孙哲明|电子商务中的个人信息财产利益保护

孙哲明

中国政法大学民商经济法学院硕士生

要目

一、电子商务消费者的个人信息及个人信息权

二、消费者个人信息财产利益保护的困境

三、电商消费者个人信息财产利益的保护路径

结语

随着我国数字经济日益成为经济发展的新动力,作为其中重要组成部分的电子商务,更是在 社会 经济发展和人民生活中占据重要地位。然而,在电子商务蓬勃发展的同时,也暴露出消费者的个人信息保护不到位的问题。由于缺少法律以及行业规制,以及网络技术具有隐秘性和不可检测性等特点,针对电子商务消费者个人信息的违法行为屡禁不止。如2018年8月曝光的华住集团泄露住客个人信息一案,刘某某通过黑客手段窃取了华住集团系统中大量住客信息,并在暗网上售卖。这些行为严重侵害了消费者权利并影响到消费者的正常生活和安全。基于消费者信息保护的严峻现状,如何更加有效地对其进行针对性保护,仍有待相关制度的进一步完善。

一、电子商务消费者的个人信息及个人信息权

个人信息的地位

关于个人信息的地位,学界莫衷一是。从“个人信息保护”的属性这一角度出发,主要有法益保护和权利保护两种不同观点。

法益保护说认为,个人信息是受法律保护的利益,个人信息本身即作为法律保护的直接客体。支持此观点的学者主要从法律条文出发,认为“自然人的个人信息受法律保护”这一表述根据法律规范的文义解释应当理解为“个人信息”是一种受法律保护的客体。此外,支持法益保护说的学者还以个人信息的保护与利用之间的利益衡量为切入,认为随着网络使用规模日益庞大、数据处理在经济 社会 中的作用愈发重要,个人信息的公***属性将愈发凸显,因此对个人信息的态度应当由个人控制的单边保护思路转向 社会 控制的立场。

支持权利保护说的观点认为无论是从个人信息的特点、现实保护的需要还是法律解释的结果来看,“个人信息受保护”都应当被视为是法律赋予自然人的一项权利。一方面,个人信息具有经其所有者同意和允许而被收集、使用的特性,从这一特性出发,个人应当对其信息享有积极、主动施加影响的能力,而这种能力恒存在,不因个人是否与信息处理者发生法律关系而变化,因此应当将此种能力视为自然人所固有的一项权利。另一方面,在当今网络技术快速发展,对个人信息的侵害现象严重,如果能赋予自然人以相关权利,则其可在自己的个人信息遭到非法收集或利用时直接援引个人信息权维护自身合法权益,而通过法益保护的模式保护自然人的个人信息会使自然人在个人信息处理活动中居于弱势,从而导致在个人信息收集、利用活动中本就处于不利地位的个人更加处于被动。除此之外,虽然民法典第111条以及第1034条没有明确指出“个人信息权”这一概念,但从人格权编第六章的其他规定来看,法律已经承认信息处理者的各项义务以及自然人的权利,只有承认自然人对其信息享有权利,则上述权利义务的条款才能在逻辑上相互印合,因此个人信息受保护被认为是法律赋予自然人个人信息权这一观点具有解释的空间。

法益保护说虽然能够从文理上解释,但加以分析则会产生诸多问题,而这些问题则可能给实践中对自然人的个人信息给予切实保护带来一系列法律适用的困境。首先,从法律条文的内容上来看,若将个人信息视为一项利益,则民法典一千零三十七条中赋予自然人各项与个人信息有关的权利就难以与个人信息的法益本质构成逻辑上的一致。在民法对自然人合法权益的保护中,权利保护相较于法益保护属于一种更高层级的保护,这就导致了以保护法益为内容的1034条难以统领以保护权利为内容的1037条的逻辑困境。其次,从法律实践来看,若采取法益保护的模式,则自然人很难在自身利益受到损害之前采取充分、必要且积极的预防措施,而多数情况下只能以事后救济的形式获得相应的填补;在事后救济环节,也受到该利益是否具有正当性以及保护必要性等多重因素的制约。在当今个人信息快速流动的时代,这样的保护模式显然使作为个人信息所有者的自然人处于被动的地位。

