淺談電子商務中對個人信息的保護

上海大學，上海 200444

一、電子商務實踐中用戶個人信息保護存在的問題

電子商務在我國發展已趨成熟，提供的平臺形式也愈加豐富，除了傳統的購物網站外，目前普及的還有手機應用軟件、社交媒體平臺等，形式上的多樣化也增加了電商運營者采集用戶信息的渠道。實踐中，電商運營者在采集和使用個人信息時往往會出現不利于用戶的情形發生，比如，不主動向用戶展示隱私條款，尤其在新興的電商購物渠道，如微信小程序等社交媒體上銷售產品，很多電商運營者未提供相關條款的查閱渠道。即便展示，隱私條款內容籠統，也不對個人信息的采集和使用目的、方式等加以明確說明。若條款內容過于復雜，一般消費者無法理解。還有比較常見的問題是許多電商運營者不給用戶提供刪除個人信息、撤回個人信息授權、關閉信息收集的功能權限或過度收集與提供服務無關的個人信息并將該等信息轉讓或與第三方共享。這些是實踐中許多電商運營主體在采集和使用用戶信息時的常見情況，對用戶隱私權的保護帶來許多負面影響。

二、我國對個人信息保護的相關法律規定

目前我國對于用戶個人信息收集和保護雖沒有明確規定，但網絡安全法律體系已基本成型。涉及電子商務用戶個人信息保護的法律規定主要有《網絡安全法》、《電子商務法》、以及其他如《刑法》、《民法總則》、《消費者權益保護法》中涉及個人信息保護的條款，筆者在此不再贅述。

（一）《網絡安全法》對個人信息保護的相關規定

《網安法》適用的對象包括電商運營者在內的網絡經營者，《網安法》對個人信息的保護主要體現在網絡信息安全一章中，而一些比較大型的電商平臺可能會被認定為關鍵信息基礎設施運營者而受到更嚴格的法律規制。

《網安法》規定了網絡運營者在對個人信息收集時應遵循的主要原則，收集信息前應經過被收集人的同意并告知被收集人收集信息的目的、方式和范圍等信息，網絡運營者不得過度收集與提供服務無關的信息，也不得將收集到的個人信息擅自提供給第三方，也有對個人信息刪除權的規定。

《網安法》明確了許多網絡運營者維護網絡安全的責任義務，其中的規定也涵蓋了許多網絡運營者在業務運作時不恰當收集、使用用戶個人信息應予以規范的情況，但相關規定還是比較籠統的原則性條文。值得一提的是國家之后制定的《信息安全技術個人信息安全規范》（以下簡稱“《規范》”），《規范》中對于個人信息的保護內容與《網安法》可謂相輔相成，《規范》在《網安法》對于“個人信息”定義的基礎上又進一步做出了更具體的定義，也確立了許多與目前技術發展相適應的信息安全標準，為網絡經營者在收集和使用個人信息過程中的難點提供了解決思路，但《規范》屬于推薦性國家標準，并不具有絕對強制性。

（二）《電子商務法》對個人信息保護的有關規定

《電商法》規制的是電子商務經營者，包括平臺經營者、平臺內經營者以及諸如自建網站等其他通過網絡銷售商品或服務的經營者，因此除了傳統購物網站、手機應用購物軟件外，在一些社交媒體平臺從事商品銷售的，甚至視頻直播銷售也屬于該法律的規制對象。

《電商法》對于個人信息的保護規定主要體現在要求購物平臺向用戶公示相關平臺規則、政策，進一步要求電商運營者應當遵守諸如《網安法》等相關法律規定，還比《網安法》在運營者允許用戶撤回個人信息授權、刪除、更正用戶信息等方面做了更嚴格的要求。《網安法》僅規定在個人發現網絡運營者違法、違約使用信息或信息有誤時有權要求運營者刪除及更正，但《電商法》則未設置運營者違法、違約使用信息這一前提條件并且要求電商運營者對用戶明示相關注銷、查詢、更正的途徑，就這一點來說《電商法》的規定更體現了對用戶個人信息保護的加強。

