楊熙
摘 要:隨著網(wǎng)絡技術的迅猛發(fā)展,在電商平臺上購物的消費方式越來越受歡迎,給人們的生活帶來諸多的便利。但是同時,電商平臺的信息泄露問題層出不窮,由此給消費者帶來一定的財產(chǎn)損失,并且對消費者的人身財產(chǎn)安全構成威脅,如此也會對市場經(jīng)營秩序造成影響。在法律上我們應當對電商平臺的信息泄露設定更加嚴格的法律規(guī)制去防范消費者的信息泄露,并對未履行義務造成的結果承擔相應的法律責任。對我國《民法總則》和《消費者權益保護法》及《網(wǎng)絡安全法》中的條款進行分析,我國對電商平臺中消費者個人信息保護的法律規(guī)定還不全面,對電子商務平臺相關的義務內(nèi)容缺乏具體規(guī)定,并且在法律責任方面也沒有進行詳細的說明。文章就現(xiàn)行法律中存在的問題進行探討,對完善電商平臺消費者信息的保護提出相關建議。
關鍵詞:電商平臺;信息泄露;防范;義務;責任
一、電商平臺個人信息泄露的危害
1.侵害消費者財產(chǎn)權益
在《電子商務法》中,要求電商經(jīng)營者提供商品或提供服務的同時,應當保障消費者的人身財產(chǎn)安全,在電商平臺開展經(jīng)營活動中獲取利益的同時,需要對消費者的個人信息進行保密,一旦消費者的個人信息被第三人利用,就有對消費者造成財產(chǎn)侵害的可能,由于第三人利用泄露信息對消費者進行欺詐等侵權行為,而導致消費者的財產(chǎn)造成損失,電商平臺責無旁貸。
《中國網(wǎng)民權益保護調(diào)查報告》2016年的調(diào)查結果中,84%的網(wǎng)民表示個人信息泄露之后,生活安寧受到干擾,并且接二連三收到騷擾電話和詐騙信息。例如以商品質(zhì)量問題或者退稅等為借口,引誘消費者上鉤從而騙取錢財,還有一類是從商戶處購買個人信息從而進行銷售和詐騙,如果消費者不能掌握信息泄露的證據(jù),就很難追究電商平臺的責任,互聯(lián)網(wǎng)的隱蔽性讓犯罪分子的行蹤難以追查,詐騙案件層出不窮。
2.擾亂互聯(lián)網(wǎng)市場經(jīng)濟秩序
信息泄露給市場秩序帶來了很多負面的影響。有很多的用戶注冊信息、開房信息和付款信息被放在“暗網(wǎng)”上銷售,2016年京東數(shù)據(jù)泄露事件,引發(fā)了社會各界的關注。這些數(shù)據(jù)流入到黑色產(chǎn)業(yè)鏈之中,下游階段的購買者和使用者,主要是詐騙或用于放貸和催收的網(wǎng)絡貸款平臺,或者用于精準營銷的各類市場主體,使得整個社會上的非法貸款群體十分活躍。
在網(wǎng)絡交易中,黑客通過竊取平臺用戶信息,從而在交易所外進行交易的行為,由于不能受到法律的監(jiān)管從而也會影響交易所內(nèi)的秩序,交易行為由于脫離了國家安全系統(tǒng)的保護,容易產(chǎn)生多次泄露的風險,交易數(shù)據(jù)不受合法限制,容易出現(xiàn)不可控的高風險情形。在平臺上這些被出售和流通的客戶數(shù)據(jù),有些涉及行業(yè)機密和國際安全信息,如果被用于非法途徑,會給社會安全帶來巨大的風險。
個人信息泄露所催生的非法信息交易產(chǎn)業(yè)鏈,對社會的經(jīng)濟秩序和社會安全都是嚴重的威脅,阻礙市場交易和數(shù)據(jù)行業(yè)的發(fā)展。
二、電商平臺個人信息保護存在的問題
1.個人信息泄露防范義務規(guī)定不夠全面
