(电子商务研究中心讯) 消费者个人信息对于传统营销模式向精准营销的转变具有决定性作用,这也决定了消费者个人信息非凡的商业价值。然而当前我国电子商务环境下个人信息的收集与使用存在大量安全隐患,消费者在强大的网络技术面前显得毫无隐私可言,这就需要不断完善我国网络环境下的个人信息保护的法律制度,维护网络消费者合法权益,保障电子商务产业的健康发展。
〔关键词〕网络安全;电子商务;个人信息保护
一、问题的提出
随着电子商务的飞速发展,一场席卷全球的商业革命正深刻影响每个人的生活。越来越快的生活节奏使人们无法挤出大量的时间到实体店货比三家,而是坐在电脑桌前,甚至是在手机上就可以从海量的信息中选出物美价廉的商品。然而,当前电子商务不可阻挡的发展潜力遭遇了一个显著的障碍,即如何赋予经营者及消费者充分的安全感。我国已经颁布的电子签名法解决了发展电子商务的身份认证问题,但个人信息泄露和非法使用对网络用户造成的困扰日趋加剧。自2011年以来,先后发生淘宝、京东商城、当当网、美团等购物网站用户账号被盗、余额被窃事件,从而引发了全社会关于电子商务环境下个人信息安全的恐慌。2014年新修订的《消费者权益保护法》第29条规定了经营者收集消费者个人信息应当遵守的基本原则以及具体条件,该条规定对于保障消费者个人信息安全具有重要的法律意义,然而该条法律规定的相对比较原则,且是针对一般的消费行为,对电子商务环境下的个人信息保护的特殊性未加以特别的观照,因而需要对相关条款进一步加以细化以增强法律的操作性与针对性。
二、电子商务环境下个人信息安全危机的表现形式
个人信息是指一切可以识别本人的信息的总和,这些信息包括了一个人的生理的、心理的、智力的、个体的、社会的、经济的、文化的、家庭的等等各个方面。从属性上来看,个人信息属于人格利益。根据大陆法系人格权理论,凡是与人格形成与发展有关的情事都属于人格权的客体。个人信息所体现的是公民的人格利益,个人信息的收集、处理或利用直接关系到个人信息主体的人格尊严。
(一)个人信息收集过程中的安全危机
个人信息的非法收集是电子商务环境下个人信息安全危机的首要表现形式。电子商务环境下收集的个人信息一般包括三种类别:(1)消费者个人的基本信息。这些信息包括姓名、性别、电话号码、出生日期、身份证号、家庭住址、电子邮箱地址,在完成交易支付的过程中,还涉及到消费者的银行账号、交易密码等重要的财务信息;(2)消费者网络活动信息。这些信息主要是消费者在网络交易过程中所浏览过的网页,关注过的产品,作出的产品评论,发布的有关信息等等内容,通过对这些信息的追踪与分析,可以准确地判断出网民的消费倾向、购买习惯、个人喜好等信息,从而成为商家下一步实施精准营销的基础数据;(3)消费者储存的个人信息。这类信息包括网民在个人电脑硬盘、移动储存设备上面存储的信息,也包括在电子邮箱、网络硬盘等虚拟空间中存储的各类信息。无论是以何种方式存储,消费者的个人信息均有可能包含极度隐私的内容,例如个人日记或者视频等。
不少网络经营者与机构热衷于从商业利用角度收集消费者的各方面个人信息,具体办法是利用具有跟踪功能的Cookies程序,跟踪并测定消费者的网络操作记录,收集消费者网络活动信息。Cookies是网站服务器(Web server)储存在使用者浏览器中的一小段信息。Cookies的主要功能在于使浏览器记录下这些特定的信息,方便网站服务器未来使用,具有记录用户浏览时间、浏览网页、电子邮件地址以及电子购物记录等多种跟踪功能。一些网店和商家还常常通过提供免费产品从而达到收集消费者个人信息的目的,这些免费产品包括主机服务、免费的博客或者个人主页以及提供奖品。消费者为了获得这些免费产品,需要向商家提供姓名、邮箱地址、联系电话、家庭住址等属于隐私范畴的个人信息。
