张舒荣
《电子商务法(草案)》二审稿第20条规定:“电子商务经营者收集、使用其用户的个人信息,应当遵守《中华人民共和国网络安全法》等法律、行政法规规定的个人信息保护规则。”这是通过指引性规范对电子商务数据信息的保护做出规范,而《中华人民共和国网络安全法》(以下简称《网络安全法》)针对网络数据信息的安全维护做出了较为详尽的规定,但电子商务数据信息具有特殊性,针对其不同于一般数据信息的商业特征,有必要对网络安全法中没有规定的内容进行补充完善,以加强对电子商务数据信息的全面保护。
随着大数据时代的到来,电子商务数据信息的保护面临着各种困境和挑战,也对其法律保护提出了更高的要求。
随着移动互联网、物联网等新技术的迅速发展,无论知情与否同意与否我们的生活已经处在了一个由数据信息编制而成的巨大网络之中。电子信息社会在给我们带来方便快捷、拓展我们活动空间的同时也引发了各种隐患。当我们在进行各种电子商务活动时,都会面临一系列的隐私授权,如位置信息、通话记录、通讯录等,很多情况下常常是被迫授权,因为不同意就无法使用。而杀毒软件、浏览器、各种购物社交软件也在我们无法知悉的情况下实时记录着我们的各项基本数据活动信息。电子商务数据信息的泄露导致我们经常收到各种莫名其妙的短信、电话和推送,也诱使很多人上当受骗甚至因此想不开而选择轻生。电子商务数据信息关乎的不仅是消费者方的利益,涉及的不仅是个人信息保护的问题,还关系着作为电子商务经营者的利益。现代社会,掌握了数据信息就相当于掌握了生存之道和发展之基,很多电子商务的经营者都将掌握的用户个人信息以及在此基础上加工处理的二次数据作为自己的私有财产,甚至有一些信息咨询公司以此作为赚钱之道。毫无疑问,电子技术的发展促进了数据信息的融通与共享,在有利于我国电子商务产业迅速发展的同时,也严重威胁个人信息安全和经营者私有财产的安全。电子商务数据信息构成了互联网数据信息的大部分,有必要通过法律规范的方式对电子商务数据的流通共享与私有权利保护之间进行价值平衡,实现利益的最大化。
在大数据环境下,侵犯用户的个人信息呈现出犯罪行为多样化、危害全民性和公共性等特征。电子商务用户的个人信息在收集、利用和保管过程中存在着各种各样的安全危机,如用户的个人信息被不法收集和过度收集;网络经营者和网络信息中介公司以盈利为目的直接或进行二次加工后交换、买卖用户的个人信息;网络经营者的信息安全保障系统级别过低也可能导致用户个人数据库被泄露或为不法分子盗取提供可乘之机。
电子商务数据信息的迅速膨胀式发展需要紧跟互联网和电子商务的发展步伐,同时也需传统的数据信息保护适应新的挑战。目前,各国都对个人信息的保护做出了相关立法规定,内容涵盖原则、权利义务、救济等方面,手段包括政府机构、行业自律和用户个人。由于各国国情不同,目前我国正在进入一个全新的无现金式社会,传统立法中对电子商务数据信息的定位及保护规范,处理现在的电子商务数据信息问题具有一定的局限性,有必要针对电子商务发展的特殊性制定促进经济发展符合社会需要的电子商务数据信息保护规则。
制定完善的电子商务数据信息保护法律制度,有必要先对电子商务数据信息的概念、基本类型和权利主体等基本法律问题进行分析。
《网络安全法》中明确:“网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据。”电子商务数据信息是指在电子商务活动中通过互联网收集、存储、传输、处理和产生的各种电子数据信息,不仅包含用户的个人信息,还包含网络经营者收集加工的数据信息。将电子商务数据信息作为隐私权来保护是一种最为简便的方式,但电子商务数据信息与民法中具有人身属性的个人信息相比还有很大区别,其不仅具有人格属性,还体现出了巨大的财产价值,故应当将其作为一种单独的权利加以保护,并且在权利保护方面实行区分对待。当电子商务数据信息主要体现的是人格利益,应当保护其人格权;当主要是体现网络经营者的财产价值时,应保护其财产利益。
电子商务数据信息主要有以下三种类型。(1)用户个人的基本信息。主要包括姓名、电话号码、身份证号、家庭住址等私人信息以及在交易过程中可能涉及的银行卡账号密码等信息。(2)用户网络活动信息。主要是通过追踪和分析用户在进行网络活动时留下的痕迹,判断用户的消费倾向和购买习惯等信息以便为商家进行精准营销提供参考数据。(3)用户信息二次加工数据。网络经营者利用掌握的用户个人信息建立综合的数据库,通过加工分析提取一些用户潜在的具有商业价值的信息,提供给商家制定其下一步的销售策略[1]。
当前社会各界关注重点是数据主体的个人信息权,对电子商务经营者和数据从业者的权利关注较少。运用数据处理技术整理数据从而发掘其商业和社会管理价值,是数据从业者从事数据收集和处理的动力所在,在收集处理、分析活动的同时也凝结了其智力劳动。因此,在不侵害数据主体个人信息权的前提下,应保证数据从业者对其收集加工整理后具有原创性的数据享有的知识产权,这有利于数据从业者合作共享,有利于促进大数据产业的良性发展。当然,同所有知识产权保护相似,对数据从业者的数据知识产权保护要有明确的规则,以取得促进创新与社会发展的平衡。孙宪忠教授认为,数据从业者对这些信息仅仅只有占有的权利,并没有所有权,不同意信息占有者将这些信息当作自己的财产的观点。同时,按照《民法总则》第111条规定,信息获得者对他们获得的信息负有严格保护的义务,以及依法使用的义务等。综上,个人信息权所享有的是所有权,信息获得者和数据从业者所享有的权利主要从知识产权角度进行保护。