根据以上讨论可以看出,两种保护路径的分歧主要在于个人信息保护的程度、范围以及信息保护与信息利用之间的价值取向和利益平衡等方面。虽然民法典并未直接采用个人信息权的表述,但在当下信息时代的大背景之下,考虑到个人信息的大量使用以及信息保护面临的严峻形势,确认个人信息权对于保护个人信息、促进个人信息的合理利用具有重要的实践意义。

消费者个人信息权的定位

消费者的个人信息在电商交易、数字经济发展以及 社会 生活中具有重要作用,其不仅与消费者的人格密切相关,更能够通过庞大数量的积累产生巨大的财产价值,因此个人信息权被认为兼具人格属性和财产属性。财产利益保护的宗旨在于加强信息主体对其信息的控制,强化个人在处分其信息时的地位,这也是个人信息权各项权能的核心,信息自决是对信息商业化、财产化这一时代背景的回应,当然这并不会改变个人信息所固有的人格属性,也不会动摇个人信息权中人格权部分的地位。因此,可以将个人信息权的财产属性看作完整的复合性权利中的财产权部分,并有针对性地在个人信息保护制度中考虑个人信息财产化的特点。

电子商务消费者个人信息中的财产利益及归属

1.以“可识别性”与“关联性”为标准界定消费者个人信息

消费者个人信息这一概念来源于一般个人信息,是消费者购买、使用商品或接受服务时所提供或产生的能够指向其特定身份的信息,其核心在于能够识别到特定的消费者,即个人信息具有“可识别性”。但考虑到消费者往往在消费、交易过程中提供或产生个人信息,因此消费者个人信息的概念应与一般个人信息有所区别。根据 社会 生活的实践经验,消费者在进行消费活动时,通常会产生或被电商经营者捕获到一些难以直接识别特定消费者、但对于消费活动有重要意义的信息,如交易记录等,因此若仅以可识别性作为确定消费者个人信息的要件,难免范围不周延、界定不全面的情况。考虑到消费活动的特殊性,应当对消费者个人信息的内容进行一定扩张,适当地突破“可识别性”这一特征的限制。

事实上,即使在电子商务领域之外,随着以“可识别性”为标准的信息范围不断扩大,许多学者也主张以“可识别性”与“关联性”将个人信息分为“直接识别”与“间接识别”两类,标准为是否能通过某一信息单独识别出特定个人。所谓“关联性”是指信息本身并不具有能识别出特定人的特殊性,但其能够增加对该特定人的描述、丰富对特定人的认知。

2.消费者个人信息的分类

根据“识别”与“关联”的二分,消费者在电子商务交易中的个人信息应当包括以下两类。一类是消费者的身份信息。顾名思义,消费者的身份信息即与其特定身份有关的个人信息,一般意义上的姓名、住址、身份号码等。其与一般意义上的个人信息相同,都以明显的可识别性为特征。身份信息与消费者的人格密切相关,因此应当完全处于消费者的控制之下,而其所蕴含的财产利益及商业价值,和其人身属性相比居于从属地位,因此身份信息的财产利益应当完全归消费者所有。另一类是消费者的行为信息,即消费者在电子商务交易时以及使用或接受服务的过程中所产生的个人信息,具体内容包括浏览 历史 、交易记录、与电商经营者的沟通记录等。这类信息与身份信息相比并不具有强烈的可识别性,但其能够准确反映消费者在电商活动中的轨迹,通过技术手段深入挖掘和分析即可得知其消费偏好和习惯、生活需求甚至是财产状况等。与身份信息相比,消费者行为信息的人格属性减弱,而财产属性增强,特别是随着经营者的产品营销模式向精准定向营销转变,分析消费者行为信息能够极大地提高营销效率、节约成本。因此有必要将这类信息纳入消费者个人信息保护的范围,并将行为信息中的财产利益归属于消费者。

有学者认为,还应当将消费者在个人网络空间中存储的信息纳入消费者个人信息的保护范畴,如电子邮箱内的信息等。但本文认为,由于跨服务商类别提供个人信息在电子商务交易中仍不普遍,此类信息在电子商务领域、特别是在消费者的交易活动中通常不直接使用,相较于以上两类信息,存储信息在电子商务活动中受侵害的风险相对较小,因此不必将其纳入消费者的个人信息。

