梁 栋

(中国政法大学 刑事司法学院，北京 100088)

电商产业近年来快速发展，2020年全国电商交易额达37.21万亿元，其中网上零售额11.76万亿元，网络购物用户规模达到7.82亿，中国继续保持了全球规模最大、最具活力的网络零售市场地位[1]。这其中，消费者个人信息发挥着重要的助力作用，电商平台收集大量的用户信息并对用户行为精准分析，以此不断提升服务质量和水平。但与此同时消费者个人信息安全也面临巨大威胁，近年来频发的电商平台消费者信息泄露事件便是例证。

如何保护消费者个人信息以助力和实现电商产业的长远与良性发展，这是电商平台面临的突出问题。电商平台多制定和公布“隐私政策”，通过对其条款内容和执行情况进行分析，便可描摹平台对消费者个人信息的重视程度与保护水平。当前关于个人信息保护的研究较为丰富，但是以电商平台隐私政策为视角进行的研究却较为匮乏。因此，本文拟以电商平台的市场知名度和用户量为标准，选择国内几款电商平台的隐私政策文本作为研究对象并对其内容进行分析，在总结现状的基础上发现问题，并据此提出相应的建议。

一、电商平台隐私政策的内涵及性质

1.隐私政策的基本内涵

隐私政策也被称为隐私声明或隐私保护协议，是电商平台关于保护消费者个人信息安全的规则，是平台关于合法处理消费者个人信息的相应承诺，也是平台保护用户个人信息的最低标准[2]。隐私政策通常被规定在网络服务协议当中，但随着隐私问题的社会关注度越来越高，独立发布隐私政策成为普遍做法。隐私政策内嵌于电商平台内部，如手机淘宝的隐私政策位于“设置—隐私—隐私政策”，手机京东的隐私政策位于“设置—关于京东APP—隐私政策”。隐私政策可以反映出电商平台在个人信息各个处理环节的具体操作流程和规范，因此可以作为评判电商平台个人信息处理行为是否合法合规的重要参考[3]。隐私政策的有无及完善程度在一定程度上决定了电商平台能否同消费者实现充分互动。电商平台可以通过公示和披露隐私政策来向消费者展示其保护个人信息的实践状况，消费者也可以据此就个人信息安全问题向平台提出申诉。总的来看，隐私政策已经成为评判电商平台保护用户个人信息状况的依据和标准，也在一定程度上影响着电商平台的市场认可度与收益水平[4]。毕竟，电商平台并不一定完全按照其隐私政策中的承诺规则行事，但是隐私政策缺失、不完整或者不合理的电商平台，其个人信息保护状况必然难以达到理想状态。

2.隐私政策的多元属性

隐私政策具有多元属性。首先，隐私政策具有合同属性。“隐私政策的性质已经不再是一种声明，而是建立在双方合意基础上的协议”[5]。可以将平台发布隐私政策和用户对隐私政策的同意分别看作要约与承诺。用户授权同意平台采集利用其个人信息并享受平台提供的服务，而平台则需要按照隐私政策条款内容保护用户个人信息并提供电商服务。其次，隐私政策具有一定的社会属性。电商平台中的消费者个人信息蕴含一定社会价值，电商平台基于用户信息所作的各种决策行为须符合公共利益。当社会公众对电商平台个人信息处理行为的“知情”意识以及问责态度愈发强烈，隐私政策就成为平台社会形象的一部分。最后，隐私政策是电商平台自我规制的重要手段，是平台保护消费者个人信息的自律措施，也是平台保护用户隐私应当达到的最低标准。在兼备多元属性的前提下，隐私政策发挥着告知、制约和监督功能，隐私政策告知消费者其所享有的个人信息权利以及平台将如何处理其个人信息；隐私政策明确了平台的个人信息安全保障义务，以规制个人信息的不当收集、使用或其他侵害信息主体权利的行为；隐私政策也可作为评判电商平台个人信息保护水平和社会公信力的重要标准。

二、电商平台隐私政策研究样本选取与内容分析

1.隐私政策研究样本

根据Alexa和站长之家电商网站排名，综合考虑市场知名度、在线交易量等因素，本文按照综合电商、直播电商、社交电商、团购电商、旅游电商、跨境电商的电商类型划分，分别在每种类型下选择2家电商平台并收集其隐私政策作为研究样本，具体如表1所示。作为研究样本的平台均选择发布独立于用户协议的隐私政策，用户是否同意和接受隐私政策直接影响电商平台的注册和使用，如表2所示。隐私政策的内容架构层次分明，主要对下列事项作出规定：(1)个人信息的收集和使用；(2)个人信息的存储与保护；(3)个人信息的共享、转移和披露；(4)用户个人信息权；(5)未成年人个人信息保护；(6)Cookies和同类技术；(7)其他，比如隐私政策的适用范围及更新、联系方式等。

