電子商務平臺消費者個人信息泄露的原因與防范

畢德旭

摘 要：在對電子商務平臺消費者個人信息界定的基礎上，概括了當前我國該領域個人信息泄露的現狀。探究電商平臺信息泄露的直接原因、催化原因、根本原因與客觀技術原因。基于此，提出了整合法律體系、完善多方監督、提升技術水平及提升個人信息安全意識等多途徑防范措施。

關鍵詞：電子商務平臺? 個人信息泄露? 原因? 防范

中圖分類號：F724.6 文獻標識碼：A 文章編號：2096-0298（2020）08（b）--02

1 電子商務平臺消費者個人信息泄露的原因

1.1 消費者個人信息的電商平臺接觸者逐利是直接原因

一些電子商務平臺，特別是許多小型電商平臺招聘員工，尤其是基層員工時，通常存在招聘門檻低，待遇差等狀況，面對一些誘惑，再加上法律意識薄弱，容易出現倒賣消費者個人數據的現象，電商平臺員工流動性大，職業的約束力低，在出售了幾批數據之后，他們可以換另一個地方或者另一家公司繼續上崗。電商平臺員工泄露消費者數據的接觸者分別是內部員工、外包員工和黑入員工。外包員工泄露個人信息被偵破或見諸媒體的已屢有發生，外包的應用系統開發與維護的參與員工與客服是信息泄露的重點人群。黑入員工即“黑與灰產業”直接派一些人去應聘，然后拿數據，流動性很大。

1.2 消費者個人信息保護意識差是泄露的催化原因

部分消費者對個人信息泄露帶來的危害沒有清醒的認識，網絡安全防范意識差。賬戶和密碼設置過于簡單，習慣用自己的生日或姓名拼音，還有一部分消費者所有消費平臺都用同一個密碼，這極大的增加了犯罪分子獲取個人信息的便利性。當個人賬戶信息被竊取后，犯罪分子運用大數據信息分析軟件將會把個人信息由點到面進行二次處理，更為隱私的習慣和信息將被挖掘出來，這會對消費者的財產安全，甚至人身安全造成極大的潛在威脅。隨著手機智能化的不斷升級，現在大部分消費者都是用手機在電商平臺進行消費或服務，個別消費者警覺意識不高，在外出場景中，喜歡使用免費的手機充電樁，鏈接免費的Wi-Fi，從而增加了個人信息數據被泄露的風險。

1.3 行業監管與自律不足是信息泄露的根本原因

我國對于電子商務平臺個人信息保護的行業自律主要來源于兩個方面：一是網絡行業自律，依托于《中國互聯網行業自律公約》;二是在互聯網行業自律的約束下，電商平臺自身制定的電商平臺行業自律，依托于《中國電子商務誠信公約》。但《中國互聯網行業自律公約》針對消費者個人數據的保護部分只是籠統概括而未作出明確說明;而《中國電子商務誠信公約》只是要求“加強消費者隱私權管理，確保消費者各種信息和資料得到安全保護”，這種規定大而籠統，缺乏對電商平臺在消費者個人信息保護方面的實際約束力，也不具有可行的操作性。電子商務平臺及其從業者的自律主要體現在把消費者隱私保護協議之類的格式條款添加到平臺網站的頁面上，還普遍放到頁面的不顯著位置。這種看似保護消費者隱私的聲明只是對《中國互聯網行業自律公約》《中國電子商務誠信公約》等行業自律公約的應付式回應，既沒有提高自己的行業自律標準，更沒有增加平臺及其從業者自身的義務。

現有的行業自律體系由于對消費者個人信息保護規定不具體、權責邊界不明晰，很難發揮出切實保護消費者個人信息的效力。再加上電子商務行業忽視了對電商平臺的自我約束，導致非法收集、過度收集、無法注銷、信息泄露屢屢發生、愈演愈烈。使消費者的個人數據面臨各種安全風險，也阻礙了電子商務行業的快速發展。

1.4 電子商務平臺防范技術滯后是信息泄露的客觀原因

受限于計算機軟件研發水平，軟件漏洞的風險存在于各種軟件，僅僅是風險高低，漏洞多少的問題。受累于軟件研發的技術瓶頸，電子商務平臺深受軟件漏洞導致的消費者個人信息泄露的困擾。尤其是一些中小電子商務平臺，缺乏軟件研發能力及資金支持，只能在市場上購買平臺建設的各種軟件，甚至是全部軟件。市面上提供的平臺建設所需軟件性能參差不齊，甚至有些軟件本身就是黑產公司開發的，這無疑加大了平臺泄露個人消息的風險，并且這種風險是電商平臺不可控的。

另一部分技術性因素導致的個人信息泄露雖然歸結于技術因素，但卻是人為可控的，具體表現為弱口令和無線被監聽。基層員工流動性大是電商平臺人力資源的一個顯著特征，部分員工離職后，平臺網絡站點的密碼沒有及時修改造成消費者個人信息泄露的情況時有發生，尤其是在剛成立的微小電商平臺中更為普遍。另外就是無線與監聽問題，這種問題也集中存在于小微電商平臺中，這類企業多用家用無線路由器替代商用路由器，這種路由器一是默認密碼不修改，二是自身有漏洞，極易造成平臺消費者信息被竊取。

