大数据背景下B2C电子商务中个人信息保护研究

朱长根，陈烨琪

（江西交通职业技术学院，江西 南昌 330013）

B2C的全称是Business to Customer，翻译过来即“商对客”，是商家和客户直接进行商品或服务的线上交易，即网络零售业。［1］。近年来，我国B2C电子商务行业获得蓬勃发展。以2020年“双十一”为例，仅天猫“双十一”活动的物流订单在当晚11时就突破了22.5亿个。但在大数据广为应用的今天，B2C电商模式也伴随着一定的风险，尤为突出的风险是个人信息被泄露与滥用。22.5亿个订单意味着22.5亿条信息数据，这么大体量的信息数据一旦被不法分子掌握，后果不堪设想。在2020年，被投诉最多的就是电商购物平台，其中投诉内容多为平台超范围收集个人信息、泄露个人信息。B2C电子商务经营者们都认识到占有的数据越多，在电子商务交易中就越有主动权。于是这些电商企业有意识地收集用户的信息数据，再对这些信息数据进行分析、分类，生成个人数据画像，进而实施精准营销。而对于用户来说，个人信息数据一旦被泄露了，商家的各类营销“套路”便会接踵而至，令人不胜其扰。在大数据背景下，如何应用好大数据服务于B2C电商企业的发展，而又不侵犯用户个人信息数据权利，实现个人信息有效保护与合理应用的平衡，是B2C电商企业亟待解决的一个现实而又紧迫的问题。

一 存在的问题

（一）传统问题

1.未经同意收集与使用他人信息

在B2C电子商务中，电商网站收集信息的途径无非两种。其一，消费者自行提供的。消费者在进行线上下单或支付时，网站会要求消费者填写相关个人信息，这些信息是电商合同成立并履行的必备信息。还有一种情况就是消费者误入非法网站，不明就里地提交了个人信息，导致了个人信息的泄露。其二，网站跟踪收集的。信息搜集者掌握了B2C电商平台的技术漏洞、管理漏洞，获取了消费者个人信息，或者黑客利用特殊程序攻破了B2C电商平台的数据库，攫取了用户信息。信息搜集往往是在用户毫无察觉的情况下完成的，当消费者登录网站进行浏览时，电商网站就会采用类似cookie这样的特有技术进行信息跟踪和收集。消费者在某网页的停留时间、搜索偏好等信息，这些看似平常、价值不大的信息，就在消费者毫无察觉的情况下被收集了。未征得权利人同意，采用特有技术收集用户个人信息，是对消费者知情权的侵犯。欧盟议会和理事会对此有专门规定：网站使用cookie等类似技术进行信息收集有事前告知用户的义务，用户有拒绝网站使用cookie等类似技术进行信息收集的权利。［2］但是目前我国的大部分B2C电商网站仍然在大肆利用cookie等类似技术进行信息收集，根本没有对消费者尽到事前告知和说明的义务，更没告知收集个人信息的用途。这些不法分子通过各种手段窃取他人信息的目的就是要实现对他人信息的控制与利用。

2.超范围收集与使用他人信息

为了电子商务合同的促成和履行，商家要求用户提供必要的个人信息，这是情理之中。但是电商平台并不仅满足于一次性交易，电商平台要做大做强，想把每个客户都变成长期客户，必须增强客户黏性。客户的信息就是资源，拓展售后维修与保养业务有需要，推销相关下游产品或服务有需要。因此，仅仅根据此次交易的需求进行信息收集是不够的，还要超范围、尽可能多地收集相关个人信息。超范围收集的目的是为了超范围的使用，比如收集到了用户的手机号码、电子邮箱，平台就可以名正言顺地向“会员”群发推销广告。超范围收集他人信息与超范围使用他人信息，都有可能构成对消费者隐私权的侵犯。