表1 作为研究样本的电商平台隐私政策

表2 作为研究样本的电商平台隐私政策概况

电商模式平台名称电商平台隐私政策的独立性用户同意是否为平台注册必要条件团购电商美团饿了么《美团用户服务协议》《美团隐私政策》《服务条款和协议》《饿了么隐私政策》是是旅游电商去哪儿携程《用户协议》《隐私政策》《用户协议》《隐私政策》是是跨境电商天猫国际考拉海购《用户服务协议》《天猫国际隐私权政策》《考拉海购服务协议》《隐私权政策》是是

2.隐私政策样本内容分析

(1)个人信息的收集和使用

“告知信息主体并征求其同意”已成为电商平台对个人信息作出处理行为的前提性条件，但是对于普通用户而言，其往往较难理解隐私政策中出现的各种专业术语，这就需要平台在隐私政策中对相关概念作出解释。根据《网络安全法》第41条规定，多数电商平台均在隐私政策中明确列出了个人信息采集和利用的目的、方式及范围。其中采集和利用个人信息的目的主要包括完成用户注册、提供商品或服务、优化用户体验、实现安全保障等，而方式主要有用户主动提供、平台自动获取、来自第三方或其他来源这3种。关于个人信息采集和利用的范围，则包括用户基本信息、在线活动情况、电子设备信息、人际关系网络、银行账户信息等，具体如表3所示。

表3 个人信息的收集和利用

(2)个人信息的存储与保护

关于个人信息的存储，多数平台隐私政策主要对存储的地点和时间进行了明确。其中存储地点以境内为主，只有在法律明确规定或者获得用户明确授权的情况下才会向境外提供个人信息。例如，《快手隐私权保护政策》阐明了其在因为业务发展需要向境外传输个人信息的情况下会明确告知用户并征求其同意，否则一般情况下仅会将个人信息存储在境内。而存储时间多为达成隐私政策所述目的所需要的期限，除非法律另有规定。例如，《小红书用户隐私政策》承诺其按照法律规定在合理及必要期限内存储个人相关信息。在超出存储期限后，平台将根据法律要求对信息进行删除或匿名化处理。

关于个人信息的保护，电商平台主要从信息安全技术、安全管理制度、安全应急响应、用户安全提示4个层面采取手段和措施。首先就信息安全技术来看，电商平台采用的手段包括但不限SSL/TLS加密传输、HTTPS协议安全浏览、信息加密存储、数据中心访问控制等，部分平台还积极开展信息安全认证。其次就安全管理制度来看，平台建立信息分级分类制度和专门的个人信息保护部门，以强化平台对用户个人信息保护的治理。例如，去哪儿网还对可能接触到用户个人信息的员工进行严格的管理和监控，与员工签署保密协议。再次是在安全应急响应方面，当电商平台的物理、技术或管理防护措施遭到破坏，平台将及时启动应急预案以尽可能降低用户损失，其中包括告知事件情况和可能影响、已经采取或即将采取的措施、用户可以自主采取的措施等，平台还将按照要求及时将安全事件处理情况上报监管部门。最后在用户安全提示层面，电商平台多建议用户采取积极措施保护个人信息安全，包括但不限于使用复杂密码、定期修改密码、不轻易泄露自己的账号密码、谨慎考虑是否公开或分享相关信息等，如表4所示。

表4 个人信息的存储

(3)个人信息的共享、转移和披露

电商平台承担着对用户个人信息的保密义务，但是也皆在隐私政策中明确了可能会共享、转移或披露个人信息的特殊情形，如表5所示。平台对用户信息的共享通常发生在以下情形中：①法定情形：平台根据法律规定，基于诉讼或争议解决的需要，按照行政、司法机关提出的要求，对外共享用户信息；②获得用户明确同意：用户作出明确的同意或授权表示允许平台将其信息共享给第三方；③基于为用户提供产品或服务的需要：为了实现个性化广告推荐、商品或服务配送及售后服务需要等目的而将信息共享给关联公司或授权合作伙伴。通常情况下，电商平台不会将用户信息转让给其他主体，除非是发生了以下两种情况：①用户明确表示同意；②电商企业发生合并、分立、破产清算、资产或业务收购与出售等情形。个人信息的披露一般情况下也不会发生，除非是在用户明确同意、主动选择的情况下，或者是出现了用户违反法律法规或平台协议规则而出于保护用户或公众人身财产权利免受侵害的目的。除此之外，隐私政策还规定了无需事先征得授权同意的个人信息共享、转移与披露情形，大致可归纳为与国家安全相关、与公共安全相关、与司法或行政执法相关、出于维护用户本人或他人合法权利的目的、用户自行披露以及从合法公开披露渠道收集的信息。