除了网络经营者收集消费者个人信息之外,一些网络黑客还可以通过技术手段恶意非法入侵计算机系统,来获取个人数据信息。常见的恶意攻击技术手段包括监听与口令攻击、网络欺骗攻击、WWW攻击、木马攻击、缓冲区溢出攻击、使用核心级别的rootkits攻击、端口攻击、“嗅探式”后门攻击、状态操作攻击、SQL代码嵌入攻击等方式,可谓五花八门。但并非所有的方式均可以轻而易举地窃取个人信息,也取决于电商企业的网络安全系统的可靠性。然而当前大多电商企业的安全保障系统安保级别较低,往往数据库缺乏严密的加密过程,起不到有效的保护作用,甚至有些网站完全未采取任何技术防范措施,将用户的隐私信息完全暴露在网络环境之下,电商网站的后台通常也没有对访问权限进行严格限制,对数据库信息访问、调取和管理制度比较宽松。这些情况给了网络黑客大量的可乘之机,从而导致数据系统被入侵的几率大大增加。
(二)个人信息使用过程中的安全危机
电子商务环境下个人信息使用中的违法行为主要体现为以下三种形式:
第一,网络经营者通过对掌握的消费者个人数据进行深度二次加工之后再次使用。个人信息的二次开发利用是指,网络经营者利用自身掌握的个人信息建立起综合的数据库,然后经过对数据的加工、挖掘从中分析出一些个人并未透露且具有商业价值的信息,从而引导企业的营销策略。对个人信息的二次加工有利于提高营销效率、节约成本,是网络经营者运用信息技术变革营销方式的重大创新,但目前我国对个人数据二次开发利用行为缺乏指导规范,行为合法性的边界较为模糊,未经消费者本人许可的个人信息二次加工使用容易引发侵权纠纷,从而妨碍该技术的推广应用。
第二,网络经营者向其他企业出售或者交换消费者个人信息与消费记录。有业务往来的公司为了互利共赢,常常在未经消费者同意的情况下直接销售或者互相交换双方所掌握的消费者个人信息,交易对象往往是同行业从事电商的企业或者广告公司。
第三,一些网络信息中介公司专门从事消费者个人信息的收集与分析服务。信息中介公司通过广泛收集消费者信息并向第三方提供详细资料以赚取高额利润。信息中介公司通过广泛的信息搜索渠道,精确掌握特定消费者的详细信息,使购买这些信息的企业在激烈的市场竞争中占尽先机。然而网络信息中介公司交易消费者个人信息的行为往往未经消费者本人同意,涉嫌侵犯消费者个人信息权。
不加限制的个人信息收集与使用行为容易引发网络用户的个人信息与隐私数据无限扩散,从而严重影响消费者的正常生活,因而必须通过法律对其加以调整和规范。
(一)美国个人信息保护立法考察
美国针对个人信息保护采取了法律保护与行业自律相互结合的方式。美国联邦层面目前尚未制定专门针对网络消费者隐私权保护的一般性立法,仅针对特定对象颁布了一些法令,例如针对不满十三岁的儿童颁布了《儿童在线隐私保护法案》。美国政府较早就意识到了电子商务环境下个人信息保护的重要性,并于1997年发布了《全球电子商务政策框架》。该报告针对电子商务迅猛发展以及网络环境下消费者个人信息安全岌岌可危的态势,特别强化了私营企业在网络环境下对个人信息的保护力度。该框架中提出了两项保护网络隐私权的重要的基本原则:(1)告知原则:网络经营者在收集公民个人信息时,应当向公民说明信息收集的相关情况。数据收集者披露信息的目的是鼓励人们用市场方式来解除对个人隐私的担心,因为披露信息可使个人能够知晓为什么要收集信息,信息将用于何处,保护这些信息的措施是什么,提供或不提供这些信息的后果以及可能拥有的任何补偿权。这样披露信息能使消费者更好地判断个人隐私的保护水准以及是否愿意参与。(2)选择权原则:公民对与自己相关的个人信息的使用目的、方式等有完全的自主决定权。根据个人隐私原则,消费者在由于不当使用或披露个人信息,或由于提供了不准确、过时的、不完整的或无关的个人信息而受到伤害时有权要求赔偿。