從電商平臺的角色來說,電商平臺既是經(jīng)營者也是需要為顧客個人信息承擔安全責任的一方,在《電子商務法》中對電商平臺不得泄露消費者個人信息的規(guī)定也不夠全面,《網(wǎng)絡安全法》中規(guī)定網(wǎng)絡運營者應當按照網(wǎng)絡安全等級保護制度的要求,履行安全保護義務,具體內(nèi)容包括“制定內(nèi)部安全管理制度和操作流程,確定網(wǎng)絡安全負責人采取防范病毒攻擊的技術措施,采取檢測記錄手段,保留網(wǎng)絡運行安全,日志采取數(shù)據(jù)分類,備份加密”等措施,這條規(guī)定只是涉及一些十分基礎的義務。我國目前沒有專門的《個人信息保護法》,其他的法律規(guī)制都散落在各個規(guī)章與部門規(guī)范性文件當中,由于由不同的主管部門出臺,因此法律效力層次低,也不能與發(fā)展迅速的互聯(lián)網(wǎng)環(huán)境相匹配,電商平臺在履行法律規(guī)定的義務的同時,很容易找到管制中的漏洞,諸多電商平臺對自己應當履行的義務極其不重視。電商平臺信息泄露的方法多種多樣,可能會有內(nèi)部人員偷盜或者因系統(tǒng)漏洞被竊取,其中內(nèi)部人員偷盜的情形占大部分,出現(xiàn)非法出售客戶信息的平臺是必然的結果。
2.漏洞治理與告知義務制度不完善
《網(wǎng)絡安全法》中多為推薦性標準,與平臺泄露個人信息相關的強制性標準并沒有出現(xiàn)。我國制定了七項有關漏洞治理的推薦性標準,其中四項與個人信息直接相關,分別規(guī)定了信息安全漏洞分類、管理規(guī)范、登記劃分指南以及標識和描述規(guī)范,并未出現(xiàn)強制性要求,很多平臺對此置之不理。
同時,我國并未建立完善的漏洞報告制度,在《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法》中,僅對非授權入侵系統(tǒng)做出規(guī)定,要求其向公安部門進行報告。法律也并未對向有關部門報告漏洞的義務進行規(guī)定,對告知的對象、方式及情形都未進行詳細規(guī)定,如何進行告知也未做出說明,如立法在這個方向上有缺失,那漏洞報告的義務就無人履行。電商平臺存在巨大的系統(tǒng)性安全風險漏洞,就會被黑客利用和攻擊,給電商平臺和其用戶造成損失。
其次,法律所規(guī)定的具有信息泄露告知義務的情形中人數(shù)和損失數(shù)額較高,不附合實際履行條件,在實踐中難達到履行告知義務的門檻,操作難度較大,且告知義務缺乏具體業(yè)務內(nèi)容使得漏洞告知義務難以履行。電商平臺中的交易較為隱蔽,消費者難以直觀地觀察交易場所內(nèi)采取何種措施保障人身和財產(chǎn)安全,事實上,極少有平臺會采取并實施推薦性國家標準或行業(yè)標準。如果電商平臺能在消費者進行消費之前告知予以何種保護標準,在之后的信息泄露糾紛中,消費者可以對照這些信息進行核實。實際情況下,很多平臺會采取如“我們已采取有效措施,對您的信息安全進行保護”等籠統(tǒng)的說法,并未對其詳細內(nèi)容進行公示,這是由于立法上并未對平臺的告知義務進行強制且詳細的規(guī)定。美國各州截至2018年均制定了相關數(shù)據(jù)泄露通知法案,我國可做出參考。
3.電商平臺法律責任不明確
若沒有明確的法律責任,則會缺乏有效的威懾,不利于對權力的保護與義務的履行。對于電商平臺主動泄露個人信息的行為,消費者一般通過兩種途徑主張民事責任,首先是主張違約責任,消費者可主張解除合同,并對違約行為要求賠償,但首先主張解除合同會給消費者的生活帶來極大的不便,消費者出于弱勢的地位,解除合同等于放棄平臺給自己提供的服務,而主張賠償損失,由于個人信息的價值難以估量,因此要求賠償這個方法最終也會無疾而終。民法總則中對個人信息進行了保護性的規(guī)定,但是并未規(guī)定其為具體民事權利,因此個人信息的請求權未得到公眾的認可,泄露個人信息是否構成民事侵權行為成為爭議。《侵權法》第二條規(guī)定侵權民事權益也構成侵權行為,但在列舉具體民事權利中并未提及個人信息,主張個人信息的侵權責任成為空白。實踐中,消費者大多以侵害隱私權來主張該權益,但是這種做法也僅適用于被泄露個人信息后確有發(fā)生侵犯隱私全的行為,而不能囊括其他種類的侵權行為。
