个人信息数据保护义务
【法条】《电子商务法》
第二十三条 电子商务经营者收集、使用其用户的个人信息,应当遵守法律、行政法规有关个人信息保护的规定。
第二十四条 电子商务经营者应当明示用户信息查询、更正、删除以及用户注销的方式、程序,不得对用户信息查询、更正、删除以及用户注销设置不合理条件。
电子商务经营者收到用户信息查询或者更正、删除的申请的,应当在核实身份后及时提供查询或者更正、删除用户信息。用户注销的,电子商务经营者应当立即删除该用户的信息;依照法律、行政法规的规定或者双方约定保存的,依照其规定。
第二十五条 有关主管部门依照法律、行政法规的规定要求电子商务经营者提供有关电子商务数据信息的,电子商务经营者应当提供。有关主管部门应当采取必要措施保护电子商务经营者提供的数据信息的安全,并对其中的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。
第三十条 电子商务平台经营者应当采取技术措施和其他必要措施保证其网络安全、稳定运行,防范网络违法犯罪活动,有效应对网络安全事件,保障电子商务交易安全。
电子商务平台经营者应当制定网络安全事件应急预案,发生网络安全事件时,应当立即启动应急预案,采取相应的补救措施,并向有关主管部门报告。
第三十一条 电子商务平台经营者应当记录、保存平台上发布的商品和服务信息、交易信息,并确保信息的完整性、保密性、可用性。商品和服务信息、交易信息保存时间自交易完成之日起不少于三年;法律、行政法规另有规定的,依照其规定。
第三十二条 电子商务平台经营者应当遵循公开、公平、公正的原则,制定平台服务协议和交易规则,明确进入和退出平台、商品和服务质量保障、消费者权益保护、个人信息保护等方面的权利和义务。
第三十三条 电子商务平台经营者应当在其首页显著位置持续公示平台服务协议和交易规则信息或者上述信息的链接标识,并保证经营者和消费者能够便利、完整地阅览和下载。
【案例一】“当当网”疑信息泄露致使用户被骗6000元
当事人:陆先生、当当网
案情简介:路先生于2017年8月6日在当当网订购一本书,订单号: 3404975××××。8月8日接到声称当当网卖家的书店人员的电话,询问其买的书是否收到,陆先生核实后回复没有收到书。此时,对方称有物流车辆在运输途中发生车祸,通知陆先生货物应该是确认为损毁了,物流系统由当当网调整为送达状态和收货确认状态,并自动为顾客申请退货,并请陆先生这边配合退款页面信息,尽快退款给对方,并告知,如果需要书的话收到退款后请重新拍。后来陆先生按要求输入退款账号、密码等后,总是显示登录超时,退款失败,由于时间消耗较长,陆先生说不要退款了,以后再另行拍下,之后发现输入的两张银行卡被盗刷总计6762元,其后陆先生第一时间到广东省中山市石岐区宏基路派出所报案。陆先生在派出所内经提示,拨打当当客服电话,当当网客服说当当网上的信息是顾客修改或第三方侵入顾客电脑进行的修改,损失与当当网无关,并请尽快报案。
案例焦点:陆先生的当当账号、密码、购买的书籍信息、电话号码等未告知任何无关人员。当当网作为电商平台存在泄露顾客信息的行为,不实时更改当当系统的订单状态,收货、发货状态,物流状态,顾客退换货信息。当当网系统对退货原因栏内的明显诈骗信息等监控、过滤、筛选不足,致使顾客被诈骗。[18]
【案例二】消费者诉苏宁隐私权纠纷案[19]
当事人:李某、季某某等5名消费者;江苏苏宁易购电子商务有限公司
案情简介: 2016年3月,5名消费者起诉苏宁易购电商平台,疑似该平台泄露消费者个人信息,使诈骗分子通过被告的网站服务器掌握了原告的详细购物订单信息,导致其遭遇电信诈骗和财产损失,原告方列举出8项证据以证明被告苏宁易购电商平台存在高危漏洞。诉请法院:1.判令被告停止侵害,采取措施阻止原告订单信息的继续泄露;2.判令被告赔偿给原告造成的经济损失26308.5元;3.判令被告在其网站首页连续10天向原告赔礼道歉;4.判令被告承担本案诉讼费用。
法院审理后认定,虽能证明被告的网络平台可能存在漏洞,但不足以证明原告被骗与被告网络平台可能存在的漏洞具有因果关系,且诈骗犯罪人是否通过上述漏洞而获得原告的个人资料尚不能确定,上述个人资料也有可能通过被告之外的其他途径获得,被告并不是唯一可能泄露原告个人资料的途径。综上所述,认定原告提供的证据不足以证明被告有侵害原告隐私权的行为,因此被告不应承担侵权责任。依照《侵权责任法》第六条第一款,《民事诉讼法》第六十四条第一款、第一百四十二条之规定,判决驳回原告李某的诉讼请求。
案例焦点:消费者个人信息在电商平台被泄露遭遇诈骗,是否需要充分证明电商平台是致使信息泄露的唯一途径。举证责任应当如何分配,电商平台需要如何承担法律责任,适用侵权责任法和民事诉讼法的规则是否恰当?
