張舒榮

《電子商務(wù)法（草案）》二審稿第20條規(guī)定：“電子商務(wù)經(jīng)營者收集、使用其用戶的個人信息，應當遵守《中華人民共和國網(wǎng)絡(luò)安全法》等法律、行政法規(guī)規(guī)定的個人信息保護規(guī)則?！边@是通過指引性規(guī)范對電子商務(wù)數(shù)據(jù)信息的保護做出規(guī)范，而《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》）針對網(wǎng)絡(luò)數(shù)據(jù)信息的安全維護做出了較為詳盡的規(guī)定，但電子商務(wù)數(shù)據(jù)信息具有特殊性，針對其不同于一般數(shù)據(jù)信息的商業(yè)特征，有必要對網(wǎng)絡(luò)安全法中沒有規(guī)定的內(nèi)容進行補充完善，以加強對電子商務(wù)數(shù)據(jù)信息的全面保護。

一、中國電子商務(wù)數(shù)據(jù)信息法律保護的困境與挑戰(zhàn)

隨著大數(shù)據(jù)時代的到來，電子商務(wù)數(shù)據(jù)信息的保護面臨著各種困境和挑戰(zhàn)，也對其法律保護提出了更高的要求。

（一）大數(shù)據(jù)開放共享與私有權(quán)利保護的沖突

隨著移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等新技術(shù)的迅速發(fā)展，無論知情與否同意與否我們的生活已經(jīng)處在了一個由數(shù)據(jù)信息編制而成的巨大網(wǎng)絡(luò)之中。電子信息社會在給我們帶來方便快捷、拓展我們活動空間的同時也引發(fā)了各種隱患。當我們在進行各種電子商務(wù)活動時，都會面臨一系列的隱私授權(quán)，如位置信息、通話記錄、通訊錄等，很多情況下常常是被迫授權(quán)，因為不同意就無法使用。而殺毒軟件、瀏覽器、各種購物社交軟件也在我們無法知悉的情況下實時記錄著我們的各項基本數(shù)據(jù)活動信息。電子商務(wù)數(shù)據(jù)信息的泄露導致我們經(jīng)常收到各種莫名其妙的短信、電話和推送，也誘使很多人上當受騙甚至因此想不開而選擇輕生。電子商務(wù)數(shù)據(jù)信息關(guān)乎的不僅是消費者方的利益，涉及的不僅是個人信息保護的問題，還關(guān)系著作為電子商務(wù)經(jīng)營者的利益?，F(xiàn)代社會，掌握了數(shù)據(jù)信息就相當于掌握了生存之道和發(fā)展之基，很多電子商務(wù)的經(jīng)營者都將掌握的用戶個人信息以及在此基礎(chǔ)上加工處理的二次數(shù)據(jù)作為自己的私有財產(chǎn)，甚至有一些信息咨詢公司以此作為賺錢之道。毫無疑問，電子技術(shù)的發(fā)展促進了數(shù)據(jù)信息的融通與共享，在有利于我國電子商務(wù)產(chǎn)業(yè)迅速發(fā)展的同時，也嚴重威脅個人信息安全和經(jīng)營者私有財產(chǎn)的安全。電子商務(wù)數(shù)據(jù)信息構(gòu)成了互聯(lián)網(wǎng)數(shù)據(jù)信息的大部分，有必要通過法律規(guī)范的方式對電子商務(wù)數(shù)據(jù)的流通共享與私有權(quán)利保護之間進行價值平衡，實現(xiàn)利益的最大化。

（二）電子商務(wù)用戶的個人數(shù)據(jù)信息保護困境

在大數(shù)據(jù)環(huán)境下，侵犯用戶的個人信息呈現(xiàn)出犯罪行為多樣化、危害全民性和公共性等特征。電子商務(wù)用戶的個人信息在收集、利用和保管過程中存在著各種各樣的安全危機，如用戶的個人信息被不法收集和過度收集；網(wǎng)絡(luò)經(jīng)營者和網(wǎng)絡(luò)信息中介公司以盈利為目的直接或進行二次加工后交換、買賣用戶的個人信息；網(wǎng)絡(luò)經(jīng)營者的信息安全保障系統(tǒng)級別過低也可能導致用戶個人數(shù)據(jù)庫被泄露或為不法分子盜取提供可乘之機。

（三）電子商務(wù)數(shù)據(jù)信息膨脹發(fā)展提出的立法挑戰(zhàn)