表5 个人信息的共享、转移和披露

(4)用户个人信息权

电商平台普遍于隐私政策中就用户享有的个人信息权作出了明确规定，用户对其个人信息享有以下几种权利。①知情权：这是电商平台用户其他个人信息权利得以行使的前提，是指用户有权对电商平台收集、使用其个人信息的范围、目的及处理方法等内容予以知悉和了解。②访问权：用户有权查询和访问平台收集和存储的个人信息。例如，小红书用户可通过点击“我—设置—账号与安全”访问包括其头像、昵称、性别、常住地等在内的个人信息。③更正权：用户有权要求平台对其信息进行更正和补充。如京东用户可以在“我的京东”页面的“账户设置”菜单栏中修正和更新其提交给京东的实名认证信息外的其他个人信息，也可通过拨打95118服务热线申请修改实名认证信息。④删除权：用户有权要求平台删除其个人信息。如快手用户可以在客户端应用程序中点击“头像—编辑个人资料”删除生日、星座、所在地等账户信息，也可点击“搜索”，在搜索历史下点击“删除图标”来删除搜索记录。⑤撤销权：用户有权收回或改变对平台采集和处理其个人信息所作出的授权同意。⑥可携带权：用户有权要求平台提供其获取的自身相关个人信息，并且可以无障碍地将相关个人信息提供给其他个人信息处理者。

(5)未成年人个人信息保护

由于缺乏对个人信息安全风险及防范的认知，未成年人个人信息遭到泄露和滥用风险更大。因此，电商平台普遍制定了专门针对未成年人的个人信息保护条款，例如，淘宝制定了专门的《儿童个人信息保护规则》，抖音也出台了《儿童/青少年使用须知》。其主要包括以下内容：①声明产品和服务主要面向成年人；②未成年人在使用产品和接受服务之前需取得监护人书面同意；③监护人对平台个人信息处理行为有疑问的，应当及时同平台联系；④对未成年人信息的使用、共享、转移和披露只有在法律允许、监护人明确同意或者保护未成年人所必要的情况下才会发生；⑤发现存在未事先征得监护人同意的，平台将立刻采取措施将信息删除。但是，电商平台多对用户采用推定其在使用过程中具有相应的民事行为能力的方式，而并未采取强制措施来确保监护人同意在未成年人接受电商平台服务之前来实现，因此，电商平台应当改进向未成年人监护人征询意见的方式，比如可以采用诸如拨打免费电话和发送电子邮件等形式来获得监护人同意[6]。

(6)Cookie和同类技术

平台会在用户登录时保存其登录状态，并为之分配一个或多个Cookie。Cookie及同类技术主要通过发送小型数据文件至计算机来对用户的线上活动进行追踪和记录，这在为用户使用和接受电商服务带来便利的同时也导致用户个人信息泄露的风险加大。电商平台普遍在隐私政策中明确了采用的追踪技术类型，且部分平台不止采用Cookie这一种技术，比如淘宝还使用ETag(实体标签)、像素标签、网站信标等其他同类技术。多数平台也在隐私政策中就Cookie及相关技术的作用做出了说明，比如主要用于简化用户重复登录步骤、存储用户购物偏好与消费数据以方便个性化推荐、辅助判断登录状态以及账户或数据安全等。其中，《抖音隐私政策》明确阐述了其主要将Cookie等同类技术用于保障产品与服务的安全和高效运转、帮助用户获得更加轻松的访问体验、优化与改善产品服务和推荐功能等。绝大多数电商平台还设置了拒绝或者禁止网络追踪技术的操作指引，用户有权拒绝此类追踪技术，如《美团隐私政策》表示用户可以根据自身偏好管理或者删除Cookie。

三、电商平台隐私政策中存在的问题

1.平台与用户之间的协商对话存在隔阂

用户查找隐私政策的便利性仍旧有待提高。在本文的研究样本中，尚存在无法在平台网页端如拼多多查找到隐私政策文本的情况，在平台手机端，用户也往往需要点击2到3次乃至4次才能查阅隐私政策(具体见表6)。而面对隐私政策，用户只有作出同意才可享受平台所提供的服务，否则便无法使用电商平台，这实际上剥夺了用户的选择权，普通用户并没有与平台进行协商对话的空间与能力。而如果用户在使用电商平台的过程中就隐私政策提出异议，也只能通过在线客服等途径联系平台运营者，至于平台运营者是否会作出答复、将于何时作出答复以及最终能否消除用户所提异议这些问题均存在较大不确定性，这需要平台及监管机构重点关注。

