孙哲明|电子商务中个人信息财产利益的保护
中国政法大学民商经济学院硕士研究生
主要项目
一、电子商务消费者的个人信息和个人信息权
第二,保护消费者个人信息财产利益的困境
第三,电子商务消费者个人信息财产利益的保护路径
标签
随着中国数字经济日益成为经济发展的新动力,电子商务作为其中的重要组成部分,在社会经济发展和人民生活中占据重要地位。然而,电子商务蓬勃发展的同时,也暴露出消费者个人信息保护不到位的问题。由于法律和行业法规的缺失,以及网络技术的隐秘性和不可检测性,侵害电子商务消费者个人信息的违法行为屡禁不止。如2065438+2008年8月,集团泄露客人个人信息案中,刘通过黑客手段从集团系统窃取大量客人信息,并在暗网上出售。这些行为严重侵害了消费者的权益,影响了他们的正常生活和安全。基于消费者信息保护的严峻形势,如何更有效地保护消费者信息还有待进一步完善。
一、电子商务消费者的个人信息和个人信息权
个人信息的状况
关于个人信息的地位,学术界没有共识。从“个人信息保护”的属性来看,主要有法益保护和权利保护两种不同的观点。
法益保护理论认为,个人信息是受法律保护的利益,个人信息本身就是法律保护的直接对象。支持这一观点的学者认为,按照法律规范的字面解释,“自然人的个人信息受法律保护”这一表述应当理解为作为法律保护对象的“个人信息”。此外,支持法益保护理论的学者也以个人信息保护与利用之间的利益平衡为切入点。他们认为,随着网络使用规模越来越大,数据处理在经济社会中的作用越来越重要,个人信息的公共性会越来越突出,因此对待个人信息的态度应该从个人控制的单方面保护思想转变为社会控制的立场。
支持权利保护论的观点认为,无论从个人信息的特性、现实保护的需要还是法律解释的结果来看,“个人信息受到保护”都应被视为法律赋予自然人的一项权利。一方面,个人信息具有在征得所有者同意和允许的情况下被收集和使用的特点。从这一特性出发,个人应当享有主动、积极地对其信息施加影响的能力,而这种能力无论个人与信息处理者是否存在法律关系,都将一直存在,不会改变。因此,这种能力应被视为自然人固有的权利。另一方面,随着网络技术的飞速发展,个人信息被严重侵犯。如果能赋予自然人相关权利,当其个人信息被非法收集或使用时,可以直接援引个人信息权来维护自己的合法权益。通过法益保护的模式保护自然人的个人信息,会使自然人在个人信息处理活动中处于弱势地位,导致在个人信息收集和利用活动中已经处于劣势的个人更加被动。此外,虽然《民法典》第111、1034条没有明确指出“个人信息权”的概念,但从《人格权法》第六章的其他规定来看,法律已经承认了信息处理者的义务和自然人的权利。只有承认自然人对其信息拥有权利,上述权利和义务才合乎逻辑。
法益保护理论虽然可以从文理的角度进行解释,但是分析起来会导致很多问题,可能会给实践中自然人个人信息的实际保护带来一系列法律上的困难。首先,从法律规定的内容来看,如果将个人信息视为利益,很难在逻辑上认同《民法典》第1037条赋予自然人的个人信息的法益本质。在民法对自然人合法权益的保护中,权利保护属于高于法益保护的层次,这就导致了侧重于利益保护的1034条难以统领侧重于权利保护的1037条的逻辑困境。其次,从法律实践来看,如果采取法益保护模式,自然人在自身利益受到损害之前很难采取充分、必要、积极的预防措施,多数情况下只能以事后救济的形式获得相应的赔偿;在事后救济环节,还受到利益是否合法、保护的必要性等多重因素的制约。在当今个人信息快速流动的时代,这样的保护模式显然将作为个人信息所有者的自然人置于被动地位。
从以上论述可以看出,两种保护路径的差异主要在于个人信息保护的程度和范围,以及信息保护与信息利用的价值取向和利益平衡。虽然民法典没有直接表述个人信息权,但考虑到个人信息的广泛使用和信息保护面临的严峻形势,在当前信息时代背景下,确认个人信息权对于保护个人信息、促进个人信息的合理使用具有重要的现实意义。
