大数据时代电子商务消费者个人信息保护探析

姜良良

华北水利水电大学，河南 郑州 450046

一、电子商务消费者个人信息的基本特征

（一）电子商务网络交易的优势

电子商务是借助网络技术手段和电子工具销售商品和提供服务的商业运营模式。常见的电子商务活动有：网上订票、网络购物、网上招投标、网上购买旅游服务等。传统商务是指商品或服务的经营者通过实体店铺、电话、传真、信件等媒介向消费者进行宣传和销售的经营模式。

与传统商务相比，电子商务卖家在网络平台展示商品形状、用途、价格等属性，客户通过相应网页或者应用下单购买，不受场地约束；在交易服务平台上商户展示商品或服务的优质特点吸引顾客，商品价格是必须标明的内容，价格透明是电子商务另一特点；电子商务中买卖双方无需见面聊天即可完成交易，可见电子商务具有隐匿性；买方在网络上购买商品或服务时，不用前往实体店铺挨户对比筛选，极大节约了交易时间和交易成本。

（二）个人信息的内涵

个人信息是每个公民所特有的、能够单独或与其他信息结合区别他人的非大众化特征，包括但不限于公民的姓名、家庭住址、家庭成员、电话号码、身份证号、邮箱、职业、健康状况、密码、指纹等信息，以文字、图像、电子数据等形式储存。本文中个人信息并不单指个人隐私，个人隐私指公民为寻求安宁在生活、社会交往、心理上不愿被他人获知的私密信息，其内涵是个人信息的一部分。

（三）电子商务消费者个人信息的特征

1.消费者个人信息具有可识别性

《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中就明确提出个人信息识别性特征。①参见《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条：《刑法》第二百五十三条之一规定的“公民个人信息”，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信联系方式、住址、账号密码、财产状况、行踪轨迹等。这意味着可以通过个人信息中一条或几条内容精确将该公民与其他公民区分出来，识别出与所掌握个人信息相对应的特定身份。尤其是获得像身份证、实名登记的手机卡号、银行卡号、家庭住址这类与公民一对一认证的信息，可以轻松找到该公民。

2.消费者个人信息收集易删除难

一个电子商务消费者在网络购物平台上购买商品或服务，下单填写自己的姓名、电话、家庭住址等信息，这些信息可以传输到电子商务经销商、电子商务第三方经营平台、快递运营商手里。对于电子商务的经营商和服务机构来说，获知消费者的个人信息比较容易，且这种信息是以电子数据的形式进行传输和保存，消费者个人没有权限从电子数据中消除自己的个人信息，难以控制接触信息的范围和人群。

3.消费者个人信息数据大更新快

网络虚拟商铺成本低、销售范围广泛的优点让越来越多的实体经济经营者转向线上销售，同时电子商务的便利、商品和服务品类繁多、价格低廉也吸引更多的消费者，使得网络购物消费者的个人信息数据每年都在更新，整体数据量不断增加。2020年3月网购用户为71027万人，到12月网购用户上涨至78241万人，较3月份增长的人数占整体网民的 79.1%。［5］

二、电子商务消费者个人信息安全隐患类型

（一）电子商家滥用个人信息实施价格歧视

“大数据杀熟”是互联网出现的新词汇，指电子商务经营者利用获取消费者电子贸易信息的便利，对不同消费者实行分类进而采取不同价格定位的商业策略。消费者在网络进行商品挑选时表现出自己的消费偏好、消费水平、消费能力等消费习惯，网络平台上商品销售者利用计算机技术分析分类不同消费习惯的消费者，进行一对一定价。商家为了促销，扩大消费人群，通常同一商品和服务新客户比老客户支付的价格低。顾客个人信息被经营者利用实施价格歧视，破坏电子商务交易的公平性，不利于整个网络交易环境健康稳定地发展［1］。

