电子商务中个人信息的保护探析

摘 要：　随着网络的快速发展以及全球互联网的应用和普及, 网络早已充斥着大众生活的方方面面, 但与此同时, 也暴露出形形色色的网络安全问题, 尤其是与每个人息息相关的个人信息安全问题。《网络安全法》表决通过 (2016年11月) 后不久, 《电子商务法》草案于12月进行了第一次审议。《网络安全法》作为网络安全的规定, 全面的规定了网络的建设、运营、维护、使用以及监督, 是对各行各业的网络安全制度提出了综合整体的要求, 而《电子商务法》则在网络运行安全和网络信息安全层面, 有了更为具体和延展性的细化规定, 尤其是对电子商务消费者个人信息权益保护的重视。

　　关键词：　个人信息安全; 电子商务; 数据合规;

　　个人信息是指能够凭该单一信息即确定自然人身份或者可以和其他信息相关联来确定自然人身份或者其他情况的各种信息。

　　一般而言, 确定某一信息是否可以归为个人信息, 主要有两种途径方式。一是, 由信息本身联系到某一特定的个人, 比如身份证、护照、个人基因、虹膜、指纹等等。二是, 某一自然人在其日常生活中所形成的信息, 比如教育经历、工作经历、通信记录、行踪轨迹等等。若某项信息符合上述判断方法之一的, 应为个人信息。

　　一、个人数据收集与使用

　　随着互联网时代的快速发展, 个人信息的过度收集和滥用问题日益突出。2018年以来, 个人信息数据安全事件频发, 比如轰动全国的徐玉玉事件、Facebook事件、万豪事件等, 使得个人数据安全已持续成为社会热点, 也逐渐增强大众对于个人信息收集和使用的意识。

电子商务中个人信息的保护探析

　　《网络安全法》在网络信息安全部分设定了个人信息收集和使用的准则, 如要求授权同意、正当必要、安全保障、责任明确、公开告知、诚信履行等。同样地, 《电子商务法》中, 对于用户信息收集的规定, 与《网络安全法》中对于用户个人信息的法律规定一致。《电子商务法》中第二十三条提到的“有关个人信息保护的规定”, 就是《网络安全法》中第四十一条的规定。《电子商务法》让《网络安全法》中的关于个人信息保护的规定在《电子商务法》中承接, 并针对中国巨大的电商市场进行了更多的细化规定。

　　二、个人信息的访问、更改与注销 (主体权利)

　　《电子商务法》中赋予了个人信息主体对于自己信息管理的权利, 使主体可以了解并根据个人需要对其个人信息采取其认为有必要的处理, 包括访问查询、信息删除、错误更正以及信息注销。此外, 《电子商务法》还规定禁止对个人信息主体行使上述权利设定额外附加的条件, 进一步加强了个人主体权利实现的强制力。相比之下, 在《网络安全法》中, 关于个人信息删除权, 则有更高的要求。根据《网络安全法》的规定, 用户有权要求更改其个人信息的前提是发现网络运营者收集、存储的个人信息有错误的情况下, 而用户有权要求删除其个人信息的前提是网络运营者违反双方之间的约定或者违反法律、行政法规的规定, 但是《电子商务法》对于个人信息主体行使个人信息删除权方面没有任何的前提条件, 即个人主体可以在任何时候要求电子商务平台删除其个人信息。因此, 不难发现在电子商务这一特定的商务模式和交易环境下, 对于个人信息的保护相较《网络安全法》有所增强。

　　作为《网络安全法》的配套国家标准, 2019年1月30日, 国家标准化管理委员会发布了更新的《个人信息安全规范》 (草案) , 草案在《网络安全法》基本规则上进一步补充了“查询权”、“注销权”、“删除权”“更正权”等个人主体享有的权利, 对个人信息的收集、使用、共享、保存、转让等方面进行了详细的规范, 以保护个人信息的安全以及主体的合法权利, 对实务有很好的指引作用, 但由于其作为推荐性国家标准, 不具有强制性, 在效力上影响了上述个人权利的实现与落实, 也不得作为执法的强制性依据。