消费者个人信息权的定位
消费者个人信息在电子商务交易、数字经济发展和社会生活中发挥着重要作用。它不仅与消费者的个性密切相关,而且可以通过巨大的积累产生巨大的财产价值。因此,个人信息权被认为兼具人格属性和财产属性。财产利益保护的目的是加强信息主体对其信息的控制,强化个人对其信息的处分地位,这也是个人信息权所有权力的核心。信息自主是对信息商业化和产权化背景的回应。当然,这不会改变个人信息固有的人格属性,也不会动摇个人信息权人格权部分的地位。因此,个人信息权的财产属性可视为一个完整复合权利的财产部分,个人信息保护制度应考虑个人信息财产的特征。
电子商务消费者个人信息中的财产利益和所有权
1.根据“可识别性”和“相关性”定义消费者的个人信息
消费者个人信息的概念来源于一般的个人信息,是消费者在购买、使用商品或者接受服务时提供或者产生的信息,其核心在于能够识别特定的消费者,即个人信息具有“可识别性”。但是,考虑到消费者在消费和交易过程中经常会提供或产生个人信息,消费者个人信息的概念应该不同于一般的个人信息。根据社会生活的实践经验,消费者在从事消费活动时,通常会产生或被电子商务经营者捕捉到一些难以直接识别某一特定消费者,但对消费活动具有重要意义的信息,如交易记录等。因此,如果仅将可识别性作为确定消费者个人信息的重要要素,难免范围不GAI,定义不全面。考虑到消费者活动的特殊性,应在一定程度上扩展消费者个人信息的内容,并适当突破“可识别性”的限制。
事实上,即使在电子商务领域之外,随着基于“可识别性”的信息范围的不断扩大,也有不少学者主张基于“可识别性”和“相关性”将个人信息分为“直接识别”和“间接识别”,其标准是某一信息是否能识别特定的个人。所谓“关联性”,是指信息本身不具有识别特定人的特殊性,但可以增加对特定人的描述,丰富对特定人的认知。
2.消费者个人信息的分类
根据“识别”与“关联”的二分法,电子商务交易中的消费者个人信息应包括以下两类。一个是消费者的身份信息。顾名思义,消费者的身份信息就是与其特定身份相关的个人信息,如一般意义上的姓名、住址、身份号码等。它和一般的个人信息一样,特点是具有明显的可识别性。身份信息与消费者的人格密切相关,应当完全处于消费者的控制之下,其财产利益和商业价值从属于其个人属性,因此身份信息的财产利益应当完全归消费者所有。另一类是消费者行为信息,即消费者在电子商务交易过程中以及在使用或接受服务过程中产生的个人信息,包括浏览历史、交易记录、与电子商务经营者的通信记录等。与身份信息相比,这类信息的可识别性不强,但能准确反映消费者在电子商务活动中的轨迹。通过技术手段的深入挖掘和分析,可以知道他们的消费偏好和习惯,生活需求,甚至财产状况。与身份信息相比,消费者行为信息的人格属性被弱化,而财产属性被增强。尤其是随着运营商产品营销模式向精准定向营销的转变,分析消费者行为信息可以大大提高营销效率,节约成本。因此,有必要将这类信息纳入消费者个人信息保护的范围,将行为信息中的财产利益归属于消费者。
有学者认为,消费者存储在个人网络空间的信息也应纳入消费者个人信息的保护范围,比如电子邮件中的信息。然而,本文认为,由于在电子商务交易中跨服务提供商提供个人信息仍不常见,因此此类信息通常不会直接用于电子商务领域,尤其是消费者的交易活动中。与上述两类信息相比,存储信息在电子商务活动中被侵权的风险相对较小,没有必要将其纳入消费者个人信息。
