上海政法学院,上海
电子商务,这一源自数字时代的商业模式,随着互联网的蓬勃发展和普及,已成为现代社会经济中不可或缺的一部分。它不仅改变了传统商业结构,而且创造了全新的商务机会和消费体验。这种商务模式以其开放性、共享性及互动性为主要特征,用户可以在全球范围内无缝地进行商品和服务交易,这无疑极大地拓展了信息的传播与共享空间。国家统计局数据显示,近年来,我国电子商务经济蓬勃发展,如图1所示,截至2022年,全国电子商务交易额达43.88万亿元,a我国网络购物用户规模达8.45亿,占网民整体的79.2%,b电子商务模式与业态迭代演进,对我国经济发展的作用日益重要。c
图 1 全国电子商务交易额(万亿元)
Figure 1 National e-commerce transaction volume (trillion yuan)
电子商务带来的不仅是便利与快捷,更是对个人信息安全、自由和隐私的冲击;在电子商务的大潮中,个人信息的数字化存储与处理变得越来越普遍。通过各种在线平台,个人数据能够迅速而广泛地传播,从社交媒体到金融服务,再到广告推送,无不涉及对这些数据甚至包括敏感信息的收集和利用。然而,随之而来的是个人信息保护问题的凸显。由于网络服务商之间的竞争日益激烈,加之追求利润最大化的驱动,它们可能会采取非法手段收集和使用用户信息;同时,网络用户对于个人信息安全意识的不足也增加了信息泄露的风险。此外,政府监管部门在个人信息保护监管方面的不充分,以及对互联网行业标准制定的滞后,也进一步加剧了个人信息保护的难题,如“CSDN(微博)泄密门”事件,a这被称为“几乎让国内互联网裸奔”。
尽管我国在过去几年里陆续出台了一些关于个人信息保护的法律法规,旨在规范市场行为,保护公民隐私权益,但实际执行效果却不尽如人意。现有法规在具体实施过程中往往难以得到有效落实,法律效力大打折扣。现实情况显示,许多企业仍然无视法律规定,滥用个人信息,而普通消费者则因缺乏足够的个人信息安全知识,很难维护自身的合法权益。随着2021年《个人信息保护法》的出台和实施,电商平台如何更好地保护和合理利用个人信息以促进电商经济的可持续发展,成为其需要解决的关键问题。实践中,电商平台通过制定“隐私政策”与用户达成信息收集和使用的协议,本文将在此基础上,综合用户规模、市场知名度和交易额等标准,选取15款电商平台的隐私政策作为样本进行分析,研究其中存在的问题,并提出规范路径和完善建议。
(1)个人信息的内涵和历史沿革
目前,我国关于个人信息的有关规定主要见于《民法典》第一千零三十四条,该条款阐释了个人信息的基本概念,并通过概括式和列举式相结合的方式界定了其范围,即指能识别特定自然人的各种信息,包括姓名、出生日期等,具有可识别性、特定性等特点,并受法律保护。
个人信息作为一项重要资源,为世界各国所重视,对其的保护和利用已经成为不可阻挡的潮流,而在国内,立法层面上关于个人信息保护的历史渊源也可以追溯到20世纪90年代后期,并在实践中不断发展完善,如表1所示。
(2)隐私政策的概念和性质
隐私政策(Privacy Policy),或称隐私声明,是指企业或网络服务提供者制定的文件,旨在告知用户其如何收集、使用及与第三方共享的情况。这一概念最早源于美国,不过,在我国《民法典》《个人信息保护法》等法律中使用的是“个人信息处理规则”b或“处理信息的规则”c。实践中,在部分文件和行业规定中可见“隐私政策”一词,如《App违法违规收集使用个人信息行为认定方法》第一条中规定:以下行为可被认定为“未公开收集使用规则”:在App中没有隐私政策,或者隐私政策中没有收集使用个人信息规则等。
隐私政策的本质是个人信息处理者的规则和义务,即网络服务提供者依照法律向用户告知信息处理的相关规则。我国《个人信息保护法》第七条规定,处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。电商平台制定隐私政策,一方面是因为消费者越来越注重隐私保护,另一方面也是法律对于信息处理者的约束,尤其在侵害个人信息权益纠纷案中,平台的隐私政策对于认定其是否存在侵害行为有非常重要的作用。
表 1 个人信息立法的历史沿革
Table 1 The historical evolution of personal information legislation
时间 | 相关规定 |
2000年 | 《全国人大常委会关于维护互联网安全的决定》规定采用刑事制裁手段来维护信息主体的个人信息权利。 |
2012年 | 《关于加强网络信息保护的决定》规定国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。 |
