电商平台中公民个人信息保护的规范路径探讨

张基利 康兰平

摘要：伴随着公民个人信息保护意识的逐渐增强，隐私政策的披露机制作为电商平台保护消费者个人信息权益的重要手段也面临规制、治理与法律的考量。本研究通过选取样本APP电商平台的隐私政策内容进行文本分析和规范解读，从数据全生命周期的角度针对个人信息收集和使用、存储与保护、披露机制、用户权利保障，未成年人保护机制，申诉与权利救济机制、个人信息可携带权的落实等方面，针对公民个人信息保护存在的主体对话阙如、信息处理规范不够各方面，其中存在诸如主体间对话困难、信息处理规则模糊、可携带权利落地困难、存储和保护事项告知不明、未成年人信息保护不足、外部监管机构设置不到位等问题，可以通过完善法律规制体系、构筑平台与消费者的有效协商对话机制、强化全流程监管机制、落实以公益诉讼为视角的司法保障路径等手段，实现对消费者个人信息的全局性和有针对性地保障。

关键词：个人信息；规范路径；APP隐私政策；公益诉讼

中图分类号：D9文献标识码：Adoi：10.19311/j.cnki.1672-3198.2022.21.075

伴随着个人信息保护法的出台，有关公民个人信息的隐私保护问题关乎公众的合法权益和个人信息合理利用，也会影响到相关平台企业的数据合规与监管动向。个人信息保护法的颁布为公民个人信息法律保护提供了整体意义上的个人信息保护框架，涵盖了个人信息全生命周期视角下的信息处理过程。一方面立法明确了数据主体所享有的相关权利，另一方面也明确了与个人信息权利相关的数据处理者所需要承担的责任和义务，在为个人提供有效地权利保障机制同时，也为企业的数据合规提供了规范指引和评价标准。本研究通过分析APP隐私政策披露与个人信息保护法的契合程度来评价企业对于个人信息保护的实施成效。本研究通过问卷调查的方式和数据统计分析方法来有效评估隐私政策披露机制是否完善、企业数据合规的实施情况和自我监管效能，在此基础上探究规制、治理与法律多元框架下隐私政策的自我规制与用户个人信息的风险管理。

1电商平台隐私政策研究样本选取与实证分析

1.1电商平台隐私政策样本选取

根据Alexa和站长之家电商网站排名，综合考虑市场知名度、在线交易量等因素，本文按照综合电商、直播电商、社交电商、团购电商、旅游电商、跨境电商的电商类型划分，分别在每种类型下选择2家电商平台并收集其隐私政策作为研究样本。电商平台企业如何保障个人信息安全和权益就构成了我国个人信息保护隐私披露、自我规制和立法保障的重要一环，而这也恰恰凸显了本研究的价值。通过对电商平台隐私政策披露情况进行文本收集和内容分析，我们发现伴随着《网络安全法》《数据安全法》《个人信息保护法》等相关法律的出台以及工信部陆续出台的个人隐私保护政策，隐私政策披露机制不仅是平台企业自我规制的有效工具，同时也是一项法定层面的义务。从已经收集的APP隐私政策的文本内容来看，主要包括：（1）个人信息的收集和使用；（2）个人信息的存储与保护；（3）个人信息的共享、转移和披露；（4）用户个人信息权；（5）未成年人个人信息保护；（6）Cookies和同类技术；（7）隐私政策的适用范围及更新、联系方式等。

1.2电商平台隐私政策的实证分析

通过对电商平台APP隐私政策的文本内容进行实证分析，我们发现当前APP隐私政策披露机制存在着自我规制的困境：首先，当前电商平台存在着通过设置规避条款来获取用户个人信息或者第三方服务。其次，第三方在用户个人信息的时候会面临链接安全性的考量和潜在危害，比如可能会引发相关的技术风险和安全防范风险等。最后，电商平台自身的信息安全风险评估机制也面临挑战，比如平台诱导型的用户个人授权机制，非法收集用户个人信息挖掘用户个人爱好等。工信部“黑名单”显示，APP存在着没有经过用户同意收集和使用相关的个人信息且在用户个人数据保护方面存在着安全风险。通过对样本APP平台隐私政策的文本内容进行聚类分析，当前APP隐私政策披露机制存在着信息处理规则模糊、遵守法定保护规范不理想、个人信息可携带权落地困难、未成年人个人信息保护力度不足以及第三方监管不到位等问题。因此，有必要在對APP隐私政策披露的文本内容进行自我规制的基础上进行规范性评估与效果评价。

