從憲法角度看電子商務平臺中的個人信息保護問題

張楚晗

(廣西師范大學，廣西 桂林541004)

一、 個人信息的內涵

(一)個人信息

個人信息一詞最早發源于聯合國1968 年召開的國際人權會議，同一時期聯邦德國黑森州也通過了相關法律即《黑森數據保護法》。 隨后，瑞典頒布以及修訂了《瑞典數據法》對加強數據信息的保護等方面作出相關規定。 各國家和組織對個人信息的表達也有所不同。 從歐盟來看，主要應用“個人數據”一詞，即與個人身份相關的任何信息。 既包括能直接證明自然人的信息，也包括間接的信息，給予了公民最大的保護。 從美國來看，主要應用“隱私權”一詞。 1974 年美國國會通過《隱私權法》，五年后將其納入美國法典，是保護公民權利的一項重要法律。 其立法基本原則被許多國家借鑒。 從日本來看，其對個人信息范圍的定義更加寬泛。 首先是“個人信息”即公民的一切信息；其次是“持有型個人數據”即擁有相關權限的機構或組織，對其內容進行增刪修改后的數據；最后是“個人數據”即在計算機內以電子數據的形式將信息存儲，把個人信息一次錄入通過計算機編程處理等形成個人的專門數據庫。

(二)我國法律對個人信息的定義

在我國，2016 年《網絡安全法》中對公民個人信息的含義加以規定。 2020 年提交的《個人信息保護法》草案在其基礎上對個人信息提出了新的內涵。 “個人信息”顧名思義就是由“個人”和“信息”兩部分組成，即所有與公民個人相關的各種信息的總和，身份信息、婚姻家庭信息、社會信息都歸屬于個人信息。 從這一概念上來看，首先個人信息的表達形式具有多樣性，可以以書面、電子數據等方式存儲。 其次個人信息因其與人身不可分離具有雙重屬性。 由于經濟、大數據等發展，使個人信息具有人身專屬性的同時也具備財產性，頻繁出現個人信息被竊取、非法出賣等情況，證明了公民的個人信息具有良好的經濟價值。 最后個人信息具有可識別性，這是個人信息的根本特征。 所說的“識別”即信息和個人之間存在一定的因果關系。

二、 電子商務平臺對個人信息保護的現狀

隨著互聯網的不斷變革，促進了電商平臺的興起和發展。 如今《網絡安全法》和《電子商務法》的實施，在適用對象、保護客體、對數據的存儲和處理等方面都進行了相應的完善和補充。 與傳統的線下商務模式相比，線上交易為主的電子商務模式有著便捷性、靈活性等特點，但在方便人們工作、學習、生活的同時也帶來了一些風險，在對用戶個人信息的收集、使用、處理上都存在需要完善的問題。 如在購物平臺經常會看到“您感興趣的商品”，電商平臺經營者利用用戶在其平臺的搜索記錄、瀏覽記錄、消費記錄進行追蹤，推薦與其消費興趣、消費水平相關的商品。 此現象的出現主要是電商平臺經營者對用戶的信息進行過度的收集，對用戶個人信息的安全造成了威脅，仍需更完善的法律體系和更有力的監督機制對其進行保障。

三、 電商領域發展中暴露的憲法保護個人信息安全存在的問題

(一)對個人信息安全的保護缺乏憲法依據

我國憲法中暫無對個人信息安全保護的直接規定，加快對其直接有效地保護迫在眉睫。 目前，我國對個人信息保護的規則和條款僅存在于《網絡安全法》《刑法》《侵權責任法》《電子商務法》等法律中，對其保護效力不夠高。 由于上述法律作為下位法實施的力度不夠大，還需要憲法的強制力支撐來予以保障。 而憲法作為我國的根本大法，在我國社會主義法律體系中處于核心地位，其內容具有根本性、效力具有最高性，是其他法律制定和實施的基礎。 隨著社會、互聯網經濟的發展，不僅侵犯個人信息的方式日益增多，手段也更加隱秘，因此個人信息的保護除了需要普通法律的支持外更加需要憲法的保護。