2014年 | 《消费者权益保护法》第三条,强调保护消费者个人信息,规定经营者的保护义务以及侵权责任。 |
2017年 | 《网络安全法》规定了个人信息的概念,并规定违反本法给他人造成损害的,依法承担民事责任。 |
2020年 | 《中华人民共和国民法典》规定自然人的个人信息受法律保护,享有隐私权,个人信息的处理要符合要求。 |
2021年 | 《个人信息保护法》保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用。 |
本文所选样本是根据数据统计网站Alexa,d综合用户规模、市场知名度和交易额等标准,选取15款电商平台 的隐私政策作为样本进行分析,如表2所示。
表 2 样本平台的隐私政策分析
Table 2 Analysis of privacy policy of the sample platform
淘宝 | 《淘宝隐私权政策》,2023年10月24日更新 | 是 | 是 | 是 | √ | √ | √ | √ | √ |
抖音 | 《“抖音”隐私政策》,2024年3月18日更新 | 是 | 是 | 是 | √ | √ | √ | √ | √ |
拼多多 | 《拼多多隐私政策》,2023年8月22日更新 | 是 | 是 | 是 | √ | √ | √ | √ | √ |
小红书 | 《小红书用户隐私政策》,2024年2月28日更新 | 是 | 是 | 是 | √ | √ | √ | √ | √ |
京东商城 | 《京东隐私政策》,2023年12月6日更新 | 是 | 是 | 是 | √ | √ | √ | √ | √ |
天猫商城 | 《天猫基本功能隐私》,2023年4月19日更新 | 是 | 是 | 是 | √ | √ | √ | √ | √ |
阿里巴巴 | 《阿里巴巴(1688)隐私政策》,2022年11月5日 | 是 | 是 | 是 | √ | √ | √ | √ | √ |
得物 | 《隐私权政策》,2024年2月8日更新 | 是 | 是 | 是 | √ | √ | √ | √ | √ |
美团网 | 《美团基本功能隐私政策》,2024年3月26日更新 | 是 | 是 | 是 | √ | √ | √ | √ | √ |
大众点评 | 《大众点评隐私政策》,2024年3月29日更新 | 是 | 是 | 是 | √ | √ | √ | √ | √ |
亚马逊购物 | 《隐私声明》,2024年1月27日更新 | 是 | 否 | 是 | √ | √ | √ | × | × |
唯品会 | 《唯品会基本功能隐私政策》,2023年2月2日更新 | 是 | 否 | 是 | √ | √ | √ | √ | √ |
华为商城 | 《华为商城基本功能隐私政策》,2024年2月27日更新 | 是 | 是 | 是 | √ | √ | √ | √ | × |
苏宁易购 | 《苏宁易购基本功能隐私政策》,2023年2月14日更新 | 是 | 是 | 是 | √ | √ | √ | √ | √ |
当当网 | 《当当基本功能隐私政策》,2023年2月10日更新 | 是 | 否 | 是 | √ | √ | √ | √ | √ |
(1)个人信息的收集和使用的同意机制
根据《网络安全法》的规定,收集个人信息应当征得用户同意。因此,样本中的所有平台都以类似于格式条款的方式提示并征求用户同意信息的授权,通常附带独立的平台隐私政策链接以供查询,平均点击两次就可以查看完整的政策内容。然而,电商平台的使用者并非都具有理解隐私政策中专业术语的知识和能力。因此,实践中,大多数用户并不会仔细浏览隐私政策,而是选择直接勾选“同意”选项,个人信息保护在一定程度上成为“纸上谈兵”。
(2)隐私政策的“强制同意”
根据《消费者权益保护法》第九条的相关规定,消费者享有自主选择商品或者服务的权利,即消费者有权自主决定接受或不接受某一项服务。然而,在本文选取的研究样本中,所有电商平台都将“同意其隐私政策”作为可以继续注册使用平台与接受服务的必要条件,消费者在这一过程中没有可以选择的余地,相当于“强制同意”政策中的所有内容,如淘宝在其隐私政策中注明“如拒绝提供相应信息,将无法正常使用产品及服务”,在一定程度上侵害了消费者的自主选择权。
(3)个人信息的保护承诺
