1. 矛盾缘起:电子商务经营者与用户个人权利纷争
电子商务作为现代商业活动的重要形式,已经深入到人们生活的方方面面。然而,在享受电子商务带来的便捷同时,个人信息的安全问题也引发了广泛关注。在电子商务交易中,电子商务经营者与用户之间的权利纷争源于对个人信息的获取、利用和保护之间的矛盾。这种矛盾在交易活动的起始阶段就已经显现,因为电子商务经营者必须收集消费者的个人信息才能完成整个交易流程,从购买到物流再到支付,因此,电子商务经营者对消费者个人信息的利用与个人信息安全和保护,从交易活动的开始就是一个矛盾对立统一体[1]。
根据《电子商务法》第9条的规定,电子商务经营者包括通过互联网等信息网络从事销售商品或者提供服务的自然人、法人和非法人组织等。而个人信息包括了能够单独或者与其他信息结合识别自然人个人身份的各种信息,涵盖姓名、身份证件号码、住址、个人生物识别信息、电话号码等内容。电子商务平台及其经营者可以轻易获取消费者的各种个人信息,借助大数据分析技术,他们可以了解消费者的个人生活轨迹、消费习惯等信息,这种信息获取行为可能对消费者权益构成潜在威胁。个人信息权作为一种独立的民事权利[2],在我国民法中受到保护,任何组织和个人需要获取他人个人信息时,都必须依法取得并确保信息安全[3],然而,近年来个人信息泄露、盗用、贩卖事件频频发生,消费者个人信息的保护面临严峻挑战。例如,2018年中国消费者协会发布的《APP个人信息泄露情况》显示,超过80%的受访者遭遇过个人信息泄露,而泄露后的消费者往往会收到推销电话或短信、接到诈骗电话等骚扰,严重侵犯了消费者的个人隐私和权益。
在大数据时代,个人信息的处理变得更加系统化和智能化,商家可以通过大数据系统收集个人消费信息,并通过数据挖掘技术获取消费者的个人身份和消费特征等信息。然而,这种信息获取和利用行为往往存在滥用的风险,可能对消费者的个人隐私和权益造成损害。因此,如何合理合法地利用消费者个人信息,防止个人信息的滥用和泄露,已成为电子商务中迫切需要解决的问题。
2. 电子商务法中对个人信息的规制
2.1. 基于原则的规制
《电子商务法》中对个人信息的保护主要体现为原则性规制,基于原则的规制是电子商务法中对个人信息保护的基石。基于原则精神所设定的规则反映了社会对个人信息保护的普遍共识,确保了个人信息在商业活动中得到合理利用的同时,保障个人信息主体的权益不受侵犯。
电子商务法中的各项规定在指导电子商务活动中发挥作用时,受到了一系列法律原则的指导和影响。
首先,个人信息保护原则是电子商务法的核心之一。电子商务经营者在收集、使用和处理用户个人信息时必须遵循合法、正当、必要的原则,保障用户的知情权和选择权,防止个人信息被非法获取、滥用或泄露,以维护用户的个人隐私和权益。其次,合法合规原则要求电子商务经营者在开展经营活动时必须遵守法律法规的规定,尊重和保护消费者的合法权益。再次,自由竞争原则是电子商务法倡导的重要原则之一,电子商务平台和经营者不得滥用市场优势地位,限制、排斥其他经营者的参与,保障市场公平竞争和消费者的选择权。最后,责任追究原则强调了对违法行为的责任追究。根据这一原则,对于违反法律法规、损害消费者权益的行为将受到相应的法律制裁和惩罚,为维护市场秩序、保护消费者权益提供了有效的手段和保障。
2.2. 基于使用的限制
1) 个性化推荐的平等保护
根据《电子商务法》第18条,电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的,应当同时向该消费者提供不针对其个人特征的选项,尊重和平等保护消费者合法权益。在个性化推荐的背景下,消费者往往只会看到与其个人特征相关的商品或服务,而其他可能符合其需求的选项则被隐藏或排除在外。这种行为将导致消费者选择受限,影响其权益享有。此外,个性化推荐往往依赖于消费者的个人数据和行为记录,若未经消费者同意,过度收集和利用这些信息会侵犯其隐私权。这意味着电商平台在个性化推荐时,需要保证消费者的选择权,不得排除其他选项,以尊重和平等保护消费者的合法权益。这一规定反映了立法者对消费者权益的高度关注,强调了个性化推荐和消费者隐私之间的关系平衡,确保消费者的个人信息安全和合法权益不受侵犯。
2) 个人信息的合法收集与使用