表6 用户查找隐私政策的便利程度

此外，也有部分隐私政策文本当中还存在表述晦涩、模糊、泛化的问题。比如隐私政策中提出了匿名化、去标识化处理用户信息用于信息共享和优化产品与服务的情形，但是无法界定相关信息是否达到了无法识别用户身份的标准；还有隐私政策中存在明显倾向性或引导性的表述，对用户作出更多的个人信息处理授权进行暗示和引导[7]。也有隐私政策篇幅过长，表述重点不明等问题，均给用户阅读带来挑战，真正阅读和理解隐私政策的用户少之又少。提高隐私政策的可读性应当成为电商平台的工作重点，包括语言表达更加通俗易懂、结构布局更加清楚、需用户授权事项及范围更加明确等方面。

2.平台个人信息处理规则存在模糊地带

在个人信息的采集环节，“最少必要”已经成为信息处理者需要遵循的重要原则。《个人信息保护法》第6条明确规定了个人信息处理应当具有明确、合理的目的，不得进行与实现目的无关的处理活动[8]；《信息安全技术 个人信息安全规范》第5.2条要求信息控制者收集和获取的个人信息应当同其业务功能直接相关，且是功能实现所需的最低频率和最少数量[9]。但电商平台个人信息采集和利用的实践状况究竟如何？频繁发生的电商平台消费者个人信息泄露事件是最好的例证。电商平台可以利用Cookie等技术在用户无意识的情况下对其在线行为进行跟踪和记录，只要消费者在电商平台上进行活动，其行为便有被记录的可能。多数电商平台均在隐私政策中表明了可能开启收集地理位置、读取通讯录、使用摄像头和启用录音以及其他功能。比如淘宝《隐私权政策》明确阐释了其会根据用户在访问或使用中的具体操作，接收并记录设备所在的位置相关信息；拼多多也在隐私政策中表明其可能会出于推荐商品或服务的目的采集用户位置信息并以此判断用户所处地点，但这些信息是否为平台开展业务之必需，这一点却存在较大的不确定性。

在个人信息的共享、转移和披露环节，由于信息的价值通常不会随着使用频率的增加而减少，而往往是在不断的流通共享中得到发挥和增强，面对个人信息当中蕴藏的巨大价值，电子商务平台通常无法抵挡信息共享、转移和披露的诱惑。通过分析可以发现，隐私政策更多强调的是平台有权将消费者信息同相关主体进行共享，有权在电商企业发生合并、分立、清算等情形时将信息转移，有权在信息主体明确同意、出于维护公共利益的目的、法律法规强制性要求的情况下合法披露信息。但是，隐私政策却忽略了在此过程中平台应当相应承担的义务和责任。特别值得注意的是，用户信息共享存在归属于同一企业的不同平台隐私政策允许将各自用户信息共享这种特殊情形，这被称之为互联网巨头公司的信息聚合效应。这种形式的信息共享能够极大地增强平台的整体服务水平和市场竞争力，电商企业可以将分散在多个平台的用户信息予以整合，进而使得用户在平台中的形象更加立体、真实、生动，但所产生的负面效应便是用户个人信息安全更易遭到侵犯，用户信息泄露的风险和保护难度均大大增加，更强的信息聚合带来的更多的数字监控，造成了消费者和巨头公司之间的信息不对称，增强了公司的力量却削减了消费者的选择自由[10]。因此，电商企业应当更加重视平台对用户信息安全的维护，应当在隐私政策当中更加清晰地界定平台所应当承担的义务与责任。

3.信息主体的可携带权利面临落地困境

《个人信息保护法》第45条就信息主体所享有的可携带权利作出了明确规定。信息可携带权是指信息主体有权从电商平台等信息处理者处获取其相关个人信息，并且在技术条件允许的情况下，可以将这些个人信息无障碍地提供和传输给另一个信息处理者。在我国起草《个人信息保护法》的过程中，学界一直存在是否可以就可携带权作出规定的争议，最终通过的《个人信息保护法》第45条第3款对可携带权予以了确认。《个人信息保护法》通过并实行以后，部分电商平台在新修订的隐私政策当中明确承认了平台用户享有信息可携带权利。比如，京东商城在隐私政策中明确阐明了用户有权获取其自身相关个人信息的副本，用户可以随时联系京东平台并要求其提供自身相关个人信息副本[11]。再比如，去哪儿网也说明了用户可以通过访问线上客服系统，拨打客服电话，或者向个人信息保护负责人发送电子邮件的形式来获取个人信息副本，如果出于特殊原因不能将个人信息副本向第三方提供的，去哪儿网还会主动为用户寻找替代性的解决方案[12]。