3.收集个人信息以牟利

当前，电商企业都认识到数据是有价值的，数据可以用来换取经济利益。不少电商平台敢于顶着法律风险去收集他人信息。市面上也出现了些数据公司，B2C电商企业将收集来的信息提供给数据公司，数据公司对消费者在平台的搜索记录、交易记录等进行跟踪分析，整理出有价值的数据信息，再将这些有价值的数据信息进行出售以获取收益。像类似阿里巴巴这样的B2C电商平台，本身就开展数据分析业务。还有的数据公司和B2C电商企业联手完成数据信息收集、加工、出售全套流程。贩卖用户信息的黑色利益链条已然形成，包含用户姓名、电话、住址等内容的信息在网上明码标价出售。

（二）非传统问题

1.个人信息更容易被窃取

大数据背景下，数据信息共享成为趋势，不法分子窃取他人信息的动力更足。加上交易环境的更加透明开放，以致B2C电子商务中个人信息更容易被窃取。不法分子利用大数据技术窃取电子商务交易中的个人信息，有的个人信息甚至被不法分子用来实施犯罪行为。为了实现攻击行为更准、攻击机会更多，黑客会加大对所窃取的信息进行分析与研判。先是利用恶意程序批量获取网站用户个人信息，继而有偿提供给他人，这类事件频频见诸报端。

2.用户隐私更容易被预测

消费者要登陆电商平台，必须先填写相关个人信息，这些信息立即被电商平台读取并记忆了。商家并不满足于一锤子买卖，他要将这些信息利用到最大化。在大数据环境下，电商平台通过收集消费者的搜索记录、网页停留时间、搜索的频率等来预测消费者的消费习惯，并据此调整营销策略，实现精准营销。［3］个人信息数据被不当收集，并辅之以技术加工，再应用算法技术，以此来预测成交的概率。这种技术降低了企业的营销成本，但给用户带来的是线上行为被跟踪、线下生活被干扰，难有隐私可言。

3.合理利用与有效保护存在冲突

大数据时代，B2C电子商务平台对个人信息的利用，要一分为二地看待，有些利用是合理合法的，而有些利用则属于侵权行为。合理利用他人个人信息，这种利用是对消费者个人、电商经营者乃至电商行业的发展都是有利的。出于社会公共利益的目的，电商网站可以合法合理地使用他人个人信息。B2C电商环境下，如何协调好个人信息合理利用与有效保护之间的关系，实现二者之间的平衡。据相关权威机构统计，互联网90%以上的流量被用于信息共享。这些共享的信息内含大量的个人信息，设置了保护模式的尚可，而没有设置保护模式的则意味着个人信息被无止尽地查看和复制。一般情况下，个人信息被他人无偿收集和使用了，用户可能还毫无察觉。数据分享是大数据时代的重要特征，个人信息受保护是自然人的法定权利，两者之间形成了一对矛盾。矛盾是既对立又统一的关系，在大数据背景下，我们要尽力促成信息分享与信息保护之间的统一性，尽力化解两者之间的对立性，做到两者都要兼顾，从而实现B2C电子商务行业的良性发展。

二 原因分析

（一）法律保护的缺失

在大数据环境下，电商平台泄露个人信息事件频繁发生，个人信息权被侵犯事件屡见报端。截至目前，我国专门的个人信息保护相关立法尚未正式颁布，还是草案阶段。在《民法典》出台前，互联网个人信息保护方面的立法主要体现在《侵权责任法》《刑法修正案（七）》，还有行政法规以及网信办、公安部、工信部的部门规章。这些规定相对零散，不成体系，而且彼此孤立。网络服务者是否包括B2C电商网站？网络服务提供者对于是否存在个人信息侵权有无审核义务？《刑法修正案（七）》将非法提供、出售他人信息以及非法获取他人信息都规定为犯罪行为，这极大地震慑了企图铤而走险的犯罪分子，也将公民个人信息保护提到了一个新的高度。但是将该罪的犯罪主体列举规定为：国家机关或金融、电信、医疗等单位的工作人员。从条文字面解释，这个“等单位工作人员”是难以包括电商平台与用户的。这就意味着，电商经营者在网络平台上非法搜集他人信息并不适用于非法获取公民个人信息罪的规定，因此对于B2C电商中个人信息保护也就无法适用该条款。《民法典》出台前，我国对于B2C电商中个人信息保护方面的法律规定显得不足。《民法典》通过后，对于个人信息保护得到了加强，但是仍然没有形成一个完整的保护体系。比如如何界定个人信息的合理利用？如何规制技术对信息权的侵犯？随着大数据应用的深入拓展，立法滞后带来的问题将会更加明显。