《电子商务法》第23条,电子商务经营者收集、使用其用户的个人信息,应当遵守法律、行政法规有关个人信息保护的规定。这意味着电商经营者需要明确告知用户收集个人信息的目的,并获得用户的同意。同时,个人信息的使用也必须符合法律规定,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或公开他人个人信息。目前我国与个人信息保护有关的法律、行政法规主要有《民法总则》《网络安全法》《关于加强网络信息保护的决定》《电信条例》《互联网信息服务管理办法》等[4]。电子商务经营者在收集、使用用户个人信息时,应当遵循上述规定。
3) 防止滥用市场支配地位
《电子商务法》第69条,电子商务经营者因其技术优势、用户数量、对相关行业的控制能力以及其他经营者对该电子商务经营者在交易上的依赖程度等因素而具有市场支配地位的,不得滥用市场支配地位,排除、限制竞争。在电子商务领域,由于技术进步,少数大型电商平台往往具有较强的市场支配地位,容易滥用市场支配地位,损害其他经营者和消费者的权益。因此,限制滥用市场支配地位的规定,对于维护市场竞争和保护消费者权益至关重要。
2.3. 基于安全的保障
《电子商务法》第24条第2款对个人信息安全保障起到了重要作用,该条款赋予了用户对个人信息的查询、更正和删除等权利,并且明确规定了电子商务经营者应当在收到用户关于个人信息的申请后,及时提供相应服务,而不以电子商务经营者的过错为前提。
在《关于加强网络信息保护的决定》和《网络安全法》的框架下,个人对信息的控制权已经得到强化,可以要求网络服务提供者删除或停止传播泄露个人身份或隐私信息,同时也可以要求网络运营者删除或更正错误的个人信息。然而,《电子商务法》第二十四条的规定进一步强化了个人对信息的控制权,将个人信息安全保护推向了更为积极的阶段[5]。传统上,个人信息安全保护更多是消极的,侧重于限制信息的收集和使用,而现在则更加强调个人对自己信息的掌控权。这种积极赋权的做法有助于保护用户的隐私和权益,用户可以通过《电子商务法》第24条规定的权利行使,及时查询、更正或删除自己的个人信息,从而有效地防止个人信息被不法分子利用或泄露。此外,该条款加强了电子商务经营者的责任义务,电子商务经营者应当在收到用户申请后及时提供相应服务,无需用户证明其过错。这意味着电商平台有责任保障用户信息的安全,并在用户提出要求时及时响应,进一步加强了电商平台的信息管理和安全保障机制。
3. 电商平台交易过程中个人信息保护的现实困境
3.1. 平台隐形的算法歧视
在电子商务平台的消费活动中,用户的交互实质上依赖于算法的操作。算法在此情境下,可视为网络空间的“规范机制”。然而,与传统法律不同,这种“规范机制”并非基于公民意志形成,而是反映了算法设计者的个人观念和利益追求。技术本身并无情感倾向,但由于技术的设计、维护与运行均由人所主导,这不可避免地使得大数据算法中融入了设计者和运营者的个人意图和偏好。电子商务经营者运用算法,既可为消费者提供更为优质的商品与服务,也可能借此侵犯消费者权益。数据,作为算法运行的基础,通常被视为客观中立的,但人为设计的算法在操作过程中往往不可避免地带有某种偏见。
电子商务平台能够轻松收集消费者个人信息,包括注册时提供的资料和使用软件过程中产生的行为数据。这些信息为商家提供了消费者需求和行为洞察,助力其实现个性化定价与服务策略。商家依据这些个人信息构建用户画像,实现精准商品推荐和差异化定价。然而,消费者与商家地位不等,对平台数据收集和算法运作了解有限。用户协议虽需用户同意,但冗长难读,用户难以提出异议,往往只能选择放弃使用软件。
《电子商务法》第18条对大数据歧视行为非法性与否进行了明确规定。但对该规定进行分析,却发现条文的去个性化规定所针对的“搜索结果”到底包含哪些内容,现阶段仍不太明确。如果其只针对在搜索引擎中输入关键词所检索出来的商品或服务的显示列表,那么根本不足以涵盖大数据杀熟的种类。平台通过对消费者的信息进行整理判断,形成针对每个消费者特有的用户画像,再根据不同消费者的个人画像为其“定制”专属的显示界面,而定制显示的不仅仅是商品列表,更多的是定价的区别,这也是算法歧视最根本的体现[6]。
3.2. 监管力度不足