不过，仍然有一部分电商平台并未在隐私政策中就信息主体的可携带权利作出明确规定。在本文的研究样本中，有50%的电商平台隐私政策文本中未出现信息可携带权利的相关内容，如表7所示，这就造成可携带权利地落地面临实现困境。

表7 个人信息的可携带权利

4.信息的存储期限与保护措施告知不明

《个人信息保护法》第17条要求信息处理者应当在个人信息处理活动前将信息保存期限等内容明确告知信息主体。但实践当中电商平台的隐私政策往往未对消费者个人信息的存储期限予以明确说明。作为本文研究样本的隐私政策文本中多采用如“实现目的所必需的最短时间”以及类似含糊不清、难以理解的表述。还有电商平台规定了平台变更消费者个人信息存储期限的数项例外情形，这些进一步加大了电商平台存储用户个人信息期限的不确定性，甚至使得平台存储用户信息的期限并未受到实质性约束。而在用户停止使用或注销账号之后，平台保存用户信息的期限更加不确定，隐私政策普遍采用类似“平台将在用户账号注销后适时删除或匿名化处理用户信息”的表述。数字信息技术的发展使得每个人的在线活动行为越来越难“被遗忘”，允许平台长期保存用户信息对私人生活构成严重威胁，增加用户生活中的不安全感。电商平台应当设定和明确信息存储的“到期日”，在“到期日”来临之际，平台自动删除相关用户信息。这种“到期日”的设计是基于数据保留的“目的限制”原则，因为某种特殊目的将个人信息委托给某主体，在这种目的实现之后，该主体便不再具有能够使用该个人信息的条件，自然应该将个人信息删除。

是否具备充足可行的信息安全保护措施是衡量电商平台对用户个人信息保护能力的重要参考依据。电商平台主要在信息安全技术、安全管理制度、安全应急响应、用户安全提示4个层面来保护用户信息，但是电商平台在信息安全保护措施的具体落实上也存在诸多差异和不完善之处。虽然电商平台普遍表示将采用信息安全技术保护用户信息和强调了信息安全技术的重要性，但是并不是所有的平台均明确了可能采取的信息安全技术措施。比如抖音在隐私政策中仅表示其会采用不低于同行的加密技术等措施来保护用户信息，这种泛化而又模糊的表述方式当落实在具体操作层面显得既空洞又缺乏实际价值。

5.对未成年人用户信息保护的规定不足

应当注意到是，随着法律规定的趋严，多数电商平台在落实对未成年人用户信息保护方面的态度较过去已经更加积极，手段也更加充分。作为本文研究样本的电商平台均在隐私政策当中单独设置“未成年人个人信息保护”章节。例如，淘宝平台制定了专门的《儿童个人信息保护规则》；抖音平台更是提供了未成年保护工具等功能，抖音会在每天用户首次登陆时提醒是否打开儿童/青少年模式，未成年用户的监护人可以在接受《抖音亲子平台服务协议》之后，在平台帮助下对未成年人用户账号采取限制使用时长和内容过滤等措施。但不容忽视的是，即便平台均在隐私政策当中单独列出“未成年人个人信息保护”章节，但是其具体内容当中依然存在显著差异，如拼多多对于未成年人用户信息保护的相关规定内容十分有限，特别是关于未成年人父母及其他监护人对未成年人用户的监护职责界定不清。

同时存在的问题是，对于电商平台的用户，平台往往推定其具有相应的民事行为能力，比如“快手”和“饿了么”隐私政策表明其推定使用平台服务的用户具有相应的民事行为能力。也就是说，电商平台并不会采取积极主动的措施来确认用户是否为未成年人，遑论平台是否会采取积极手段确保未成年用户的使用已经取得了监护人同意。对于未成年人这一行为识别能力有限的特殊群体，为了保护其个人信息，电商平台应当肩负和承担更高水平的注意义务。平台可以借助信息技术对用户身份予以辨别和确认，比如可以通过用户浏览的页面和商品内容来判断其是否属于未成年人，而对于确认了未成年人身份的用户，电商平台更应该采取诸如发送电子邮件抑或拨打电话等积极主动的措施确认未成年用户使用电商平台已经获得父母或其他监护人同意。

