交易安全管理义务
【法条】《电子商务法》
第三十条 电子商务平台经营者应当采取技术措施和其他必要措施保证其网络安全、稳定运行,防范网络违法犯罪活动,有效应对网络安全事件,保障电子商务交易安全。
电子商务平台经营者应当制定网络安全事件应急预案,发生网络安全事件时,应当立即启动应急预案,采取相应的补救措施,并向有关主管部门报告。
第三十一条 电子商务平台经营者应当记录、保存平台上发布的商品和服务信息、交易信息,并确保信息的完整性、保密性、可用性。商品和服务信息、交易信息保存时间自交易完成之日起不少于三年;法律、行政法规另有规定的,依照其规定。
【案例】京东公司用户数据泄露案[39]
当事人:京东公司
案情简介:据××财经节目报道,近期一个12G的数据包开始在黑市流通,其中包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度,数据多达数千万条。而黑市买卖双方皆称,这些数据来自京东。对此,京东方面凌晨发布声明,并没有否认这些数据来自京东。但强调,该数据初步判断源于2013年的一次安全漏洞。京东表示,当时国内几乎所有互联网公司及大量银行、政府机构都受到影响,导致大量数据泄露,暗指这个问题不只是京东一家出问题。据报道,因为这12G的数据包,黑产再次被搅动。一些地下渠道,开始对数据进行明码标价交易,价格从“10万元到70万元”不等。业内人士称,数据已被销售多次,“至少有上百个黑产者手里掌握了数据”。值得注意的是,黑客会通过已泄露的用户名和密码,尝试批量登录其他网站,获取数据。而伤害值最高、最直接的,就是撞进一些金融账户,直接将资金转走。事实上,这已不是京东第一次被曝数据外泄。2015年,京东就被曝出大量用户隐私信息泄露,多名用户被骗走金钱,总共损失数百万元。直到一年后,京东才公布调查结果,称是因为出现“内鬼”。所谓的“内鬼”,是3位物流人员,通过物流流程,掌握了用户姓名、电话号码、地址、何时下单、所购货物等信息,总数据达到9313条。而电商平台,一直是数据泄露的重灾区之一。2014年年初,支付宝被曝20G用户资料泄露。后经调查,此次泄露是“内部作案”:支付宝前技术员工李明,利用职务之便,多次在公司后台下载用户资料。这20G资料,包括用户个人的实名、手机号、电子邮箱、家庭住址、消费记录等,相当精准,可见“内鬼”是电商信息泄露的重要原因。除此之外,电商平台由于自身技术漏洞,被黑客戳中软肋,盗走数据,也是常见现象。
案例焦点:电子商务平台经营者的交易安全管理义务是如何起到保护用户个人信息不被侵犯的作用的?
一、案例剖析
网络时代下电子商务平台经营者“不再是纯粹的商业活动经营者,因而在法律上都兼具网络服务提供者与网络安全管理者双重主体形象”。《电子商务法》第三十条规定了电子商务平台经营者具有保障网络安全稳定运行的义务,并应当在发生网络安全事件时采取相应补救措施,以保护平台中交易双方的信息安全。该法第七十九条还规定了违反第三十条应依《网络安全法》承担责任。
二、立法解读
(一)赋予电子商务平台交易安全管理义务的原因
电子商务相关交易信息的极高保护价值与电子商务平台经营者的专业性、及时性、保密性,决定了电子商务平台经营者是承担交易安全管理义务的不二之选。
此处“交易安全管理义务”,是指依《电子商务法》第三十条的规定,电子商务平台经营者应当为达到保障电子商务交易安全这一目的,采取技术措施和其他必要措施保证其网络安全稳定运行,防范网络违法犯罪,并制订紧急预案以有效应对网络安全事件的义务。
电子商务相关的交易信息兼具隐私保护价值与经济价值。个人隐私与个人信息呈交叉关系,与电子商务相关的交易信息多为个人联系方式、住址、交易记录等个人信息,是涉及个人隐私的内容;人类进入信息社会后,与个人信息相关的利益主体及其利益关系日益复杂。[40]个人信息除了具有传统的隐私保护价值以外,在网络时代拥有了可变现的经济利用价值。电子商务相关的交易信息同时具有了传统法隐私保护的底色与网络社会信息价值变现的新特点,在电子商务领域需要对交易信息的安全施以特殊保护。