一、案例剖析
该起消费者诉江苏苏宁易购集体维权案是个人信息领域的首例集体维权案件,也是电商行业首例个人信息维权案。它预示着消费者个人信息保护意识的觉醒,以及当前电商行业存在着大量的消费者信息泄露事件已严重危及消费者的合法权益。南京市玄武区法院在审查认定该起案件的过程中,主要适用了《侵权责任法》中的过错责任原则以及《民事诉讼法》中的“谁主张,谁举证”的举证原则,以原告方证据不足,无法证明被告构成侵权行为判决驳回原告诉讼请求。
很显然,在消费者与电商平台的博弈中,电商平台占据着天然优势。不同于传统的交易模式,个人信息问题在网购活动中显得尤为突出。对电商经营者来说,消费者个人信息已经不仅仅是隐私权意义上的进行合法交易的必需数据,而更像是一种财产权。电商经营者通过各种手段收集消费者的个人数据,包括但不限于进行IP地址追踪,安装cookies插件,植入病毒等方式收集消费者的浏览记录、消费习惯等网络活动和消费行为,并通过对信息的整理分析后,将消费者潜在的消费习惯和用户需求转化为商业行为,有针对性地向消费者发送商业推广短信、邮件等,以达成更高的成交率,攫取商业利润,更有甚者,还出现了专门机构对个人信息数据进行打包后公开贩卖出售,使得诈骗集团得以通过各种渠道获取信息数据进行诈骗以牟取非法利益。而这一切都是在消费者不知情的情况下进行的。个人隐私数据的泄露无疑给消费者带来沉重的负担,使消费者疲于应对各种垃圾短信、邮件和骚扰电话,给社会带来层出不穷的团伙诈骗案件,严重侵害了我国《宪法》所保护的公民的生活安宁权、通信自由权、隐私权、财产权,以及生命健康权。
二、立法解读
(一)法理背景:个人信息、隐私权与网络隐私权
2016年11月出台的《网络安全法》对“个人信息”一词的定义如下:个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。隐私权,学术界尚没有统一的定义。王利明教授将隐私权定义为:“自然人享有的对其他个人的、与公共利益无关的个人信息、私人活动和私有空间进行支配的一种人格权。”具体而言,隐私权主要包括个人生活安宁权、个人生活情报秘密权、个人通信秘密权、个人隐私利用权。网络隐私权区别于传统隐私权的单一人格权属性,同时还被赋予了广泛的财产权属性。因为作为个人信息的隐私本身为商家提供了超出其具有的人格利益之外的巨额商业利润和经济价值,所以个人信息数据已经成为可以在市场中流通的一种无形财产。但是,我国目前将具有双重属性的网络隐私权仅作为人格权进行保护,这对消费者是不公正的,而且尚未明确个人信息的财产权属性。因此,我们需要补充网络隐私权方面的立法,对该类侵权问题进行更加科学化的规制。
(二)案件法律适用分析
上述案例也证明,在面对棘手的网络隐私侵权问题上,消费者的权益在司法裁判中并没有得到应有的保护,并且因为举证不能等原因丧失了获得赔偿的权利。这无疑是不公正的,在法律适用上也违反了《消费者保护法》第二十九条的立法初衷。法官简单地在现有的法律规则——侵权责任法的框架下解决网购活动中的隐私权问题是不合适的,也是远远不够的。正如一位美国法官认为,以现行法律适用于互联网的尝试就好似企图登上一辆正在行驶的大巴车一样冒险。[20]在传统民法体系中侵权责任法的举证规则和过错原则调整的是平等的民商事主体间的权利义务和责任归属问题,但是在电子商务平台与消费者的个人信息案件纠纷中,在平等的合同主体外观下双方的实质能力相差悬殊,电商平台在个人数据的掌控上具有天然优势,消费者群体处于天然弱势,因此需要制定法律规则进行调整,对消费者进行倾斜保护,以调整双方在法庭上的实质抗衡能力。