然而《全球电子商务框架》对消费者个人信息保护的规定非常原则,难以满足现实需要,以至于有学者认为该法“错失了一次明确消费者网络隐私权保障的重要机会”。2010年12月,美国联邦贸易委员会公布了《急速改变时代中的消费者隐私保护报告》,提出了消费者隐私权保护制度框架,特别提出了为消费者和电子商务企业提供简单易行的保护机制,明确规定了消费者信息选择权的内容与行使方式,特别强调消费者信息保护透明度要求,并公布了“禁止追踪”(Do-not-Track)计划,以保护消费者网络信息不受侵犯。为了弥补联邦层面的立法缺失,美国一些州纷纷开始制定网络交易中消费者个人信息保护的法律规范。2011年,宾夕法尼亚州众议院通过一项决议,指出美国联邦层面缺乏消费者隐私保护立法易造成严重的社会后果,主张联邦应当及尽快通过新的消费者隐私权保护法,并建议联邦立法应当遵循“简单,灵活,有效执行和减少损害”的立法原则。同时,宾夕法尼亚州众议院认为联邦贸易委员会长期从事网络民事纠纷处理,积累了大量经验,因此建议由联邦贸易委员会负责网络消费者隐私权保护的实施工作,还建议对消费者隐私信息进行分类并对消费者因电子商务企业侵权行为所受损失的救济方式进行统一。
为了回应各州以及联邦贸易委员会的诉求,奥巴马政府于2012年2月23日公布了《全球数字经济下隐私保护的创新推动的框架》,重点阐明了政府拟敦促国会通过消费者在线隐私保护法案并将大力推进电子商务环境下消费者个人信息保护制度实施的立场。虽然该框架并非最终的立法,但是可以预见美国有关消费者在线隐私保护法案的制定与颁布将不再遥远。
除了法律保护之外,美国针对网络交易中消费者个人信息保护的行业自律模式也一向为各国所称道。具体而言,美国电子商务行业主要采用三种方式保护消费者个人数据:一是通过非强制性的商业指引,为电子商务企业保护消费者个人信息提供示范性指导;二是利用技术保护,有代表性的是互联网协会提出的个人隐私偏好性平台技术(P3P);三是网络隐私认证机制,例如TRUSTe、BBBONLine、Web Trust等。上述三种行业自律模式与有关个人信息保护的立法共同构成了美国富有特色的网络消费者个人信息保护制度体系。
(二)欧盟个人信息保护立法考察
欧盟个人信息保护法律体系是由一系列的指令、原则、准则、指南等法律文件组成的。欧盟有关个人信息保护立法的理论基础是源远流长的人格权理论,这也与欧洲悠久的民事法律传统十分契合。
1.1995年《关于涉及个人数据处理的个人保护及此类数据自由流动的指令》
欧洲议会和欧盟理事会于1995年10月24日发布了《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》(95/46/EC),简称《个人数据保护指令》,并于1998年正式生效。《个人数据保护指令》确立了个人信息保护的基本原则。这些基本原则包括个人数据管理者的责任和义务以及个人数据主体所享有的权利两个方面。
该指令系统地规定了个人资料权的内容体系,具体包括以下方面:(1)获取权。指令第12条规定,资料主体可以随时免费地获取个人信息,并有权对信息的内容予以确认或者更正。(2)自主决策权。根据该指令15条,在依据一个自然人的个人信息对其工作、生活当中的重大事项作出决策的情况下,应当赋予该自然人对他人使用其个人信息予以否决的权利。(3)拒绝使用权。个人资料主体有权就他人对其资料的收集、传输与使用予以拒绝,并对他人的非法使用行为有权追究法律责任。(4)获得救济权。该指令第23条明确规定,未经许可或者违法使用他人个人资料的,资料权人有权主张侵权人承担经济赔偿等民事责任。