目前,我国未制定统一的信息保护法,关于电子商务数据信息的保护条文散见于《宪法》《民法总则》《刑法》《行政诉讼法》《侵权责任法》等法律法规中,也陆续出台了相关专门文件,又相继制定颁布了《网络安全法》等法律法规加强信息保护。它们在保护电子商务数据信息方面起着重要的作用。但这些规范整体呈现出过于分散,缺乏一个完整的法律保护体系;刑法中对侵害信息的违法犯罪行为惩罚力度不够;没有建立相应的民事赔偿制度等问题。
目前,《电子商务法(草案)》已经进入第二次审议阶段。二审稿相比一审稿发生了很大的变化,制度更加完善语言也更加严谨精炼。其中,发生最大变化的是原来的一审稿设第四章电子商务交易保障一章,分别规定了:电子商务数据信息、市场秩序与公平竞争、消费者权益保护和争议解决四部分内容,现在的二审稿删去了这部分内容,将有关电子商务数据信息保护的内容放在了第二章电子商务经营者一章中,主要由第20、21和22三个条文加以规定。第20条:“电子商务经营者收集、使用其用户的个人信息,应当遵守《中华人民共和国网络安全法》等法律、行政法规规定的个人信息保护规则。”通过这一指引性规范直接加以规定,没有再细节性地进行全面规定。而《网络安全法》主要在第四章网络信息安全的第40~50条对网络信息进行了规范。《网络安全法》是2016年11月制定2017年6月正式实施的一部法律,对保障网络安全、维护网络空间主权和各方利益具有重要作用,内容也比较详尽,涉及网络信息的基本原则,收集、加工和处理环节的具体可指引性规范,对第三方主体网络平台的责任以及法律责任和救济等各方面,是一部较为完善的法律。但是,电子商务数据信息与普通的网络信息有很大区别,电子商务的快速发展要求经营活动方便快捷,直接通过电子签名的方式加以确定,电子商务活动中经营者利用自己掌握的信息加工成数据库成为核心竞争力。面对这些情况,《网络安全法》是无法做出回应的,应当在《电子商务法》制定中对这些特殊的问题作出具体回应,弥补法律漏洞,促进电子商务发展和数据信息的保护。
基于以上分析,我国现在需要制定真正的电子商务数据信息保护法律制度,是能够满足从信息采集、保管、利用的源头来保护的制度。首先是从源头治理,完善数据信息侵权、犯罪的法律。建立以行政法规则、民法规则和刑法规则相结合的综合治理方式来保护电子商务数据信息的制度[2]。
二审稿对电子商务数据信息的权利义务方面规定通过指引性规范直接参照《网络安全法》进行规范,《网络安全法》不仅规定了禁止性规范,还规定了权利性规范。对用户个人的各项权利都做了非常充分的规定,而对电子商务的经营主体,只规定了义务,没有规定其可以享有的权利。电子商务活动中不仅有用户即消费者的信息,也有卖方即电子商务运营者的数据信息,只是消费者处于相对弱势的地位,所以在理论界和实务界都侧重对其的保护,但运营者的电子商务数据信息权利也应当予以平等保护。对此,可以参照欧盟1995年《关于涉及个人数据处理的个人保护及此类数据自由流动的指令》中的规定。该指令系统地规定了个人资料权的内容体系,具体包括获取权、自主决策权、拒绝使用权和获得救济权等方面。
为平衡信息持有者与信息所有者之间不对等的地位,在信息权受到侵害产生的纠纷中,应当确立举证责任倒置制度即要求信息持有者对其收集、使用信息的合法性及履行了信息安全保障义务承担举证责任。此外,还应当建立普遍的严格责任制度,将侵权人的抗辩理由压缩到最小的范围[3]。
二审稿在电子商务数据信息权利受到侵害后的维权、起诉、索赔等方面的制度设计上,缺乏明确具体、可操作性的规定,应赋予其通过多种途径获得救济的权利。(1)有权要求侵害者终止相关行为。(2)向专门监督机关提起控诉。目前我国对信息安全保护的监管分别由公安部、工业与信息化部等多个部门管理,这样的管理体制难免导致监管不严或存在监管漏洞,对此应明确监管机构与各部门之间的职责[4]。除此之外,可以建立一个独立的第三方机构,通过法律授权使其获得权威性和独立性,从而介入个人信息侵害事件,弥补官方监督机构工作中的遗漏和不作为。(3)向司法机构提起诉讼。信息权主体还可向司法机构提起诉讼。同时,还需制定具体、详细、操作性强的赔偿制度,包括对财产损害和精神损害的赔偿。财产损害是指电子商务中因侵权行为而受到的经济损失,又可以分为直接损失和间接损失,直接损失如交易过程中用户的银行卡信息等财务信息的泄露而导致的损失,间接损失如网络经营者未经用户的同意将用户个人信息用作搜集以外的目的而出卖的行为,精神损害主要是由于电子商务中的数据信息被泄露导致评价降低带来的精神上伤害等。
目前,我国关于电子商务数据信息的法律保护大而化之的内容较多,操作性不强,一些法规之间还存在交叉和冲突,只有在电子商务安全管理中制定专门的电子商务法律法规以规范对电子商务数据信息的取得、管理和利用,科学地设置个人信息安全与利用的界限、信息主体的权利和义务,有权审查数据信息的机构;规定当数据信息主体权利受到侵犯时,应当通过何种渠道获得法律救济,以及如何追究侵权者的法律责任等,我国电子商务数据信息的乱象才能得以改善,电子商务发展才会更加繁荣。