6.平台的外部独立监督机构设置不到位

作为数字经济的关键构成要素，大型电商平台在商业经营者与在线消费者的交易当中发挥着中介作用，扮演着守门人的角色。由于其占据着信息优势地位，平台既可以借此来构筑市场准入壁垒从而影响电商市场秩序，也可以借此直接影响在线消费者的合法权益。因此，作为互联网生态的关键环节，大型电商平台需要肩负起更多的个人信息保护责任，法律也需要为之配置同其实际影响力和控制力相适应的个人信息保护义务。基于这一原因，我国《个人信息保护法》在借鉴欧盟《数字市场法提案》和《数字服务法提案》的基础上，强化了大型平台的个人信息保护义务。《个人信息保护法》第52条要求平台指定专门的个人信息保护负责人，第58条还要求平台应当成立独立的机构来对自身的个人信息保护情况进行监督，机构应当由外部成员构成。

从本文的研究样本来看，各电商平台均在隐私政策中设立了专门的个人信息保护负责人。比如，淘宝在隐私政策末尾声明用户可以通过发送电子邮件的形式同淘宝的个人信息保护专职部门取得联系，去哪儿网也在隐私政策中声明用户可以发送电子邮件来联系个人信息保护负责人，用户也可以直接将相关问题邮寄至个人信息保护负责人的办公地点。不过，在本文研究的电商平台隐私政策文本当中，均并未出现关于外部独立监督机构的相关内容，这就导致《个人信息保护法》中关于成立“主要由外部成员组成的独立机构”的规定落空。

四、电商平台消费者个人信息保护的规范思路

1.夯实平台用户隐私保护政策法律基础

电商平台隐私政策中出现和存在的关于个人信息处理规定虚化、规则模糊、保障有限等问题，一定程度上仍旧依赖相关法律规范完善来解决。因此，应当持续优化和完善个人信息保护的法律法规体系，夯实电商平台隐私政策的法律基础。从域外立法状况来看，美国联邦层面并未进行统一的个人信息保护立法，而是在提供宏观依据的同时注重重点领域和地方立法，比如旨在规制网络经营者非法处理13周岁以下儿童个人信息行为的《儿童在线隐私保护法》(The Children’s Online Privacy Protection Act,COPPA)和作为互联网科技公司聚集地的加州出台的《加州消费者隐私法》(California Consumer Privacy Act,CPPA)等；欧盟则进行了以《通用数据保护条例》(General Data Protection Regulation,GDPR)为核心的个人信息保护统一立法，从基本原则、信息主体的权利、信息控制者与处理者的义务、个人信息的跨境传输、独立的监管机构等多个层面搭建起完整的个人信息保护框架，整体上对信息处理者提出了更高的要求，最大限度地降低了个人信息滥用的可能性。不仅仅是美国和欧盟，面对数据信息作为关键性生产要素的地位日益突出以及个人信息安全风险加剧的现实局面，其他国家也日益重视和加强个人信息保护方面的相关立法。比如，日本于2017年对《个人信息保护法》进行了较大幅度的修订，扩大了个人信息保护的范围，针对企业经营者设定了更为严格的义务，特别设立了个人信息保护委员会作为专门的监管主体。2020年，日本再次对《个人信息保护法》进行修改，新增了关于人脸识别信息使用的相关规定，还建立了强制性的信息泄露报告制度。

反观我国的个人信息保护立法历程及法律规范体系，我国最早是在公法层面来对个人信息加以保护。《刑法修正案(五)》最早对侵害公民个人信息犯罪作出规定，《网络安全法》将保护个人信息作为捍卫网络安全的重要组成部分。在民事层面，《消费者权益保护法》就个人信息保护作出规定；《民法总则》明确提出了保护公民的“个人信息”和“隐私权”；《民法典》的规定更加详细，在为信息处理行为提供规则指引的同时也回应了理论上长期存在的一系列争议。2021年8月，我国正式通过了《个人信息保护法》，这是我国个人信息保护领域的基本法，该法于2021年11月开始实施。统一的个人信息保护法具有系统性和权威性的优势，但是在实际应用当中也面临着难以适应不同行业领域具体情况的问题。鉴于电子商务领域的消费者个人信息保护具有权利主体弱势地位更加明显、权利客体范围更加广阔、侵权行为主体更加复杂多样、侵权行为发生的隐蔽性更强、个人信息财产权属性更加突出等特点，我国可考虑借鉴美国的经验做法，制定和出台更具行业针对性的电子商务消费者个人信息保护法律规范，从而为电商消费者个人信息安全提供更加周全细致的保护。

