“有消费者在国内某家非常大的电子商务平台上买了一个不到300元的包,到货之后接到一个自称是卖家的电话,称自己一时疏忽发错了货,希望消费者能够帮忙办理退货,并承诺退款给该消费者。由于对方掌握的信息跟自己的购物信息(姓名、电话、订单详情及银行卡等)一致,消费者便按照对方发来的链接办理了退款,却不想因此被骗走了12000元。”电子商务法起草工作小组成员、北京华讯律师事务所主任张韬近日在接受记者采访时介绍了他代理过的一个案例。

    电子商务法起草工作小组成员、北京大学法学院副院长薛军在接受《法制日报》记者采访时指出,电子商务立法的前期调研和草案的草拟工作已取得实质性进展,正在争取早日提请全国人大常委会会议审议。

    其中,电子商务中的消费者数据保护问题,是电子商务发展中的核心法律问题。

    “由于拟制定的电子商务法具有较高的效力等级以及对相关问题的规定比较详尽,所以这一法律中关于消费者数据保护的规定,有望成为我国法律体系涉及网络交易中消费者数据保护的基础性、框架性规定。”薛军表示。

界定重点在于“可识别性”

    薛军说,电子商务法草案目前仍处于征求意见过程中,但可以看出,其中关于电子商务数据信息相对完整和全面的规定,将非常有助于我国法律体系中关于数据保护法律制度的进一步完善。

    草案明确规定,电子商务消费者享有对其个人信息自主决定的权利。在界定电子商务消费者个人信息的范围时,草案采取了“具体列举”与“概括描述”相结合的方法,将范围界定为:信息收集人在电子商务活动中收集的姓名、身份证件号码、住址、联系方式、位置信息、交易记录、支付记录、快递物流记录等能够单独或者与其他信息结合识别特定消费者身份的信息。

    薛军指出,关于个人信息范围的界定方法,其重点在于“可识别性”要素。草案通过这个要素,试图将个人信息与作为电子商务企业重要资产形态的大数据区分开来。

    “尽管大数据也可能建立在相关个人信息集合的基础之上,但经过了严格的匿名化处理,在不对个人信息权构成侵害的前提下,可以进行商业化利用。当然,必须确保的是,这种匿名化过程必须是不可逆的,这样才能够确保不会导致对消费者个人信息的侵害。”薛军说。

    张韬同样认为,对于个人信息,如果经过匿名化处理使他人无法识别特定个人身份且不能复原(即去身份化)后,可以在一定条件下使用、交换和共享。例如,贵阳大数据交易所就是在能够很好地保护商业秘密和个人隐私信息这一前提下,得以迅速发展的。

限制经营者滥用优势地位

    薛军透露,草案原则上要求,信息收集人收集电子商务消费者个人信息,应当遵循合法、必要、正当原则,事先告知消费者信息收集、处理和利用的规则,并征得消费者的同意。

    需要强调的是,这里的同意应该理解为明示同意,也就是将缺省状态(即默认状态)设置为不同意,但消费者可以明确选择同意；而非将缺省状态设置为同意,允许消费者另行选择不同意。

    为了限制经营者在这一问题上通过格式条款等方法,侵犯消费者实质性选择权,草案还规定,信息收集人不得以拒绝为消费者提供服务为由强迫消费者同意其收集、处理、利用个人信息。这一规定的目的在于,结合信息数据收集上的必要性原则,限制经营者滥用其在合同缔结方面的优势地位。

    草案还规定,禁止采用非法交易、非法入侵、欺诈、胁迫或者其他未经消费者授权的手段收集个人信息。信息收集人修改个人信息收集、处理、利用规则的,应当取得消费者的同意。消费者不同意的,信息收集人应当提供相应的救济方法。

对泄露隐私信息等“零容忍”

    薛军坦言,关于电子商务消费者个人信息的处理和利用问题受到高度关注,必须在与数据利用相关的商业利益与个人信息保护之间寻求最完美的均衡。总的来说,电子商务法草案的相关思路是,以保护消费者作为基本出发点。

    电子商务消费者对个人信息的处理和利用应当符合消费者同意的处理、利用规则。信息收集人处理、利用个人信息的行为可能侵害消费者合法权益的,消费者有权请求信息收集人中止相关行为。

    信息收集人变更收集信息时约定的处理、利用的目的、方式和范围的,应当告知消费者,并征得消费者的明示同意。

    法定或者约定保存期限届满,信息收集人应当主动或者按照消费者的请求删除、停止处理、利用或者销毁相关个人信息。

    在张韬看来,并不应对所有的个人信息都要“一刀切”式地允许或者禁止使用,而是要划分个人一般信息和个人隐私信息的边界,根据相关数据信息的属性、所属领域和类别、可对数据信息权利人造成的影响等多方面对其分类,再根据具体的类别给予相应级别的保护。

    张韬认为,考虑到相关数据、信息的类型和性质,对个人隐私要严格保护,除非经数据信息权利人的许可,否则禁止任何企业、其他组织和个人使用、交易或者披露个人隐私。对于个人隐私信息的泄露、盗取和非法使用应当采取“零容忍”的态度,对违法行为给予严厉打击。

确保消费者个人信息安全

    薛军介绍,草案规定,信息收集人应当建立健全内部控制制度,并采取必要措施防止信息泄露、丢失、毁损,确保消费者个人信息安全。在发生或者可能发生消费者个人信息泄露、丢失、毁损时,信息收集人应当向相关部门报告、采取补救措施,并及时告知消费者。

    “网络安全中的重要内容就是消费者个人信息安全问题。互联网世界中已经发生多起大规模的个人信息泄露事件,造成非常大的负面影响。因此电子商务法草案对于从事电子商务经营活动的主体,规定了特别的信息安全保障义务,这是完全合理的,而且也是必要的。”薛军说。

    由于网络交易在社会经济生活中占据越来越重要的地位,政府主管部门落实管理和监管措施往往要依赖于电子商务经营者的配合。而这种配合,在很多时候表现为提供相关的数据信息。

    “从政府的角度来看,这一要求是合理的,也是必要的。但从电子商务经营者来看,则存在一定的风险,因为经营者对消费者个人信息负有相应的义务,如果提供给政府的相关数据发生泄露或不当使用,将直接导致经营者承担法律责任。”薛军说。

    薛军介绍,为了平衡二者的需求,电子商务法草案规定电子商务管理部门应当依法要求电子商务经营主体提供电子商务数据信息,并采取必要措施保护相关数据信息的安全。因电子商务管理部门的过错导致数据信息泄露、丢失、毁损,侵害当事人合法权益的,电子商务管理部门应当依法承担损害赔偿责任。

    张韬表示,相关政府部门在获取企业的数据信息后,应当采取必要的安全保障措施,对数据信息给予保密,一旦出现数据信息泄露,应当根据具体情况进行追责。

    薛军同时强调,关于这一问题,因为涉及企业公法上的义务与私法上义务的交叉影响,同时也与政府相关执法部门存在密切联系,因此如何合理界定其范围,平衡不同的诉求,还处于热烈讨论之中。