另外,消费者的个人信息收集后,会经过加工整合,一种衍生信息(如统计数据、群体画像等。)会从消费者个人信息的身份或行为中产生,但它已经失去了与消费者的联系。衍生信息是否应纳入消费者个人信息范畴,学界观点不一。本文认为,首先,衍生信息具有匿名性和非关联性的特点,难以与消费者直接接触,已经丧失了个人信息所必备的人格特征。如果纳入消费者个人信息进行保护,保护范围会过于宽泛,保护的有效性和针对性不足,确实没有必要;其次,衍生信息虽然来源于消费者信息,但其财产价值主要来源于经营者通过整合、分析、加工、挖掘等技术手段所付出的劳动。因此,如果将衍生信息归为消费者个人信息,会挫伤企业创新的积极性,阻碍数字经济的发展。因此,将衍生信息归类为企业数据财产是合适的。
第二,保护消费者个人信息财产利益的困境
目前的法律保护不足。
电子商务中个人信息权财产利益的主体和内容不明确。
在我国,现行法律对电子商务经营者或信息处理者的个人信息保护义务大多停留在申报义务的层面,没有明确规定电子商务经营者在保护消费者信息的过程中应承担何种义务,在个人信息侵权情况下如何承担法律责任方面,现行法律也不全面。专门的电子商务法和消费者权益保护法侧重于通过行政手段惩罚非法电子商务经营者。比如《电子商务法》第18条第一款禁止电子商务经营者实行“算法价格歧视”,违反该规定者将面临该法第77条规定的行政处罚,但对于如何救济受害消费者没有明确规定。这种模式确实可以有效惩罚涉案企业或个人,维护市场运行的稳定,但对于个人信息受到侵害的消费者来说,这样的规定显然是不够的。
司法实践中困难重重。
首先,电子商务领域的个人信息权纠纷很难通过违约责任得到妥善解决。第一,大多数电子商务平台经营者在消费者使用其产品或服务之前,会向消费者展示其服务条款或隐私政策。此类条款可视为平台经营者与消费者之间关于个人信息处理的合同。因此,当平台经营者违反相关规定收集或处理消费者信息时,消费者应当能够通过追究其违约责任获得救济。但翻阅此类条款可以发现,几乎没有平台经营者将违约责任写入隐私政策,因此消费者很难寄希望于电商平台经营者的违约责任能够得到补救。第二,在电子商务活动中,除了平台经营者,还有很多其他经营者(如平台内经营者),但平台经营者制定的隐私政策不适用于消费者与其他电子商务经营者的交易。因此,如果消费者与其他电子商务经营者发生个人信息纠纷,追究经营者违约责任的难度会更大。
简单产权保护模式的弊端
从个人信息财产利益的性质来看,采用财产权保护模式应该是妥当的,但个人信息具有复杂性。如果将其人格属性和财产属性分开处理,完全忽略其人格属性,这种纯粹的财产权保护会造成一系列严重后果。
首先,根据保护财产权的目的,权利人应当对自己的财产享有完全的支配权,在处分和使用方面充分遵守意思自治原则。从这个原理出发,个人信息必然会陷入完全商业化、市场化的境地。届时,信息交易将变得自由,各种不公平现象将在“意思自治”的外衣下大行其道,逃避监管和制裁。比如由于职业、财产、社会地位等的不同。,不同的个体经过市场评估后会对其个人信息产生不同的价值,而这种价值分化的现象显然与个人信息的人格属性有着不可调和的矛盾,是对其人格属性的彻底颠覆。虽然个人信息同时具有人格价值和财产价值,但对于任何具体的个人信息来说,这两种属性都是不可分离的。因此,采取绝对的财产权保护,将极大冲击个人信息的人格权部分,不仅不符合个人信息权复合性的保护目的,也不符合社会普遍观念对个人信息保护的期待,不利于推动数字产业发展。
综上所述,在目前的法律框架下,很难有效保护个人信息的财产利益。因此,本文认为,应考虑在电子商务信息保护领域贯彻消费者保护理念,使消费者的信息权利得到充分保护和充分救济。首先,在电子商务个人信息领域采用消费者保护模式,可以保证消费者与电子商务经营者之间的实质公平。消费者权益保护的一大特点是充分考虑消费者在交易活动中的弱势地位。所以针对这一特点,在很多方面给予消费者优惠保护,而经营者则被赋予更多的义务和更重的责任。与坚持当事人地位平等、以自己的意志为主导的传统民法相比,这种倾斜保护的理念更适合消费者活动的现实。在电子商务中,由于消费者和经营者通过信息网络进行交易,双方订立的合同多为经营者事先拟定的格式条款(如隐私政策)。与传统消费活动相比,消费者失去了与经营者充分协商的现实条件。在个人信息处理过程中,经营者掌握了大量的资源和技术,消费者难以通过有效的渠道实现与电子商务经营者的平等地位,双方交易地位差距日益悬殊。因此,在电子商务活动中,将个人信息置于消费者保护的框架下,是充分保护消费者权益,确保交易活动实质公平的可行之道。
