國(guó)外電商平臺(tái)用戶信息安全保護(hù)模式及啟示

湯曌玭 虞琳鈺

摘要：迅速崛起的電商平臺(tái)，在帶給人們便利的同時(shí)，也產(chǎn)生了諸多用戶信息安全問(wèn)題。本文基于美國(guó)、日本和歐美等電商平臺(tái)發(fā)達(dá)國(guó)家和地區(qū)的用戶信息安全保護(hù)現(xiàn)狀，分析其保護(hù)模式和主要啟示，為我國(guó)電商平臺(tái)的用戶信息安全保護(hù)提供借鑒參考。

關(guān)鍵詞：電商平臺(tái)；用戶信息安全；保護(hù)模式

隨著網(wǎng)絡(luò)的日益普及，在它帶來(lái)諸多優(yōu)勢(shì)的同時(shí)，也產(chǎn)生了一系列問(wèn)題，尤其在網(wǎng)絡(luò)隱私方面，已經(jīng)成為了新型犯罪的重災(zāi)區(qū)，因此世界各國(guó)對(duì)如何保護(hù)隱私這一問(wèn)題變得尤為重視（1）。

2010 年德國(guó)柏林聚集數(shù)千人參加爭(zhēng)取個(gè)人數(shù)據(jù)隱私的游行，2011 年Google泄露用戶隱私數(shù)據(jù)，知名技術(shù)社區(qū) CSDN 泄露了近 600 萬(wàn)用戶的賬號(hào)信息，2012年近 1，200 萬(wàn)部蘋果移動(dòng)設(shè)備的用戶信息遭到泄露，2013 年“棱鏡門”事件等等，這些事件嚴(yán)重侵犯了用戶的隱私與合法權(quán)益（2）。如今，世界上許多國(guó)家都致力于電子商務(wù)平臺(tái)上用戶信息安全的保護(hù)，其值得我們借鑒。目前，國(guó)外對(duì)用戶信息的保護(hù)主要有三種模式：美國(guó)模式、日本模式和歐盟模式（3）。本文立足這三種典型模式，探討其主要做法及發(fā)展?fàn)顩r，為我國(guó)電商平臺(tái)的用戶信息安全保護(hù)提供方案參考。

一、美國(guó)電商平臺(tái)的行業(yè)自律模式

美國(guó)采用的用戶信息保護(hù)模式是行業(yè)自律模式（4）。其主要形式有：建議性的行業(yè)指引與網(wǎng)絡(luò)隱私認(rèn)證計(jì)劃。建議性的行業(yè)指引一般是行業(yè)組織、公司或產(chǎn)業(yè)實(shí)體制定該行業(yè)的行為指引或隱私標(biāo)準(zhǔn)，來(lái)為行業(yè)內(nèi)的隱私保護(hù)提供示范，當(dāng)然，這些指引并不具備強(qiáng)制執(zhí)行的效力。網(wǎng)絡(luò)隱私認(rèn)證計(jì)劃是一種私人行業(yè)實(shí)體致力于實(shí)現(xiàn)網(wǎng)絡(luò)隱私保護(hù)的自律形式。該計(jì)劃要求那些被許可在其網(wǎng)站上張貼其隱私認(rèn)證標(biāo)志的網(wǎng)站必須遵守在線隱私資料收集的行為規(guī)則，并且服從多種形式的監(jiān)督管理（5）。

行業(yè)自律模式需要建立第三方獨(dú)立的監(jiān)督執(zhí)行機(jī)制，包括申訴機(jī)制、評(píng)估機(jī)制、爭(zhēng)端解決機(jī)制、制裁機(jī)制等，保障行業(yè)自律的公信度和執(zhí)行力度（6）。行業(yè)自律模式?jīng)]有統(tǒng)一的標(biāo)準(zhǔn)，缺乏法律的強(qiáng)制性，沒(méi)有強(qiáng)有力的法律支撐和執(zhí)行力。對(duì)于認(rèn)證計(jì)劃，并不強(qiáng)制要求加入，因此導(dǎo)致目前很多企業(yè)還未規(guī)范化，所以一旦發(fā)生具體的糾紛時(shí)，缺乏完善的解決機(jī)制。