(二)有些信息收集主體的行為缺乏合法性、合理性

目前，倒賣個人信息、個人信息泄露的現象時有發生。一些電商平臺的經營者如沒有盡到對消費者信息的保管義務，將會導致消費者個人信息泄露到其他主體手中，這些非法收集信息的主體可能通過發送網站鏈接或發送短信的形式，以商品質量不合格需要召回等為由，要求消費者提供個人信息賬戶號碼或者掃二維碼重新輸入個人身份信息給其退款，消費者常由于疏忽按其要求進行操作，導致在輸入自己的身份證號、手機號、驗證碼、銀行卡號后卡里的錢被全部轉走，這類信息收集主體的行為構成了典型的網絡詐騙。2020 年某快遞公司多位“內鬼”通過有償的方式租借員工賬號導致40 萬條公民個人信息被泄露，該嫌疑人將收集到的信息以每條一元進行打包賣出，涉案金額高達120 萬余元。許多同行看重其犯罪成本低賺錢快，在實施幾次之后如果沒有被發現，則會存在僥幸心理變本加厲，還有可能教唆他人一起犯罪。 因此，平臺和企業等應加強信息安全建設，將保障用戶的信息安全作為義務和責任，并加強對員工的信息安全教育，以防用戶個人信息泄露現象的出現。

(三)對個人信息的法律保障不夠完善

我國《中華人民共和國刑法》中正式規定了“出售、非法提供公民個人信息罪”和“非法獲取個人信息罪”。 犯罪分子的犯罪手段升級，暴露出了法律的局限性。 以“其他方法”將犯罪手段予以概括不利于該條文在司法實踐中的行使，易出現個案個判的發生。 我國《侵權責任法》對網絡服務提供者的侵權行為進行了規定，對其是否承擔連帶責任和是否產生擴大責任進行了分類。 但很多用戶受到侵害之后更優于選擇置之不理、自行解決、向網絡主管部門投訴，而很少采取民事訴訟的方式解決這類問題，暴露了在此方面我國公權力救濟的不足。 與此同時，電商平臺經營者通常以簽訂格式條款的形式來達到減輕、免除自己的責任，不利于交易中相對平等的實現。 我國《電子商務法》中規定了過度收集、無限期存儲、使用用戶個人信息等侵犯信息安全的行為。 以過度收集個人信息為例，在使用一些應用軟件時，經常要求用戶開啟一些與其毫無關聯的權限，對用戶的個人信息安全造成威脅，可能會影響其人身財產安全，情節嚴重的可能對社會秩序和國家安全產生威脅。

(四)對個人信息保護方面缺乏憲法監督機制

我國憲法監督處于初級階段，健全以憲法監督為主的監督機制，是保護個人信息的有效途徑，應當盡快完善建議主體、審查范圍、審查結果等存在的問題。 在建議主體方面，我國目前存在兩種方式，一種是由最高人民法院等主體向全國人大常委會提出審查要求，此形式的提議往往會被聽取或采納，另一種是由社會團體、公民等向全國人大常委會提出審查建議，但可能受制于公民考慮問題不夠全面、可操作性小等原因，規定公民的建議只有在“有必要時”才報送有關的專委會進行審查，往往流于形式，難以通過憲法監督制度真正地實現公民對個人信息的保護。 在審查范圍方面，我國主要針對的是全國人大常委會制定的法律、行政法規、自治條例等，對一般性法律沒有相關的約束，而由于我國關于個人信息的規范大多分散于一般性法律之中，難免出現一些與憲法不相符的情況，擴大審查范圍，將一般性法律納入審查監督范圍刻不容緩。 在審查結果方面，目前我國對違憲審查的結果主要有三種，以對違憲審查結果的反饋為例，應向提審查建議或審查要求的主體進行反饋，并規定可以向社會公開結果。 此處的“應當”和“可以”則反映出此規定賦予了審查機關相對的自由裁量權，但如不向社會公開，會影響公民的知情權，不利于公民了解事情經過。