（二）自律机制的不完善

自律才能走得更远，要实现B2C电子商务行业的良性发展，必须加强行业自律机制的建设。从行业自律角度考虑，以电商平台为代表的互联网服务提供商在追求盈利的同时，应该注重对消费者个人信息的保护。但从目前来看，我国电商行业的自律机制还相对滞后。表现在：其一，电子商务平台对个人信息保护的意识淡薄。B2C电商平台往往是根据自己的需求去搜集和使用他人的个人信息，就连相关的保护机制也是根据自己的需求来制定的。其二，电子商务行业自律组织发展缓慢。目前我国从国家到省、市、县区一级都建立了电子商务协会。这些电商自律组织倡导行业自律，开展诚信认证。但是，相较于蓬勃发展的电子商务行业，目前加入电子商务协会的电商企业并不多。我国电商行业自律组织发展速度较慢、发展水平较低，数量也相对较少。同时我国的电商行业协会准入门槛不高、推出渠道不畅，还时不时曝出丑闻，这就造成了公信力不足的局面。公信力不足又进一步导致了电商企业加入协会的积极性不高的恶性循环。

（三）自我保护意识不强

个人信息泄露很大程度上也归根于信息权利人自我保护意识不强。个人信息泄露的风险是无处不在，而有些消费者没有养成良好的消费习惯，以致于个人信息时时处处皆是“裸奔”状态。自我保护意识强的消费者，在注册时就会采用匿名制，遇到不明来历的软件和插件一律不点“确定”，确有必要下载安装APP时，一定选择安全合规的渠道，安装前一定仔细阅读APP的应用权限和用户协议，谨慎授权非必要的读取权限，谨慎提交个人信息，定期清理相关数据。而有些自我保护意识不强的消费者，为了一味地追求“性价比”，在电商网站尽情地搜索、任性地点“确定”，盲目地在各类购物网站上登记个人信息，印有个人信息的快递包裹外包装不加处理地随意丢弃，这些不经意的动作却给了居心叵测者机会。一旦发现个人信息被泄露了，很大部分消费者往往还没认识到事情的严重性，又苦于维权难度系数高，最终往往没有追究侵权方的责任。殊不知，这种不主张权利的做法却助长了不良风气。

（四）大数据的冲击

大数据是把双刃剑，给人们的网购生活带来了便利的同时，也把人们的生活痕迹刻在了电商平台。大数据时代，信息技术获得了长足发展，但对个人信息保护却提出了重大挑战。数据共享成为热门，数据的收集与利用成为必然。谁占有数据多，谁就掌握了主动权，经过大数据加工处理的个人信息成为市场主体的无形资产与战略资源。随着大数据技术更加成熟，数据的传输速度明显加快，消费者个人信息保护难度进一步加大。随着移动互联网的兴起，手机上网购物变得随时随地了，电子商务网站搜集利用消费者信息也更为便利了。用户的购买记录、搜索习惯、快递地址等数据，一般都没有加密，电商网站轻而易举地就掌握了。

三 大数据背景下B2C电子商务中个人信息保护重点与难点分析

（一）从信息权利人角度

大数据时代的一个典型特征就是数据的分享与应用，但是分享与应用他人信息必须合法合理，并负有保证不再泄露的义务。如何实现个人信息价值利用最大化，又做到对个人信息的有效保护，这是大数据时代面临的一个难题，这并不是某个法律条文就能破解的问题。立法赋予消费者享有个人信息权，消费者有权决定个人信息给谁用、如何用、用在哪的权利。而传统的个人信息保护措施则明显有些滞后了，没有从消费者的角度去实现个人信息保护。大数据时代，消费者的个人信息受保护的意识觉醒了，但是保护的措施还需要与时俱进。