二、日本電商平臺(tái)的行政指導(dǎo)模式

日本的用戶信息保護(hù)的方式是政府進(jìn)行行政指導(dǎo)，立法機(jī)構(gòu)出臺(tái)相關(guān)法律，行業(yè)內(nèi)制訂從業(yè)規(guī)則。

簡(jiǎn)而言之，就是政府立法和行業(yè)自律兩者結(jié)合起來(lái)共同規(guī)范用戶信息處理過(guò)程（7）。當(dāng)前日本用戶信息保護(hù)方式大致可以分為兩種：面向行政機(jī)關(guān)的與面向非行政機(jī)關(guān)的（8）。對(duì)于行政機(jī)關(guān)，除了政府監(jiān)察部門進(jìn)行監(jiān)督外，日本還出臺(tái)了專門的法律法規(guī)進(jìn)行規(guī)范，防止政府人員其倒賣用戶信息或者透露信息給他人，違法者將依法進(jìn)行處理。對(duì)于企業(yè)、社會(huì)組織等非政府部門，主要是用常規(guī)的行政指導(dǎo)和行業(yè)自律來(lái)進(jìn)行教育規(guī)范，宏觀上政府出臺(tái)相關(guān)的行政指示，并且委派專業(yè)人員對(duì)相關(guān)企業(yè)進(jìn)行技術(shù)指導(dǎo)、提供建議等，最后再根據(jù)企業(yè)或個(gè)人的實(shí)際表現(xiàn)情況決定是否使用行政命令，對(duì)違返規(guī)定者進(jìn)行行政處罰（9）。

日本在 2003 年頒布了《用戶信息保護(hù)法》。該法制定的目的就是為了遏制當(dāng)下個(gè)人信息泄露嚴(yán)重的亂像，規(guī)范企業(yè)的個(gè)人信息處理行為。《用戶信息保護(hù)法》于 2005 年開始正式實(shí)行，至今仍然是日本用戶信息保護(hù)的基本法，同時(shí)出臺(tái)的還有四部與個(gè)人信息相關(guān)的法律，這意味著日本的用戶信息保護(hù)法律體系已經(jīng)初現(xiàn)雛形。同時(shí)，日本為了進(jìn)一步完善用戶信息保護(hù)以及對(duì)企業(yè)進(jìn)行有效的評(píng)價(jià)認(rèn)證，借鑒了美國(guó)已經(jīng)比較完善的行業(yè)自律模式，于 2015 年推出了 P—MARK 認(rèn)證機(jī)制，該機(jī)制不僅實(shí)現(xiàn)了個(gè)人信息的有效管理，還使發(fā)生泄露事件后用戶和平臺(tái)的損失可以降到最低，這也使得日本民眾對(duì)擁有 P—MARK 認(rèn)證的企業(yè)有更多信任感。

三、歐盟電商平臺(tái)的立法保護(hù)模式

歐盟模式就是立法模式，是由國(guó)家實(shí)施立法來(lái)保護(hù)個(gè)人隱私。近年來(lái)，歐盟通過(guò)不斷地完善立法，形成了一整套較為嚴(yán)格的用戶信息法律保護(hù)框架，例如《個(gè)人數(shù)據(jù)保護(hù)指令》、《電子通訊數(shù)據(jù)保護(hù)指令》等（10）。這些法規(guī)不僅規(guī)范了各行各業(yè)用戶信息的處理行為，還界定了用戶信息的范圍，為公民維權(quán)提供了有效的參考。