電子商務(wù)數(shù)據(jù)信息的迅速膨脹式發(fā)展需要緊跟互聯(lián)網(wǎng)和電子商務(wù)的發(fā)展步伐，同時也需傳統(tǒng)的數(shù)據(jù)信息保護適應新的挑戰(zhàn)。目前，各國都對個人信息的保護做出了相關(guān)立法規(guī)定，內(nèi)容涵蓋原則、權(quán)利義務(wù)、救濟等方面，手段包括政府機構(gòu)、行業(yè)自律和用戶個人。由于各國國情不同，目前我國正在進入一個全新的無現(xiàn)金式社會，傳統(tǒng)立法中對電子商務(wù)數(shù)據(jù)信息的定位及保護規(guī)范，處理現(xiàn)在的電子商務(wù)數(shù)據(jù)信息問題具有一定的局限性，有必要針對電子商務(wù)發(fā)展的特殊性制定促進經(jīng)濟發(fā)展符合社會需要的電子商務(wù)數(shù)據(jù)信息保護規(guī)則。

二、中國電子商務(wù)數(shù)據(jù)信息保護的法律分析

制定完善的電子商務(wù)數(shù)據(jù)信息保護法律制度，有必要先對電子商務(wù)數(shù)據(jù)信息的概念、基本類型和權(quán)利主體等基本法律問題進行分析。

（一）電子商務(wù)數(shù)據(jù)信息的界定

《網(wǎng)絡(luò)安全法》中明確：“網(wǎng)絡(luò)數(shù)據(jù)，是指通過網(wǎng)絡(luò)收集、存儲、傳輸、處理和產(chǎn)生的各種電子數(shù)據(jù)?！彪娮由虅?wù)數(shù)據(jù)信息是指在電子商務(wù)活動中通過互聯(lián)網(wǎng)收集、存儲、傳輸、處理和產(chǎn)生的各種電子數(shù)據(jù)信息，不僅包含用戶的個人信息，還包含網(wǎng)絡(luò)經(jīng)營者收集加工的數(shù)據(jù)信息。將電子商務(wù)數(shù)據(jù)信息作為隱私權(quán)來保護是一種最為簡便的方式，但電子商務(wù)數(shù)據(jù)信息與民法中具有人身屬性的個人信息相比還有很大區(qū)別，其不僅具有人格屬性，還體現(xiàn)出了巨大的財產(chǎn)價值，故應當將其作為一種單獨的權(quán)利加以保護，并且在權(quán)利保護方面實行區(qū)分對待。當電子商務(wù)數(shù)據(jù)信息主要體現(xiàn)的是人格利益，應當保護其人格權(quán)；當主要是體現(xiàn)網(wǎng)絡(luò)經(jīng)營者的財產(chǎn)價值時，應保護其財產(chǎn)利益。

（二）電子商務(wù)數(shù)據(jù)信息的基本類型

電子商務(wù)數(shù)據(jù)信息主要有以下三種類型。（1）用戶個人的基本信息。主要包括姓名、電話號碼、身份證號、家庭住址等私人信息以及在交易過程中可能涉及的銀行卡賬號密碼等信息。（2）用戶網(wǎng)絡(luò)活動信息。主要是通過追蹤和分析用戶在進行網(wǎng)絡(luò)活動時留下的痕跡，判斷用戶的消費傾向和購買習慣等信息以便為商家進行精準營銷提供參考數(shù)據(jù)。（3）用戶信息二次加工數(shù)據(jù)。網(wǎng)絡(luò)經(jīng)營者利用掌握的用戶個人信息建立綜合的數(shù)據(jù)庫，通過加工分析提取一些用戶潛在的具有商業(yè)價值的信息，提供給商家制定其下一步的銷售策略[1]。

（三）電子商務(wù)數(shù)據(jù)信息的權(quán)利主體

當前社會各界關(guān)注重點是數(shù)據(jù)主體的個人信息權(quán)，對電子商務(wù)經(jīng)營者和數(shù)據(jù)從業(yè)者的權(quán)利關(guān)注較少。運用數(shù)據(jù)處理技術(shù)整理數(shù)據(jù)從而發(fā)掘其商業(yè)和社會管理價值，是數(shù)據(jù)從業(yè)者從事數(shù)據(jù)收集和處理的動力所在，在收集處理、分析活動的同時也凝結(jié)了其智力勞動。因此，在不侵害數(shù)據(jù)主體個人信息權(quán)的前提下，應保證數(shù)據(jù)從業(yè)者對其收集加工整理后具有原創(chuàng)性的數(shù)據(jù)享有的知識產(chǎn)權(quán)，這有利于數(shù)據(jù)從業(yè)者合作共享，有利于促進大數(shù)據(jù)產(chǎn)業(yè)的良性發(fā)展。當然，同所有知識產(chǎn)權(quán)保護相似，對數(shù)據(jù)從業(yè)者的數(shù)據(jù)知識產(chǎn)權(quán)保護要有明確的規(guī)則，以取得促進創(chuàng)新與社會發(fā)展的平衡。孫憲忠教授認為，數(shù)據(jù)從業(yè)者對這些信息僅僅只有占有的權(quán)利，并沒有所有權(quán)，不同意信息占有者將這些信息當作自己的財產(chǎn)的觀點。同時，按照《民法總則》第111條規(guī)定，信息獲得者對他們獲得的信息負有嚴格保護的義務(wù)，以及依法使用的義務(wù)等。綜上，個人信息權(quán)所享有的是所有權(quán)，信息獲得者和數(shù)據(jù)從業(yè)者所享有的權(quán)利主要從知識產(chǎn)權(quán)角度進行保護。