在证据证明方面,该案法官以信息泄露有多重渠道,消费者无法证明其信息是电商平台泄露出去的为理由而判决原告败诉,同时适用侵权责任法中的过错原则,认为原告方的证据无法证明被告一方存在侵权行为。这样的举证责任分配和过错责任原则是明显存在问题的。因为在实际生活中,涉及消费者信息泄露的责任方包括电商平台、平台内经营者、快递物流公司等,消费者以一己之力不可能穷尽所有责任方的证据,来确定究竟是哪一个节点上自己的信息被泄露的,再进行准确的起诉,这是不可能的,也是不现实的。笔者认为,在此类案件的举证责任的分配上,电商平台应该承担更多的举证责任,如将此类案件归入举证责任倒置的范围。过错责任原则的适用对消费者也过于苛刻,应当改为适用过错推定原则较为合适。在侵权责任的承担上,涉及信息泄露的所有责任主体推定存在过错并承担连带责任,各责任主体能够证明自己不存在过错的可以不承担责任。综上所述,侵权责任法的一般规则已不再合适,或者应当在现有法律规则的适用上进行调整,以促进社会公平和实质正义,使得消费者的权益得到保护。我国目前关于网络领域个人信息保护的相关立法已经出台了一部分,但我们需要更加细致的实体法律规定和程序法规定以解决司法实践中的此类问题。
(三)现行立法对个人信息的保护
在国家鼓励电子商务领域发展的大背景下,电子商务领域的发展日新月异。面对“井喷式”的个人隐私泄露问题,继2014年《消费者权益保护法》第二十九条增加了对个人信息保护的法律条文之后,近两年国家发改委、商务部、中央网信办、工商总局等行政部门出台了一系列关于电子商务领域的指导文件,包括2016年12月30日印发的《关于全面加强电子商务领域诚信建设的指导意见》、2017年1月11日工商总局公布的《网络购买商品七日无理由退货暂行办法》、5月23日印发的《2017网络市场监管专项行动方案的通知》、8月21日出台的《严肃查处虚假违法广告维护良好广告市场秩序工作方案》等。《网络安全法》自2017年6月1日起施行,《电子商务法》于2018年8月31日出台,明确了对个人信息的保护,并加大了处罚力度,使得对消费者个人信息的保护和对不法经营者的处罚不再流于纸上。
有关个人信息保护的规定在新出台的《电子商务法》中可谓浓墨重彩的一笔。延续了《消费者保护法》第二十九条和《网络安全法》的相关规则,该法对经营者收集、使用消费者个人信息的行为进一步进行了规制。《电子商务法》总则第五条规定了电子商务经营者的一般性义务,其中包括“应当遵循自愿、平等、公平、诚信的原则,遵守法律和商业道德,公平参与市场竞争,履行消费者权益保护、环境保护、知识产权保护、网络安全与个人信息保护等方面的义务,承担产品和服务质量责任,接受政府和社会的监督”。首先明确了电子商务经营者对消费者个人信息的保护义务,其中电子商务经营者包括自建网站经营的电子商务经营者、电子商务平台经营者、平台内电子商务经营者(《电子商务法》第九条)。
《电子商务法》第二章第一节,电子商务经营者的一般规定中第二十三条、第二十四条、第二十五条具体规定了个人信息保护条款。其中第二十三条:“电子商务经营者收集、使用其用户的个人信息,应当遵守法律、行政法规有关个人信息保护的规定。”其中相关法律法规包含《网络安全法》《电子商务法》《消费者权益保护法》等。与其密切相关的《网络安全法》由全国人民代表大会常务委员会于2016年11月7日发布,自2017年6月1日起施行。其中第四章网络信息安全一章,第四十条至第五十条详细规定了网络运营者对个人信息的保护义务,包括网络运营者应当公开收集个人信息、明确使用目的、征得消费者同意后使用、未经同意不得转让信息、采取必要措施保证信息安全、对个人信息进行严格保密、不得违法出售信息,利用个人信息实施诈骗等违法犯罪行为。同时该部分也赋予了网民保护其个人信息的权利:如个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正(《网络安全法》第四十三条)。
《电子商务法》第二十四条新增了一项消费者权利,即消费者有权对自己的用户信息进行查询、更正和删除以及注销用户,电商经营者应当在核实身份后配合消费者的申请且不得设置不合理条件,法律、行政法规规定或双方约定应当保存的除外。第二十五条则强调了行政部门在行使职权时,对电商经营者提供的个人信息及隐私有保密义务。因此如果电商经营者被查处,相关权利人可以依据此条款请求政府行政机关对其个人信息和商业秘密进行保护。
值得注意的是,此次立法在第三十二条和第三十三条的创新之处在于强调了电子商务平台经营者在制定平台服务协议和交易规则时应当遵守公开、公平、公正的原则,明确进入和退出平台、个人信息保护等方面的权利和义务。此次立法明确服务协议和交易规则应当持续公示,便于消费者阅读和下载,赋予消费者知情同意权,以面对现实中网络服务者通过默认设置对用户个人信息进行获取并作为合理理由的问题。综上所述,电子商务法进一步明确了经营者的保护义务和消费者对其个人信息享有被收集、使用、支配的完整的民事权利。