歐盟的立法模式使得公民個(gè)人信息有國(guó)家法律的保護(hù)，相較于行業(yè)自律，這種模式具有強(qiáng)制性。但這種方式也存有一定的隱患（11）。一是立法雖然完善但法律條文籠統(tǒng)，同時(shí)由于此類案件少，使得法官無(wú)法根據(jù)先前相同的案件給出公平的判決，公民在遭到信息泄露時(shí)，司法人員若在解釋法令時(shí)帶入私人情緒，就可能影響判決的公允性。例如在英國(guó)就存在判例太過(guò)于籠統(tǒng)，使得執(zhí)法部門出現(xiàn)執(zhí)法無(wú)力的情況。英國(guó)最近的兩次用戶信息泄露案例均是由于法律部門的執(zhí)法問(wèn)題而導(dǎo)致個(gè)人敗訴。二是立法的同時(shí)仍然不可避免的存在其他用戶信息泄露的途徑。眾所周知，為防止犯罪分子通過(guò)非法途徑獲取他人信息，多數(shù)國(guó)家都制定相應(yīng)的法律允許其國(guó)家安全機(jī)關(guān)擁有監(jiān)控可疑人員的特權(quán)。例如 2006 年德國(guó)實(shí)行的《在線搜查法》，其允許情報(bào)機(jī)關(guān)搜查每個(gè)人的電腦等，諸如此類情況，如果權(quán)力機(jī)關(guān)自身監(jiān)管不當(dāng)，就會(huì)導(dǎo)致內(nèi)部人員利用法律給予的權(quán)利隨意獲取每個(gè)人的用戶信息。

四、國(guó)外電商平臺(tái)信息安全保護(hù)的啟示

目前世界上主流的三種用戶數(shù)據(jù)安全保護(hù)模式，都有各自的特點(diǎn)及優(yōu)缺點(diǎn)。我們可以利用三種模式發(fā)展至今所取得的成功經(jīng)驗(yàn)，并且根據(jù)這些模式具體的實(shí)施方式再結(jié)合我國(guó)目前用戶數(shù)據(jù)安全保護(hù)的現(xiàn)狀，就可以為電商平臺(tái)的用戶信息安全提供借鑒方案。例如，餓了么等外賣電商平臺(tái)，可以要求他們采取高度的行業(yè)自律機(jī)制，并帶動(dòng)其他一些小型外面電商平臺(tái)共同實(shí)行，淘汰不符合條件的網(wǎng)站；國(guó)家相關(guān)企業(yè)以及部門可以制定嚴(yán)格的網(wǎng)絡(luò)認(rèn)證機(jī)制，對(duì)網(wǎng)站進(jìn)行嚴(yán)密的篩選、監(jiān)管，對(duì)于不合格的網(wǎng)站應(yīng)實(shí)行關(guān)閉處理，對(duì)不合格的企業(yè)應(yīng)進(jìn)行責(zé)令整改；各地方政府可以出臺(tái)符合當(dāng)?shù)貙?shí)際的政策，根據(jù)實(shí)情制定切實(shí)可行的方案，用政府的行政權(quán)力管理、監(jiān)督地方電商企業(yè)的用戶數(shù)據(jù)處理方式，對(duì)用戶信息處理人員進(jìn)行統(tǒng)一的培訓(xùn)；政府內(nèi)部也應(yīng)該設(shè)立獨(dú)立的監(jiān)察部門，對(duì)政府機(jī)構(gòu)以及其工作人員進(jìn)行把控，給出詳細(xì)、規(guī)范的用戶信息作業(yè)流程等（12）（13）。

注釋：

馬成，賀慧妮，史玉瓊.國(guó)外用戶信息保護(hù)經(jīng)驗(yàn)及對(duì)中國(guó)征信立法的借鑒[J].經(jīng)濟(jì)研究導(dǎo)刊，2014，（34）：329-330.

陸雪梅，古春生.大數(shù)據(jù)環(huán)境下用戶信息隱私泄露成因分析和保護(hù)對(duì)策[J].現(xiàn)代情報(bào)，2016，36（11）：66-70.

郎慶斌，國(guó)外用戶信息保護(hù)模式研究[J].信息技術(shù)與標(biāo)準(zhǔn)化，2012，（Z1）：22-26+32.

王歸超.用戶信息保護(hù)模式的國(guó)際借鑒和建議[J].金融經(jīng)濟(jì)，2013，（06）：115-117.

