備受外界期待的電子商務法草案正在徵求意見中,關於近期熱議的個人信息如何保護問題,電子商務法被寄予厚望。
電子商務中的消費者數據保護問題,是電子商務發展中的核心法律問題。這一問題一直得到中國立法與司法部門的高度關注。
在2013年修訂的《消費者權益保護法》第14條中,明確規定:“消費者享有個人信息得到保護的權利。”
該法第29條則更加具體地規定:“經營者收集、使用消費者個人信息,應當遵循合法、正當、必要的原則,明示收集、使用信息的目的、方式和範圍,並經消費者同意。經營者收集、使用消費者個人信息,應當公開其收集、使用規則,不得違反法律、法規的規定和雙方的約定收集、使用信息。經營者及其工作人員對收集的消費者個人信息必須嚴格保密,不得泄露、出售或者非法向他人提供。經營者應當採取技術措施和其他必要措施,確保信息安全,防止消費者個人信息泄露、丟失。在發生或者可能發生信息泄露、丟失的情況時,應當立即採取補救措施。經營者未經消費者同意或者請求,或者消費者明確表示拒絕的,不得向其發送商業性信息。”
中國的《消費者權益保護法》的上述規定,爲網絡交易中的消費者數據保護問題,提供了基本的法律依據。由工商總局組織草擬的“消費者權益保護法實施條例”(目前該法律草案正處於徵求意見階段),對如何保護消費者的個人信息,在該草案的第20到22條中,設置了更加具體而且具有可操作性的法律規則。根據相關的立法計劃,該條例將在不久的將來由國務院頒佈。這一條例的頒佈,也將對網絡交易中的消費者數據保護問題,起到非常積極的作用。
不僅只是上述法律、法規,關注了消費者數據保護問題,中國的諸多部門規章以及最高法院頒佈的司法解釋,都或多或少地涉及到個人信息保護問題。由於中國目前還沒有一部統一的“個人信息保護法”,因此如何協調這些由不同的部門所頒佈,具有不同的法律效力等級,涉及不同領域的法律規範,是一個相當大的挑戰。
正是在這樣的情況下,目前正在制定的“電子商務法”草案中,對網絡交易中的消費者數據保護問題,給予了高度關注。由於擬製定的電子商務法具有較高的效力等級,以及對相關問題的規定比較詳盡,所以這一法律中關於消費者數據保護的規定,有望成爲中國法律體系涉及網絡交易中消費者數據保護的,基礎性、框架性的規定。
在此筆者以這一法律的草案爲基礎,簡要地梳理一下,這一立法中處理消費者數據保護問題的基本思路。需要強調的是,這一法律的草案目前仍然處於徵求意見之中,因此這裏的介紹並不代表其最終的形態。
電子商務法草案在“關於電子商務交易保障”的第四章,專門設置了一節的內容,規定電子商務數據信息的相關問題。這一節主要涉及以下幾個方面的問題。
第一,關於消費者數據保護的基本法律制度構架。
關於信息保護問題,中國的法學界一直在隱私權保護與建立一個獨立類型的個人信息權,這兩種模式的選擇問題上進行深入討論。草案擬採取後一種方案,明確規定“電子商務消費者享有對其個人信息自主決定的權利。”這主要是考慮到現代信息技術的發展,以及數據保護的需求,已經超出了通過傳統民法的隱私權保護的限度。個人信息權,作爲一種私權性質的主觀權利、民事權利,如果能夠在立法層面上確定下來,能夠最大限度地滿足消費者數據保護的需求。
第二,如何界定電子商務消費者個人信息的範圍。
草案中將其界定爲:信息收集人在電子商務活動中收集的姓名、身份證件號碼、住址、聯繫方式、位置信息、交易記錄、支付記錄、快遞物流記錄等能夠單獨或者與其他信息結合識別特定消費者身份的信息。這是一種結合了“具體列舉”與“概括描述”相結合的,關於個人信息範圍的界定方法,其重點在於“可識別性”要素。通過這個要素,試圖將個人信息,與作爲電子商務企業重要的資產形態的大數據區分開來。後者也可能建立在相關的個人信息的集合的基礎之上,但經過了嚴格的匿名化的處理,在不對個人信息權構成侵害的前提下,可以進行商業化的利用。但必須確保,這種匿名化的過程必須是不可逆的,這一才能夠確保不會導致對消費者個人信息的侵害。
第三,關於電子商務消費者個人信息的收集原則。