　　三、个人信息的使用:针对个人的特定选项

　　利用大数据进行分析, 并向用户推荐其感兴趣的商品或服务, 就是电子商务经营者对于个人信息使用的最常见途径之一。《网络安全法》要求使用个人信息应当遵循合法、正当、必要的原则, 但未具体进一步详细说明, 在配套的《个人信息安全规范》中, 要求个人信息控制者对于利用用户画像而影响或干扰其决策时, 应当告知申诉途径。《电子商务法》第十八条规定要求电子商务经营者在使用大数据分析时, 除了根据计算的结果推送用户感兴趣的商品或服务外, 也应当提供其他选项, 这是对没有强制约束力的《个人信息安全规范》的另一补充, 确保在法律层面对于电子商务经营者利用大数据影响消费者的判断。

　　《电子商务法》这条主要是预防电子商务经营者利用大数据算法进行解析, 通过收集用户社会属性、交易习惯、生活习惯、支付意愿, 兴趣爱好、支付能力、对不同用户采用不同价格, 比如忠诚度较高的老用户的价格高于新用户等情况。由于分析过程都通过数据在后台完成, 用户在浏览以及消费时较难发觉, 侵害了消费者的公平交易权和知情权。因此, 《电子商务法》的这一规定, 要求电子商务经营者在使用大数据分析时, 除了根据计算的结果推送用户感兴趣的商品或服务时, 也应当提供不针对其特征的其他选项, 能够有助于保护消费者的权益, 维护良好的市场环境。结合《网络安全法》以及《个人信息安全规范》, 《电子商务法》将原则性要求以及“申诉机制”调整为针对电子商务环境特定的法规要求, 反映出《电子商务法》在实践的需求和考量。

　　四、个人信息数据合规, 企业需要做什么?

　　许多电子商务平台经营商或自建平台的电子商务经营商, 已经在用户注册页面和网站首页放置用户许可协议以及隐私政策, 并且许多企业采取折中的办法, 使用较为笼统、概括的条款, 在合规监管的束缚与商业经营的创新之间取得平衡。个人信息泄露导致的安全问题事件以及与大众息息相关的《电子商务法》的出台, 不断加深社会大众对于个人信息的认识, 提高公众对于个人信息保护的意识, 从而进一步要求企业合法收集和使用用户信息和数据, 化解潜在的数据泄露和滥用风险。电子商务经营者在收集用户信息时, 都应在用户注册界面通过用户使用协议和/或隐私政策, 比如, 详细列举收集和使用个人信息的目的、列出收集的个人信息类型, 明确告知用户使用该特定业务功能必需使用的个人信息, 对于不必要的信息, 用户可以拒绝提供, 明确告知用户数据保存的方式和期限, 并在超出保存期限后, 对个人信息进行删除, 如改变信息收集和使用的目的, 应当事先征得用户的同意, 明确告知用户注销账户以及要求获得个人数据的途径和方法等等。

　　除了制定隐私政策, 来确保信息收集使用的合法性、保障用户的个人权利外, 企业还可以在内部设立专门的职能部门和负责人处理数据保护工作, 以便了解企业的定位和现状, 在发现问题后可以指导企业弥补不足从而降低合规风险。此外, 企业还应当完善内部数据治理制度, 对数据进行系统化的梳理和分类, 建立内部安全管理制度和操作流程, 并定期进行安全性评估。在员工管理方面, 应当加强数据安全和隐私保护的意识, 对关键岗位的员工进行管理培训, 并进行考核, 保存培训和考核记录。利用技术对数据进行保护, 如访问权限、去标识化、数据加密、访问日志、审核日志、数据分类等级等等。

　　数据是互联网时代最具有价值的财产之一, 可以为企业带来巨大的经济利益, 随着法规以及监管的日益完善, 企业数据合规也势在必行, 数据合规的企业在未来也将正向的发展, 能够获得大众的认可, 具有更大的竞争力。

　　参考文献：

　　[1]孟洁.《电子商务法》中的个人信息保护[N].中国工商报, 2018-11-26.
　　[2] 宁宣凤, 吴涵, 陈胜男, 付昊.叶上初生并蒂莲———最新出台的《电子商务法》与《网络安全法》之比较_金杜说法[J/OL]. 2018-10-23.