电子商务中消费者个人信息权的法律保护

□ 文 朱童靖

1 引言

电子商务是依托互联网技术进行商品交易及相关服务的经营活动。消费者在电子商务中遭遇个人信息权侵害的渠道五花八门，遭到侵害后还面临着维权艰难的局面，《中华人民共和国个人信息保护法》实施以前，我国对公民个人信息权的保护分散在《中华人民共和国民法典》《消费者权益保护法》《网络安全法》《电子商务法》等法律法规中。2021年11月1日，《中华人民共和国个人信息保护法》正式施行，回应了个人信息安全法制保障的客观现实需求，符合人民群众对于个人信息权法律保护的愿望和期盼，顺应了互联网市场经济发展的要求，为我国个人信息保护提供了重要法律依据。但在实践中，法律法规的更新还达不到互联网发展的速度，因此在电子商务中充分保障消费者个人信息权任重道远。

2 电子商务中消费者个人信息保护的现实需求

电子商务是提高人民生活水平的新颖购物方式。然而，在享受互联网便捷购物方式的同时，消费者个人信息泄露问题相应凸显。据中国互联网络信息中心在2021年2月发布的报告显示，2020年下半年，网民遭遇的网络安全问题中个人信息的泄露就占了21.9%。另据中国电子商务投诉和维权公共服务平台近年来受理的数十万起投诉案件表明，部分电子商务平台因用户信息泄露造成平台账户被盗，带来经济损失。由此可见，电子商务中消费者个人信息泄露问题屡禁不止，个人信息权保护的重要性不容小觑。

3 电子商务中消费者个人信息权容易受到侵害的表现

个人信息是指与特定个人存在关联性的、能够反映个体特征的可识别性符号系统，个人信息权包括个人对信息被收集和利用的知情权以及利用或者授权他人利用的决定权。在电子商务中，消费者个人信息权受到侵害的主要表现有以下三点：

3.1 个人信息被非法收集

不少电商平台会收集用户个人资料、实名认证等个人信息并放于非法产业链上，供其他公司或个人有偿使用。尽管信息收集环节只是信息泄露环节的一个过程，可能并不会造成信息泄露结果，但收集行为依然违法，理由如下：首先，隐私信息具有非公知性，消费者将部分信息列入隐私的时候，这些个人信息的保护应转入个人隐私的保护，未经消费者同意，超过正常使用限度实际上是对隐私的侵犯；其次，许多电商平台都有个人认证项目，这些认证程序本应是国家管理部门授权给平台进行，用以确认用户身份，认证信息本不应保留在平台手中，但许多平台自设认证程序，非法保留认证信息，使认证信息超出本来应该起的作用，这实际上也侵害了消费者个人信息权。

3.2 个人信息被非法泄露

首先，从消费者注册账号的那一刻起，电商平台就可以通过其姓名、性别、手机号码等信息的填写、手机通讯录和相册访问、获取地理位置授权等掌握消费者诸多个人信息。其次，消费者在浏览、收藏商品的过程中，浏览痕迹与商品访问记录也被收集和跟踪，平台往往借助大数据分析消费者购买爱好来有针对性地推荐商品，消费者的基本信息和偏好等在平台上暴露无遗，让一些不法分子有了可乘之机。

除此之外，一些商家专门从事修改简历、短视频制作、修图等业务，可以收集到比其他商家更多的个人信息，由于互联网的不稳定性，平台一旦出现技术漏洞，就会有被黑客袭击的风险。

3.3 个人信息被非法利用

随着现代信息技术和互联网的高速发展，个人信息越来越展现出其独特的商业价值，逐渐成为被许可使用而直接获得经济利益的客体。一些商业机构会根据收集到的个人信息进行短信和电话推销，甚至实施诈骗、售卖非法影像资料、传播不良思想、诱惑参与赌博等犯罪活动。这些非法利用者除了会对个人信息本人进行骚扰，还会对其家人、朋友实施诈骗，如一些大学生的信息被窃取，不法分子可能会冒充学生本人，联系其父母以参加夏令营、培训班、交换生等理由骗取钱财。尽管非法利用个人信息现象猖獗，但消费者维权意识却不高，根据中国裁判文书网发布的案件来看，2020年度涉及到的与个人信息权有关的民事判决、裁定还不到30例，但实际上受到个人信息权侵犯的公民人数远不止此。

4 电子商务中消费者个人信息权受侵害的原因

4.1 电商平台协议和隐私政策不利于保护消费者个人信息权

消费者在电子商务环境中往往处于弱势地位，绝大部分电商平台在消费者注册时都要求其勾选同意相关协议和隐私政策的选项，而恰恰是平台协议和隐私政策的签订使消费者在个人信息权受到侵害后维权困难。

