楊熙

摘 要：隨著網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，在電商平臺上購物的消費(fèi)方式越來越受歡迎，給人們的生活帶來諸多的便利。但是同時，電商平臺的信息泄露問題層出不窮，由此給消費(fèi)者帶來一定的財(cái)產(chǎn)損失，并且對消費(fèi)者的人身財(cái)產(chǎn)安全構(gòu)成威脅，如此也會對市場經(jīng)營秩序造成影響。在法律上我們應(yīng)當(dāng)對電商平臺的信息泄露設(shè)定更加嚴(yán)格的法律規(guī)制去防范消費(fèi)者的信息泄露，并對未履行義務(wù)造成的結(jié)果承擔(dān)相應(yīng)的法律責(zé)任。對我國《民法總則》和《消費(fèi)者權(quán)益保護(hù)法》及《網(wǎng)絡(luò)安全法》中的條款進(jìn)行分析，我國對電商平臺中消費(fèi)者個人信息保護(hù)的法律規(guī)定還不全面，對電子商務(wù)平臺相關(guān)的義務(wù)內(nèi)容缺乏具體規(guī)定，并且在法律責(zé)任方面也沒有進(jìn)行詳細(xì)的說明。文章就現(xiàn)行法律中存在的問題進(jìn)行探討，對完善電商平臺消費(fèi)者信息的保護(hù)提出相關(guān)建議。

關(guān)鍵詞：電商平臺;信息泄露;防范;義務(wù);責(zé)任

一、電商平臺個人信息泄露的危害

1.侵害消費(fèi)者財(cái)產(chǎn)權(quán)益

在《電子商務(wù)法》中，要求電商經(jīng)營者提供商品或提供服務(wù)的同時，應(yīng)當(dāng)保障消費(fèi)者的人身財(cái)產(chǎn)安全，在電商平臺開展經(jīng)營活動中獲取利益的同時，需要對消費(fèi)者的個人信息進(jìn)行保密，一旦消費(fèi)者的個人信息被第三人利用，就有對消費(fèi)者造成財(cái)產(chǎn)侵害的可能，由于第三人利用泄露信息對消費(fèi)者進(jìn)行欺詐等侵權(quán)行為，而導(dǎo)致消費(fèi)者的財(cái)產(chǎn)造成損失，電商平臺責(zé)無旁貸。

《中國網(wǎng)民權(quán)益保護(hù)調(diào)查報(bào)告》2016年的調(diào)查結(jié)果中，84%的網(wǎng)民表示個人信息泄露之后，生活安寧受到干擾，并且接二連三收到騷擾電話和詐騙信息。例如以商品質(zhì)量問題或者退稅等為借口，引誘消費(fèi)者上鉤從而騙取錢財(cái)，還有一類是從商戶處購買個人信息從而進(jìn)行銷售和詐騙，如果消費(fèi)者不能掌握信息泄露的證據(jù)，就很難追究電商平臺的責(zé)任，互聯(lián)網(wǎng)的隱蔽性讓犯罪分子的行蹤難以追查，詐騙案件層出不窮。

2.擾亂互聯(lián)網(wǎng)市場經(jīng)濟(jì)秩序

信息泄露給市場秩序帶來了很多負(fù)面的影響。有很多的用戶注冊信息、開房信息和付款信息被放在“暗網(wǎng)”上銷售，2016年京東數(shù)據(jù)泄露事件，引發(fā)了社會各界的關(guān)注。這些數(shù)據(jù)流入到黑色產(chǎn)業(yè)鏈之中，下游階段的購買者和使用者，主要是詐騙或用于放貸和催收的網(wǎng)絡(luò)貸款平臺，或者用于精準(zhǔn)營銷的各類市場主體，使得整個社會上的非法貸款群體十分活躍。

在網(wǎng)絡(luò)交易中，黑客通過竊取平臺用戶信息，從而在交易所外進(jìn)行交易的行為，由于不能受到法律的監(jiān)管從而也會影響交易所內(nèi)的秩序，交易行為由于脫離了國家安全系統(tǒng)的保護(hù)，容易產(chǎn)生多次泄露的風(fēng)險(xiǎn)，交易數(shù)據(jù)不受合法限制，容易出現(xiàn)不可控的高風(fēng)險(xiǎn)情形。在平臺上這些被出售和流通的客戶數(shù)據(jù)，有些涉及行業(yè)機(jī)密和國際安全信息，如果被用于非法途徑，會給社會安全帶來巨大的風(fēng)險(xiǎn)。