三、中國電子商務(wù)信息立法現(xiàn)狀

目前，我國未制定統(tǒng)一的信息保護法，關(guān)于電子商務(wù)數(shù)據(jù)信息的保護條文散見于《憲法》《民法總則》《刑法》《行政訴訟法》《侵權(quán)責任法》等法律法規(guī)中，也陸續(xù)出臺了相關(guān)專門文件，又相繼制定頒布了《網(wǎng)絡(luò)安全法》等法律法規(guī)加強信息保護。它們在保護電子商務(wù)數(shù)據(jù)信息方面起著重要的作用。但這些規(guī)范整體呈現(xiàn)出過于分散，缺乏一個完整的法律保護體系；刑法中對侵害信息的違法犯罪行為懲罰力度不夠；沒有建立相應的民事賠償制度等問題。

目前，《電子商務(wù)法（草案）》已經(jīng)進入第二次審議階段。二審稿相比一審稿發(fā)生了很大的變化，制度更加完善語言也更加嚴謹精煉。其中，發(fā)生最大變化的是原來的一審稿設(shè)第四章電子商務(wù)交易保障一章，分別規(guī)定了：電子商務(wù)數(shù)據(jù)信息、市場秩序與公平競爭、消費者權(quán)益保護和爭議解決四部分內(nèi)容，現(xiàn)在的二審稿刪去了這部分內(nèi)容，將有關(guān)電子商務(wù)數(shù)據(jù)信息保護的內(nèi)容放在了第二章電子商務(wù)經(jīng)營者一章中，主要由第20、21和22三個條文加以規(guī)定。第20條：“電子商務(wù)經(jīng)營者收集、使用其用戶的個人信息，應當遵守《中華人民共和國網(wǎng)絡(luò)安全法》等法律、行政法規(guī)規(guī)定的個人信息保護規(guī)則。”通過這一指引性規(guī)范直接加以規(guī)定，沒有再細節(jié)性地進行全面規(guī)定。而《網(wǎng)絡(luò)安全法》主要在第四章網(wǎng)絡(luò)信息安全的第40～50條對網(wǎng)絡(luò)信息進行了規(guī)范?！毒W(wǎng)絡(luò)安全法》是2016年11月制定2017年6月正式實施的一部法律，對保障網(wǎng)絡(luò)安全、維護網(wǎng)絡(luò)空間主權(quán)和各方利益具有重要作用，內(nèi)容也比較詳盡，涉及網(wǎng)絡(luò)信息的基本原則，收集、加工和處理環(huán)節(jié)的具體可指引性規(guī)范，對第三方主體網(wǎng)絡(luò)平臺的責任以及法律責任和救濟等各方面，是一部較為完善的法律。但是，電子商務(wù)數(shù)據(jù)信息與普通的網(wǎng)絡(luò)信息有很大區(qū)別，電子商務(wù)的快速發(fā)展要求經(jīng)營活動方便快捷，直接通過電子簽名的方式加以確定，電子商務(wù)活動中經(jīng)營者利用自己掌握的信息加工成數(shù)據(jù)庫成為核心競爭力。面對這些情況，《網(wǎng)絡(luò)安全法》是無法做出回應的，應當在《電子商務(wù)法》制定中對這些特殊的問題作出具體回應，彌補法律漏洞，促進電子商務(wù)發(fā)展和數(shù)據(jù)信息的保護。

四、中國電子商務(wù)數(shù)據(jù)信息保護的立法建議

基于以上分析，我國現(xiàn)在需要制定真正的電子商務(wù)數(shù)據(jù)信息保護法律制度，是能夠滿足從信息采集、保管、利用的源頭來保護的制度。首先是從源頭治理，完善數(shù)據(jù)信息侵權(quán)、犯罪的法律。建立以行政法規(guī)則、民法規(guī)則和刑法規(guī)則相結(jié)合的綜合治理方式來保護電子商務(wù)數(shù)據(jù)信息的制度[2]。