周欣月.論美國(guó)行業(yè)自律模式及對(duì)我國(guó)個(gè)人信息保護(hù)立法模式的啟示.商界論壇，經(jīng)法視點(diǎn)，237.

郎慶斌.國(guó)外個(gè)人信息保護(hù)模式研究[J].技術(shù)熱點(diǎn)，2012（1-2）：22-32.

秦玉海，于賀深.用戶信息泄露導(dǎo)致違法犯罪問(wèn)題的初探[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2009（8）：13-15.

張?jiān)?日本《用戶信息保護(hù)法》的實(shí)施及其對(duì)中國(guó)的啟示[D].對(duì)外經(jīng)濟(jì)貿(mào)易大學(xué)，2006.

邢軼男.個(gè)人信息保護(hù)認(rèn)證管理機(jī)制研究[D].東北財(cái)經(jīng)大學(xué)，2007.

徐槐，鞏東東.用戶信息泄露的方式、隱患及預(yù)防策略研究[J].法制博覽，2016，05（上）：196-197.

廣錚.美、英、德、日用戶信息法律保護(hù)概覽[J].保密工作，2011，（11）：22-23.

徐嘉靖.電子商務(wù)中用戶隱私保護(hù)策略研究[D]廣州：廣東工業(yè)大學(xué)碩士學(xué)位論文，2014：1-91.

張雷.網(wǎng)購(gòu)中用戶信息泄露防范及保護(hù)研究[D].哈爾濱：黑龍江大學(xué)碩士學(xué)位論文，2015：1-57.

參考文獻(xiàn)：

[1]馬成，賀慧妮，史玉瓊.國(guó)外用戶信息保護(hù)經(jīng)驗(yàn)及對(duì)中國(guó)征信立法的借鑒[J].經(jīng)濟(jì)研究導(dǎo)刊，2014 （34）：329-330.

[2]陸雪梅，古春生.大數(shù)據(jù)環(huán)境下用戶信息隱私泄露成因分析和保護(hù)對(duì)策[J].現(xiàn)代情報(bào)，2016，36 （11）：66-70.

[3]郎慶斌，國(guó)外用戶信息保護(hù)模式研究[J].信息技術(shù)與標(biāo)準(zhǔn)化，2012 （Z1）：22-26+32.

[4]王歸超.用戶信息保護(hù)模式的國(guó)際借鑒和建議[J].金融經(jīng)濟(jì)，2013 （06）：115-117.

[5]周欣月.論美國(guó)行業(yè)自律模式及對(duì)我國(guó)個(gè)人信息保護(hù)立法模式的啟示.商界論壇，經(jīng)法視點(diǎn)，237.

[6]郎慶斌.國(guó)外個(gè)人信息保護(hù)模式研究[J].技術(shù)熱點(diǎn)，2012 （1-2）：22-32.

[7]秦玉海，于賀深.用戶信息泄露導(dǎo)致違法犯罪問(wèn)題的初探[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2009 （8）：13-15.

[8]張?jiān)?日本《用戶信息保護(hù)法》的實(shí)施及其對(duì)中國(guó)的啟示[D].對(duì)外經(jīng)濟(jì)貿(mào)易大學(xué)，2006.

[9]邢軼男.個(gè)人信息保護(hù)認(rèn)證管理機(jī)制研究[D].東北財(cái)經(jīng)大學(xué)，2007.

[10]徐槐，鞏東東.用戶信息泄露的方式、隱患及預(yù)防策略研究[J].法制博覽，2016，05 （上）：196-197.

[11]廣錚.美、英、德、日用戶信息法律保護(hù)概覽[J].保密工作，2011 （11）：22-23.

[12]徐嘉靖.電子商務(wù)中用戶隱私保護(hù)策略研究[D]廣州：廣東工業(yè)大學(xué)碩士學(xué)位論文，2014：1-91.

[13]張雷.網(wǎng)購(gòu)中用戶信息泄露防范及保護(hù)研究[D].哈爾濱：黑龍江大學(xué)碩士學(xué)位論文，2015：1-57.