电子商务立法中数据保护的解读
备受外界期待的电子商务法草案正在征求意见中,关于近期热议的个人信息如何保护问题,电子商务法被寄予厚望。
电子商务中的消费者数据保护问题,是电子商务发展中的核心法律问题。这一问题一直得到中国立法与司法部门的高度关注。
在2013年修订的《消费者权益保护法》第14条中,明确规定:“消费者享有个人信息得到保护的权利。”
该法第29条则更加具体地规定:“经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。经营者未经消费者同意或者请求,或者消费者明确表示拒绝的,不得向其发送商业性信息。”
中国的《消费者权益保护法》的上述规定,为网络交易中的消费者数据保护问题,提供了基本的法律依据。由工商总局组织草拟的“消费者权益保护法实施条例”(目前该法律草案正处于征求意见阶段),对如何保护消费者的个人信息,在该草案的第20到22条中,设置了更加具体而且具有可操作性的法律规则。根据相关的立法计划,该条例将在不久的将来由国务院颁布。这一条例的颁布,也将对网络交易中的消费者数据保护问题,起到非常积极的作用。
不仅只是上述法律、法规,关注了消费者数据保护问题,中国的诸多部门规章以及最高法院颁布的司法解释,都或多或少地涉及到个人信息保护问题。由于中国目前还没有一部统一的“个人信息保护法”,因此如何协调这些由不同的部门所颁布,具有不同的法律效力等级,涉及不同领域的法律规范,是一个相当大的挑战。
正是在这样的情况下,目前正在制定的“电子商务法”草案中,对网络交易中的消费者数据保护问题,给予了高度关注。由于拟制定的电子商务法具有较高的效力等级,以及对相关问题的规定比较详尽,所以这一法律中关于消费者数据保护的规定,有望成为中国法律体系涉及网络交易中消费者数据保护的,基础性、框架性的规定。
在此笔者以这一法律的草案为基础,简要地梳理一下,这一立法中处理消费者数据保护问题的基本思路。需要强调的是,这一法律的草案目前仍然处于征求意见之中,因此这里的介绍并不代表其最终的形态。
电子商务法草案在“关于电子商务交易保障”的第四章,专门设置了一节的内容,规定电子商务数据信息的相关问题。这一节主要涉及以下几个方面的问题。
第一,关于消费者数据保护的基本法律制度构架。
关于信息保护问题,中国的法学界一直在隐私权保护与建立一个独立类型的个人信息权,这两种模式的选择问题上进行深入讨论。草案拟采取后一种方案,明确规定“电子商务消费者享有对其个人信息自主决定的权利。”这主要是考虑到现代信息技术的发展,以及数据保护的需求,已经超出了通过传统民法的隐私权保护的限度。个人信息权,作为一种私权性质的主观权利、民事权利,如果能够在立法层面上确定下来,能够最大限度地满足消费者数据保护的需求。
第二,如何界定电子商务消费者个人信息的范围。
草案中将其界定为:信息收集人在电子商务活动中收集的姓名、身份证件号码、住址、联系方式、位置信息、交易记录、支付记录、快递物流记录等能够单独或者与其他信息结合识别特定消费者身份的信息。这是一种结合了“具体列举”与“概括描述”相结合的,关于个人信息范围的界定方法,其重点在于“可识别性”要素。通过这个要素,试图将个人信息,与作为电子商务企业重要的资产形态的大数据区分开来。后者也可能建立在相关的个人信息的集合的基础之上,但经过了严格的匿名化的处理,在不对个人信息权构成侵害的前提下,可以进行商业化的利用。但必须确保,这种匿名化的过程必须是不可逆的,这一才能够确保不会导致对消费者个人信息的侵害。
第三,关于电子商务消费者个人信息的收集原则。
草案原则上要求,信息收集人收集电子商务消费者个人信息,应当遵循合法、必要、正当原则,事先告知消费者信息收集、处理和利用的规则,并征得消费者的同意。需要强调的是,关于这里的同意应该理解为是明示同意,也就是将缺省状态设置为不同意,但消费者可以明确选择同意(opt in),而非将缺省状态设置为同意,允许消费者另行选择不同意(opt out)。为了限制经营者在这一问题上通过格式条款等方法,侵犯消费者实质性的选择权,草案还规定,信息收集人不得以拒绝为消费者提供服务为由强迫消费者同意其收集、处理、利用个人信息。这一规定的目的在于,结合信息数据收集上的必要性原则,限制经营者滥用其在合同缔结方面的优势地位。
