随着互联网的普及和物流业的发展,电子商务已成为人们最基本的消费方式。以互联网为平台,以物流业为支撑的电子商务经济正在向中国的每个角落扩展。电子商务中,消费者必然会提供个人信息给商家,便于商家提供准确、个性的商品和服务。商家对于个人信息的利用与消费者对于个人信息安全的要求是电子商务中的主要矛盾之一。如何围绕消费者的需求与权利,利用并保护个人信息,使电子商务走上健康快速的发展轨道,是管理学界和法学界面临的共同课题。
1 电子商务中个人信息的利用
1.1 个人信息利用的内容
个人信息是指一切足以构成对个人进行识别的信息,如姓名、性别、身高、血型、住所、职业、财产及婚姻状况等都包括在内。电子商务中的个人信息主要包括个人基本信息和消费特征信息。个人基本信息包括姓名、家庭人员、社会关系、联系方式、送货住址、淘宝号、QQ号等个人身份信息,以及银行卡、提货卡、上网注册账号和密码、支付宝账号与密码等个人财务信息。消费特征信息是指购买商品的名称、型号、风格,接受服务的地点、类型、同伴,以及消费者的消费频率、数量、周期等。有消费就必然留下痕迹,商家将这些点状的消费痕迹连成线就勾画出了消费者的生活轨迹。商家将消费者在不同网站的轨迹进行碰撞和对比,就能进一步描绘出消费者的全部生活图画。在大数据、云计算的等信息挖掘技术面前,消费者就是一个“透明人”.根据这些个人信息,商家不仅掌握了消费者的过去,还能预测其未来。有些个人信息涉及隐私权,有些个人信息不涉及隐私权。
隐私只是个人信息包含的内容之一,而不是全部。个人信息的本质是一种无形财产,具有财产的属性。电子商务中,个人信息的所有权人是消费者。消费者将个人信息提供给商家,只是无偿转让了个人信息有限的使用权,而没有让渡所有权,当然也不包括处理权。在有些需要登记的实名消费中,消费者提供身份证给商家时,往往在身份证复印件上用签字笔画一横,然后注明“仅限于办理***使用”,这就很好地约束了商家使用该个人信息的范围和次数。根据所有权的特征,在消费者没有授权给商家时,商家无权使用个人信息。如果要求商家在每次使用个人信息前都取得消费者的明确授权,那么将使商家承担巨大的侵权风险,极大地增加了电子商务的协商时间和交易成本,不利于电子商务的发展。笔者认为,商家应该履行告知义务,如果消费者在明知提供的个人信息可能被商家利用的情况下仍然没有提出任何说明,那么可以认为消费者默许商家使用,即视为授权。在视为授权的情况下,商家使用个人信息的范围仅限于客户可以预测到的范围。
1.2 个人信息利用的方式
在电子商务中,对个人信息的利用方式主要包括个人信息的挖掘和个人信息的买卖。个人信息的挖掘指的是商家利用大数据系统收集消费者的个人信息,然后利用碰撞、比对、串联等方法获取消费者的全部身份特征和消费特征,用于广告营销等商业目的。商家通过对个人信息的挖掘,获得有关消费者的消费需求和偏好,从而提供个性化的定制服务。比如,一位女士在电子商务平台上购买了衣服,商家通过尺寸、颜色、样式等商品特征的挖掘,总结出该女士喜欢的服装类型,下次购买时可以设置默认尺寸,并推荐服装样式,减少消费者搜寻的成本。而不当的个人信息挖掘则会侵犯消费者的个人信息权,造成一定的麻烦和伤害。比如,一位男士在电子商务平台上购买了治理乙肝的药品并删除了消费记录,但是商家通过个人信息挖掘,掌握了该男士的患病史,寄出了推荐乙肝有关的药品广告,最终被工作单位发现并造成男士失去了工作。
个人信息的买卖是个人信息利用的第二种方式。个人信息是一种财产,个人信息的买卖已经形成了一种产业,而且这个产业目前正处于欣欣向荣的状态。有些电子商务企业,将电子商务平台中存储的个人信息视为自己的私有财产,转让给其他人,获取利润。交易中形成的个人信息俨然成了电子商务的副产品。还有些专门从事个人信息买卖的公司,从电子商务企业、第三方技术支持公司等处购买信息,然后高价转让给其他需要个人信息的企业和个人,谋取差价。
2 电子商务中侵犯个人信息的类型及原因分析
电子商务中,消费者个人信息安全岌岌可危。特别是信息技术的发展,大大提高了人们收集、处理个人信息的能力,而这种能力有可能被滥用。一旦个人信息进入电子商务平台,它很容易在个人信息主体不知情并且不能控制的情形下被违法收集、处理。
2.1 不当的收集行为
电子商务中,商家要求消费者在购物或享受服务时把自己的个人信息上传到电子商务平台,并自动秘密保存或者备份。由于数据挖掘、数据比对等信息收集技术的强大,商家的信息收集能力不断加强,其收集的对象和数量可能远远超出了消费者授权和知晓的范围。个人信息的收集给商家的个性化服务提供了数据支持,提高了电子商务的便利性和针对性。
但是商量的目的,并不能成为违法行为的理由。首先,收集行为本身就是一种“行为犯”,只要进行了该行为就构成了侵权,而不要求危害结果的发生。个人信息属于消费者的私权,任何人未经允许不得收集。收集但不使用的行为也会给消费者带来侵犯,就好比很多人不愿意被陌生人拍照,即使对方并无恶意。其次,收集行为使消费者的个人信息处于失控状态。消费者不知道谁收集了他的个人信息,也不知道这些个人信息未来的去向和用途,更无法控制这些个人信息是否会出现被盗等不安全情况。收集行为陷消费者的个人信息于巨大风险的境地。