当前对电子商务经营者的监管力度尚显薄弱,《个人信息保护法》第66条规定了违法处理个人信息或者不履行个人信息保护义务的行政责任,规定了行政执法的主体和行政处罚的类型。根据该法第60条的规定,履行个人信息保护职责的部门包括国家网信部门、国务院有关部门和县级以上地方人民政府有关部门,其中除国家网信部门作为统筹协调机构可以直接依据该条被认定为履行个人信息保护职责的部门外,其他履职主体还需按照其他法律、行政法规或国家有关规定确定[7]。具体到本文讨论电子商务平台个人信息的使用与侵犯,电子商务法对个人信息的保护监管尚存在不足之处。
首先,现有监管方式偏向于“堵”,对侵犯个人信息的行为采取简单粗暴的封堵措施,而对于预防和管理的“疏”作用相对较弱。其次,在《电子商务法》的法律责任一章,主要规定了电子商务平台经营者违反本法规定,由市场监督管理部门或者有关部门责令限期改正,而第87条规定依法负有电子商务监督管理职责的部门的工作人员,玩忽职守、滥用职权、徇私舞弊,或者泄露、出售或者非法向他人提供在履行职责中所知悉的个人信息、隐私和商业秘密的,依法追究法律责任。法律责任章节虽规定了对电子商务平台经营者的处罚措施,但缺乏细化的监管范围和方式。对于违法行为的处理仅限于责令限期改正,而对于负有监督管理职责的部门工作人员的违法行为也只是简单地规定了依法追究法律责任。这种过于笼统的规定导致监管行为缺乏针对性和有效性,使得监管工作难以落实到位。最后,在执法过程中,常态化和过程性的监管不足。现行执法主要集中于事后惩戒和处罚,如关闭平台、约谈、经济处罚等,缺少常态化管理和监督[8]。这种做法虽然能够一定程度上遏制乱象的进一步发展,但无法从根本上解决问题,也无法实现长期的治理效果。
3.3. 用户维权困难
在用户个人信息受到侵害时,用户往往面临维权难的问题。一方面,用户在维权过程中面临着复杂的渠道选择和流程,如与经营者协商、向消协投诉、向行政部门投诉等,而这些渠道都存在着各种障碍和问题,如举证难、鉴定难、诉讼难等。另一方面,线上购物高度依赖互联网平台,但取证难成为责任认定的障碍。用户个人信息受到侵害时,用户时往往难以提供清晰的凭证,给责任认定带来了困难。更有甚者,即使能够证明权益受到侵害,由于诉讼成本高昂,用户往往选择放弃维权。例如,杭州互联网法院曾审理一起个人信息泄露案件,原告吴某在使用某电商购物App时,因误操作而导致个人敏感信息泄露的问题1。吴某使用App注册账号并开通某钱包功能时,个人身份信息被泄露给了某银行,且其在使用过程中未得到充分知情同意。原告发现其个人信息被某银行非法获取后,试图注销“某钱包”账户,但却无法实现。进一步查阅用户协议后发现,涉及个人信息的处理存在于不同运营主体之间,而且未经充分告知与同意,导致个人信息流转不透明。这个案例中的吴某最终采取了诉讼的方式来维权,但在这个过程中,尽管吴某某意识到权利受损,但无法注销“某钱包”账户,而App的运营主体与“某钱包”经营主体不一致,导致信息流动不透明,这些无疑都突显了吴某在维权过程中面临的困难。
4. 电商平台交易过程中个人信息保护的优化路径
4.1. 消解算法歧视的风险
《电子商务法》在应对因数字经济的发展而产生的问题上具有天然的优势。平台隐形的算法歧视涉及互联网平台中的经营者和消费者之间的利益平衡[6],针对该问题,限制个人信息的获取和规范人物画像迫在眉睫。
首先,电商平台应明确界定其收集和使用个人信息的范围,严格限定于平台自身功能需求之内。当前,电商平台普遍存在着过度收集用户信息以及越界处理用户数据的问题。为了有效遏制算法歧视行为,必须规范商家对消费者个人信息的获取与使用行为。在保护个人信息方面,应关注信息获取的合理性,而非仅局限于获取程序的公开透明性。虽然平台在用户协议中列出了可能收集的个人信息种类,但消费者往往无法拒绝信息的被收集,除非他们选择放弃使用该软件。
其次,电商平台在展示价格时,应提供不针对用户个人特征的选项。尽管《电子商务法》第18条规定消费者的搜索信息应去标识化,但法条中“搜索结果”的具体含义仍显模糊,导致关于“能否规制算法价格歧视”的问题存在争议。为此,建议明确将“搜索结果”的范围扩展到商品或服务价格的展示。在认定大数据歧视行为时,应包含以下要素:电商平台收集消费者的个性化信息以形成针对个体消费者的用户画像;平台基于这些用户画像进行个性化的推送和价格展示;平台未向消费者提供不针对其个人特征的选项。尽管个性化定制已成为大数据时代的主流趋势,但用户依然应享有选择权。
4.2. 构建多元监管体系