然而《電商法》對于個人信息保護的規定更為籠統，且大部分規定主要針對傳統大型電商平臺，這與目前市場上電商運營者形態多樣化的特點不相適應。

三、對用戶個人信息收集和保護的建議

結合前文目前電商運營者在收集和保護用戶個人信息時的不恰當行為，我國已經有諸如《網安法》、《電商法》等針對此類行為予以規范，但實踐中用戶的個人信息仍有過度收集、被不當使用的情況發生，筆者對相關實踐中的問題提出如下建議。

（一）對電商經營者的建議

電商經營者除了需要按照相關法律規定在購物平臺、線上購物渠道提供必要的技術措施以保護用戶的個人信息安全外，更需要保障用戶對于其個人信息許可的知情權、選擇權。除了應明示隱私政策外，也需要用盡量明確、清晰、易懂的文字向用戶說明個人信息收集的規則、目的、使用范圍等。這里可以適當參考《規范》中提出的部分內容，即便《規范》并非強制性規定，在實踐中對電商規范化運營也有借鑒意義。

隱私政策中應明確告知用戶個人信息的收集方、使用方、使用目的、收集的個人信息類型，如涉及獲取個人敏感信息的，應在隱私政策中突出顯示。向用戶明確告知諸如Cookie 等信息數據追蹤記錄技術的基本原理，并應當給出用戶不選擇使用此類技術時的相應方法，向用戶明示個人信息保存的期限、地域以及與第三方的個人信息共享、轉讓的情況，尤其當涉及到境外傳輸的情況下，應向用戶說明個人信息出境的目的、信息接收方、信息接收方的數據保護能力，以及數據控制者提供了哪些安全保障措施。在隱私政策中向用戶明示賬戶注銷、撤回個人信息授權的實現方式等。

電商經營者應當區分其核心業務與附加業務，尤其在收集個人敏感信息時，如因所提供的核心業務需要向用戶收集個人敏感信息的，應明確向用戶說明拒絕同意收集信息的后果。如因提供附加功能所需收集用戶個人敏感信息的，應當向用戶說明附加功能包括哪些內容，應逐一說明如不提供哪些敏感信息，則無法獲得哪些附加功能，并且用戶有權選擇拒絕提供，該等拒絕不得影響用戶本身享有的核心業務功能。電商運營者還應根據具體場景在使用用戶個人信息時盡量將個人信息做匿名化、去標識化處理。

（二）對相關立法完善的建議

目前無論是《網安法》還是《電商法》等對于用戶個人信息的保護相關規定都較為籠統，而與《網安法》配套使用的《規范》又僅僅是推薦性國家標準，不具有絕對強制性。而《電商法》中的規定則更為簡單，而且許多針對個人信息保護的規定，如明示相關交易規則等主要針對的是電商平臺運營者，那對于運用其他購物渠道等方式從事線上產品銷售的經營者則未規定是否同樣適用且相關法律且很多都是原則性規定，導致實施時缺乏統一標準。

筆者認為要求所有的網絡運營者都按照《規范》的規定收集和保護個人信息尚不現實，但《規范》中的部分內容比如隱私政策中的要點、數據控制者對個人信息主體撤回同意、注銷賬戶后的具體信息處理方式等內容可引用為強制性的法律規定。筆者期待能夠有更明確的諸如實施細則或專門的個人信息保護法等規范文件可以出臺對實踐中的相關問題予以進一步解釋和說明，由于從事電商的經營者越來越多，電商形式也愈加多樣化，制定和實施實操性更強、更透明、更明確的法律規定對于電商領域的業務運作以及個人信息的保護才能更具積極意義。

四、結語

2019 年我國出臺了許多與網絡安全、個人信息保護的規范文件，包括《兒童個人信息網絡保護規定》，最高院、最高檢也頒布了非法利用信息網絡、幫助信息網絡犯罪相關司法解釋，前文提到的《規范》也在2019 年進行了三次修訂與征求意見、《網絡安全審查辦法（征求意見稿）》、《數據安全管理辦法（征求意見稿）》也相繼頒布，從這一年立法的密集程度可見國家對于個人信息保護的積極性。我們亟待我國的網絡安全法體系的繼續完善，能有更多的法律規定可以落實到電子商務中對于消費者個人信息的保護。