4.1.1 电商平台协议及隐私政策的性质

平台协议及隐私政策往往被分为两类，一类只提供单一隐私政策条款，这类网站属于内容介绍型网站，几乎不会涉及到具体化的服务，不需要对用户资料进行大范围收集，此时网站的隐私政策性质只是一种单方声明，无需经过用户同意，因此不能被视为合同。另一类平台协议及隐私政策则比较全面，不仅规定了消费者义务，还一定程度上保障了消费者利益，此种协议则属于合同性质，并且是格式合同。市面上大多数平台协议及隐私政策属于此类。

4.1.2 电商平台协议和隐私政策使消费者个人信息权遭到侵害不易维权

首先，基于电商平台的优势地位，电子商务格式合同让消费者丧失话语权，因为在传统线下实体店购物过程中，消费者对于商品和服务有任何不满意之处都可以直接与商家进行协商，而电子商务环境下的消费者若不勾选同意相关协议和隐私政策的选项，就无法进行购物，消费者只能被动接受，没有商量和讨价还价的机会。

其次，由于某些电商平台有较强的市场影响力，大部分消费者不会关注格式合同的具体内容，为节省时间匆匆勾选同意并接受服务的选项。然而，平台却利用了消费者不会仔细阅读格式合同这一点，制定不合理条款规避自身责任，使消费者的缔约公平得不到实现。

4.2 平台与商家的权利义务关系不明确

首先，电商平台最终目的是盈利，所以平台对消费者个人信息权保护意识并不强，不会设置过多个人信息权保护的提醒，加上互联网技术研发成本较高，容易使平台在安全方面掉以轻心，出现漏洞，遭受黑客攻击。但平台与消费者缔结的协议中往往并没有明确平台在消费者购物过程中应尽到何种程度的提醒义务，使消费者在诉讼中处于不利地位。

其次，相对于线下实体店的面对面交流，消费者在购物时可能会基于对商家或店员的个人信赖而买单，加上线下实体店地理位置具有固定性，较短时间内不易搬迁，消费者在权益受到侵害后方便“找上门”与商家协商。而电子商务线上购物过程中，消费者只能通过聊天对话框与商家理论，这就容易出现商家漠视消费者诉求的情况，加上我国现行法律法规和平台协议并未明确规定商家对消费者公开营业执照信息的义务，导致消费者无法收集到商家信息，产生维权阻碍。

4.3 个人信息有偿使用制度的缺失

随着市场经济的发展，个人信息除了有被保护的需求，还有被利用的需求。但在实践中，法律的方式和人格权保护模式虽然可以解决高敏感个人信息的保护问题，但无法适应网络时代的信息交流和交换的需求，最后形成的局面就是国家、政府采取的措施把公民个人信息包裹得严严实实，但这却并不能阻碍一些商业性主体想方设法获取消费者个人信息并以此牟利。在个人信息具有的巨大商业价值诱惑下，个人信息被保护得越好，反而泄露得越快。

我们一直以来更强调个人信息商业性利用的“被动性”，很少有人关注公民主动授权他人商业利用其个人信息的情况。目前我国也并未建立公民个人信息的有偿使用制度。但如果消费者在一开始就能合法授权电商平台及商家有偿使用其部分信息，或许能减少平台、商家私自倒卖个人信息的现象，消费者也可以事前知晓并获取对价而不是等到个人信息被非法利用之后去要求赔偿。

5 电子商务中消费者个人信息权保护的完善建议

5.1 保障缔约公平

电商平台在起草格式合同时应主动承担提示说明义务，在勾选同意格式合同条款的选项上设置阅读时间，时间结束后才能有效点击，还可将涉及个人信息权保护等重要条款设置为复述内容，只有使用键盘输入该内容，才能成功登入平台。另外，消费者个人信息保护权既要受到宪法中规定的通信自由以及通信秘密等权利以及隐私权保护制度的限制，也要受正当目的原则和必要原则的限制，因此消费者点击知情同意选项不能被理所当然地视为收集、利用用户个人信息的“万能法则”。有关部门也应加强对平台协议及相关隐私政策的备案和审核，责令不符合要求的平台改正，对侵犯消费者个人信息的行为加大处罚力度。

5.2 进一步明确电商平台与商家的权利义务

电商平台和商家是消费者线上购物过程中直接接触的主体，明确平台和商家应分别对消费者承担何种义务至关重要。除此之外，保持平台和商家之间的良好沟通机制也不容忽视，因此还要明确平台和商家相互间的权利义务关系。