此外,消费者的个人信息在被收集后经过加工和整合,还会产生一类来源于消费者的个人信息身份或行为、但已与消费者个体失去关联的衍生信息(如统计数据、群体画像等)。衍生信息是否应当被纳入消费者个人信息的范畴,学界观点不一。本文认为,首先,衍生信息具有匿名化、去关联化的特点,难以与消费者产生直接联系,已经失去了个人信息所必需的人格特征,若将其纳入消费者个人信息予以保护,则保护范围将过于宽泛并将导致保护的有效性和针对性不足,实无必要;其次,衍生信息虽来源于消费者信息,但经过经营者整合、分析、加工和挖掘等技术手段,其所蕴含的财产价值主要来源于经营者付出的劳动,因此若将衍生信息归入消费者个人信息,会打击企业创新的积极性、阻碍数字经济的发展,因此应将衍生信息归入企业的数据财产为宜。

二、消费者个人信息财产利益保护的困境

现行法律保护力度不足

电子商务中个人信息权之财产利益的主体及内容规定不明

在我国现行法律对电子商务经营者或信息处理者的个人信息保护义务多停留在宣示义务的层面,并未对电子商务经营者在保护消费者信息的过程中应当承担何种类型的义务进行具体规定,且一旦发生侵犯个人信息的行为,法律责任如何承担的问题,现行法律的规定也并不全面。特别电子商务法以及消费者权益保护法侧重于通过行政手段处罚违法电子商务经营者,如电子商务法第18条第一款规定禁止电子商务经营者实行“算法价格歧视”,违反该规定将面临该法第77条规定的行政处罚,但对于如何救济受害消费者却并无明确规定。此种模式的确能有力惩治涉事企业或个人,维护市场运行稳定,但对于个人信息受侵害的消费者而言,此种规定明显不足。

司法实践存在诸多困难

首先,电子商务领域的个人信息权纠纷难以通过违约责任得到妥善解决。第一,多数电子商务平台经营者都会在消费者使用其产品或服务之前向消费者展示服务条款或隐私政策等,此类条款可被视为平台经营者与消费者订立的有关个人信息处理的合同。因此当平台经营者违反相关条款收集或处理消费者信息时,消费者应可以通过追究其违约责任获得救济。但通过阅读此类条款可以发现,几乎没有平台经营者将违约责任写入隐私政策,因此消费者很难寄希望于主张电子商务平台经营者的违约责任获得救济。第二,在电子商务活动中,除平台经营者外,还存在其他多种经营者(如平台内经营者),但平台经营者拟定的隐私政策并不适用于消费者与其他电子商务经营者之间的交易。因此,若消费者与其他电子商务经营者发生有关个人信息的纠纷,将更难以追究经营者的违约责任。

单纯财产权保护模式的弊端

从个人信息财产利益的本质来看,对其使用财产权保护模式应是应有之义,但个人信息具有复合性质,若将其人格属性和财产属性分割看待而完全忽视其人格属性,则此种纯粹的财产权保护会造成一系列严重后果。

首先,根据财产权的保护宗旨,权利人应当对其财产享有完全的支配,并在处分、使用等环节完全遵从意思自治原则。从这一原则出发,个人信息将难以避免地陷入完全商业化、市场化的境地,届时信息买卖成为自由,各种不公平的现象将披上“意思自治”的外衣大行其道、逃避监管和制裁。如不同个体因职业、财产、 社会 地位等不同,经过市场化评估其个人信息的价值也会产生差异,而这种价值差异化现象显然与个人信息的人格属性存在难以调和的矛盾,是对其人格性质的彻底颠覆。虽然个人信息既有人格价值又有财产价值,但对于任何一项具体的个人信息而言,这二重属性并不能割裂开来。因此,采取绝对的财产权保护会极大冲击个人信息中的人格权部分,这不仅不符合个人信息权复合属性的保护宗旨,也与 社会 一般观念对个人信息保护的期望不符,更不利于促进数字产业的发展。

综上所述,在现行法律框架下,难以就个人信息的财产利益实现有力的保护。因此本文认为,应当考虑在电子商务信息保护领域贯彻消费者保护的理念,使消费者的信息权利能够得到全面保护和充分救济。首先,在电子商务个人信息领域采用消费者保护模式能保证消费者与电子商务经营者地位的实质公平。消费者权益保护的一大特点在于充分考虑消费者在交易活动中的弱势地位,因此针对消费者这一特征在多个方面对其实施倾斜保护,而给经营者规定了更多的义务并课以更重的责任。相比于传统民法中坚持当事人地位平等、以自己意思为主导的思想,此种倾斜保护的理念更加适应消费活动的现实情况。而在电子商务中,由于消费者与经营者通过信息网络进行交易,双方订立的合同也多为经营者预先拟定的格式条款(如隐私权政策等),相较于传统的消费活动,消费者失去了与经营者充分磋商的现实条件;在个人信息处理过程中,经营者掌握大量的资源和技术,消费者一方则难以通过有效途径达到与电子商务经营者平等的地位,双方交易地位的差距愈发悬殊。因此在电子商务活动中,将个人信息置于消费者保护框架下,是能够充分保护消费者权益、保证交易活动实质公平的可行路径。