草案原則上要求,信息收集人收集電子商務消費者個人信息,應當遵循合法、必要、正當原則,事先告知消費者信息收集、處理和利用的規則,並徵得消費者的同意。需要強調的是,關於這裏的同意應該理解爲是明示同意,也就是將缺省狀態設置爲不同意,但消費者可以明確選擇同意(opt in),而非將缺省狀態設置爲同意,允許消費者另行選擇不同意(opt out)。爲了限制經營者在這一問題上通過格式條款等方法,侵犯消費者實質性的選擇權,草案還規定,信息收集人不得以拒絕爲消費者提供服務爲由強迫消費者同意其收集、處理、利用個人信息。這一規定的目的在於,結合信息數據收集上的必要性原則,限制經營者濫用其在合同締結方面的優勢地位。
草案還規定,禁止採用非法交易、非法入侵、欺詐、脅迫或者其他未經消費者授權的手段收集個人信息。信息收集人修改個人信息收集、處理、利用規則的,應當取得消費者的同意。消費者不同意的,信息收集人應當提供相應的救濟方法。
第四,關於電子商務消費者個人信息的查詢、更正和補充,體現了消費者對於個人信息的.支配權能。
草案規定,電子商務消費者有權查詢與本人有關的個人信息。信息收集人收到消費者查詢請求的,應當在覈實身份後及時提供查詢結果。電子商務消費者對錯誤信息提出更正補充請求的,信息收集人應當及時更正補充。
第五,關於電子商務消費者個人信息的處理和利用問題。
這一問題受到高度關注。必須在與數據利用相關的商業利益與個人信息保護,這二者之間尋求最完美的均衡。總的來說,電子商務法草案中的相關思路是,以保護消費者作爲基本的出發點。電子商務消費者對個人信息的處理和利用應當符合消費者同意的處理、利用規則。信息收集人處理、利用個人信息的行爲可能侵害消費者合法權益的,消費者有權請求信息收集人中止相關行爲。信息收集人變更收集信息時約定的處理、利用的目的、方式和範圍的,應當告知消費者,並徵得消費者的明示同意。法定或者約定保存期限屆滿,信息收集人應當主動或者按照消費者的請求刪除、停止處理、利用或者銷燬相關個人信息。需要強調的是,這裏提到的請求刪除,不能完全等同於歐盟法意義上的被遺忘權。關於這一權利,中國學者有比較多的討論,大多數意見認爲,應該予以慎重對待。
第六,關於電子商務消費者個人信息安全問題。
草案規定,信息收集人應當建立健全內部控制制度,並採取必要措施防止信息泄露、丟失、毀損,確保消費者個人信息安全。在發生或者可能發生消費者個人信息泄露、丟失、毀損時,信息收集人應當向相關部門報告、採取補救措施,並及時告知消費者。歐盟不久前剛剛通過網絡安全相關的法案。而中國的立法機構正在制定“網絡安全法”。
網絡安全中的重要內容就是消費者個人信息安全問題。互聯網世界中已經發生多起大規模的個人信息泄露的事件,造成非常巨大的負面影響。因此中國的電子商務法草案對於從事電子商務經營活動的主體,課加了特別的信息安全保障義務。這是完全合理的,而且也是必要的。
第七,關於網絡經營主體的數據信息提供問題。
由於網絡交易在社會經濟生活中佔據越來越重要的地位,政府主管部門落實管理和監管措施,往往要依賴於電子商務經營者的配合。而這種配合在很多時候表現爲,提供相關的數據信息。從政府的角度來看,這一要求是合理的,而且也是必要的。但從電子商務經營者來看,則存在一定的風險,因爲經營者對消費者的個人信息附有相應的義務,如果提供給政府的相關數據發生泄露或不當使用,將直接導致經營者承擔法律責任。爲了平衡二者的需求,電子商務法草案規定電子商務管理部門應當依法要求電子商務經營主體提供電子商務數據信息,並採取必要措施保護相關數據信息的安全。因電子商務管理部門的過錯導致數據信息泄露、丟失、毀損,侵害當事人合法權益的,電子商務管理部門應當依法承擔損害賠償責任。
關於這一問題,因爲涉及企業的公法上的義務與私法上的義務的交叉影響,同時也與政府相關執法部門存在密切聯繫,因此如何合理界定其範圍,平衡不同的訴求,還處於熱烈的討論之中。
第八,關於公共數據信息的公開共享問題。
中國電子商務的持續、健康發展,離不開政府相關部門的配合。這些配合中的最重要的內容,就是國家要採取有效措施,來推動公共數據信息公開共享機制。藉助於數據共享,可以極大地提高交易效率,降低交易成本和法律風險,保障電子商務交易的真實性、可靠性和安全性。爲了推動這一目標的實現,草案設置了專門的條文做出原則性的規定。但如何具體落實,必然要藉助於進一步的實施細則的規定。
總的來說,中國的立法者,司法者以及相應的政府管理機構,都高度重視網絡交易中的消費者數據保護問題。如果電子商務法能夠順利頒佈實施,其中關於電子商務數據信息的相對完整和全面的規定,將非常有助於中國法律體制中關於數據保護的法律制度的進一步完善。