張悅

摘 要 當前對于電商平臺的個人信息保護責任沒有專門的法律法規(guī)予以明確，本文從電商平臺的定位、個人信息保護的基本要求等出發(fā)，分析個人信息在電商交易環(huán)節(jié)可能存在的風險，從而提出相關建議，以期引起進一步關注及研究。

關鍵詞 電商平臺 個人信息保護

中圖分類號：F713.36文獻標識碼：A

隨著電子商務的發(fā)展，網上購物已經成為人們的日常生活方式，電商平臺獲取了大量的個人用戶信息。隨著人們對個人信息保護越來越重視，電商平臺如何保護個人信息也成為關注點之一。

1電商平臺的概念及定位

2018年出臺的《電子商務法》規(guī)定，電子商務經營者是指通過互聯(lián)網等信息網絡從事銷售商品或者提供服務的經營活動的自然人、法人和非法人組織，包括電子商務平臺經營者、平臺內經營者以及通過自建網站、其他網絡服務銷售商品或者提供服務的電子商務經營者。電子商務平臺經營者，是指在電子商務中為交易雙方或者多方提供網絡經營場所、交易撮合、信息發(fā)布等服務，供交易雙方或者多方獨立開展交易活動的法人或者非法人組織。

隨著電子商務平臺的不斷發(fā)展，目前許多電子商務平臺既有自營業(yè)務，即以自己直接經營的方式在設立和經營的網絡平臺上從事銷售行為;也有作為第三方平臺為平臺的交易提供撮合等服務。

2電商平臺的個人信息保護責任

電商平臺在用戶注冊、交易等環(huán)節(jié)收集了大量的用戶信息，實踐中個人信息在電商平臺被泄露的主要情形包括：平臺收集個人信息后，出于利益等原因，非法出售了這些個人信息;平臺內部職員利用職務之便獲取個人信息后進行倒賣;不法分子在平臺進行個人信息交易;平臺網絡被黑客攻擊，大量個人信息被泄露等。不管平臺是作為中立的參與方還是交易參與方，都有義務保護個人信息。

目前我國雖然還沒有出臺專門的《個人信息保護法》，但對于個人信息保護的相關原則和要求可散見于各法律法規(guī)之中。包括《民法總則》《用戶權益保護法》《網絡安全法》以及行業(yè)標準《信息安全技術 個人信息安全規(guī)范》等。從這些保護要求分析，電商平臺在其中收集、存儲、處理個人信息等各環(huán)節(jié)均有保護用戶個人信息的責任。

第一，電商平臺應當遵循個人信息保護的一般原則。綜合當前法律法規(guī)分析，我國對于個人信息保護所確立的保護原則主要包括合法、正當和必要三個方面。合法原則，主要指對于個人信息的收集、存儲、處理等均應當符合相關法律法規(guī)規(guī)定;正當原則是指對用戶個人信息的收集應當出于正當目的、并通過正當?shù)氖侄魏统绦蚴占?，并且應當在各環(huán)節(jié)中以正當目的為限;必要原則也就是說對個人信息的收集和利用應當以實現(xiàn)正當目的為限，不得過度收集和處理、不得濫用個人信息。

第二，在收集個人信息的環(huán)節(jié)，電商平臺有明確告知、合法收集、有限收集等責任。在用戶下載、注冊或使用某個電商平臺時，電商平臺往往會有對于用戶信息保護的政策和規(guī)則。規(guī)則一般涉及集信息收集范圍、使用目的、用戶對信息的管理、平臺對信息的利用、信息的存儲時間等方面。電商平臺在采集用戶個人信息時，應當采用用戶能夠明顯知道的方式向用戶說明信息采集的相關情況，在征得用戶同意后，才能進行信息采集的操作。合法收集要求電商平臺在采集主體、采集目的、采集程序、內容和采集依據(jù)合法，采集應當符合所有的法律要求。有限采集要求電商平臺在采集個人信息時，以必要信息為限，堅持個人信息數(shù)據(jù)量的最小化，以避免電商平臺隨意采集個人信息。

第三，在儲存?zhèn)€人信息時，電商平臺應當履行嚴格安全保護的義務。《網絡安全法》明確了安全保護的義務，其第十條規(guī)定“建設、運營網絡或者通過網絡提供服務，應當依照法律、行政法規(guī)的規(guī)定和國家標準的強制性要求，采取技術措施和其他必要措施，保障網絡安全、穩(wěn)定運行，有效應對網絡安全事件，防范網絡違法犯罪活動，維護網絡數(shù)據(jù)的完整性、保密性和可用性”，二十一條規(guī)定“國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數(shù)據(jù)泄露或者被竊取、篡改”。目前各大電商平臺企業(yè)都擁有非常強大的數(shù)據(jù)庫，存儲了海量的個人信息資料。個人信息不僅具有人格權利益，還具有不容小覷的財產利益。近幾年，多個平臺都被曝出過個人信息泄露的新聞，因此平臺的個人信息保護面臨著嚴峻的挑戰(zhàn)，積極履行安全保障義務對平臺尤為重要。

第四，在利用個人信息時，電商平臺有告知并獲得用戶授權和有限利用的責任。電商平臺對用戶個人信息利用應當經過用戶同意，未經用戶同意和授權的，電商平臺不得利用該用戶的消費數(shù)據(jù)和個人信息等。

第五，在發(fā)生個人信息泄露等事故時，電商平臺應當有相應的應急處置措施和補救手段。一方面大量個人信息泄露后，如果不即使補救并通知，可能會造成進一步的更大的損失，另一方面隨著電子商務平臺的迅速發(fā)展，電商平臺所掌握的各種資源非常豐富，這應該其承擔相應的責任，而不能僅僅出于聲譽考慮而隱瞞信息泄露情況，最終導致信息主體遭受更大的損失。

另外，電商平臺在作為提供撮合、交易信息的第三方平臺時，還有加強對平臺上的交易行為進行監(jiān)督的責任，包括事前對平臺交易中涉及的交易內容進行審查、事中及時刪除違法信息并對違法行為進行禁言封號、事后提供申訴救濟或履行損害賠償?shù)取?/p>

參考文獻

[1] 楊立新.網絡交易平臺提供者民法地位之展開[J].山東大學學報（哲學社會科學版），2016（01）.

[2] 趙燕.電商平臺的個人信息保護義務[D].杭州：浙江大學，2018.