三、电商消费者个人信息财产利益的保护路径

明确电子商务消费者的界定

鉴于我国消费者权益保护法和电子商务法中并无消费者的明确概念,因此有必要对这一权利主体进行分析。

1.电子商务消费者应当是购买、使用商品或接受服务的自然人

首先,消费者权益保护的目的是补正消费者的弱势地位以平衡交易双方的关系。但法人等主体在交易中往往与相对方地位平等甚至处于优势地位,因此无须作特殊保护。着重保护消费活动中的弱者,也是消费关系区别于合同关系的体现之一。其次,个人信息指向特定自然人,因此自然人是个人信息权的主体;而由于企业具有掌握信息数量大、处理能力强等特点,其所收集并处理的信息能够给其创造巨大的经济利益,且通过技术手段处理所得的结果往往比信息本身具有更重要的价值,因此对于企业所掌握的信息,其价值虽然来源于消费者的个人信息,但由于企业掌握信息量大、处理能力强,应当认为其已经成为企业享有的利益,因此应以商业秘密、交易数据等形态受到保护,若将其归入“个人信息”,既不能与“个人信息权”这一名词的一般含义形成逻辑自洽,也超越了一般人格权的保护范畴。

第二,权利主体有消费,即购买、使用商品或接受服务的行为。值得注意的是,使用他人购买的商品的自然人也是消费者,可见,其不以与经营者有交易关系为必要。

2.电子商务消费者不以“为生活消费需要”为要件

考虑到电子商务交易的特点,有必要对电商活动中的“消费者”的概念作出一定的扩张。在消费者权益保护法中,“消费者”应当基于生活消费需要,而出于生产或经营目的实施消费行为的主体不能认定为消费者。但是在电子商务交易中,存在非因生活需要而直接参与交易的自然人,如其权益在一般的消费活动中遭受侵害,由于其并非基于生活需要,可以认定其与经营者的地位基本平等,故而单独通过合同法即可得到救济无须倾斜保护;然而从个人信息保护角度观察,其在面对具备强大处理能力的电商经营者时同样处于弱势,其在交易活动中提供或暴露的个人信息都可能面临安全或利益的风险,在与这一点与基于生活消费需要的消费者并无不同。为平衡当事人利益,应当对此类消费者的个人信息权进行保护。因此不应当将主体局限于“为生活消费需要”的自然人,而应当将在电子商务交易中为各种目的而消费的自然人都纳入消费者个人信息权保护的范围。

细化电子商务经营者的义务

电子商务法和消费者权益保护法中均规定了处理信息的电子商务经营者应当负有对消费者个人信息予以保护的义务。从法律条文可以看出,上述两部法律都将电商交易中的信息保护义务主体限定为电商经营者。在电子商务交易的全部过程中,消费者与多方主体之间都存在法律关系。但其他主体的义务接续自电子商务经营者,且义务内容大同小异并多被经营者义务所包含,故而此处仅对经营者的信息保护义务进行讨论。

个人信息权的财产属性主要体现在支持个人对其信息享有一定程度的支配和控制,而个人信息权的各项权能中最核心的自主决定权正是个人信息权财产属性的高度体现,因为决定权是指消费者对个人信息处理的决定和控制,体现了对消费者自由意志的尊重。可以说,个人信息决定权是意思自治原则在信息保护领域的体现。消费者只有享有自主决定权,才能真正增强其对个人信息处理过程的控制。由信息决定权出发,在个人信息的收集过程中,个人信息权应当具备知情、同意的权能;在信息使用阶段,个人信息权应当具备更正和删除的权能。此外,由于消费者个人信息在电子商务领域具有重要的商业价值,其在信息交换和处理活动中常常被视为一种特殊的商品,并由此产生了使用价值和交换价值,不同的电子商务平台经营者之间通过数据交换和数据***享,同时对消费者进行精准推送和个性化服务并从中获利,此时被交换的消费者信息以商品的形式在不同平台之间流通。因此,作为此种特殊商品保有者的消费者应当具有允许他人使用且有偿使用的权利,这同样是消费者对自己的个人信息进行自主决定的体现。