5.2.1 平台和商家对消费者承担的义务

目前很少有平台会对注意个人信息保护进行提醒，因此电商平台应在其页面设置关键信息输入提醒机制，比如在消费者与客服对话中提醒其不要轻易发送电话号码、身份证号码、银行卡号、工作单位等重要个人信息；在消费者下单时应提醒其保存支付截图、购物记录等；在物流更新页面上设置妥善处理快递单的提示等。除此之外，平台应承担起企业社会责任，加大技术投入，防止遭遇袭击，还可以采取措施提升消费者个人信息权防范意识，例如发布网络安全防骗指南或个人信息安全保护手册等文件让消费者阅读，消费者可通过阅读该文件赚取抵用价款的优惠券等。

5.2.2 平台与商家相互间的权利义务

在平台对商家享有的权利方面：平台应与商家签订用户信息保密协议，规定因商家行为造成消费者个人信息权受到侵犯，商家应单独承担对消费者的赔偿和给平台造成信誉损失的赔偿。对从事短视频制作、修图、简历修改等业务的商家进行单独规制和更严格的监督，并要求这类商家在商品详情页面附上对消费者个人信息保密的承诺书，承诺书格式应由平台统一规范制作。其次，平台主动承担起监管责任，严格审核商家准入资质，建立泄露消费者个人信息黑名单制度；加强引进专门性法律人才负责调解消费者与商家因个人信息权被侵犯产生的纠纷。

在平台对商家承担的义务方面：平台应加大技术投入，若非法利用或因技术操作失误泄露商家与消费者买卖过程中的消费者信息造成商家信誉受损，应加倍赔偿商家损失；平台在制定有关协议和隐私政策时应广泛征求商家意见；在接到消费者对商家的投诉后应及时告知商家并提出整改建议，对于商家提出的诉求，平台应及时反馈。

5.3 建立个人信息类型化制度

在我国，个人信息可根据其敏感性被分为敏感个人信息和一般个人信息，敏感个人信息可被等同于隐私，侵犯某信息可能会产生个人信息和隐私的侵权“竞合现象”。比如，随意传播个人病历资料，既会造成对个人隐私权的侵犯，也会侵犯个人信息权。因此，我们可以将一般个人隐私归纳于个人信息的范畴，但一些对外界公开的个人信息如姓名、身高等就不能被称为隐私。在建立个人信息类型化制度中可将个人信息按敏感程度分为高敏感信息和低敏感信息。对高敏感信息的界定应限于国家与集体利益、社会公共安全和狭义的人格权领域。其他非高敏感的信息为低敏感信息。

具体而言，侵犯高敏感信息可等同于侵犯消费者隐私，比如消费者在网络上购买具有高度私密性的物品，如艾滋病等传播性疾病检测试纸、女性早孕检测用品、私护用品、私密药品等，如商家未保密发货或因包装缺陷造成他人知晓，对消费者造成的精神损失将远超出财产损失，且可能影响消费者正常生活。如果消费者的患病情况被不法分子掌握，不法分子利用消费者脆弱的求生心理实施诈骗，则会给消费者本人和家人以及社会公共利益造成极大损害。因此国家及有关部门应完善《刑法》中关于侵犯高敏感个人信息惩罚规定，严厉打击侵犯高敏感个人信息权的行为。

与高敏感信息相对的是低敏感信息，这类信息不宜过分保护，只要保证其不被非法泄露、收集与利用即可。消费者的性别、地区、浏览记录、购物喜好等信息暴露虽然会让不法分子有可乘之机，但这些信息在一定限制下经过消费者授权被合法利用时，则有可能为平台、商品生产厂家和消费者自身带来经济效益。比如一名女性消费者仅仅是性别、年龄、购物偏好以及所在地区的信息被商家和平台利用，通过此四条信息并不能锁定其个人身份，但通过该女性的授权使平台能够通过大数据分析不同地区、不同年龄女性的购物偏好，一方面可增加平台对女性消费者的了解，另一方面还可让商家针对性制定进货、销售政策，平台也可将生成的分析报告给生产女性用品的厂家有偿使用，避免厂家出现产品不对女性胃口而滞销的局面，而授权的消费者则可得到平台和商家支付的费用。个人信息类型化制度总结起来就是用不同的方法对待不同性质的个人信息，对高敏感个人信息要尽可能加以保护，而对于低敏感个人信息，网络服务提供者可通过支付信息对价而有偿使用，发挥个人信息的商业价值。

6 结束语

诚然，上述对电子商务中消费者个人信息权保护措施和信息的有偿使用建立后也会不可避免地带来新的问题，但电子商务交易形式的法治化、电商平台技术的发展、商家素质的提高和消费者维权意识的增强都会让互联网电子商务市场有序运转，因此我们不用担心电商机制的完善和个人信息的细分会降低市场运行效率。相反，我们更应正视信息的资源属性和利用需求，建立高效的网络信息治理机制，促进我国电商行业健康稳定运行。