《网络安全法》还要求,网络运营者应当建立健全用户信息保护制度。任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。在发生或者可能发生个人信息泄露、丢失的情况时,应当立即采取补救措施。在研究的样本中,多数平台隐私政策采取以下三种方式来进行保护:一是告知了存储的时间期限和地点,并向用户提供了查询、复制、删除个人信息和变更授权范围的权利;二是承诺平台采取安全技术措施保障数据安全能力,发生风险时,采取相应手段降低用户风险;三是提醒消费者个人注重个人信息的保护。
(4)未成年人信息保护
我国的《未成年人保护法》《网络安全法》以及《民法典》都明确规定了未成年人个人信息保护的相关内容。这是因为,由于未成年人缺少社会认知和经验,其信息受到侵害的可能性更大,因此,未成年人个人信息保护具有其特殊性和必要性。多数平台对于未成年人的信息收集和使用都作出了特别规定。例如,亚马逊购物网仅对未成年人使用条件进行一定限制。也就是说,网络运营者在收集、使用未成年人个人信息时必须“明示”或“以显著方式告知”,同时,网络运营者还要对未成年用户进行“提示”,尤其注重未成年人的信息保护。
(5)Cookie及类似技术的使用
在选取的研究样本中,除华为商城和亚马逊购物网外,其他平台都申明使用了Cookie或类似技术,当用户浏览器每次打开网页时,Cookie都会将他们的个人信息发送到服务器,还可以用来识别用户访问的网站,它可以告诉平台用户的喜好、兴趣以及访问的网站等信息,以此来提高平台广告推送的精确度,优化服务质量,如《“抖音”隐私政策》声明使用相关技术主要是为了帮助改进服务效率,提升登录和响应速度,并且赋予了用户清除Cookie的权利。
根据【奇安信】发布的《2022年度App收集个人信息检测报告》,a存在相当部分 App 在未经用户同意的情况下就开始收集用户个人信息,个别应用甚至频繁收集用户个人信息。其中,网络购物类App占比9.2%,排名第二,这些违规行为对用户而言难以觉察,但却严重侵害了用户的个人隐私。由于网络科技的发展,电商平台借助多种技术手段收集和利用用户信息是轻而易举的。在某些行业,贩卖消费者数据也已经形成了成熟的产业链。然而,对于用户来说,由于自身能力、精力的有限,一方面难以意识到个人信息已被泄露,另一方面即使意识到这一问题,维权过程也非常困难。
在上述样本分析的表格中,所有的电商平台都将同意其隐私政策作为了必要条件门槛,表面上看似用户可以有选择的权利,但是实质上并没有真正选择的权利。平台利用自己的优势地位而制定出偏向于自身的政策,一味追求自身利益最大化,而用户作为接收方,若想要使用电商平台的服务就不得不接受可能对自己不利的条款。这一操作无疑违背了《消费者权益保护法》的相关规定,侵害了消费者的自主选择权。
在本文的研究样本中,大部分电商平台都在其隐私政策中列明“未成年人个人信息保护”的章节,包括要求监护人陪同、开发青少年模式、实名认证、限制使用时长等内容。然而,如《小红书儿童青少年个人信息保护规则》中说明,其不会主动识别和判断收集和处理的个人信息是否属于未成年人,默认使用者是具有相应行为能力的成年人,即电商平台对于未成年人的保护是一种被动模式,对于未成年这一特殊群体的保护极为有限。
个人信息保护不到位是电商平台面临的一个重要问题。在电商平台上,用户的个人信息如姓名、地址、电话等是购物、支付过程中不可或缺的。然而,一些电商平台如得物,其隐私政策中提到“为提供个性化服务,将会收集和使用用户在访问、浏览得物时的信息”,即不论用户愿意与否,只要使用此平台,信息就会被记录,这无疑是一种“霸王条款”。此外,一些电商平台还存在数据泄露的风险,根据威胁猎人发布的《2023年数据泄露风险年度报告》,有数据泄露问题的行业中,电商行业排名已经进入Top5。b这导致用户的个人信息可能被不法分子利用,造成隐私泄露和财产损失。
由于个人信息保护已成为现代社会治理的基本需求,传统个人信息保护理论已然落后。传统个人信息保护理念,将个人信息作为一种绝对权利加以保护,不仅在理论上无法与现有法律体系相融合,而且在实践中也不能充分有效地保障个人信息主体的合法权益。而以“信息自决”为核心的个人信息保护理念,虽然有助于克服传统人格权理论的固有缺陷,但其自身也存在诸多弊端。以“知情同意”为核心的个人信息保护理念,虽然可以较好地实现对个人信息主体合法权益的保护,但其过于强调个人信息的权利属性,可能导致对个人信息主体知情权和决定权的侵犯。而以“数据主权”为核心的个人信息保护理念,虽然可以实现对个人信息主体行使数据权利的有效控制,但其过于强调国家在数据保护中的作用,无法充分保障公民隐私权与自由权等基本权利。