（二）从信息搜集者角度

大数据时代，B2C电商网站，它不仅仅是一个交易的平台，它还扮演着一个信息搜集者的角色。B2C电商网站通过提升网站安全技术、制定隐私保护规则等措施来加强对消费者的个人信息保护。但是，大数据时代，个人信息的应用与共享成为主流。传统的保护措施只能约束个人信息的搜集和泄露问题，却没有考虑个人信息正当搜集与合理应用这一问题。就B2C电商网站本身来说，既是信息搜集主体，又是信息利用主体，光靠自我监管难以实现个人信息保护的目的。因此，如何实现个人信息有效保护与合理利用的平衡，将是大数据背景下，电商网站亟待解决的重点、难点问题。

（三）从相关监管部门角度

一直以来，电子商务行业监管部门的监管重点无非是电商交易中的欺诈问题、个人信息侵权问题等。但是，大数据环境强调的是数据的共享与利用。电商平台在征得消费者许可的前提下，可以对消费者的个人信息进行合理利用。这就对行业监管部门提出了更高的要求，既要监管传统问题，又要对个人信息的合理利用之“合理”问题进行监管。

四 B2C电子商务中个人信息保护对策

（一）完善个人数据的相关立法

近年来，我国加强了对个人信息保护的立法，先后出台了《网络安全法》《关于加强网络信息保护的决定》等法律法规，《刑法修正案（九）》从量刑的角度对泄露个人信息的刑事责任作了规定，《民法典》明确规定了个人信息受法律保护。欧盟2018年生效的《通用数据保护条例》（以下简称《条例》），在个人数据保护立法方面起到了示范作用，该《条例》为世界各国竞相借鉴。我国《个人信息保护法（草案）》于2021年4月29日完成了二审稿的审议，期待“草案”早日转为“定稿”，期待“定稿”借鉴《条例》关于个人数据保护的成功做法，期待《个人信息保护法》不负众望，从立法层面筑牢我国公民个人信息安全防线。

1.确立用户个人数据权

近年来，电商平台对网络用户个人数据的肆意滥用，已经不是什么新鲜事。一旦个人数据被电商平台获取了，网络用户就处于被动地位了，这就给了电商平台实施差异化定价以可乘之机。为此，我国在立法中应明确个人数据权为一项法定权利，从法律上保障个人对其数据信息的使用与许可他人使用的权利。当然，用户享有个人数据权并不意味着一律排除电商平台使用，而是赋予用户对个人数据享有控制传播与应用以及实现数据安全的权利。对于个人数据，消费者享有是否许可他人使用的决定权，许可谁使用的自主选择权，知悉他人怎么使用的权利。当个人数据安全受到威胁时，用户享有向相关部门寻求技术保护的权利。当个人数据被侵犯，用户不再仅仅是寻求公权力机关救济，去追究对方的行政责任或刑事责任。个人数据本身具有财产属性，属于重要的利益载体，用户有权向侵权者主张损害赔偿，我国《民法典》对此做了明确规定，并且适用《民法典》解决侵犯个人数据的案例已经有了，侵权者也得到了应有的惩罚。欣喜的是，《个人信息保护法（二审稿）》细化了个人信息保护制度规则，进一步增强了法律规范的系统性、针对性和可操作性。《条例》赋予用户对个人数据享有可携带权，这项权利有利于促进数据的合理流动，有利于加强用户对个人数据的控制权，也有利于改变用户在互联网中的弱势地位。［4］对于个人数据要促进流动，也要加以保护。如果绝对禁止收集与使用他人的个人信息，则将会束缚电子商务业的发展，所以，对于个人数据的合理使用，用户应该给予支持与配合。眼下，《个人信息保护法》出台在即，期待立法明确个人数据权是个人的一项财产性权利。它既加强用户对自身数据的控制，又保障平台对用户数据的合理使用，实现平台合理使用与个人数据保护之间的平衡。

2.确立个人数据“被遗忘权”