四、 面對電子商務環境，個人信息保護在憲法上的突破與完善

(一)盡快出臺《個人信息保護法》，建立符合我國國情的個人信息立法模式

面對電子商務平臺，個人仍處于弱勢地位，只有通過立法的完善才能達到充分保護個人合法權益的目的。 在制定《個人信息保護法》的過程中，應解放思想，借鑒域外立法經驗的同時，適應我國實際情況。 以美國為代表的分散立法模式，其對個人信息保護并沒有出臺相應的立法，實行個案負責方式，《隱私權法》作為美國第一部關于信息保護的法律，其相關原則值得我國借鑒。 以德國為代表的統一立法模式，確立了信息自主權這個概念，通過對人格權的保護達到對個人信息保護的效果。 將權利、義務、責任進行明確規定，提供統一的法律標準，任何人不得違犯法律侵犯公民個人信息，對侵害公民權益的行為進行制裁。 日本在美德的基礎上設立個人信息保護委員會，將權力集中行使，原分散于各行政機關的信息監督權歸到信息保護委員會的管理下，實現了對信息管理的專門化。 該立法模式同樣對我國有一定的借鑒意義，同日本相比兩國有一定的相似之處，日本憲法目前也沒有將個人信息權納入憲法中，但其公布的《個人信息保護法》，對保護公民權益、維護公共利益有重要的作用。

(二)通過憲法等相關法律，加強全行業自律

首先，在加強網絡行業自律的同時，電子商務平臺自身也要加強行業自律，兩者不是擇一的關系，而是相輔相成的，依托《中國互聯網行業自律公約》等來提升行業自律標準。其次，電子商務平臺在對個人信息進行收集、存儲、使用的過程中，當獲得提供方的授權同意并對其履行告知義務，不僅應當告知對方其收集、存儲、使用的目的，還應當賦予提供方更多的選擇權，而不是用一些格式條款強制獲取某些權限。最后，在對個人信息進行收集時應當堅持必要限度原則，即收集信息時不得附加收集，并在達到使用目的后立刻將信息刪除。 在電商平臺相關條款中應當明確說明其使用目的，如需要收集用戶隱私信息的，應履行提示義務，提示其擁有的權利和需要承擔的義務并賦予其選擇的權利。

(三)完善個人信息權入憲后的法律保障

將個人信息權寫入憲法，但對個人信息的保護不僅需要憲法的支撐還需要其他部門法的保障。 在刑法中對“出售、非法提供公民個人信息罪”和“非法獲取個人信息罪”條文中的“情節嚴重的”應當作出法律解釋，加大對侵犯個人信息行為的懲罰力度。 目前刑法規定的侵犯個人信息的手段僅有四種，不法分子利用網絡技術鉆法律空白實行犯罪的情形越來越多，應當對法條中“其他方法”的這一兜底條款進行解釋，彌補罪名規定手段范圍的局限性。 在民法中應當遵循《民法總則》的規定，可以請求侵權人賠償損失、消除影響、賠禮道歉等方式。 增加賠償損失的數額可成為保護個人信息的重要手段。 在《電子商務法》中，主要約束的對象是電子商務的經營者，對于現如今的手機小程序購物、App 等都列為約束的對象。 由于電子商務本身具有延展性，能夠從中衍生出許多附屬產品，應將整理個人信息數據的公司等中間平臺也納入保護范圍。 保護用戶個人信息的所有權，限制電商平臺經營者的使用權和經營權，維護電子商務中各方主體的利益。

(四)完善對個人信息保護的憲法監督機制

我國實行依法治國戰略，憲法監督機制是保護個人信息的最后一道保障，在我國憲法監督制度現狀和存在問題的背景下，提出以下幾點完善措施：首先，應建立專門的憲法監督機構。 雖然我國的憲法監督機關是全國人民代表大會及其常委會，但是由于全國人民代表大會一年僅開一次會議，而憲法監督可能隨時發生，導致全國人民代表大會不能充分了解案件事實的經過無法做出準確的判斷，全國人大常委會每兩個月開一次會，即使了解了案情也不方便及時將案件解決，缺乏時間上的連續。 其次，應擴大憲法監督范圍，把一般性法律納入審查的范圍。 目前我國憲法監督機制監督的內容偏重于對法律、行政規章以及公權力機關工作人員的監督，然而隨著市場經濟的發展，大量個體戶的產生，其違反憲法的行為不在少數。 因此，應擴大監督的范圍，政黨、人民團體、社會組織等的活動都應被包含，審查法律合憲性的同時對公職人員行為的合法性也進行監督。 最后，對憲法監督程序各方面進行完善，在憲法監督主體上應擴大范圍，使更多的機關有權對與憲法相違背的行為進行有效的監督。