個人信息泄露所催生的非法信息交易產(chǎn)業(yè)鏈，對社會的經(jīng)濟(jì)秩序和社會安全都是嚴(yán)重的威脅，阻礙市場交易和數(shù)據(jù)行業(yè)的發(fā)展。

二、電商平臺個人信息保護(hù)存在的問題

1.個人信息泄露防范義務(wù)規(guī)定不夠全面

從電商平臺的角色來說，電商平臺既是經(jīng)營者也是需要為顧客個人信息承擔(dān)安全責(zé)任的一方，在《電子商務(wù)法》中對電商平臺不得泄露消費(fèi)者個人信息的規(guī)定也不夠全面，《網(wǎng)絡(luò)安全法》中規(guī)定網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求，履行安全保護(hù)義務(wù)，具體內(nèi)容包括“制定內(nèi)部安全管理制度和操作流程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人采取防范病毒攻擊的技術(shù)措施，采取檢測記錄手段，保留網(wǎng)絡(luò)運(yùn)行安全，日志采取數(shù)據(jù)分類，備份加密”等措施，這條規(guī)定只是涉及一些十分基礎(chǔ)的義務(wù)。我國目前沒有專門的《個人信息保護(hù)法》，其他的法律規(guī)制都散落在各個規(guī)章與部門規(guī)范性文件當(dāng)中，由于由不同的主管部門出臺，因此法律效力層次低，也不能與發(fā)展迅速的互聯(lián)網(wǎng)環(huán)境相匹配，電商平臺在履行法律規(guī)定的義務(wù)的同時，很容易找到管制中的漏洞，諸多電商平臺對自己應(yīng)當(dāng)履行的義務(wù)極其不重視。電商平臺信息泄露的方法多種多樣，可能會有內(nèi)部人員偷盜或者因系統(tǒng)漏洞被竊取，其中內(nèi)部人員偷盜的情形占大部分，出現(xiàn)非法出售客戶信息的平臺是必然的結(jié)果。

2.漏洞治理與告知義務(wù)制度不完善

《網(wǎng)絡(luò)安全法》中多為推薦性標(biāo)準(zhǔn)，與平臺泄露個人信息相關(guān)的強(qiáng)制性標(biāo)準(zhǔn)并沒有出現(xiàn)。我國制定了七項(xiàng)有關(guān)漏洞治理的推薦性標(biāo)準(zhǔn)，其中四項(xiàng)與個人信息直接相關(guān)，分別規(guī)定了信息安全漏洞分類、管理規(guī)范、登記劃分指南以及標(biāo)識和描述規(guī)范，并未出現(xiàn)強(qiáng)制性要求，很多平臺對此置之不理。

同時，我國并未建立完善的漏洞報(bào)告制度，在《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》中，僅對非授權(quán)入侵系統(tǒng)做出規(guī)定，要求其向公安部門進(jìn)行報(bào)告。法律也并未對向有關(guān)部門報(bào)告漏洞的義務(wù)進(jìn)行規(guī)定，對告知的對象、方式及情形都未進(jìn)行詳細(xì)規(guī)定，如何進(jìn)行告知也未做出說明，如立法在這個方向上有缺失，那漏洞報(bào)告的義務(wù)就無人履行。電商平臺存在巨大的系統(tǒng)性安全風(fēng)險(xiǎn)漏洞，就會被黑客利用和攻擊，給電商平臺和其用戶造成損失。

其次，法律所規(guī)定的具有信息泄露告知義務(wù)的情形中人數(shù)和損失數(shù)額較高，不附合實(shí)際履行條件，在實(shí)踐中難達(dá)到履行告知義務(wù)的門檻，操作難度較大，且告知義務(wù)缺乏具體業(yè)務(wù)內(nèi)容使得漏洞告知義務(wù)難以履行。電商平臺中的交易較為隱蔽，消費(fèi)者難以直觀地觀察交易場所內(nèi)采取何種措施保障人身和財(cái)產(chǎn)安全，事實(shí)上，極少有平臺會采取并實(shí)施推薦性國家標(biāo)準(zhǔn)或行業(yè)標(biāo)準(zhǔn)。如果電商平臺能在消費(fèi)者進(jìn)行消費(fèi)之前告知予以何種保護(hù)標(biāo)準(zhǔn)，在之后的信息泄露糾紛中，消費(fèi)者可以對照這些信息進(jìn)行核實(shí)。實(shí)際情況下，很多平臺會采取如“我們已采取有效措施，對您的信息安全進(jìn)行保護(hù)”等籠統(tǒng)的說法，并未對其詳細(xì)內(nèi)容進(jìn)行公示，這是由于立法上并未對平臺的告知義務(wù)進(jìn)行強(qiáng)制且詳細(xì)的規(guī)定。美國各州截至2018年均制定了相關(guān)數(shù)據(jù)泄露通知法案，我國可做出參考。