2APP隐私政策披露自我规制的内容分析与合规评估

2.1APP隐私政策披露自我规制的主要内容

APP隐私政策是平台企业在消费服务协议中通过规定如何消费者个人信息安全的相关规则，比如收集哪些个人信息类型，既是对消费者个人信息安全保护的义务与承诺，同时也是企业数据合规与平台责任的最低标准。伴随着民众对个人隐私保护的意识日渐增强，隐私服务协议披露机制成为行业自律的普法做法，并且形成了自我规制的操作流程和规范保障。在此意义上，隐私政策披露程度的完善程度在一定程度上也会影响到平台企业的个人信息安全保障程度以及实施效能。

2.2APP隐私政策披露的合规评估

本文通过选择了50个样本APP隐私政策披露情况进行分析，围绕着规范评估的合法性、合理性标准进行概念化、操作化。通过对腾讯体育、乐视体育、搜狐体育、虎扑等50个APP隐私政策文本内容进行定性分析。隐私政策更新的内容主要包括：收集的信息、使用信息、如何使用Cookie及相关技术、第三方数据处理和信息的公开披露机制、存储信息的位置和使用期限、信息安全保障、个性化定制广告、未成年人保护等方面的内容。

通过对样本APP隐私合规的规范性内容进行评估，我们发现：隐私政策更新作为明确互联网平台知情同意原则的重要支撑。符合法律规范要求的数据合规框架能够有效锚定平台企业与用户的主体权益，在权利义务规制框架下探究激励相容的个人数据保护道路。隐私政策作为一种有效地数据合规工具和利益平衡机制，充分体现了个人信息自决权的告知义务、透明性原则。因此，隐私政策的合规性评估能够作为个人信息安全保障的重要屏障和融合共享机制，也能够有效地促进数据高效流动、消除用户隐私顾虑保障个人信息自决权。

2.3APP隐私政策披露与既有规范的契合度分析

大数据时代，网络信息安全和个人信息保护尤为重要。企业个人信息保护与隐私安全治理成为当前平台企业需要关注的热门话题。一方面伴随着相关国家法律的陆续出台，企业的数字化转型也面临自我规制的现实要求。在全社会都十分关注个人信息保护相关议题基础上，我们也需要谨慎考量APP隐私政策披露与既有规范的契合度分析。

首先，从电商平台与用户之间的服务协议和隐私政策文本来看，两者之间存在着协商沟通机制的错位和隔阂，用户只有在同意接受平台的隐私政策和服务协议的基础上才能够获得相关的服务，否则无法使用电商平台提供的各项要求，而这实际上也会影响到用户的个人信息保护的权益，尤其是对于普通用户来说没有能力也无法实现与平台进行协商对话的平等机会。一旦用户的个人信息权益遭受侵害寻求平台的救济也面临责任鸿沟问题和权益侵害风险。

其次，电商平台隐私政策文本也面临还存在表述晦涩、模糊、泛化的问题。比如平臺隐私政策文本中尽管都强调要进行去标识化、匿名化的处理但究竟如何界定相关信息是否能够达到去标识化的程度还有待考证。而且从隐私政策文本的表述来看，也存在着引导性或者倾向性的表述问题，比如是否存在引导性的个人信息授权行为。但也面临因为隐私政策的文本篇幅而引发的阅读障碍、重点不够清晰以及可读性差等问题，使得用户不能够理解隐私政策的具体内容和授权范围。

再次，电商平台承担的义务与责任不够清晰。对于电商平台而言需要在整合既有信息基础上进行平台形象的架构，即如何实现更为立体、真实、生动，但也会造成用户个人信息的安全风险和隐私泄露问题，给电商平台的自我规制带来难题，在此基础上应当通过提升平台的透明性义务，加强对用户个人信息保护，更好地去明确平台所应当承担的责任和义务。

最后，个人信息可携带权的权利实现机制。《个人信息保护法》第45条第3款对可携带权予以了确认。《个人信息保护法》通过并实行以后，电商平台在隐私政策当中阐明了用户所享有的信息携带权。比如去哪儿网规定了用户可以获取个人信息副本，京东商城也规定了用户可以获得个人信息的相关副本。但是对于个人信息副本的获取方式仍存在着标准化格式难题，个人信息的复制权和个人信息的转移权面临现实的落地实现难题。

3APP隐私政策披露的个人信息保护规制路径

伴随着算法社会的到来，APP隐私政策披露机制也面临平台与用户之间的协商对话不畅，信息处理规范的模糊以及具体权利实现的落地相当困难等现实问题、缺乏对未成年人的权益保障以及元规制的缺失以及监管不到位等。因此，针对APP隐私政策披露的个人信息保护规制可以通过在立法层面明确个人信息保护的规制体系，在自我规制层面构筑平台与用户的友好协商对话机制，通过全生命周期监管实现平台与用户的可供性与用户需求的动态平衡。