网络社会的特殊性要求电子商务平台经营者履行交易安全管理义务。“社会管理”有狭义和广义之分。狭义的观点认为,社会管理作为政府的一项职能,与政治管理、经济管理相对,指的是政府对社会公共事务中排除掉政治统治事务和经济管理事务的那部分事务的管理与治理,其所涉及的范围一般是社会政策所作用的领域;广义的观点则认为,管理主体不仅包括政府,也包括具有一定公共管理职能的社会组织。[41]但是严格来说,电子商务平台经营者仅仅是社会服务的提供者,不具有社会管理的权利和义务,但是在网络急速发展与个人信息保护形势日益严峻的今天,网络社会的特殊性要求网络服务提供者履行一定的信息网络安全管理义务。信息时代的网络犯罪呈现出较传统范围危害“量变”的特点,同一犯罪行为由线下搬至线上后,其社会危害性发生了显著增长的“量变”,传统犯罪的现行规制力度不足以应对此种变化。[42]所以,在维护交易安全方面,传统社会管理部门往往力不从心。而电子商务平台因其市场经济中为消费者与经营者提供网络交易场所的功能,汇集了大量的用户信息,这些信息一般保存在电子商务平台经营者的数据库中,一般情况下只能为该平台经营者的技术部门所接触。所以,电子商务平台经营者在维护用户各类信息安全的专业性、及时性、保密性上均超过了传统社会管理部门,是“网络公共空间治理”中的重要力量,担负了重要的社会责任。[43]
(二)电子商务平台经营者承担交易安全管理义务的具体措施
上文已述,网络时代下电子商务平台经营者“不再是纯粹的商业活动经营者,因而在法律上都兼具网络服务提供者与网络安全管理者双重主体形象”。[44]《电子商务法》第三十条规定了电子商务平台经营者具有保障网络安全稳定运行的义务,并应当在发生网络安全事件时采取相应的补救措施,以保护平台中交易双方的信息安全。[45]并在该法第七十九条规定了违反第三十条应依《网络安全法》承担责任。[46]
《电子商务法》并不是率先对与网络交易相关信息保护作出规定的立法,但较之前的法律有所突破。根据2013年《消费者权益保护法》第二十九条规定,经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。2014年《网络交易管理办法》在第二章“网络商品经营者和有关服务经营者的义务”第一节“一般性规定”的第十八条第二款规定了网络商品经营者、有关服务经营者及其工作人员对收集的消费者个人信息或者经营者商业秘密的数据信息具有保密、保护以及发生泄露时的补救义务;[47]在第二节“第三方交易平台经营者的特别规定”第二十五条中笼统强调了网络交易平台经营者的交易安全保障义务。[48]
可以看出,在承担义务主体方面:《消费者权益保护法》仅规定了经营者及其工作人员是义务主体,并未明确是哪一类经营者;《网络交易管理办法》和《电子商务法》则对义务主体中包含电子商务平台经营者(网络交易平台经营者)作了特别强调。在保护对象方面:《消费者权益保护法》对交易安全保护的规定仅局限于对消费者的个人信息保护;《网络交易管理办法》则将保护对象由单单集中在消费者扩大到了消费者个人信息与经营者商业秘密;《电子商务法》虽然只宽泛地规定了电子商务平台经营者应当履行保障网络安全的义务,但是间接地把保护对象范围大大扩大了。在事后补救方面:《消费者权益保护法》和《网络交易管理办法》仅笼统地规定了“应当立即采取补救措施”“发生泄露时的补救义务”;而《电子商务法》则将“事前预防”与“事后补救”有机结合,提出了电子商务平台经营者应当制订网络安全事件应急预案,发生网络安全事件时,要启动应急预案以实施补救措施。
(三)电子商务平台经营者违反交易安全管理义务的责任承担