第三,电子商务消费者个人信息财产利益的保护路径
明确电子商务消费者的定义
鉴于我国《消费者权益保护法》和《电子商务法》中没有明确的消费者概念,有必要对这一权利主体进行分析。
1.电子商务消费者应该是购买、使用或接受服务的自然人。
首先,消费者维权的目的是纠正消费者的弱势地位,以平衡交易双方的关系。而法人与其他主体在交易中往往是平等的,甚至处于相互优势的地位,因此不需要特别保护。在消费活动中注重保护弱者,也是消费关系与契约关系区别的表现之一。其次,个人信息指向特定的自然人,因此自然人是个人信息权的主体;由于企业具有信息量大、处理能力强的特点,其收集和处理的信息能为其创造巨大的经济效益,通过技术手段获得的结果往往比信息本身更重要。因此,虽然企业掌握的信息价值来源于消费者的个人信息,但由于其信息量大,处理能力强,应视为企业享有的利益。所以应该以商业秘密、交易数据等形式进行保护。如果将其归为“个人信息”,既不能与“个人信息权”一词的一般含义逻辑自洽,也不能超出一般人格权的保护范围。
第二,权利主体有消费,即购买、使用商品或接受服务的行为。值得注意的是,使用他人购买的商品的自然人也是消费者,不一定与经营者存在交易关系。
2.电商消费者不以“为了生活消费的需要”为要素。
考虑到电子商务交易的特点,有必要扩展电子商务活动中“消费者”的概念。在《消费者权益保护法》中,“消费者”应以日常消费需要为基础,不能将生产或经营目的的消费行为主体认定为消费者。但是,在电子商务交易中,有自然人因为日常需要而不直接参与交易。如果在一般消费活动中其权益受到侵害,由于不是基于日常需要,可以认定为与经营者基本平等,因此可以单独通过合同法获得救济,不需要倾斜性保护;但从个人信息保护的角度来看,其在处理能力较强的电子商务经营者面前也处于弱势地位,其在交易活动中提供或暴露的个人信息可能面临安全或利益风险,这与消费者基于日常消费需求的行为无异。为了平衡各方利益,应该保护这类消费者的个人信息权。因此,主体不应仅限于“日常消费需要”的自然人,而应将所有在电子商务交易中出于各种目的进行消费的自然人纳入消费者个人信息权的保护范围。
细化电子商务经营者的义务
《电子商务法》和《消费者权益保护法》都规定,处理信息的电子商务经营者应当负有保护消费者个人信息的义务。从法律规定可以看出,上述两部法律将电子商务交易中信息保护义务的主体限定为电子商务经营者。在整个电子商务交易过程中,消费者与多方主体之间存在法律关系。而其他主体的义务则是从电子商务经营者延续而来,义务的内容大同小异,大多包含在经营者的义务中。所以这里只讨论运营商的信息保护义务。
个人信息权的财产属性主要体现在支持个人对其信息享有一定程度的支配和控制,而个人信息权各项功能的核心是个人信息权财产属性的高度体现,因为决定权是指消费者对个人信息处理的决定权和控制权,体现了对消费者自由意志的尊重。可以说,个人信息决定权是意思自治原则在信息保护领域的体现。只有消费者有了自主决策的权利,才能真正增强对个人信息处理过程的掌控。从信息决定权出发,在收集个人信息的过程中,个人信息权应当具有知情同意权;在信息使用阶段,个人信息权应当具有更正和删除的能力。此外,由于消费者个人信息在电子商务领域具有重要的商业价值,在信息交换和加工活动中往往被视为特殊商品,产生了使用价值和交换价值。不同电商平台的运营商通过数据交换和数据共享,实现数据共享,同时为消费者进行精准推送和个性化服务,并从中获利。此时,交换的消费者信息以商品的形式在不同平台间流通。因此,消费者作为这种特殊商品的权利人,应当有权允许他人有偿使用,这也是消费者对其个人信息自主决定的体现。