早在1995年，欧盟的相关数据保护法中就规定，每个人都可以对已公开的相关个人数据提出删除的请求，此为“被遗忘权”的雏形。2012年，欧盟着手对“被遗忘权”进行立法，司法实务中要求搜索引擎删除用户浏览痕迹。司法实践中“被遗忘权”在欧盟范围内的确立，源自于2014年5月13日欧盟法院作出的关于公民对个人信息拥有被遗忘权的终审裁定。2018年，“被遗忘权”载入《欧盟数据保护通用条例》第17条。近年来，其他国家也有类似立法规定。我国司法实务中最早涉及“被遗忘权”是2015年北京市第一中级法院的一起名誉权纠纷的上诉案。该案的判决认定了“被遗忘权”的正当性及保护的必要性。“被遗忘权”保护，立法上应归入个人信息保护范畴。我国法学理论工作者应该致力于学习借鉴欧盟关于“被遗忘权”的成功做法，以此推动我国“被遗忘权”的立法，以更好地回应个人信息保护的新挑战。“被遗忘权”立法的脚步似乎近了，2019年5月的《数据安全管理办法》征求意见稿，2020年的《数据安全法（二审稿）》，让我们看到了立法者的意志与决心。当前，电商平台利用个人信息实施差异化定价，实施大数据“杀熟”，侵害消费者合法利益。因此，积极推动立法赋予平台删除个人信息义务，推动“被遗忘权”立法，这是加强个人信息保护的当务之急。用户向平台提供了个人信息，不等于平台就可以肆无忌惮地利用用户的信息，在合同履行完毕后，在不损害平台合法利益的前提下，用户有权要求平台彻底删除其个人信息。［5］对“被遗忘权”进行立法后，用户主张个人信息保护就有法可依了。当电商平台通过获取他人个人信息，从事非法营利活动时，尤其是滥用个人数据实施差异化定价时，必须征得数据主体同意，否则用户可以要求平台将其个人数据信息彻底删除，即主张“被遗忘权”。消费者在被大数据“杀熟”后，同样有权利也有必要要求电商平台“遗忘”其个人信息数据，即要求数据使用者对该数据做出彻底销毁或匿名化处理等，以矫正有失公允的“用户画像”。

3.将个人信息保护纳入公益诉讼范围

立法应该尽可能精细化，明确的立法规定可以给予维权者明确的指引，不法侵权者也会畏于立法规定不敢铤而走险。《民事诉讼法》《行政诉讼法》都采取列举的方式列举了哪些行为可以提起公益诉讼，但这两部法都未明确列举个人信息保护是否属于公益诉讼范围，但是这两部法在列举几例行为后加了个“等”字，那么个人信息保护是否属于“等”字之列呢？互联网侵权案件具有隐蔽性，受害者举证难，维权成本高，且受害者往往众多。大数据时代，个人信息被泄漏、被非法利用，个人信息权被侵犯的案件呈易发、多发之势，受害者往往畏于维权难，最后不了了之。可喜的是，2020年12月3日，河北保定市人民检察院诉被告张某东等65人利用互联网侵害隐私权公益诉讼案，保定市中级人民法院当庭宣判被告张某东等人卸载并终止使用涉案侵权软件。此案宣示了侵害公民隐私权是可以提起公益诉讼的，宣示了我国个人信息保护问题在公益诉讼范围的“等”字指代范围内的探索取得了突破。将个人信息保护理解为公益诉讼的兜底条款，将被越来越多的法律界人士认同。笔者建议，在今后的立法或司法解释中，应该明确将个人信息保护纳入公益诉讼范围，切实降低受害者的维权成本，从而震慑不法侵权者。