2.优化拓宽平台与用户之间的对话路径

面对电商平台企业，普通用户天然处于弱势地位，拓宽平台和用户之间的协商对话空间非常必要。首先，平台应当提高用户在制定和修改隐私政策过程中的参与度。通常情况下，隐私政策由电商平台予以单方制定和修订，除非不再使用该平台，用户面对隐私政策内容只能选择同意和接受，这种隐私政策的单方性特征使得平台与用户之间难以真正就个人信息保护达成合意与合力。只有提高用户在隐私政策制订修改过程中参与度，使平台和用户双方在交流过程中充分表达自身诉求，才能实现隐私政策规则内容优化。平台可成立专门部门和指派专人负责同用户进行协商沟通，也可邀请用户参与隐私政策的制定与修改过程，还可建立对提供意见和建议用户的奖励激励机制。其次，平台需要增强隐私政策的显著性和通俗性。电商平台通常在用户首次安装和注册时提示其阅读和同意隐私政策，并采用较为显著的方式提醒用户关注，常见的方式有使用特殊字体、字号、颜色展示重点条款，或者通过鲜明的版面设计吸引用户，又或以视频、音频等方式向用户展示隐私政策，甚至有平台采用要求用户填写关键信息、选择正确答案等行为验证。这些方式固然在一定程度上提高了隐私政策显著性，但是对普通用户来说，隐私政策中部分内容仍然具有较强的专业性。电商平台需要采用更加清晰准确和通俗易懂的方式向用户说明相关内容，使用户充分认知自身享有的个人信息权利和平台的信息处理行为。最后，平台可以提前向用户展示隐私政策的时间。从目前来看，电商平台多是在用户下载和安装后再向用户提供和展示隐私政策，用户只有先下载和安装平台后才能了解隐私政策。有学者在对国外应用进行考察后发现，部分软件的隐私政策在应用市场的搜索和下载界面即可跳转和查看，用户在下载和安装之前便可了解隐私政策内容，并据此作出是否下载和使用的决定[13]。国内电商平台可以借鉴这种方式，以保障用户知情选择权的充分实现。

3.健全对平台隐私政策的审查监管机制

行之有效的监管机制是平台隐私政策得以完善和落实的保障，而高效的监管机制又有赖于监管部门的牵头实施。我国《个人信息保护法》第60条规定了由国家网信办负责统筹协调个人信息保护相关工作，但不仅仅是网信办，目前我国多个政府机构和部门均具有查处个人信息违法违规现象的权力，这便导致了部门之间可能会出现信息沟通不畅、工作衔接失位以及相互推诿的问题出现，构建强力、动态、高效的个人信息监管机制势在必行。首先，监管部门之间应当加强沟通协调，更加注重对平台隐私政策的审查，只有审查合格的平台才可以正常上线运营；审查不合格的，监管部门应当勒令其进行修改，再次审查合格后平台才可继续运营；多次审查不合格的，监管部门可采取罚款、通报等手段予以惩戒。我国可以考虑在适当的时机建立专门的个人信息保护机构。对于这一点，欧盟的经验值得我国借鉴。欧盟早在1995年的《个人数据保护指令》当中便规定了设立独立监管机构的内容，《通用数据保护条例》(GDPR)在此基础上以独立一章(第六章)的篇幅就设立独立监管机构作出了更加详细的规定，特别强调个人信息保护机构应当能够独立地行使权力和履行职责。其次，我国应当注重行业自律在监管机制中的作用。我国可以借鉴美国的行业自律手段与措施经验：由行业自律组织适时制定和发布行业指引，并要求作为组织成员的电商平台承诺遵守行业指引和保护用户信息，美国具有较强代表性的行业自律组织在线隐私联盟(Online Privacy Alliance,OPA)曾经发布在线隐私指引，要求其成员保护网络中的消费者个人信息；也可以建立个人信息安全认证机制，即由具备社会公信力的单独信息安全认证机构来调查电商平台的信息处理行为是否符合法律法规以及认证机构制定的相关规范与要求。对于符合规范要求的电商平台，认证机构给予认证合格标识并允许平台公示，平台用户可以根据认证标识来判断平台对用户个人信息的保护水平，目前美国便存在多种形式的网络隐私认证组织，其中TRUSTe、BBBOnline和WebTrust最有代表性。最后，我国还应该建立社会公众监督机制，积极发挥电子商务消费者的监督作用。监管部门和行业组织可以采取激励手段，鼓励社会公众对电商平台隐私政策的制定和实施情况进行监督，用户在发现隐私政策存在不完善不合规之处抑或是平台存在泄露用户信息情况时能够及时指出，通过广泛动员和发挥消费者的力量与监督作用，保证出现泄露用户个人信息行为的电商平台得到应有惩罚，从而提高平台的个人信息保护责任，降低侵害个人信息事件的发生概率。

