(电子商务研究中心讯)消费者个人信息对于传统营销模式向精准营销的转变具有决定性作用,这也决定了消费者个人信息非凡的商业价值。然而当前我国电子商务环境下个人信息的收集与使用存在大量安全隐患,消费者在强大的网络技术面前显得毫无隐私可言,这就需要不断完善我国网络环境下的个人信息保护的法律制度,维护网络消费者合法权益,保障电子商务产业的健康发展。
〔关键词〕网络安全;电子商务;个人信息保护
一、问题的提出
二、电子商务环境下个人信息安全危机的表现形式
个人信息是指一切可以识别本人的信息的总和,这些信息包括了一个人的生理的、心理的、智力的、个体的、社会的、经济的、文化的、家庭的等等各个方面。从属性上来看,个人信息属于人格利益。根据大陆法系人格权理论,凡是与人格形成与发展有关的情事都属于人格权的客体。个人信息所体现的是公民的人格利益,个人信息的收集、处理或利用直接关系到个人信息主体的人格尊严。
(一)个人信息收集过程中的安全危机
(二)个人信息使用过程中的安全危机
电子商务环境下个人信息使用中的违法行为主要体现为以下三种形式:
第一,网络经营者通过对掌握的消费者个人数据进行深度二次加工之后再次使用。个人信息的二次开发利用是指,网络经营者利用自身掌握的个人信息建立起综合的数据库,然后经过对数据的加工、挖掘从中分析出一些个人并未透露且具有商业价值的信息,从而引导企业的营销策略。对个人信息的二次加工有利于提高营销效率、节约成本,是网络经营者运用信息技术变革营销方式的重大创新,但目前我国对个人数据二次开发利用行为缺乏指导规范,行为合法性的边界较为模糊,未经消费者本人许可的个人信息二次加工使用容易引发侵权纠纷,从而妨碍该技术的推广应用。
第三,一些网络信息中介公司专门从事消费者个人信息的收集与分析服务。信息中介公司通过广泛收集消费者信息并向第三方提供详细资料以赚取高额利润。信息中介公司通过广泛的信息搜索渠道,精确掌握特定消费者的详细信息,使购买这些信息的企业在激烈的市场竞争中占尽先机。然而网络信息中介公司交易消费者个人信息的行为往往未经消费者本人同意,涉嫌侵犯消费者个人信息权。
不加限制的个人信息收集与使用行为容易引发网络用户的个人信息与隐私数据无限扩散,从而严重影响消费者的正常生活,因而必须通过法律对其加以调整和规范。
为了回应各州以及联邦贸易委员会的诉求,奥巴马政府于2012年2月23日公布了《全球数字经济下隐私保护的创新推动的框架》,重点阐明了政府拟敦促国会通过消费者在线隐私保护法案并将大力推进电子商务环境下消费者个人信息保护制度实施的立场。虽然该框架并非最终的立法,但是可以预见美国有关消费者在线隐私保护法案的制定与颁布将不再遥远。
除了法律保护之外,美国针对网络交易中消费者个人信息保护的行业自律模式也一向为各国所称道。具体而言,美国电子商务行业主要采用三种方式保护消费者个人数据:一是通过非强制性的商业指引,为电子商务企业保护消费者个人信息提供示范性指导;二是利用技术保护,有代表性的是互联网协会提出的个人隐私偏好性平台技术(P3P);三是网络隐私认证机制,例如TRUSTe、BBBONLine、WebTrust等。上述三种行业自律模式与有关个人信息保护的立法共同构成了美国富有特色的网络消费者个人信息保护制度体系。
1.1995年《关于涉及个人数据处理的个人保护及此类数据自由流动的指令》
该指令系统地规定了个人资料权的内容体系,具体包括以下方面:(1)获取权。指令第12条规定,资料主体可以随时免费地获取个人信息,并有权对信息的内容予以确认或者更正。(2)自主决策权。根据该指令15条,在依据一个自然人的个人信息对其工作、生活当中的重大事项作出决策的情况下,应当赋予该自然人对他人使用其个人信息予以否决的权利。(3)拒绝使用权。个人资料主体有权就他人对其资料的收集、传输与使用予以拒绝,并对他人的非法使用行为有权追究法律责任。(4)获得救济权。该指令第23条明确规定,未经许可或者违法使用他人个人资料的,资料权人有权主张侵权人承担经济赔偿等民事责任。
2.2013年《欧盟数据保护基本条例》
欧洲议会公民自由、司法与内政事务委员会于2013年10月22日通过了最新的《欧盟数据保护基本条例》(Datenschutz-Grundverordnung)以回应社会逐渐高涨的要求建立更加严格的数据保护制度的呼声。该条例的最大亮点在于赋予数据主体在个人信息受到侵犯时,可以通过条例规定的多种途径寻求救济。
(1)数据主体的“删除权”
(2)向专门监督机关提起控诉
监督机关在查明事实后,对于没有履行基本条例规定的义务的,可以做出以下行政处罚:(a)如果是第一次且非故意违反,可以提出书面警告;(b)定期数据保护审查;(c)最高处以1亿欧元或者企业每年全球营业额5%的罚金,按照数额较大的金额予以处罚。