按照该指令,个人数据管理者的责任和义务包括:(1)数据质量原则。个人数据处理应做到:a.公正、合法的收集和处理;b.基于特定、明确、合法的目的;c.个人数据的收集和处理必须充分和相关联,且必须是适当、相关而不过量的;d.必须完整、准确,并保持最新状态,考虑到收集或者随后处理个人数据的目的,必须采取一切合理的措施以确保哪些不准确或者不完整的数据被删除或者更正;e.以可识别的数据主体允许的形式保存。(2)数据处理合法化原则。个人数据处理必须:a.经个人数据主体明确同意;b.符合法定义务;c.保护个人数据主体的重大利益。(3)告知原则。个人数据收集(直接收集、间接收集)应将相关信息告知个人数据主体,这些相关信息具体包括:a.个人数据管理者的识别;b.数据处理的目的;c.数据收集者(接收者);d.个人数据主体不提供数据的后果;e.查询和更正的权利。(4)特殊类型数据处理原则。除非法律另有规定,禁止处理涉及种族、政治、宗教信仰、工会会员及健康、性生活等的个人数据。
2.2013年《欧盟数据保护基本条例》
欧洲议会公民自由、司法与内政事务委员会于2013年10月22日通过了最新的《欧盟数据保护基本条例》(Datenschutz-Grundverordnung)以回应社会逐渐高涨的要求建立更加严格的数据保护制度的呼声。该条例的最大亮点在于赋予数据主体在个人信息受到侵犯时,可以通过条例规定的多种途径寻求救济。
(1)数据主体的“删除权”
根据欧盟数据保护基本条例的规定,数据主体可以在满足条例规定条件的情形下要求数据控制人删除与其有关的信息或者停止该信息进一步传播:(a)此信息不再有被收集或者以其他方式处理的必要;(b)数据主体不再同意其信息被处理;(c)数据主体可以在任何时候由于自身特别情况的原因提出拒绝处理其个人信息,除非该处理对于保护数据主体的基本权益至关重要,或者是履行公共利益的活动所必需的;(d)欧盟范围内的一个法庭或者监督机关已经做出了相关数据必需删除的最终裁定;(e)相关数据被非法处理。数据主体一旦根据以上情况提出反对,数据控制者应当立即停止对其个人信息的使用和处理,防止损害扩大。
(2)向专门监督机关提起控诉
根据《欧盟数据保护基本条例》第六章的规定,欧盟每个成员国应当设立至少一个独立的监督机关,该机关的任务是监督基本条例在本国内的实施情况并为欧盟范围内的统一实施服务。根据该条例第73条的规定,在不影响其他行政救济或者司法救济的情况下,当认为对其相关的个人信息的处理没有遵守基本条例时,数据主体有权向成员国的监督机关提出控诉。监督机关在接到数据主体控诉之后,有权在合理范围内作出调查,并应在合理的期限内(3个月)告知数据主体控诉的进展与结果。
监督机关在查明事实后,对于没有履行基本条例规定的义务的,可以做出以下行政处罚:(a)如果是第一次且非故意违反,可以提出书面警告;(b)定期数据保护审查;(c)最高处以1亿欧元或者企业每年全球营业额5%的罚金,按照数额较大的金额予以处罚。
数据主体向监督机关提起控诉后,如果监督机关未对数据主体的控诉作出合理保护裁决的,或者保护裁决没有按照第52条第1款b的规定在3个月内通知数据主体的,数据主体可以行使司法救济权起诉监督机关。
(3)向司法机构提起诉讼
数据主体除了可以向监督机构申请救济之外,还可以针对数据控制者向司法机构提起诉讼。如果数据主体认为数据控制者违反数据保护基本条例有关收集与处理个人信息方面的规定时,数据主体有权针对数据控制者提起诉讼并主张其承担法律责任。
(三)国外个人信息保护制度之比较与启示