（二）建立并完善自律性的行业组织

在B2C电商中个人信息保护方面，行业自治模式以其特有的优势，受到美国的青睐。电商企业自发自愿制定的行业规范，相对更容易落地实施。电商行业协会、学会可以组织业内专家学者制定和解释行业规范，这类行业规范的制定、解释、监督、执行成本都相对较低。但是，行业自治模式也有其不足。自律性行业组织，是以企业自愿加入为前提。美国电子商务行业采取行业自律模式多年，但仍然有不计其数的中小企业没有加入自律性行业组织。在B2C电商中个人信息保护方面，我们有必要学习美国在行业自治模式上的成功做法，也有必要学习欧盟的统一立法模式，但不能完全移植。自律监管的模式节约了政府资源，降低了立法成本，扩大了电商行业的社会影响力。立法具有滞后性，面对突如其来的新问题，难以及时做出反应。电子商务行业发展势头强劲，新问题不断涌现，行业自律组织对行业的实际情况更为熟悉，能够对新问题做出快速有效的反应。我国的《个人信息保护法》（二审稿）已经通过，采取立法为主的模式更适合于我国个人信息保护的现状。以立法为主兼采行业自律的模式，更有利于我国电商行业的发展。行业自律组织具有不可替代的作用，可以解决法律无法调节或调节效果不佳的问题。我国应该充分发挥行业自律组织的作用。目前，我国已经建立了大量的行业协会组织，虽然政府也给与了大力支持，但是这些组织大多呈现公信力不足、影响力有限的局面。针对我国行业协会发展现状，我们应该学习国外的成功做法，加大政府支持力度，不断地建设、不断地筛选，不断地提高我国行业协会的建设水平。经过各方面的共同努力，中国电子商务协会已经成为我国影响力较大的行业组织，其在践行行业诚信、推进行业自律、加强个人信息保护方面发挥了重要作用，有力地促进与规范了电子商务行业的发展。

（三）搭建信息共享平台

当前，共享成为了时代特征。数据共享是大数据时代的重要特征，数据只有开放共享，才能释放其价值。美国在数据开放方面，能开放的都开放，同时也注重信息安全保护。利用他人信息本质上就是利益驱使，而区分合理利用与不当侵权的实质就是有无得到用户的许可。信息利用者出于合作共赢的考虑，是想获得信息权利人的许可，但是往往又缺乏一个沟通的渠道。我们可以建立一个平台供双方沟通，用户可以有偿许可他人使用自己的个人信息，经营者可以根据自己的实际经营需要，有选择性地利用他人信息，并为之付出必要的成本。［6］这样可以实现B2C电商交易中个人信息的合理利用与有效保护的平衡，既能发挥个人信息的价值，也能减少不当使用他人信息的行为。具体可以由行业监管部门建立个人数据分享及应用开发平台，鼓励个人、大数据公司、电商公司参与到数据的开发与应用中，构建适用于数据交易的云端信息共享平台。个人可以在此平台分享数据，云平台实现数据集中，引导第三方数据开发者对数据进行分析、挖掘与开发，推动信息数据供需有效对接。建立信息数据议价机制，推动个人信息按照自主自愿、有偿有序的原则在云架构中流动。平台应该不断提升安全性能，发挥数据的最大价值。大数据背景下，各类数据维护机构、数据处理中介陆续出现，个人数据通过市场化方式实现保值增值成为必然。数据需求方也通过市场行为，可以合法合理地利用他人数据。而这些数据处理公司、平台也因承接类似业务、提供创新性服务而营利。从整体上来看，搭建信息共享平台并实现其良性运转，可谓一举多赢。

五 结语

大数据时代，B2C电商交易中的个人信息保护问题尤为突出，传统的保护模式、技术措施都显得相对滞后了。大数据的广泛应用推动了我国B2C电商行业的发展。个人信息保护是个人权利的彰显，有权利必有救济。无论是大数据还是B2C电商，都是不可逆转的时代潮流，置身于这股潮流中的国家都在各显身手，加大对大数据的应用与保护。如何做到合法合理地利用他人个人信息，如何处理好大数据应用与个人信息保护两者的关系，这是电商工作者与法律人士要为之探究的问题。在完善立法的同时，要倡导行业自律、提升消费者的个人信息保护意识，还有很关键的一点是要靠技术的提升。实现大数据分层分类的挖掘技术规范发展，创新发展个人信息保护技术。能否实现对个人信息的有效保护，这关系到B2C电子商务的发展，处理得好，将极大地推动发展，反之，则是发展障碍。