除及更正,但《电商法》则未设置运营者违法、违约使用信息这一前提条件并且要求电商运营者对用户明示相关注销、查询、更正的途径,就这一点来说《电商法》的规定更体现了对用户个人信息保护的加强。
然而《电商法》对于个人信息保护的规定更为笼统,且大部分规定主要针对传统大型电商平台,这与目前市场上电商运营者形态多样化的特点不相适应。
三、对用户个人信息收集和保护的建议
结合前文目前电商运营者在收集和保护用户个人信息时的不恰当行为,我国已经有诸如《网安法》、《电商法》等针对此类行为予以规范,但实践中用户的个人信息仍有过度收集、被不当使用的情况发生,笔者对相关实践中的问题提出如下建议。
(一)对电商经营者的建议
电商经营者除了需要按照相关法律规定在购物平台、线上购物渠道提供必要的技术措施以保护用户的个人信息安全外,更需要保障用户对于其个人信息许可的知情权、选择权。除了应明示隐私政策外,也需要用尽量明确、清晰、易懂的文字向用户说明个人信息收集的规则、目的、使用范围等。这里可以适当参考《规范》中提出的部分内容,即便《规范》并非强制性规定,在实践中对电商规范化运营也有借鉴意义。
隐私政策中应明确告知用户个人信息的收集方、使用方、使用目的、收集的个人信息类型,如涉及获取个人敏感信息的,应在隐私政策中突出显示。向用户明确告知诸如Cookie 等信息数据追踪记录技术的基本原理,并应当给出用户不选择使用此类技术时的相应方法,向用户明示个人信息保存的期限、地域以及与第三方的个人信息共享、转让的情况,尤其当涉及到境外传输的情况下,应向用户说明个人信息出境的目的、信息接收方、信息接收方的数据保护能力,以及数据控制者提供了哪些安全保障措施。在隐私政策中向用户明示账户注销、撤回个人信息授权的实现方式等。
电商经营者应当区分其核心业务与附加业务,尤其在收集个人敏感信息时,如因所提供的核心业务需要向用户收集个人敏感信息的,应明确向用户说明拒绝同意收集信息的后果。如因提供附加功能所需收集用户个人敏感信息的,应当向用户说明附加功能包括哪些内容,应逐一说明如不提供哪些敏感信息,则无法获得哪些附加功能,并且用户有权选择拒绝提供,该等拒绝不得影响用户本身享有的核心业务功能。电商运营者还应根据具体场景在使用用户个人信息时尽量将个人信息做匿名化、去标识化处理。
(二)对相关立法完善的建议
目前无论是《网安法》还是《电商法》等对于用户个人信息的保护相关规定都较为笼统,而与《网安法》配套使用的《规范》又仅仅是推荐性国家标准,不具有绝对强制性。而《电商法》中的规定则更为简单,而且许多针对个人信息保护的规定,如明示相关交易规则等主要针对的是电商平台运营者,那对于运用其他购物渠道等方式从事线上产品销售的经营者则未规定是否同样适用且相关法律且很多都是原则性规定,导致实施时缺乏统一标准。
笔者认为要求所有的网络运营者都按照《规范》的规定收集和保护个人信息尚不现实,但《规范》中的部分内容比如隐私政策中的要点、数据控制者对个人信息主体撤回同意、注销账户后的具体信息处理方式等内容可引用为强制性的法律规定。笔者期待能够有更明确的诸如实施细则或专门的个人信息保护法等规范文件可以出台对实践中的相关问题予以进一步解释和说明,由于从事电商的经营者越来越多,电商形式也愈加多样化,制定和实施实操性更强、更透明、更明确的法律规定对于电商领域的业务运作以及个人信息的保护才能更具积极意义。
四、结语
2019 年我国出台了许多与网络安全、个人信息保护的规范文件,包括《儿童个人信息网络保护规定》,最高院、最高检也颁布了非法利用信息网络、帮助信息网络犯罪相关司法解释,前文提到的《规范》也在2019 年进行了三次修订与征求意见、《网络安全审查办法(征求意见稿)》、《数据安全管理办法(征求意见稿)》也相继颁布,从这一年立法的密集程度可见国家对于个人信息保护的积极性。我们亟待我国的网络安全法体系的继续完善,能有更多的法律规定可以落实到电子商务中对于消费者个人信息的保护。