（二）电子商家过度收集个人信息精准营销

使用电子商务服务平台时，消费者会遇到网页询问是否能够读取手机通讯录、发送位置信息等与购买行为无关的请求，拒绝授权可能会影响使用该应用的部分功能；在支付环节，消费者可以选择家人代付，需要提供家人信息等情况。2021年10月有媒体爆出某APP每5分钟定位一次用户位置，收集消费者个人信息频率明显超出实际交易需要。在整个购物过程中，平台要求消费者所填写或者所提供的信息已远多于购买商品需要的信息，这都是电子商务消费者被过度收集个人信息的体现。

（三）电子商家职员窃取个人信息非法交易

个人信息蕴含商业价值，部分个人信息的管理者和接触者为了谋取私利与不法分子勾结出售个人信息。2020年11月有媒体曝光不法分子租用某快递内部员工账号密码非法获取40万条圆通客户的个人信息，并以每条约1元的价格在微信、QQ上打包售卖。无独有偶，2021年10月在市面上又出现印有个人信息的快递单被分类售卖，涉及多家快递公司，个人信息非法买卖已形成黑色产业链。不法分子获知居民个人信息后可能出现电话骚扰、电话推销甚至进行电信诈骗的犯罪行为，给居民日常生活带来烦恼，也存在公民财产受到侵犯的隐患。

（四）电子商家有漏洞被黑客盗取个人信息

电子商务消费者个人信息无授权被泄露的情况分为两种：黑客入侵和人为操作，不以营利为目的泄露个人信息多为黑客入侵电子商务服务平台造成的。2018年某国际酒店集团发现其旗下某酒店预订系统多年来屡遭黑客入侵，约5亿客户个人信息泄露，这些信息包括顾客姓名、出生日期、性别、电话号码、电子邮箱、护照号码、预定日期、到达和离开酒店日期等，部分客户支付卡号也被外泄，给客户和酒店带来极大负面影响。

三、保护电子商务消费者个人信息的有效路径

（一）消费者需提高防范意识坚持知情同意规则

1.消费者是个人信息权益的保护主体

电子商务活动消费者是参与主体，消费者的个人信息是由消费者自己提供，消费者自己不提供商家很难通过正当途径获取。个人信息不但具有身份性，还具有财产权益性［2］。个人信息数据对商家来说意味着财产权益，商家收集消费者个人信息的过程即是财富积累的过程，商家积极收集个人信息的动力实足，甚至不择手段。消费者需要提高防范意识，首先，要意识到自己的个人信息是一种隐私，不是必要时不能向商家透露；其次，了解个人信息的保护范围，凡是以电子或者其他方式记录的与已识别或可识别的自然人有关的各种信息均是消费者个人信息控制权范围之内，除非法律法规明确规定，任何组织与个人均不得强制获取。

2.养成非必要不提供的良好习惯切实维护消费者信息权

其一，消费者对商家要求提供个人信息需谨慎对待。根据交易性质和目的仔细判断要求提供的信息是否是交易所必需，交易非必要的信息消费者有权拒绝提供。

其二，消费者基于同意向商家提供的个人信息有权撤回。消费者如果不小心已经向商家基于自愿提供个人信息，根据《个人信息保护法》第十五条之规定，消费者有权撤回同意，要求商家删除个人信息。

其三，消费者个人自行公开或已经公开的个人信息，如果认为该信息影响个人利益时，要有明确拒绝处理个人信息的意思表示，防止个人信息被不当利用损害自己的合法权益。

其四，切记敏感个人信息不能轻易同意处理。敏感个人信息一旦被非法使用，消费者的人格尊严、人身财产安全将会受到危害，没有充分的必要性和合法目的性，消费者要果断拒绝对敏感个人信息的处理［3］。

（二）强化电子商家管理责任落实告知同意规则

互联网时代电子商家本着获取消费者个人信息越多盈利能力越强的思路，对消费者个人信息是能收尽收，这已成为某些行业的潜规则。个别企业对获取的消费者个人信息进行非法交易，形成灰黑色利益链。许多事件证明，泄露个人信息的多为商家内部人员，也有一些利用商家系统漏洞非法侵入获得的个人信息。消费者个人信息之所以被泄露，商家对信息、职员和系统管理的疏忽是主要原因。强化电子商家的管理责任，对保护消费者个人信息至关重要。