因此,从权利义务相对应的角度来看,保护个人信息的义务应当包括以下内容:
1.通知的义务
为保障消费者的知情权,电子商务经营者在处理信息前,应当以明确、肯定的方式告知消费者有关情况,让消费者充分知晓并自主做出决定和选择;处理信息的范围或目的发生变化时,应当告知并重新取得同意;义务人还应当告知消费者查阅、复制相关信息的方式,以及联系经营者和其他义务人更正或者删除信息的渠道。告知义务是否适当履行,要结合告知方式、社会普遍观念、行业习惯等综合因素来判断。
2.合理使用消费者信息的义务
合理使用的基础是合法使用。在使用消费者信息时,我们首先应遵守法律和行政法规的规定,不得将消费者信息用于非法目的。其次,在与消费者的权利义务关系中,这一义务既包括消费者“知情同意”范围内的合理使用义务,也包括消费者许可后许可合同范围内的合理使用义务。《民法典》第1038条第一款规定了处理者的不作为义务,划定了电子商务经营者充分、适当履行义务的范围。
3.信息安全义务
根据《民法通则》第1038条第二款规定,义务人应当采取必要的技术措施,防止侵犯消费者个人信息权的行为,如物理隔离、防火墙、有效的监控和防范机制等。
4.支付报酬的义务
个人信息的出售无疑是一种应该被禁止和谴责的行为,但消费者作为个人信息的主体,应该被允许通过其个人信息的财产价值获得利益。因此,在禁止信息处理前进行对价交易的前提下,应合理设计相关制度,以肯定消费者获得信息利益的权利。有学者建议,电子商务经营者应当设立相关基金,对处理消费者个人信息所获得的利益进行分配,让消费者切实享有其信息的财产性利益。本文认为,设立基金的形式能够妥善解决消费者享有信息财产利益与单个消费者获利金额小、分配难度大之间的矛盾,是一种能够充分兼顾大多数消费者合法权益的机制。
确认过错推定的归责原则
根据过错推定的归责原则,在发生纠纷时,个人信息处理者应当证明自己在处理活动中没有过错。需要注意的是,在举证过程中,消费者应当对加工者的过错承担初始举证责任,包括对消费者自身个人信息权利的侵害、加工者在交易活动中的不当行为、因果关系等因素,应当达到可以推定加工者存在过错的程度;随后,电子商务经营者应当承担举证责任,证明“自己的行为没有过错”,如第三人有过错且符合公众利益,才能反驳消费者的主张,否则应当承担相应的不利后果。
引入惩罚性赔偿制度
最后,惩罚性赔偿还可以通过其责任的轻重对社会其他主体产生威慑作用,从而遏制其他类似行为的发生,维护市场秩序和经济生活的稳定。
鉴于上述功能,惩罚性赔偿在个人信息领域也有很大的实用价值。惩罚性赔偿的主要制度价值在于其“报复”和“制裁”,而不在于实际填补受害人的损失。在这方面,惩罚性赔偿与精神损害赔偿类似,因为很难证明具体的损失,也很难确定赔偿的数额。因此,在不涉及财产利益的案件中,不应支持被害人请求惩罚性赔偿。在电子商务个人信息保护领域引入惩罚性赔偿,将改变大数据时代一般补偿性赔偿的固有缺陷,为保护消费者个人信息权利提供财产支持。
惩罚性赔偿的本质在于惩罚和惩治经营者的违法行为,而填补受害人的损失在惩罚性赔偿制度的目的中处于次要地位,甚至可以视为独立于补偿性赔偿之外,可以单独适用的责任制度。因此,对经营者进行惩罚性赔偿,不必以消费者的实际损失为要件,也可以有效避免消费者难以证明自己实际损失的困境。换句话说,即使消费者没有因为个人信息被经营者侵犯而遭受损失,也应当以惩罚经营者非法处理信息为目的,承担赔偿责任。
标签