通过对美国与欧盟个人信息保护制度的梳理,不难发现两者具有显著的区别:美国除了制定保护个人信息的相关立法之外,重点通过电子商务企业的行业自律规范网络经营者对消费者个人信息的收集与使用行为;而欧盟则延续了大陆法系成文法的传统,将数据隐私权上升到基本人权的高度,围绕消费者个人信息保护制定了严密的权利、义务、责任体系,并建立了相应的司法与行政的救济措施,有力保障消费者个人信息不受侵犯。相比较而言,美国的个人信息保护制度更多地兼顾了电子商务企业的利益,为企业经营提供了更加宽松的政策环境,而欧盟的立法机制更加倾向于消费者权益保护,提升了电子商务经营者的注意义务与经营成本。
相比较而言,笔者认为欧盟的个人信息保护制度更加值得我国吸收与借鉴。首先,我国与欧盟具有共同的大陆法系传统,欧盟通过立法详细规定消费者的个人信息权、网络经营个人信息收集与使用的义务以及侵犯消费者个人信息权法律责任的做法更符合我国当前法律制度的现状,相关的法律原则与具体规范更加便于我国进行法律移植。其次,美国重点依靠网络经营者行业自律的方式保护消费者个人信息的模式需要特定前提,即电子商务行业发展比较成熟且行业协会具备重要的影响力,能够对行业内部的企业起到有力约束作用。我国当前电子商务产业的发展仍处于不断探索的阶段,相关的制度规范尚不健全,特别是电子商务行业协会发挥的作用与美国相比仍有较大差距,因而当前环境下借鉴美国依赖行业自律规范的条件尚不成熟。
四、我国电子商务环境下个人信息保护制度现状与问题剖析
(一)我国个人信息保护立法进路梳理
目前我国关于电子商务环境下的个人信息保护尚缺乏一部专门的法律进行规范,相关条文散见于一些法律、法规、规章以及司法解释中。较早规定网络用户个人信息保护的法律规范是2000年信息产业部颁布的《互联网电子公告服务管理规定》第12条,“电子公告服务提供者应当对上网用户的个人信息保密,未经上网用户同意不得向他人泄露”,第19条规定了侵犯他人个人信息的法律责任。2007年商务部印发的《商务部关于促进电子商务规范发展的意见》中指出,“引导电子商务企业建立健全网络与信息安全保障制度,采取有效的网站安全保障措施、企业信息保密措施和用户信息安全措施,防范和制止利用互联网盗取商业秘密和提供用户信息给第三方以牟取利益的行为。”2014年3月15日生效的新修订的《消费者权益保护法》第29条规定,“经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。经营者未经消费者同意或者请求,或者消费者明确表示拒绝的,不得向其发送商业性信息。”国家工商行政管理总局2014年制定的《网络交易管理办法》第18条有关网络交易中个人信息保护的条文与《消费者权益保护法》第29条相比除了明确针对网络商品经营者、有关服务经营者之外,其他内容基本一致。笔者认为,当前分散立法的模式已经难以满足个人信息保护的现实需要,应当尽快着手制定专门的个人信息保护法,进一步加强电子商务领域个人信息保护。
(二)我国电子商务环境下个人信息保护制度问题剖析
第一,个人信息保护法律基本原则缺失。对于个人信息保护而言,基本原则至关重要。国外许多国家就个人信息保护的基本原则均做出了明确规定,甚至为数不少的国际组织立法仅规定“基本原则”,而不再规定具体规则,个人信息保护基本原则的重要性可见一斑。然而我国当前仅在《消费者权益保护法》中体现了“合法、正当、必要的原则”,未能完全契合个人信息保护的特殊性,亟需立法加以完善。
第二,个人信息权利内容体系不清晰。我国当前立法中关于个人信息保护的条款大多是对个人信息收集与使用行为的规范,而对信息主体的个人信息权利内容则较少涉及,个人信息保护缺乏权利基础,非常不利于个人信息保护。