1.电子商家应加强行业自律坚持最少收集原则

《个人信息保护法》第六条要求处理个人信息应采取对个人权益影响最小的方式，限于处理目的的最小范围和最少收集。同类电子商家应通过行业协会，统一制定行业收集个人信息的范围标准。行业标准应严于法律标准，收集个人信息的范围以必要为限度，坚持最小范围、最小影响、最少收集个人信息的原则。行业之间以合约形式形成规范，对违反行业规范的行为，由行业协会采取措施进行处理，监管同行，成本低效率高成效好。

2.电子商家收集个人信息须坚守“告知-同意”规则

其一，商家要履行告知义务保障公民知情权。随着信息化程度的提高，很多商家热衷于人脸识别，收集消费者生物识别信息，分析不同消费者的喜好、行踪、性别、年龄等敏感信息，提高企业的盈利能力。对此，《个人信息保护法》第二十六条明确提出了在公共场所安装图像采集、个人身份识别设备的，须为维护公共安全所必需，并设置显著的提示标识告知个人。所收集的识别信息只能用于维护公共安全目的，不得用于商业目的，除非取得个人单独同意。收集处理已公开的个人信息，对个人权益有重大影响的，应当取得个人同意。

其二，商家处理个人信息要征得个人同意。个人信息属于消费者隐私权的内容，消费者有权选择公开，也有权选择不公开，以及选择何种方式公开。商家收集个人信息首先要告知消费者，征得消费者同意后方可处理个人信息。消费者要对自己授权或提供的个人信息进行持续跟踪，不同意继续处理个人信息时，要积极行使撤回同意权，要求对方停止处理或及时删除个人信息［4］。

（三）消费者要学会运用过错推定规则积极维护个人信息权益

《个人信息保护法》第六十九条①参见《个人信息保护法》第六十九条：处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿责任。的规定减轻了个人信息受害者的举证负担，受害者只需举证证明自己个人信息权有损害，损害与个人信息处理者的处理行为有因果关系，处理个人信息的行为不符合相关规定即可。至于个人信息处理者主观上是不是有过错，不是由受害人证明其有过错，而是由个人信息处理者举出证据证明自己没有过错。这样个人信息受损人追究个人信息处理者的民事责任相对容易多了。这也从反面促使电子商家加强内部管理，履行个人信息保护工作，规范收集、存储、删除等环节个人信息的处理活动，防范因过错推定承担损害赔偿责任。这里需要注意只有个人信息处理者侵害个人信息权益时方可适用过错推定规则，其他个人信息控制者侵害公民个人信息权益时应当适用《民法典》的规定保护个人信息。

（四）积极推进侵害消费者个人信息权益的公益诉讼活动

虽然存在大量的个人信息侵权事件，但真正诉讼维权的个人寥寥无几。究其原因，侵犯个人信息案件受害人受损的多是人格利益，受害人诉求的财产利益较少。况且侵害个人信息案件取证难度大诉讼成本高，多数受害人趋向选择隐忍。《个人信息保护法》第七十条规定：个人信息处理者违反本法规定处理个人信息，侵害众多个人的权益，人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起公益诉讼。该规定赋予了人民检察院、消费者组织及国家网信部门确定的组织可以依法向人民法院提起公益诉讼的权利，相当于法律给消费者维护个人信息权益增加了一位专业帮手。侵害消费者个人信息案件，相对商家来说消费者个人是弱势群体，专业知识、取证能力等无法与商家对抗。如果人民检察院、消费者组织向人民法院提起公益诉讼，那么情况就会反转。检察院具有专业知识、拥有专业人员和法律赋予的调查取证手段等，让侵犯消费者个人信息权的行为无处隐藏，让其承担损害赔偿责任。《个人信息保护法》赋予人民检察院、消费者组织及国家网信部门确定的组织依法有权向人民法院提起公益诉讼，能有效遏制侵害公民个人信息行为事件的频发。