在数据时代,应当以更严格的监管体系规范电子商务交易,建立健全多元监管机制,对违法收集、使用用户信息的行为进行严厉查处和处罚,形成有效的震慑效应,保障平台消费者合法权益。多元监管体系应当及时做到以政策牵引为前提、政府监管为龙头、平台自治为关键,全方位抑制市场风险的产生。
政府监管是基础,它可以通过制定法律法规、设立第三方监管机构、发布监管指导意见等方式来规范和指导行业发展,保护消费者的权益,维护市场秩序。但单靠政府监管可能存在信息滞后、监管资源有限等问题,因此需要借助行业自律和社会监督来补充和完善。建立维护公平竞争的市场经济秩序不再只是监管者一侧的单向度责任,无论出于监管成本还是违法成本的考量,赋予被监管者自觉践行维护竞争秩序之责已成必然[9],行业自律是多元监管体系中的一个重要组成部分,它可以通过建立行业协会、制定行业准则、推动企业自律等方式来规范行业行为,促进行业良性竞争和健康发展。此外,仅依靠行业自治来化解个人信息滥用风险并不现实,第三方监管机构缺位的问题应当及时解决。具体来说,应当在政策引导之上,引入权威第三方机构进行监管,第三方平台通过建立信息滥用合规监管制度,包括预防、识别、评估、报告、处置相关信息滥用问题,在平台收集用户信息后,定期审查平台对于个人信息的处理活动,确保其符合信息滥用合规监管制度。社会监督是多元监管体系中的另一个重要组成部分,它可以通过媒体曝光、公众舆论监督、消费者投诉等方式来监督企业行为,推动企业改进和提升服务质量。同时,可以在社会上建立信息使用公开评估机制,通过电商平台市场信用和信息数据的合法采集与有序共享,借助于大数据分析和场景化算法,对电商平台进行信用评级,设计和导入善用信息奖励和滥用信息惩罚系统,引导并激励电商平台自觉守法、合法行权。
多元监管体系需要各个组成部分之间的协调与整合,避免监管重叠和冲突,实现监管的有机衔接和高效运作。政府、行业和社会应当共同努力,形成监管合力。
4.3. 畅通电商消费者维权的通道
处于数字化技术时代的风口,“我们塑造了工具,此后工具又塑造了我们[10]”。利用技术工具搭建消费者信息共享平台,成为电商平台侵犯个人信息的维权渠道。例如,2020年3月,上海市消费者权益保护委员会宣布正式上线“长三角消费微投诉云平台”,该平台通过实现消费者与经营者之间信息的即时同步,显著提升了沟通效率。这一创新举措确保了简单的投诉能够在72小时内得到妥善解决。作为专注于服务长三角地区消费者、经营者和消保委的在线平台,“云平台”的推出有效减少了投诉的中转环节,显著降低了消费者与经营者之间的信息不对称程度,从而提升了消费维权的便捷性和实效性。在电商平台滥用用户个人信息中引入快速的“云投诉平台”,消费者可以实现投诉接受、问题处理、反馈等一系列维权流程,促使电商平台建立自我纠错机制并进行内部改革。该信息化平台涵盖了消费者投诉的全流程管理,包括数据收集、快速维权、结果反馈、统计分析等功能,并规定平台必须在一定时限内对投诉作出响应和处理,通过信息化手段构建起维权平台,为消费者提供有效的维权途径[11]。
电商平台侵犯个人信息的维权渠道不仅包括诉讼,也应该涵盖在线争议解决机制。尽管传统的诉讼流程耗时且繁琐,并受限于时间和空间,但随着电子信息技术的发展,数字技术为消费者提供了更便利的维权方式。主流电商平台已建立了在线争议解决机制,尽管平台会居中调解争议,但消费者仍有权选择是否接受调解结果。这种线上审理机制简化了诉讼流程,消除了地域障碍,使得立案、审理和判决过程更加透明和高效。消费者可以在任何地方参与审理,并有权对平台调解结果提出异议,寻求司法救济,确保维权过程的公平和公正。
5. 结论
电商平台交易过程中的个人信息保护,无疑是一个多元且迫切的议题,横跨法律、政策与行业准则的广阔领域。为了强化这一领域的保护机制,可以采取一系列举措,如抑制消极算法的歧视性影响、强化监管力度并优化维权机制,从而为电子商务的稳健前行提供坚实支撑。同时,必须认识到,消费者个人信息的保护并非一蹴而就,它是一个循序渐进的过程,需要多方力量的共同投入与协作。政府和企业应携手并进,在个人信息保护领域深耕,为电子商务行业的创新与发展培育肥沃的土壤。此外,鉴于科技的不断革新与商业模式的日新月异,需持续关注电子商务中个人信息保护的新动态、新挑战,确保能迅速、有效地应对,从而确保个人信息的安全与电子商务的健康发展。
NOTES
1一审:杭州互联网法院(2021)浙0192民初2929号。
二审:杭州中院(2021)浙01民终12780号。