因此从权利义务相对应的角度观察,个人信息保护义务应当包括以下内容:

1.告知义务

出于对消费者知情权的保护,电子商务经营者应当在处理信息前以清晰明确的方式告知消费者有关情况,以使消费者充分知晓并能自主决定和选择;当处理信息的范围或目的等要素变更时,应当就变更事项告知并再次取得同意;义务主体还应当告知消费者查阅、复制有关情况的方式以及联系经营者等义务主体更正、删除信息的渠道。告知义务的适当履行与否,应综合告知的方式、 社会 普遍观念和行业习惯等多个要素判定。

2.合理使用消费者信息的义务

合理使用的基础是合法使用,在使用消费者信息时首先应当遵守法律、行政法规的规定,不得将消费者信息用于非法用途;其次,在与消费者的权利义务关系中,该义务不仅包括在消费者“知情——同意”范围内的合理使用的义务,还包括消费者许可使用后在许可使用合同的范围内合理使用的义务。民法典第1038条第一款明确了处理者的不作为义务,为电子商务经营者充分适当履行义务划定了范围。

3.信息安全保障义务

根据民法典第1038条第二款的规定,义务主体应以必要技术措施防止消费者个人信息权被侵犯,如采取物理隔离、防火墙、有效的监测防范机制等。

4.给付报酬的义务

个人信息买卖无疑是应当禁止并谴责的行为,但消费者作为个人信息主体,应当允许其通过其个人信息的财产价值获得利益。因此在禁止先于信息处理进行对价交易的前提下,应当合理设计有关制度,肯定消费者获得信息利益的权利。有学者提出,电子商务经营者应当设立相关基金,将其通过处理消费者个人信息所获得的利益进行分配,让消费者切实享有其信息的财产利益。本文认为,设立基金的形式能够妥善解决消费者享有信息财产利益和单个消费者获利数额少、分配困难大之间的矛盾,是一种能够充分顾及大多数消费者合法权益的机制。

确认过错推定的归责原则

根据过错推定的归责原则,在发生纠纷时应当由个人信息处理者证明其在处理活动中不存在过错。应当注意的是,在举证过程中消费者应当就处理者过错承担初步的举证责任,包括就消费者自身的个人信息权受到的侵害、处理者在交易活动中存在不当行为以及因果关系等要素进行举证,并应当达到可以推定处理者有过错的程度;随后应当由电子商务经营者承担证明“自己行为没有过错”的责任,如第三人过错、符合 社会 公***利益等,以反驳消费者之主张,否则应承担相应不利后果。

引入惩罚性赔偿制度

最后,惩罚性赔偿还能够通过其责任的严厉性对 社会 中的其他主体产生威慑作用,从而遏制其他类似行为的发生,维护市场秩序以及经济生活的稳定。

鉴于惩罚性赔偿具有以上功能,其在个人信息领域也有巨大的实用价值。惩罚性赔偿的主要制度价值在于其“报复性”和“制裁性”,而不在于实际填补受害人的损失,在这一点上惩罚性赔偿与精神损害赔偿具有相似性,因其都在证明具体损失、确定赔偿数额这一点上存在困难。所以在不涉及财产利益的案件中,受害人的惩罚性赔偿请求不应得到支持。在电子商务个人信息保护这一领域引入惩罚性赔偿制度,将改变一般的补偿性赔偿这一责任模式在大数据时代的固有缺陷,为保护消费者个人信息权提供财产化角度的支持。

惩罚性赔偿本质在于对经营者不法行为的惩戒和制裁,而填补受害者损失则居于惩罚性赔偿制度宗旨的次要地位,甚至可以看作是一种独立于补偿性赔偿责任的、可单独适用的责任制度。因此对经营者课以惩罚性赔偿,不必以消费者实际发生损失为要件,这也能有效规避消费者难以举证其实际损失的有无及大小的困境。换言之,即使消费者并未因其个人信息遭经营者侵犯而造成损失,出于惩罚经营者违法处理信息的目的,也应当使其承担一定的赔偿责任。

结语