3.1构筑隐私政策披露的个人信息保护协商与合意机制

通过对隐私政策文本内容进行量化分析，我们发现当前APP隐私政策文本内容存在着单方意志，无法形成有效地协商与合意机制，造成了平台企业与用户之间的沟通不畅。首先，要提升隐私政策文本的可读性和阅读质量，明确个人信息权利的相关规定，提升规则的可操作性和可行性。其次，要构筑平台与用户之间的协商和对话机制，形成关于权利表达和权利认知的有效机制。尤其是在个人信息权利遭到救济的时候，也能够提供有效地法律手段和救济机制。因此，隐私政策文本的内容也面临逻辑层面的考量和语义的分析。

3.2深化个人信息保护公益诉讼制度

在2020年制定颁布的《民法典》人格权编中增加了关于个人信息保护的民事案件案由。电商消费者既可以通过传统的民法私法救济方式来保障个人信息权益，但也面临诉讼成本高以及司法资源浪费的问题。个人信息保护法中第70条明确规定了个人信息保护公益诉讼制度。针对侵犯个人信息权益的主体资格进行了相应的规定，比如人民检察院和其他相关组织，凸显了对公众利益的保障和规范行业自律功能的实现。但是个人信息保护法对此的规定还比较原则化且存在着模糊地带，仍面临诸多理论和实践层面的问题亟待进行深化研究。

伴随着算法社会的到来，大规模信息泄露事件也面临公共利益的现实拷问，面临如何在私益与公益进行动态的界限划分和供给平衡。在此基础上，个人信息的权益保护不仅涉及个体权利的实现同时也会影响到国家层面的数据安全和国家治理目标的公共价值实现。个人信息保护公益诉讼机制作为一种特别的程序安排机制有其存在的现实性与合理性，是一种更为节约司法资源和降低司法成本的方式，能够更好地保护个人信息的相关权利。

3.3加强对未成年人的个人信息保护力度

纵观APP隐私政策披露机制中存在着对于未成年人个人信息权利规定的年龄规定差异、监管人授权机制和相应的保护措施不健全等现实问题。在此意义上，隐私政策披露机制面临因为未成年人的数字身份而带来的被遗忘权利、隐私泄露风险以及可能引发的主体权能弱化和歧视问题，同时也会给平台经营者的自我规制带来更高的合规成本以及权利实现危机。因此，隐私政策披露机制应当在遵守既有法律规范的基础上，探索更为灵活多元的适合未成年人个人信息保护的机制。比如在年龄设定上，要重点保护不满18周岁的未成年人个人信息，并且通过行使删除权针对未成年人进行个性化的保护。同时也需要对监护人的权利行使进行有效规制和验证。加强未成年人个人信息保护，从数据全生命周期管理的角度构筑起个人信息权利保护救济机制、追溯机制、保障机制和诚信体系。具体而言，针对未成年人个人信息保护视角下数据处理全生命周期维度，明确未成年人个人信息保护的权益维护、产业激励和国家公共利益在具体应用场景当中的平衡与调适。

4结束语

伴随着数字经济的迅猛发展和公众个人信息保护的意识逐渐增强，如何在数字平台监管背景下探究个人信息的权益保护成为当前和今后亟待解决的问题。隐私政策披露机制作为平台自我规制的重要环节，在保护消费者个人信息权益中起到了重要的作用，既是平台与用户之前达成的承诺与遵守的义务，同时也是平台自我规制的守法准则和第三方监管的重要手段。本研究通过对样本APP平台隐私政策文本进行内容分析和规制评估发现：从个人信息全生命周期来看，在APP隐私政策文本内容中有关个人信息收集和使用，存储与保护，数据共享和披露机制，用户权利保障和权利救济等。但是通过规制性影响评估我们发现当前隐私政策保护存在着平台数据合规与消费者权益保护的权利龃龉、个人信息处理规则模糊、信息可携带权的权利实现困境、未成年人信息保护的阙如、元规制影响性评估的监管不到位等现实问题，需要在此基础上不断夯实平台与用户的协商对话机制，构筑全生命周期的监管机制，通过引入公益诉讼制度为用户个人信息保护提供更为科学合理可操作性的救济机制。

参考文献

［1］冯洋.论个人数据保护全球规则的形成路径——以欧盟充分保护原则为中心的探讨[J].浙江学刊，2018，（04）.

[2]丁晓东.个人信息私法保护的困境与出路[J].法学研究，2018，（06）.

[3]李伟民.“个人信息权”性质之辨与立法模式研究——以互联网新型权利为视角[J].上海师范大学学报，2018，（03）.

[4]张可法.个人金融信息私法保护的困境与出路[J].西北民族大学学报（哲学社会科学版），2019，（02）.

[5]汪庆华.个人信息权的体系化解释——兼论《个人信息保护法》的公法属性[J].环球法律评论，2022，（01）.

[6]申卫星.论个人信息保护与利用的平衡[J].中国法律评论，2021，（05）.

[7]汪庆华.数据可携带权的权利结构、法律效果与中国化[J].中国法律评论，2021，（03）.