對于電商平臺由于未采取措施致使信息泄露的情形,電商平臺是否承擔民事責任成為爭議?!峨娮由虅辗ā返?8條僅規(guī)定了關系到生命健康的商品和服務,并未將電商平臺的安全保障義務擴張到個人信息保護領域,因此電商平臺是否對消費者的個人信息具有安全保障義務沒有立法根據(jù)。針對電商平臺為履行信息泄露告知義務的情形,法律上也沒有明確其民事責任,當電商平臺未履行信息泄露告知義務時,并不影響雙方訂立合同,一般來說遭受信息泄露的消費者糾紛,通常會被歸入隱私權糾紛、侵權責任糾紛和網(wǎng)絡購物合同糾紛的案由中,最終也以證據(jù)不足或刑事案件尚未偵破而告終,訴訟中舉證難度大,證明責任中訴訟成本過高,法律責任不明確,導致了司法判決較少,消費者能夠從中獲得賠償?shù)陌讣缚蓴?shù)。
根據(jù)我國刑法的規(guī)定,對信息泄露防范義務的具體內(nèi)容并不完善,要求只有在行政責任未履行或未完全履行的情況下,才能夠追究其刑事責任。法律上規(guī)定了致使用戶信息泄漏,造成嚴重后果才可被處以刑罰,舉證困難并且量刑較困難。綜上所述,電商信息泄露防范的法律責任不明確且難以追究,是消費者難以保障自身權益的原因。
三、電商平臺信息泄露防范義務制度的完善
1.完善電商平臺的信息泄露防范義務規(guī)定
首先,需要完善安全管理義務,針對已有的國家標準,與時代相結合,義務主體應當擴展到全體網(wǎng)絡運營商,并且制定強制性標準,引導電商平臺向高標準的要求靠齊,同時加強和國外的合作交流,學習并采用國外的經(jīng)驗和標準,盡快引進適合我國國情的義務標準。
其次,應當完善信息漏洞防范義務,在交易之前告知消費者保護的范圍和內(nèi)容,規(guī)定電商平臺在發(fā)現(xiàn)漏洞后立即告知消費者,并在法律上明確規(guī)定報告的時間地點、詳細和報告標準,保障消費者的知情權,讓消費者在后續(xù)的交易中防范風險。
最后,應當完善信息泄露報告告知義務,在法律規(guī)定上設置能夠合理履行的報告條件,并完善具體的義務內(nèi)容,明確報告的對象、時間及報告方式,讓電商平臺在發(fā)現(xiàn)漏洞之后能第一時間上報,而不是造成嚴重后果之后才上報,避免不必要的經(jīng)濟損失和社會危害。
2.明確電商平臺的法律責任
義務的履行需要法律責任作為基礎保障,在行政責任、民事責任和刑事責任上共同明確電商平臺的責任,才是保障信息安全的最終辦法,分為三種情形:
電商平臺主動信息泄露之后,應當明確電商平臺未按照規(guī)定采取保護措施,消費者可主張違約責任和侵權責任,我們可將電商平臺的義務視為合同附隨義務,電商平臺在對消費者的個人信息進行使用的同時,也應當附隨對其個人信息進行保護的義務,如果違反了該項合同義務,也應當承擔違約責任并且賠償損害。另外一種說法我們可將信息泄露看成是電商平臺的侵權行為,信息泄露行為侵害了權利主體的安全權,造成損害的,應當承擔侵權責任;電商平臺未實施有效措施致使信息泄露的,應當認為電商平臺對商戶信息有安全保障義務,在信息被竊取和利用的情況下,承擔補充責任;電商平臺未履行信息泄露告知義務的,介于個人信息價值和損失無法估量,在我國可以引入懲罰性賠償金這一概念,規(guī)定處罰金額是促進電商平臺提早告知的保障性辦法。
信息泄露是困擾消費者們的一大法律問題,電商平臺與消費者之間存在地位不對等的情況,消費者很難在信息泄露的第一時間發(fā)現(xiàn),往往是在第三者已取得信息,并對其發(fā)出數(shù)據(jù)和詐騙信息時才有所察覺,在實踐中應當對消費者適當傾斜保護,從而最大化地保證消費者在進行電子商務活動中的個人信息的安全。明確電商平臺信息泄露防范義務的具體內(nèi)容,有助于遏制信息泄露這一社會問題,保障消費者的合法權益。如果消費者能在一個安全的電商環(huán)境中進行消費和接受服務,有利于電商平臺的健康可持續(xù)發(fā)展。
參考文獻:
[1]闞志軍,熊文萍.電商行業(yè)用戶信息保護機制創(chuàng)新研究.電子商務,2019(04).
[2]包涵.淺談電子商務對個人信息的保護.法制博覽,2020(03).
[3]徐肖.電子時代下中的個人信息保護研究.區(qū)域治理,2019(08).
[4]劉雪營,胡天琦.《電子商務法》對個人信息保護及經(jīng)營者風險防范研究.法制與經(jīng)濟,2019(02).