第三,个人信息保护侵权责任体系不完善。《消费者权益保护法》第50条规定了经营者侵犯消费者个人信息承担的民事责任,除了民事责任之外,应当进一步加强网络经营者侵犯消费者个人信息的行政责任与刑事责任,提高网络经营者侵权行为的违法成本,增强法律的威慑力与教育、预防作用。
五、我国电子商务环境下个人信息保护的立法对策
当前形势下法律对进入网络的个人信息加强保护,确保网络用户的经济等诸方面的安全,已然成为发展电子商务的前提与基础,个人信息保护法成为电子商务的安全保障法,电子商务领域的个人信息保护也被纳入电子商务法的组成部分之一。为了顺应电子商务的发展要求,笔者建议我国个人信息保护的立法完善从以下方面入手。
(一)确立个人信息保护法基本原则
个人信息保护法的基本原则分为共有原则与特有原则。共有原则是指个人信息保护的直接上位法的基本原则,具体包括意思自治原则、公平原则、诚实信用原则与比例原则。
个人信息保护法的特有原则是指共有原则之外的,仅适用于个人信息保护法的基本原则,体现个人信息保护法的基本价值与理念。具体而言,个人信息保护法的特有原则包括以下内容:
1.目的明确原则。该原则是指收集个人信息的目的,必须在收集前加以确定,确定的目的必须通过一定方式明确化;发生目的变更时,变更后的目的也必须及时予以明确。确立目的明确原则的目标在于确保信息主体和社会对个人信息处理的可预见性。
2.知情同意原则。该原则是指信息管理者在收集个人信息时,应当充分告知信息主体就有关个人信息被收集、处理和利用的情况进行充分告知,并征得信息主体明确同意的原则。
3.目的限制原则。该原则是指个人信息的收集利用均限于最初确立的目的,与该目的保持一致;并应采取公平合理的收集方式。目的限制原则是与目的明确原则紧密配合的一个原则。目的明确原则旨在要求个人信息管理者进行个人信息处理时应有明确目的,目的限制原则旨在确保信息管理者收集和处理个人信息应受“明确目的”之限制。
4.信息品质原则。该原则也称完整正确原则,是指信息管理者应保障个人信息在其处理目的范围内的完整、正确和时新。信息品质原则的核心是完整和正确,是各国际组织和各国个人信息保护法普遍遵循的原则。
5.安全原则。该原则也称安全保护措施原则,是指对个人信息应采取合理的安全保护措施,以防止个人信息的丢失、非法访问、毁损、利用、修改和泄露等为风险的发生。
6.政策公开原则。该原则也称为公开原则,是指关于个人信息的收集、处理和利用以及相关政策应当公开。该原则的目的在于通过信息管理者的公开行为,使社会知悉个人信息的收集和处理情况,以实现对个人信息处理的监督和控制,保障信息主体知情权的实现。
7.禁止泄露原则。该原则也称保密原则,是指对信息管理者及其工作人员负有对个人信息的保密义务,严禁非法泄露个人信息及其内容。对个人信息内容的披露,只有在法定或者约定条件下才属于合法行为。
8.保存时限原则。该原则是指为任何目的处理的个人资料都不超过该目的需要的时间而保存。
9.自由流通和合理限制原则。该原则是指应当在保障信息主体合法权利的基础上促进个人信息的跨国流通,但是需要对个人信息流向缺乏实质性个人信息保护立法或者不能对个人信息给与合理保护的接收国进行限制。
上述个人信息保护的共有原则与特有原则的重要意义在于,其构建了电子商务环境下网络经营者的个人信息保护义务框架,明确了个人信息收集、使用行为合法抑或非法的边界,设立了个人信息保护的“防火墙”,对电子商务的发展具有至关重要作用。
(二)构建个人信息权利内容体系
构建科学、合理的个人信息权利内容体系是保障消费者个人信息安全的前提与基础。个人信息权是一种新类型的具体人格权,其目的在于使个人能够以自己的积极行为支配其个人信息,保护其精神人格利益。个人信息权具有非常丰富的内容,具体包含以下方面:
第一,对信息收集与处理行为事先知情并决定是否以及如何处理个人信息的权利。电子商务环境下大量的个人信息是在本人不知情的情况下被收集的,且被收集的个人信息将作何种用途消费者本人也不得而知,这种行为侵犯了信息主体的知情权。信息主体不仅有权知道个人信息收集主体的准确信息,而且应当明确个人信息收集的范围、表现形式,还应有权知道被收集的个人信息将用于何种用途。信息主体有权决定是否允许经营者收集其个人权利,决定收集个人信息的范围以及信息被收集后的使用方式。
第二,对个人信息被他人收集与处理的相关情事进行查询,并对违法或不当处理行为提出异议、主张救济的权利。针对经营者收集、处理个人信息的事由、方式以及期限等,信息主体有权访问、查阅,并要求经营者提供个人信息复制本。电子商务经营者作为个人信息的收集者,同时负有保障消费者个人信息安全的义务,一旦经营者违法使用个人信息或者由于外部原因造成信息泄露,信息主体有权要求经营者采取措施采取必要、合理措施,保障其个人信息安全。当经营者拒绝采取必要措施或技术手段保证个人信息安全时,信息主体有权提起诉讼主张损害赔偿。
第三,请求信息处理者采取合理措施,确保个人信息正确与完整状态的权利。电子商务环境下,虽然消费者向经营者提供了个人信息,但并不丧失对个人信息的控制权,可以通过合理的方式要求经营者保存的个人信息准确、完整,且有权在交易结束或者消费者认为必要且不影响经营者合法利益的情况下要求经营者删除其个人信息。
(三)完善个人信息侵权法律责任制度
当前电子商务环境下个人信息保护危机越发凸显的一个重要原因在于个人信息侵权行为难以受到法律追究,从而一定程度上纵容了个人信息侵权现象的泛滥。为了解决该问题,需要不断完善我国个人信息侵权民事、行政、刑事法律责任制度。
在就民事责任方面,新修订的《消费者权益保护法》第50条规定,“经营者侵害消费者的人格尊严、侵犯消费者人身自由或者侵害消费者个人信息依法得到保护的权利的,应当停止侵害、恢复名誉、消除影响、赔礼道歉,并赔偿损失。”该条可以适用于电子商务环境下的个人信息侵权责任,但在制定我国《个人信息保护法》过程中,可以借鉴《侵权责任法》以及《消费者权益保护法》的相关条文,对电子商务环境下的个人信息侵权责任做出专门规定。特别需要关注的是,个人信息权属于人格权的内容之一,因而消费者个人信息权受到侵害时有权要求加害人承担精神损害赔偿责任。
除了民事责任之外,应当明确侵犯消费者个人信息的行政责任与刑事责任。《欧盟数据保护基本条例》对违反数据保护的主体最高处以1亿欧元或者企业每年全球营业额5%的罚金。我国《消费者权益保护法》第56条规定了侵犯消费者个人信息的行政责任,并通过记入信用档案、向社会公布的方式增强对不法经营者的震慑力,有助于个人信息得到更好的保护。但网络经营者侵犯消费者个人信息的行为往往比较隐蔽,笔者建议借鉴欧盟建立专门监督机构的做法,设立专门的部门负责查办此类案件,同时增强调查取证的水平,加大对违法行为的打击力度,保障相关制度措施取得实效。
我国现行《刑法》第253条规定了出售或者非法提供公民个人信息情节严重的承担刑事责任。该条规定自纳入《刑法》以来现实中较少适用,主要原因在于《刑法》第253条约束的重点是国家机关或者金融、电信、交通、教育、医疗等单位及其工作人员等特殊主体,对于一般主体是否适用该条规定比较模糊。另外,只有在符合“情节严重”的条件下,才能追求行为人的刑事责任,而“情节严重”的标准在司法适用中不甚明确。笔者建议将第253条针对特殊主体与普通主体的刑事责任法律适用加以区分,同时对“情节严重”做出进一步的解释,便于司法适用与打击犯罪行为。(来源:数据人;文/何培育;编选:中国电子商务研究中心)