(四)域外立法的比较研究
美国对传统的隐私权和网络隐私权的立法保护意识均走在最前面。早在1967年,美国国会通过了《信息自由法》、1974年正式制定《隐私权法》,规定了美国联邦政府机构收集和使用个人资料的权限范围。1986年,通过了《电子通信隐私权法案》,1997年10月,美国时任总统克林顿曾作《全球电子商务政策框架》的报告,标志着美国将公民网络个人的保护上升到一个新的高度。[21]2000年4月,美国颁布实施了《儿童网上隐私保护法》,进一步保护儿童的网络隐私权,规定网站须征得13岁以下儿童父母的同意后才可以收集其信息。2000年7月,通过《反垃圾邮件法案》,对垃圾邮件进行规制,进一步保障公民个人隐私权。尽管美国出台了较多的法律文件,但总的来说,对于网络隐私权的保护,美国更新倾向于行业自律。在《全球电子商务规范框架》中,美国政府提出的首要原则是“私营部门应起主导作用”。目前,美国已建立起多个网络隐私权保护自律性组织,包括在线隐私联盟(the Online Privacy Alliance)及非营利机构TRUSTY等,在网络隐私权保护领域起到了重要作用。
相较于美国,欧盟在网络隐私权保护中更注重以立法的形式来保护个人资料的安全,主张订立严格的保护标准,并通过设立特别委员会敦促欧盟各成员国以立法形式保护网络隐私权。主要文件包括:1981年欧洲会议签署《关于个人数据自动处理中个人权利保护公约》等文件;1995年10月通过《欧盟个人资料保护指令》;1996年9月通过《电子通信数据保护指令》,为成员国电信部门处理个人资料提供法律依据;1997年4月欧盟发表的《欧洲电子商务行动方案》,是对1995年指令的补充;1998年《私有数据保密法》开始生效;1999年欧委会先后出台了《互联网个人隐私保护的一般原则》《关于互联网上软件、硬件进行的不可见的和自动化的个人数据处理的建议》《信息高速公路上个人数据收集、处理过程中个人权利保护指南》等法规,为欧盟互联网用户提供了清晰的有据可循的网络隐私权保护原则,从而建立起一套完整的隐私权保护体系,以确保欧盟各成员国公民的个人数据信息安全。[22]
日本对隐私权的保护发展较为特殊。第二次世界大战之前,日本民法并没有关于隐私权保护的规定,第二次世界大战后日本修改民法典,对于隐私权的态度从消极的不被打扰转变为积极保护,使个人信息不受侵害。2005年4月《个人信息保护法》的出台,成为日本保护个人信息的根本法律,同时日本成立私生活保护研究会,对网络隐私权保护问题提出了基本原则,包括限制收集原则、限制个人信息利用原则、个人参与原则、正确管理原则,以及明确责任原则。
中国台湾地区对隐私权的保护方式从间接保护变为直接保护。1999年4月中国台湾地区修订“民法债编”,在第一百五十九条明确规定隐私权为具体人格权,确立了隐私权的直接保护制度。1995年,中国台湾地区制定了“电脑处理个人资料保护法”,详细规定了各个行业运用电脑收集和处理个人资料时应当遵守的法律义务。
三、小结
在比较分析不同地区关于网络隐私权和个人信息数据的法规后,可以得出这样的结论,保护模式主要有两种。一是立法保护模式,通过法律法规等强制性文件对隐私权进行保护,如欧盟国家。二是采用行业自律模式,包括网站自行制定隐私保护政策、业界行业协会制定统一标准、第三方机构认证等,如美国、澳大利亚等国家采取的普遍做法。相比较而言,我国在立法实践中仍处于较为落后的现状,在新出台的《电子商务法》中关于个人信息数据保护的条款并未明确电商平台在违反该法规定后应给予什么程度的处罚,应承担什么样的责任,应当如何赔偿消费者的损失,等等。在司法实践中,因为尚未有程序法与之配合实施,也无具体的实施细则和条例,因此在司法裁判中也存在着大量的问题,导致在强大的电商平台和不完善的法律规制下消费者的基本权利无法得到保障。笔者认为,我国仍需要加大对信息安全的保护力度,明确包括电商平台、平台内经营者、支付平台以及物流公司等能够接触到消费者个人信息的主体责任,并且尽快出台相关的实施细则以保障网购平台消费者的个人信息安全。