个人信息权应定位为一种新型人格权,个人信息主体应享有包括知情权、决定权、更正权、更新权等在内的完整权利,数据控制者在处理个人信息时应遵循“知情同意”原则,并以“充分告知”为前提。为了实现对个人信息的有效保护,应建立起包括事前防范、事中监管和事后救济的个人信息保护法律体系,对于个人信息处理者来说,应明确其数据处理的法律依据,并建立相应的个人信息保护机制。在《个人信息保护法》引领下,依据《网络安全法》,修订并完善现有法律法规,构建责任明确、系统完善的个人信息保护法律体系。
用户作为信息的来源者和提供者,首先需要加强自我防范意识,提高个人信息保护敏感度,这是个人信息保护的首要一环。因为,个人信息泄露一定程度上与用户缺乏信息保护意识及不良购物习惯有关。所以,应当谨慎透露个人信息,如可以匿名注册,避免安装来历不明的软件和插件。
用户在接受平台服务之前,应仔细阅读相关隐私政策,了解自己所拥有的权利。当遇到个人信息泄露或发现平台违规收集和利用个人信息时,应及时向有关监管部门举报和投诉。提高自我防范意识能在源头上有效避免个人信息泄露,进而减少个人信息被非法利用的空间,建立起个人信息保护的第一道防线。
当下,未成年人信息泄露和滥用问题日益严重,因此,需要采取一系列措施来加强未成年人信息保护。首先,应构建未成年人个人信息保护的统一规范制度。例如,个人信息保护法中明确提出了对不满十四周岁未成年人个人信息的处理要求,此外,还应结合未成年人保护法等法律,统一未成年人信息保护规范。其次,学校、家庭和社会应共同参与到未成年人信息保护工作中来。学校可以开展相关教育课程,提高未成年人的信息安全意识和自我保护能力;家庭应加强对孩子的监管,避免将孩子的个人信息随意泄露给陌生人;社会应营造良好的信息保护氛围,让每个人都认识到保护未成年人信息的重要性。最后,电商平台也应承担起相应的责任,应严格遵守相关法律法规,不得收集、使用或泄露未成年人的个人信息。同时,平台还应采取必要的技术手段,通过浏览信息来主动识别使用者是否为未成年人,并可以用邮件、短信等方式提醒监护人。
加强未成年人信息保护还需要全社会的共同努力。我们需要通过宣传、教育等方式,提高全社会对未成年人信息保护的认识和重视程度。同时,还应建立完善的信息保护机制,确保未成年人的个人信息得到全面、有效的保护。总之,加强未成年人信息保护是一项长期而艰巨的任务,只有通过多方合作,才能确保未成年人的个人信息得到充分的保护,为他们创造一个安全、健康的网络环境。
为了健全多元化的监督体制,强化对电商平台的监管,并保护消费者个人信息,我们可以从以下几个方面入手:一是构建多层次的监督体系。首先,政府部门应加强对电商平台的监管,制定严格的行业标准和规范;同时,应建立跨部门协作机制,形成监管合力,避免监管空白和重复劳动。其次,行业加强自律。鼓励电商平台成立行业协会或自律组织,制定行业自律规则,进行自我评估,加强行业内部的自我管理和监督。最后,加强社会监督。通过设立投诉举报渠道,鼓励消费者、媒体和公众对电商平台不当收集和利用个人信息的行为进行监督,并对涉事电商平台进行曝光和追责。二是完善电商平台的自身的监管机制。采用“事前预警”和“事后处置”结合的方式,电商平台可以采用先进的数据加密、访问控制等技术手段,确保消费者个人信息的安全性和隐私性;同时,建立个人信息保护的风险评估和预警机制,对可能出现的风险进行预警和防范;平台还应建立个人信息泄露应急响应机制,即一旦发生个人信息泄露事件,立即采取有效措施防止信息进一步扩散,并及时向监管部门和消费者报告。
随着电子商务的迅猛发展,个人信息的收集、处理和使用变得越来越普遍,而个人信息泄露、滥用等问题也日益突出。因此,保护电商平台用户的个人信息显得尤为重要。其中,平台隐私政策在保护电商消费者个人信息中发挥着至关重要的作用。隐私政策不仅是平台与用户之间就信息保护达成的合意,明确收集、使用、共享和保护个人信息的原则、方式和范围,确保用户在充分知情的情况下自愿提供个人信息;还是平台实现有效自律的重要手段,通过制定和实施隐私政策,平台可以规范自身的行为,确保在收集、处理和使用个人信息时遵守法律法规和道德规范;同时,隐私政策也是其他主体监督平台的有效工具,政府监管部门、消费者组织以及其他利益相关者可以通过审查平台的隐私政策来评估电商平台是否真正保护了用户的个人信息。
综上所述,强化对电商平台用户个人信息保护是当前的重要任务。平台隐私政策在保护电商消费者个人信息中扮演着重要角色。本文通过选取15款电商平台作为研究样本,对其隐私政策进行分析,发现存在主体地位不平等、消费者权益受损、未成年人保护不到位和监管缺失的问题,因此需要继续夯实法律和理论基础,提高消费者自我保护意识,关注未成年人的信息保护,加强对电商行业的监管,规范个人信息保护的路径,推动我国电商平台健康良性发展,促进经济社会和谐发展。