4.强化对电商平台经营者的全流程监管

强化和落实平台责任是保护电商消费者个人信息的重要环节。就目前来看，《个人信息保护法》《网络安全法》《消费者权益保护法》《电子商务法》等法律规范中均明确规定了监管部门有权对存在非法个人信息处理行为的电商平台给予警告、罚款、责令改正、没收违法所得、责令暂停或者终止提供服务等违法处罚措施，特别是《个人信息保护法》在借鉴和吸收欧盟立法经验的基础上加大了对非法行为主体的处罚力度，加重了电商平台经营者等信息处理主体的违法成本。但是，监管部门过于依赖事后处罚的监管手段却在一定程度上忽视了事前和事中监管手段的落实。出于助力电商产业发展之考量，监管部门不应当对电商经营者的消费者个人信息处理行为予以过于严苛的事先限制，但这并不意味着监管部门可以在事前防范阶段对电商经营者放任自流。我国监管部门当前主要采用行政约谈的手段对电商经营者进行事中监管，但行政约谈的主要功能在于沟通、协商、警示和告诫，并不具有强制效力，难以真正对存在侵害消费者个人信息行为的电商经营者实现有效规制[14]。即便是在事后处罚阶段，我国当前的行政处罚规则也存在需要进一步明确的空间。比如《个人信息保护法》中仅以“情节严重”与否作为判断不同违法行为所需承担行政责任的标准，但是对于何为“情节严重”却并未明确。总的来说，在当前数字经济蓬勃发展和全球竞争日趋激烈的大背景下，固然需要给予电商企业一定的扶持，但是面对中国电商企业已经并必将继续走向世界的未来趋势，通过强化全流程监管来提高企业的个人信息保护和合规意识确有必要。毕竟，随着海外市场的开拓，电商企业所面临的法律合规风险将不仅来自于国内，更可能来自国外。

5.着力推行个人信息保护公益诉讼制度

由于个人信息自身带有明显的私益属性，电商消费者可以通过传统的民法保护方式依赖个案解决提起私益诉讼来捍卫其权益，在最高法2020年12月制定颁布的《民法典》人格权编司法解释当中，“个人信息保护”也被增加为一项新的民事案件案由。但是，面对实力雄厚的电子商务平台，单个消费者在提起私益诉讼时可能显得力不从心，而当大型消费者信息泄露事件发生，分别由消费者提起私益诉讼也可能造成司法资源的浪费。更何况，大规模信息泄露事件同时也关涉到社会公共利益，数字经济时代的个人信息呈现出更多的社会公共属性，私益与公益的界限不再清晰，保护平台用户信息安全不再仅仅是个体消费者的需求，同时也涉及到社会治理和国家治理的公共价值实现[15]。在这种情况下，公益诉讼便是一种更为高效的电商消费者个人信息保护方式。所谓公益诉讼，是指在公共利益遭遇非法侵害时，出于捍卫公共利益的目的由相关主体根据法律规定向法院提起诉讼的特别程序制度[16]。目前的司法实践当中已经出现了个人信息保护公益诉讼的典型案例，比如2017年12月江苏省消费者权益保护委员会就百度涉嫌违规收集消费者个人信息提起的民事公益诉讼[17]，以及2021年1月杭州市下城区检察院提起的个人信息保护民事公益诉讼[18]；《个人信息保护法》第70条更是明文规定了个人信息保护的公益诉讼制度。在电商消费者个人信息保护领域推行公益诉讼制度，能够有效整合社会资源，形成全方位的个人信息保护屏障。不过，当前关于个人信息保护公益诉讼制度的规定仍旧较为笼统，诸如立案标准和起诉条件等个人信息保护公益诉讼类案件的实体与程序类问题有待在未来进一步明确。

五、结 语

在数字经济蓬勃发展和数据信息安全形势严峻的大背景下，强化对电商消费者个人信息保护成为迫切的时代需求。平台隐私政策在保护电商消费者个人信息中扮演着重要角色，不仅仅是平台与用户之间就信息保护达成的合意，更是平台实现有效自律和其他主体监督平台的手段。本文通过观察和比较多个平台的隐私政策文本可以发现：信息的收集和使用，存储与保护，共享、转移和披露，用户权利，未成年人保护，Cookie和同类技术构成了隐私政策文本内容的6大核心内容。但隐私政策当中仍然存在平台与用户对话沟通困难、个人信息处理规则模糊、信息可携带权利落地困难、信息存储期限和保护措施告知不明、未成年人信息保护不足、平台的外部独立监督机构设置不到位等突出问题，需要继续夯实法律保护基础和拓宽平台与用户之间的协商对话路径、健全审查机制、强化全流程监管、着力推行公益诉讼制度，从而实现对电商消费者个人信息更加周全细致的保护。