《消费者权益保护法》对侵犯消费者个人信息依法得到保护的权利的,仅规定了经营者应承担停止侵害、恢复名誉等民事责任;[49]《网络交易管理办法》[50] 则规定对违反交易安全义务的第三方交易平台经营者处以行政处罚;而《电子商务法》并未在法条中明确规定处罚方式,依照该法第二十五条规定,电子商务平台经营者违反交易安全管理义务的,依照《网络安全法》的规定予以处罚。
细化交易安全管理义务,并将责任落实到个人。《网络安全法》第二十一条、第二十五条对网络运营者的网络安全保护义务作了具体说明,[51]同时对违反网络安全保护义务的网络运营者施以行政处罚,处罚罚款数额上限为十万元;并对直接负责的主管人员处五千元以上五万元以下罚款。[52]
针对侵害个人信息依法得到保护权利的,特别规定了行政处罚措施。《网络安全法》第四十二条规定了网络运营者的用户个人信息保护义务,并在第六十四条第一款中规定了违反该义务的责任:以行政责任为主,责任落实到个
《网络安全法》第二十五条规定:“网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。”人;情节严重的,处罚措施将不限于警告、罚款,最高可以至吊销营业执照。[53]
三、小结
《电子商务法》第三十条中规定的“交易安全管理义务”,在网络时代数据泄露事件层出不穷的背景下,具有极其深远的意义。一方面,有利于保护网络交易安全秩序:京东数据泄露事件给参与电子商务的各方以及相关政府主管部门都敲响了警钟,信息时代下“信息”早已突破原有桎梏,具有极高的经济价值,因而容易被不法分子觊觎;而一旦发生信息安全事件,被泄露的信息不但会给信息持有者带来不小的麻烦,更重要的是,可能会增加潜在的交易风险——市场交易各方人心惶惶,不利于形成正确的市场预期,影响市场经济的健康运行、网络经济的良好发展,因此在电子商务领域,对电子商务平台经营者施加安全管理义务是必要的。另一方面,有利于切实维护消费者利益:消费者在市场交易中,相对于经营者一般处于弱势地位,在电子商务领域,电子商务平台经营者虽然不是与消费者直接相对的交易对方,但是其在消费者进入该平台之初也与消费者达成了合同,其合同义务之一便是对消费者的个人信息、交易信息、服务信息负有保护义务;不仅如此,电子商务平台经营者在信息保护方面因其专业性强于普通消费者,所以将“交易安全管理义务”施加于电子商务平台经营者,是对消费者的倾斜性保护,更有利于维护消费者利益。
《电子商务法》第三十一条中规定的“信息管理义务”,在《网络交易管理办法》中有所体现,但较前法有所修改。[54]二者不同之处在于:其一,《电子商务法》取消了《网络交易管理办法》对第三方交易平台经营者施加的审查义务;其二,《电子商务法》扩大了管理信息的范围,《网络交易管理办法》仅规定了第三方网络交易平台对“在其平台上发布的商品和服务信息内容及其发布时间”负有管理义务,《电子商务法》则将该范围扩大至“平台上发布的商品和服务信息、交易信息”;其三,《电子商务法》对信息记录、保存的效果作出规定,须确保信息的完整性、保密性、可用性,不再在该条文中强调“安全性、真实性”;其四,《电子商务法》将信息保存的时间从《网络交易管理办法》的两年增加至三年,这样做考虑到了网络平台中交易双方的信息不对称,更有利于保障消费者的利益。实践中利用《网络交易管理办法》第三十条作出的判决,仅仅是利用该条文作为网络平台经营者无法反驳原告提出的证据时,判决被告败诉的理由,如“林福平诉天津创富佳联科技发展有限公司网络购物合同纠纷案”[55];其五,《电子商务法》第四章“电子商务争议解决”第六十二条中规定了因违反信息管理义务而承担法律责任的情形,而《网络交易管理办法》仅仅粗略地规定了行政处罚。相信《电子商务法》对《网络交易管理办法》的修改,会使对电子商务平台经营者施加的“信息管理义务”在司法实践中更具可操作性。