3.電商平臺法律責(zé)任不明確

若沒有明確的法律責(zé)任，則會缺乏有效的威懾，不利于對權(quán)力的保護(hù)與義務(wù)的履行。對于電商平臺主動泄露個人信息的行為，消費(fèi)者一般通過兩種途徑主張民事責(zé)任，首先是主張違約責(zé)任，消費(fèi)者可主張解除合同，并對違約行為要求賠償，但首先主張解除合同會給消費(fèi)者的生活帶來極大的不便，消費(fèi)者出于弱勢的地位，解除合同等于放棄平臺給自己提供的服務(wù)，而主張賠償損失，由于個人信息的價(jià)值難以估量，因此要求賠償這個方法最終也會無疾而終。民法總則中對個人信息進(jìn)行了保護(hù)性的規(guī)定，但是并未規(guī)定其為具體民事權(quán)利，因此個人信息的請求權(quán)未得到公眾的認(rèn)可，泄露個人信息是否構(gòu)成民事侵權(quán)行為成為爭議。《侵權(quán)法》第二條規(guī)定侵權(quán)民事權(quán)益也構(gòu)成侵權(quán)行為，但在列舉具體民事權(quán)利中并未提及個人信息，主張個人信息的侵權(quán)責(zé)任成為空白。實(shí)踐中，消費(fèi)者大多以侵害隱私權(quán)來主張?jiān)摍?quán)益，但是這種做法也僅適用于被泄露個人信息后確有發(fā)生侵犯隱私全的行為，而不能囊括其他種類的侵權(quán)行為。

對于電商平臺由于未采取措施致使信息泄露的情形，電商平臺是否承擔(dān)民事責(zé)任成為爭議。《電子商務(wù)法》第38條僅規(guī)定了關(guān)系到生命健康的商品和服務(wù)，并未將電商平臺的安全保障義務(wù)擴(kuò)張到個人信息保護(hù)領(lǐng)域，因此電商平臺是否對消費(fèi)者的個人信息具有安全保障義務(wù)沒有立法根據(jù)。針對電商平臺為履行信息泄露告知義務(wù)的情形，法律上也沒有明確其民事責(zé)任，當(dāng)電商平臺未履行信息泄露告知義務(wù)時，并不影響雙方訂立合同，一般來說遭受信息泄露的消費(fèi)者糾紛，通常會被歸入隱私權(quán)糾紛、侵權(quán)責(zé)任糾紛和網(wǎng)絡(luò)購物合同糾紛的案由中，最終也以證據(jù)不足或刑事案件尚未偵破而告終，訴訟中舉證難度大，證明責(zé)任中訴訟成本過高，法律責(zé)任不明確，導(dǎo)致了司法判決較少，消費(fèi)者能夠從中獲得賠償?shù)陌讣缚蓴?shù)。

根據(jù)我國刑法的規(guī)定，對信息泄露防范義務(wù)的具體內(nèi)容并不完善，要求只有在行政責(zé)任未履行或未完全履行的情況下，才能夠追究其刑事責(zé)任。法律上規(guī)定了致使用戶信息泄漏，造成嚴(yán)重后果才可被處以刑罰，舉證困難并且量刑較困難。綜上所述，電商信息泄露防范的法律責(zé)任不明確且難以追究，是消費(fèi)者難以保障自身權(quán)益的原因。

三、電商平臺信息泄露防范義務(wù)制度的完善

1.完善電商平臺的信息泄露防范義務(wù)規(guī)定

首先，需要完善安全管理義務(wù)，針對已有的國家標(biāo)準(zhǔn)，與時代相結(jié)合，義務(wù)主體應(yīng)當(dāng)擴(kuò)展到全體網(wǎng)絡(luò)運(yùn)營商，并且制定強(qiáng)制性標(biāo)準(zhǔn)，引導(dǎo)電商平臺向高標(biāo)準(zhǔn)的要求靠齊，同時加強(qiáng)和國外的合作交流，學(xué)習(xí)并采用國外的經(jīng)驗(yàn)和標(biāo)準(zhǔn)，盡快引進(jìn)適合我國國情的義務(wù)標(biāo)準(zhǔn)。