2 電子商務平臺消費者個人信息泄露的防范對策

2.1 整合個人信息保護法律體系，加強依法保護

2019年1月，我國正式實施《電子商務法》對于個人信息保護的規定與《民法總則》《刑法》以及《網絡安全法》中的相關內容互有關聯，相互呼應。只有整合《電子商務法》與《網絡安全法》中有關電商平臺個人信息保護的權利與義務，并明晰《民法》《行政法》與《刑法》關于個人數據保護的法理解釋與實踐運用，才能協同發揮保護個人信息的目的。《電子商務法》明確了電子商務經營者收集與使用用戶個人信息應當遵循的法定和約定要求，既規定了電子商務經營者的積極義務，又明確了消極義務。尤其明確指出電子商務經營者不得對用戶信息查詢、更正、刪除以及用戶注銷設置不合理條件，這相較于《網絡安全法》第四十三條對用戶要求刪除、更正個人信息時只能在“個人發現網絡運營者違反法律、行政法規的規定或者雙方的約定收集”和“發現網絡運營者收集、存儲的其個人信息有錯誤的”的前提下操作而言，《電子商務法》對用戶信息支配權的保護更為充分。

為了回應互聯網時代保護個人信息安全的公眾訴求，進一步完善民法中關于個人信息權的內涵與外延是大勢所趨。鑒于個人信息本身蘊含的經濟價值，應該明確個人信息權的人身屬性和財產屬性，并賦予相應的個人信息人格權和個人信息財產權。關于電商環境下消費者個人數據的刑法保護建議細化個人信息保護條例，并增加確切的刑罰體系。而對于侵犯公民個人信息卻不夠刑法定罪量刑的，可以進一步細化侵權行為，納入《治安管理處罰法》中，給予個人信息的全方位、無空白、分層次的協同保護。

2.2 完善多方監督體制，補強行業自律規則

首先，夯實分業監管與公安機關兜底監管的監督體系。市場監管部門及相關分業行政部門履行監督職能，主要從以下三方面入手：一是監督電子商務平臺對《電子商務法》《網絡安全法》等涉及消費者個人信息保護的權利與義務的落實情況，審核平臺對消費者個人信息收集、流轉是否依法依規，在此過程中及時發現問題并進行制止與糾正，超越行業監管權限的違法行為及時報送公安機關。二是負責行業的普法工作，讓行業法律法規警鐘長鳴，入腦入心，成為電商平臺規范自我行為的自覺行動指南，讓其行業有戒尺、員工有戒律。三是協助制定電商平臺行業自律規則，讓行業自律規則不違法不逾規，有操作，能執行，保證電商平臺對消費者個人信息的保護由被動的應付式接受轉變為主動的積極行為。

其次，加強電商平臺行業自律。2019年電商系列調查專項行動之互聯網信息安全亂象調查明確指出，當前電商領域涉及個人信息安全的典型亂象為過度收集、非法收集、非法售賣、無法注銷、泄露隱患。電商平臺必須針對這5大典型亂象，在相關法律法規的框架內，在分業行政部門的監督下，盡快制定和完善針對消費者個人信息保護的行業協會法規。一是明確過度收集的特征及表現，做到行業知邊界，人員能操作。二是明確“非法”的行業外延及對非法收集和非法售賣的行業懲處辦法。三是針對無法注銷，要嚴格執行《電子商務法》中對個人信息賬戶注銷，平臺不能設置前置條件的規定;對于泄露隱患，既可能是人為導致，也可能是技術缺陷或二者兼有。四是在行業協會的層面整合個人信息數據防泄露技術的研發與運用，對于員工導致的個人信息泄露，應該加強行業協會的統籌職業培訓，并對倒賣平臺個人信息牟利的個人試行行業“黑名單”制。

2.3 提升技術防范水平，強化信息保護能力

個人信息作為電商平臺的重要人力資源儲存在后臺數據庫中，對于非本人信息的使用，可以借助對稱加密或動態密鑰來規避泄露風險，即在電商平臺或第三方對消費者信息進行查詢時，需要消費者手中的密碼才能進行信息提取和使用，并且以動態密鑰的形式存在。不同的密匙用于不同的信息查詢并且具有即時性。同時，加強網絡過濾技術。采用加強網絡過濾技術的方法，在網絡監管過程中，建立了大量的信息傳輸監控設備，以及時檢測大量尚未歸檔或準備傳輸的信息，并進行阻塞和阻斷。切斷及時傳輸的未知信息。在確定傳輸渠道和用途以防止不必要的傳輸并防止犯罪之前，不得“釋放”或“扣留”其傳輸渠道。最后，發展網絡跟蹤技術。消費者個人信息泄露頻發的主要原因是證據難以固定，難以調查泄露根源以及難以追蹤泄露行為，導致侵權人犯罪僥幸心理增長，犯罪行為增加。在增加網絡管理和控制的同時，加大網絡跟蹤技術研發與運用。通過網絡后臺監控，發現被追蹤信息的“起點”和“終點”，以達到快速查清泄露源頭，鎖定犯罪人，及時破案的目的和震懾犯罪的效果。

參考文獻

喻海松.侵犯公民個人信息罪司法疑難之案解[J].人民司法（案例），2018（16）.

陳文行.大數據背景下電商平臺信息分享策略研究[J].商業經濟研究，2019（01）.

孔德晨.今年已查辦侵害消費者信息案1474件[N].人民日報海外版，2019-11-19.

孫國一.我國侵犯公民個人信息犯罪的現狀與對策研究[D].北京：中國人民公安大學，2019（06）.

呂斌.電商信息泄露風險何在[J].法人，2017（07）.