草案还规定,禁止采用非法交易、非法入侵、欺诈、胁迫或者其他未经消费者授权的手段收集个人信息。信息收集人修改个人信息收集、处理、利用规则的,应当取得消费者的同意。消费者不同意的,信息收集人应当提供相应的救济方法。
第四,关于电子商务消费者个人信息的查询、更正和补充,体现了消费者对于个人信息的.支配权能。
草案规定,电子商务消费者有权查询与本人有关的个人信息。信息收集人收到消费者查询请求的,应当在核实身份后及时提供查询结果。电子商务消费者对错误信息提出更正补充请求的,信息收集人应当及时更正补充。
第五,关于电子商务消费者个人信息的处理和利用问题。
这一问题受到高度关注。必须在与数据利用相关的商业利益与个人信息保护,这二者之间寻求最完美的均衡。总的来说,电子商务法草案中的相关思路是,以保护消费者作为基本的出发点。电子商务消费者对个人信息的处理和利用应当符合消费者同意的处理、利用规则。信息收集人处理、利用个人信息的行为可能侵害消费者合法权益的,消费者有权请求信息收集人中止相关行为。信息收集人变更收集信息时约定的处理、利用的目的、方式和范围的,应当告知消费者,并征得消费者的明示同意。法定或者约定保存期限届满,信息收集人应当主动或者按照消费者的请求删除、停止处理、利用或者销毁相关个人信息。需要强调的是,这里提到的请求删除,不能完全等同于欧盟法意义上的被遗忘权。关于这一权利,中国学者有比较多的讨论,大多数意见认为,应该予以慎重对待。
第六,关于电子商务消费者个人信息安全问题。
草案规定,信息收集人应当建立健全内部控制制度,并采取必要措施防止信息泄露、丢失、毁损,确保消费者个人信息安全。在发生或者可能发生消费者个人信息泄露、丢失、毁损时,信息收集人应当向相关部门报告、采取补救措施,并及时告知消费者。欧盟不久前刚刚通过网络安全相关的法案。而中国的立法机构正在制定“网络安全法”。
网络安全中的重要内容就是消费者个人信息安全问题。互联网世界中已经发生多起大规模的个人信息泄露的事件,造成非常巨大的负面影响。因此中国的电子商务法草案对于从事电子商务经营活动的主体,课加了特别的信息安全保障义务。这是完全合理的,而且也是必要的。
第七,关于网络经营主体的数据信息提供问题。
由于网络交易在社会经济生活中占据越来越重要的地位,政府主管部门落实管理和监管措施,往往要依赖于电子商务经营者的配合。而这种配合在很多时候表现为,提供相关的数据信息。从政府的角度来看,这一要求是合理的,而且也是必要的。但从电子商务经营者来看,则存在一定的风险,因为经营者对消费者的个人信息附有相应的义务,如果提供给政府的相关数据发生泄露或不当使用,将直接导致经营者承担法律责任。为了平衡二者的需求,电子商务法草案规定电子商务管理部门应当依法要求电子商务经营主体提供电子商务数据信息,并采取必要措施保护相关数据信息的安全。因电子商务管理部门的过错导致数据信息泄露、丢失、毁损,侵害当事人合法权益的,电子商务管理部门应当依法承担损害赔偿责任。
关于这一问题,因为涉及企业的公法上的义务与私法上的义务的交叉影响,同时也与政府相关执法部门存在密切联系,因此如何合理界定其范围,平衡不同的诉求,还处于热烈的讨论之中。
第八,关于公共数据信息的公开共享问题。
中国电子商务的持续、健康发展,离不开政府相关部门的配合。这些配合中的最重要的内容,就是国家要采取有效措施,来推动公共数据信息公开共享机制。借助于数据共享,可以极大地提高交易效率,降低交易成本和法律风险,保障电子商务交易的真实性、可靠性和安全性。为了推动这一目标的实现,草案设置了专门的条文做出原则性的规定。但如何具体落实,必然要借助于进一步的实施细则的规定。
总的来说,中国的立法者,司法者以及相应的政府管理机构,都高度重视网络交易中的消费者数据保护问题。如果电子商务法能够顺利颁布实施,其中关于电子商务数据信息的相对完整和全面的规定,将非常有助于中国法律体制中关于数据保护的法律制度的进一步完善。