其次，應(yīng)當(dāng)完善信息漏洞防范義務(wù)，在交易之前告知消費(fèi)者保護(hù)的范圍和內(nèi)容，規(guī)定電商平臺在發(fā)現(xiàn)漏洞后立即告知消費(fèi)者，并在法律上明確規(guī)定報(bào)告的時間地點(diǎn)、詳細(xì)和報(bào)告標(biāo)準(zhǔn)，保障消費(fèi)者的知情權(quán)，讓消費(fèi)者在后續(xù)的交易中防范風(fēng)險(xiǎn)。

最后，應(yīng)當(dāng)完善信息泄露報(bào)告告知義務(wù)，在法律規(guī)定上設(shè)置能夠合理履行的報(bào)告條件，并完善具體的義務(wù)內(nèi)容，明確報(bào)告的對象、時間及報(bào)告方式，讓電商平臺在發(fā)現(xiàn)漏洞之后能第一時間上報(bào)，而不是造成嚴(yán)重后果之后才上報(bào)，避免不必要的經(jīng)濟(jì)損失和社會危害。

2.明確電商平臺的法律責(zé)任

義務(wù)的履行需要法律責(zé)任作為基礎(chǔ)保障，在行政責(zé)任、民事責(zé)任和刑事責(zé)任上共同明確電商平臺的責(zé)任，才是保障信息安全的最終辦法，分為三種情形：

電商平臺主動信息泄露之后，應(yīng)當(dāng)明確電商平臺未按照規(guī)定采取保護(hù)措施，消費(fèi)者可主張違約責(zé)任和侵權(quán)責(zé)任，我們可將電商平臺的義務(wù)視為合同附隨義務(wù)，電商平臺在對消費(fèi)者的個人信息進(jìn)行使用的同時，也應(yīng)當(dāng)附隨對其個人信息進(jìn)行保護(hù)的義務(wù)，如果違反了該項(xiàng)合同義務(wù)，也應(yīng)當(dāng)承擔(dān)違約責(zé)任并且賠償損害。另外一種說法我們可將信息泄露看成是電商平臺的侵權(quán)行為，信息泄露行為侵害了權(quán)利主體的安全權(quán)，造成損害的，應(yīng)當(dāng)承擔(dān)侵權(quán)責(zé)任;電商平臺未實(shí)施有效措施致使信息泄露的，應(yīng)當(dāng)認(rèn)為電商平臺對商戶信息有安全保障義務(wù)，在信息被竊取和利用的情況下，承擔(dān)補(bǔ)充責(zé)任;電商平臺未履行信息泄露告知義務(wù)的，介于個人信息價(jià)值和損失無法估量，在我國可以引入懲罰性賠償金這一概念，規(guī)定處罰金額是促進(jìn)電商平臺提早告知的保障性辦法。

信息泄露是困擾消費(fèi)者們的一大法律問題，電商平臺與消費(fèi)者之間存在地位不對等的情況，消費(fèi)者很難在信息泄露的第一時間發(fā)現(xiàn)，往往是在第三者已取得信息，并對其發(fā)出數(shù)據(jù)和詐騙信息時才有所察覺，在實(shí)踐中應(yīng)當(dāng)對消費(fèi)者適當(dāng)傾斜保護(hù)，從而最大化地保證消費(fèi)者在進(jìn)行電子商務(wù)活動中的個人信息的安全。明確電商平臺信息泄露防范義務(wù)的具體內(nèi)容，有助于遏制信息泄露這一社會問題，保障消費(fèi)者的合法權(quán)益。如果消費(fèi)者能在一個安全的電商環(huán)境中進(jìn)行消費(fèi)和接受服務(wù)，有利于電商平臺的健康可持續(xù)發(fā)展。

參考文獻(xiàn)：

[1]闞志軍，熊文萍.電商行業(yè)用戶信息保護(hù)機(jī)制創(chuàng)新研究.電子商務(wù)，2019（04）.

[2]包涵.淺談電子商務(wù)對個人信息的保護(hù).法制博覽，2020（03）.

[3]徐肖.電子時代下中的個人信息保護(hù)研究.區(qū)域治理，2019（08）.

[4]劉雪營，胡天琦.《電子商務(wù)法》對個人信息保護(hù)及經(jīng)營者風(fēng)險(xiǎn)防范研究.法制與經(jīng)濟(jì)，2019（02）.