（一）完善電子商務(wù)數(shù)據(jù)信息保護權(quán)利內(nèi)容體系

二審稿對電子商務(wù)數(shù)據(jù)信息的權(quán)利義務(wù)方面規(guī)定通過指引性規(guī)范直接參照《網(wǎng)絡(luò)安全法》進行規(guī)范，《網(wǎng)絡(luò)安全法》不僅規(guī)定了禁止性規(guī)范，還規(guī)定了權(quán)利性規(guī)范。對用戶個人的各項權(quán)利都做了非常充分的規(guī)定，而對電子商務(wù)的經(jīng)營主體，只規(guī)定了義務(wù)，沒有規(guī)定其可以享有的權(quán)利。電子商務(wù)活動中不僅有用戶即消費者的信息，也有賣方即電子商務(wù)運營者的數(shù)據(jù)信息，只是消費者處于相對弱勢的地位，所以在理論界和實務(wù)界都側(cè)重對其的保護，但運營者的電子商務(wù)數(shù)據(jù)信息權(quán)利也應當予以平等保護。對此，可以參照歐盟1995年《關(guān)于涉及個人數(shù)據(jù)處理的個人保護及此類數(shù)據(jù)自由流動的指令》中的規(guī)定。該指令系統(tǒng)地規(guī)定了個人資料權(quán)的內(nèi)容體系，具體包括獲取權(quán)、自主決策權(quán)、拒絕使用權(quán)和獲得救濟權(quán)等方面。

（二）確立證明責任制度

為平衡信息持有者與信息所有者之間不對等的地位，在信息權(quán)受到侵害產(chǎn)生的糾紛中，應當確立舉證責任倒置制度即要求信息持有者對其收集、使用信息的合法性及履行了信息安全保障義務(wù)承擔舉證責任。此外，還應當建立普遍的嚴格責任制度，將侵權(quán)人的抗辯理由壓縮到最小的范圍[3]。

（三）完善電子商務(wù)數(shù)據(jù)信息保護的救濟制度

二審稿在電子商務(wù)數(shù)據(jù)信息權(quán)利受到侵害后的維權(quán)、起訴、索賠等方面的制度設(shè)計上，缺乏明確具體、可操作性的規(guī)定，應賦予其通過多種途徑獲得救濟的權(quán)利。（1）有權(quán)要求侵害者終止相關(guān)行為。（2）向?qū)ｉT監(jiān)督機關(guān)提起控訴。目前我國對信息安全保護的監(jiān)管分別由公安部、工業(yè)與信息化部等多個部門管理，這樣的管理體制難免導致監(jiān)管不嚴或存在監(jiān)管漏洞，對此應明確監(jiān)管機構(gòu)與各部門之間的職責[4]。除此之外，可以建立一個獨立的第三方機構(gòu)，通過法律授權(quán)使其獲得權(quán)威性和獨立性，從而介入個人信息侵害事件，彌補官方監(jiān)督機構(gòu)工作中的遺漏和不作為。（3）向司法機構(gòu)提起訴訟。信息權(quán)主體還可向司法機構(gòu)提起訴訟。同時，還需制定具體、詳細、操作性強的賠償制度，包括對財產(chǎn)損害和精神損害的賠償。財產(chǎn)損害是指電子商務(wù)中因侵權(quán)行為而受到的經(jīng)濟損失，又可以分為直接損失和間接損失，直接損失如交易過程中用戶的銀行卡信息等財務(wù)信息的泄露而導致的損失，間接損失如網(wǎng)絡(luò)經(jīng)營者未經(jīng)用戶的同意將用戶個人信息用作搜集以外的目的而出賣的行為，精神損害主要是由于電子商務(wù)中的數(shù)據(jù)信息被泄露導致評價降低帶來的精神上傷害等。

目前,我國關(guān)于電子商務(wù)數(shù)據(jù)信息的法律保護大而化之的內(nèi)容較多，操作性不強，一些法規(guī)之間還存在交叉和沖突，只有在電子商務(wù)安全管理中制定專門的電子商務(wù)法律法規(guī)以規(guī)范對電子商務(wù)數(shù)據(jù)信息的取得、管理和利用，科學地設(shè)置個人信息安全與利用的界限、信息主體的權(quán)利和義務(wù)，有權(quán)審查數(shù)據(jù)信息的機構(gòu)；規(guī)定當數(shù)據(jù)信息主體權(quán)利受到侵犯時，應當通過何種渠道獲得法律救濟，以及如何追究侵權(quán)者的法律責任等，我國電子商務(wù)數(shù)據(jù)信息的亂象才能得以改善，電子商務(wù)發(fā)展才會更加繁榮。