数据主体向监督机关提起控诉后,如果监督机关未对数据主体的控诉作出合理保护裁决的,或者保护裁决没有按照第52条第1款b的规定在3个月内通知数据主体的,数据主体可以行使司法救济权起诉监督机关。
(3)向司法机构提起诉讼
数据主体除了可以向监督机构申请救济之外,还可以针对数据控制者向司法机构提起诉讼。如果数据主体认为数据控制者违反数据保护基本条例有关收集与处理个人信息方面的规定时,数据主体有权针对数据控制者提起诉讼并主张其承担法律责任。
四、我国电子商务环境下个人信息保护制度现状与问题剖析
(一)我国个人信息保护立法进路梳理
(二)我国电子商务环境下个人信息保护制度问题剖析
第二,个人信息权利内容体系不清晰。我国当前立法中关于个人信息保护的条款大多是对个人信息收集与使用行为的规范,而对信息主体的个人信息权利内容则较少涉及,个人信息保护缺乏权利基础,非常不利于个人信息保护。
五、我国电子商务环境下个人信息保护的立法对策
当前形势下法律对进入网络的个人信息加强保护,确保网络用户的经济等诸方面的安全,已然成为发展电子商务的前提与基础,个人信息保护法成为电子商务的安全保障法,电子商务领域的个人信息保护也被纳入电子商务法的组成部分之一。为了顺应电子商务的发展要求,笔者建议我国个人信息保护的立法完善从以下方面入手。
(一)确立个人信息保护法基本原则
个人信息保护法的基本原则分为共有原则与特有原则。共有原则是指个人信息保护的直接上位法的基本原则,具体包括意思自治原则、公平原则、诚实信用原则与比例原则。
个人信息保护法的特有原则是指共有原则之外的,仅适用于个人信息保护法的基本原则,体现个人信息保护法的基本价值与理念。具体而言,个人信息保护法的特有原则包括以下内容:
1.目的明确原则。该原则是指收集个人信息的目的,必须在收集前加以确定,确定的目的必须通过一定方式明确化;发生目的变更时,变更后的目的也必须及时予以明确。确立目的明确原则的目标在于确保信息主体和社会对个人信息处理的可预见性。
2.知情同意原则。该原则是指信息管理者在收集个人信息时,应当充分告知信息主体就有关个人信息被收集、处理和利用的情况进行充分告知,并征得信息主体明确同意的原则。
3.目的限制原则。该原则是指个人信息的收集利用均限于最初确立的目的,与该目的保持一致;并应采取公平合理的收集方式。目的限制原则是与目的明确原则紧密配合的一个原则。目的明确原则旨在要求个人信息管理者进行个人信息处理时应有明确目的,目的限制原则旨在确保信息管理者收集和处理个人信息应受“明确目的”之限制。
4.信息品质原则。该原则也称完整正确原则,是指信息管理者应保障个人信息在其处理目的范围内的完整、正确和时新。信息品质原则的核心是完整和正确,是各国际组织和各国个人信息保护法普遍遵循的原则。
5.安全原则。该原则也称安全保护措施原则,是指对个人信息应采取合理的安全保护措施,以防止个人信息的丢失、非法访问、毁损、利用、修改和泄露等为风险的发生。
7.禁止泄露原则。该原则也称保密原则,是指对信息管理者及其工作人员负有对个人信息的保密义务,严禁非法泄露个人信息及其内容。对个人信息内容的披露,只有在法定或者约定条件下才属于合法行为。
上述个人信息保护的共有原则与特有原则的重要意义在于,其构建了电子商务环境下网络经营者的个人信息保护义务框架,明确了个人信息收集、使用行为合法抑或非法的边界,设立了个人信息保护的“防火墙”,对电子商务的发展具有至关重要作用。
(二)构建个人信息权利内容体系
构建科学、合理的个人信息权利内容体系是保障消费者个人信息安全的前提与基础。个人信息权是一种新类型的具体人格权,其目的在于使个人能够以自己的积极行为支配其个人信息,保护其精神人格利益。个人信息权具有非常丰富的内容,具体包含以下方面:
第一,对信息收集与处理行为事先知情并决定是否以及如何处理个人信息的权利。电子商务环境下大量的个人信息是在本人不知情的情况下被收集的,且被收集的个人信息将作何种用途消费者本人也不得而知,这种行为侵犯了信息主体的知情权。信息主体不仅有权知道个人信息收集主体的准确信息,而且应当明确个人信息收集的范围、表现形式,还应有权知道被收集的个人信息将用于何种用途。信息主体有权决定是否允许经营者收集其个人权利,决定收集个人信息的范围以及信息被收集后的使用方式。
第三,请求信息处理者采取合理措施,确保个人信息正确与完整状态的权利。电子商务环境下,虽然消费者向经营者提供了个人信息,但并不丧失对个人信息的控制权,可以通过合理的方式要求经营者保存的个人信息准确、完整,且有权在交易结束或者消费者认为必要且不影响经营者合法利益的情况下要求经营者删除其个人信息。
(三)完善个人信息侵权法律责任制度
当前电子商务环境下个人信息保护危机越发凸显的一个重要原因在于个人信息侵权行为难以受到法律追究,从而一定程度上纵容了个人信息侵权现象的泛滥。为了解决该问题,需要不断完善我国个人信息侵权民事、行政、刑事法律责任制度。