2.2 不当的处理行为
电子商务产业仍处于发展的初级阶段,电子商务安全规则缺失,容易造成个人信息利用的失范。一些电子商务商家可能在电子商务系统中插入秘密收集个人信息的技术或软件,这些技术或软件不仅能轻易地收集信息,而且可以透过拼凑各个空间内碎片化的个人信息,勾勒出消费者的全貌,从而用于产品营销等商业目的。电子商务商家和第三方开发者可能将收集来的个人信息进行分析,如婚恋状况、消费习惯的分析等,然后以这些分析结论为基础为其他企业提供广告服务,从而获得高额收益。另外,电子商务时代,个人信息在不同商家之间的共享利用成为常态,而共享利用的规则尚不完善,个人信息往往在消费者不知情的情况下被转移。
2.3 盗窃行为
电子商务中个人信息泄露事件往往是由于电子商务内部工作人员的盗窃、贩卖行为造成的。电子商务内部工作人员在管理消费者个人信息的过程中“监守自盗”的现象非常严重,包括窃取消费者个人信息和出售消费者重要信息。电子商务商家如果不加强企业针对个人信息的内部控制,不重视内部工作人员的管理和培训,盗窃个人信息的行为很难避免。电子商务中,个人信息被放到一起集中管理,内部工作人员拥有的权限让他轻易能获取重要个人信息的完全控制权,用人失察或监管缺位都会带来灾难性的损失。另外,个人信息也时常遭受黑客的盗窃。黑客一旦入侵电子商务系统,全部个人信息将遭受灭顶之灾。被感染了具有破坏性和传染性的计算机病毒还可能在整个电子商务平台中被迅速复制传播,令电子商务平台中的所有不具有适当保护措施的计算机中招,并造成所有个人信息被盗。
3 电子商务中个人信息的保护
3.1 内部控制:商家建立安全管理体系
电子商务商家应建立安全管理体系,通过加强内部控制建设,加强敏感岗位监控管理,更新个人信息安全技术手段等方法,保护个人信息。
首先,商家必须进行事前告知,保障消费者的知情权。电子商务企业在收集、利用个人信息之前,必须让消费者知情,并获得其授权。有效的授权制度可以避免服务劫持、防止服务滥用,也是电子商务环境中最为重要的安全防护手段之一。
具体方法为:商家接收到消费者的购买申请时,询问消费者输入的内容是否包含有效的个人信息,如果有则需提供完整和明确的授权。
其次,商家必须加强技术手段,提高保护信息安全水平。
电子商务系统应及时更新个人信息防盗技术,堵塞系统漏洞和泄露渠道。另外,采用先进的监控技术,及时了解电子商务系统运行状态,发现个人信息利用中的异常行为,提供预警。
最后,对企业中涉及消费者个人信息的敏感岗位进行监控和管理,防止利益驱动下内部工作人员的监守自盗行为,杜绝消费者个人信息从网商内部被盗取、倒卖。对于涉及个人信息的敏感岗位的管理应该如同会计岗位一样严格,重要岗位设置两名以上员工,并定期检查。个人信息的利用必须经过公司严格的审批程序。加强个人信息管理人员的培训,特别是对于个人信息保护相关法律法规的学习。加强个人信息管理人员的职业道德教育,提高管理人员的道德水平。
3.2 外部监管:行业自律与法律规制相结合
电子商务行业自律组织具有专业性、独立性、市场性。行业自律是管理电子商务的最佳手段,能够避免政府对于市场的过度干预,发挥市场的自我调整能力。我国行业协会等自律组织不够健全,行使行业管理权的环境还不够优化。特别是,我国的传统是大政府小社会,缺少行业自律的传统和文化。
若仅仅采取行业自律机制,可能起不到严格监管的效果,而且行业自律组织可能成为商家侵犯个人信息的授权者和挡箭牌。鉴于次,我国对于电子商务的外部监管应该采用行业自律与法律规制相结合的模式,既发扬法律规范的强制力优势,又兼顾行业自律的专业化特点。
2004年12月,中国电子商务协会成立了“中国电子商务诚信联盟”,并制定了《中国电子商务诚信公约》。其中公约的第2条款就是关于消费者个人信息保护的。在进一步完善行业自律规范建设的同时,更需要加强有关个人信息保护机制的建设。要建立电子商务平台个人信息安全报告制度。行业协会应该设置个人信息安全监控中心,发现有威胁到个人信息安全的情况时,按照威胁的程度,以相应的危险等级给消费者、商家、国家管理部门报告,特别是发现异常的大规模个人信息泄露的事件时必须立即给公安机关报告。危险等级一般包括轻微、一般、重大、特别重大四个等级,并拟定每个等级所对应的消费者个人信息危险标准。
在法律规制方面,我国《消费者权益保护法》第50条规定“,经营者侵害消费者的人格尊严、侵犯消费者人身自由或者侵害消费者个人信息依法得到保护的权利的,应当停止侵害、恢复名誉、消除影响、赔礼道歉,并赔偿损失”,该条可以规制电子商务环境下的个人信息不当行为。
另外《,刑法》修正案七也专门规制了出售或者非法提供公民个人信息的行为。为了系统的保护个人信息,需要不断完善我国个人信息的民事、行政、刑事法律制度建设,不同法律制度之间要有梯度和衔接,做到大事大管、小事小管、事事有人管、一事不重管。
参考文献
[1] 齐爱民。论个人资料[J].法学,2003(8)。
[2] 梅绍祖。电子商务法律规范[M].北京:清华大学出版社,2000.
[3] 兰卓。网络空间个人信息的保护问题研究--兼论电子商务营销过程中消费者的隐私权保护[J].行政与法,2006(3)。
