电子商务法拟限制经营者滥用优势地位收集信息

　　一年一度的各大电商平台购物狂欢节落下帷幕，消费者此间收到的各种促销信息也达到了一个高峰。有媒体称，网购、海淘已经成为个人信息泄露的主要渠道。如何让消费者在享受电商优惠便捷购物体验的同时，保护好他们的个人信息安全，是亟待关注的话题。

　　利用电子商务法的立法契机，把个人信息保护所涉及的主要问题予以规范和明确，是北京大学教授薛军的一贯主张。他告诉《法制日报》记者，目前正在制定的“电子商务法”草案中，对网络交易中的消费者数据保护问题，给予了高度关注。相关规定有望成为中国法律体系涉及网络交易中消费者数据保护的基础性、框架性的规定。

　　经营者不得发送商业性信息

　　记者：对于消费者个人信息保护，我国现有的法律规定都有哪些？

　　薛军：在2013年修订的《消费者权益保护法》第14条中，明确规定：“消费者享有个人信息得到保护的权利。”

　　该法第29条则更加具体地规定：“经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经消费者同意。经营者收集、使用消费者个人信息，应当公开其收集、使用规则，不得违反法律、法规的规定和双方的约定收集、使用信息。经营者及其工作人员对收集的消费者个人信息必须严格保密，不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施，确保信息安全，防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时，应当立即采取补救措施。经营者未经消费者同意或者请求，或者消费者明确表示拒绝的，不得向其发送商业性信息。”

　　中国的《消费者权益保护法》的上述规定，为网络交易中的消费者数据保护问题，提供了基本的法律依据。由工商总局组织草拟的“消费者权益保护法实施条例”(目前该法律草案正处于征求意见阶段)，对如何保护消费者的个人信息，在该草案的第20到22条中，设置了更加具体而且具有可操作性的法律规则。根据相关的立法计划，该条例将在不久的将来由国务院颁布。这一条例的颁布，也将对网络交易中的消费者数据保护问题，起到非常积极的作用。

　　不仅只是上述法律、法规，关注了消费者数据保护问题，中国的诸多部门规章以及最高法院颁布的司法解释，都或多或少地涉及到个人信息保护问题。由于中国目前还没有一部统一的“个人信息保护法”，因此如何协调这些由不同的部门所颁布，具有不同的法律效力等级，涉及不同领域的法律规范，是一个相当大的挑战。

　　有望成为基础性框架性规定

　　记者：由电子商务法对个人信息保护予以专门规定，有何优势？

　　薛军：正是在上述背景下，目前正在制定的“电子商务法”草案中，对网络交易中的消费者数据保护问题，给予了高度关注。电子商务中的消费者数据保护问题，原本也是电子商务发展中的核心法律问题。

　　由于拟制定的电子商务法具有较高的效力等级，以及对相关问题的规定比较详尽，所以这一法律中关于消费者数据保护的规定，有望成为中国法律体系涉及网络交易中消费者数据保护的，基础性、框架性的规定。

　　界定重点在于“可识别性”

　　记者：草案是如何界定电子商务消费者个人信息范围的？

　　薛军：草案中将其界定为：信息收集人在电子商务活动中收集的姓名、身份证件号码、住址、联系方式、位置信息、交易记录、支付记录、快递物流记录等能够单独或者与其他信息结合识别特定消费者身份的信息。

　　这是一种结合了“具体列举”与“概括描述”相结合的，关于个人信息范围的界定方法，其重点在于“可识别性”要素。通过这个要素，试图将个人信息，与作为电子商务企业重要的资产形态的大数据区分开来。后者也可能建立在相关的个人信息的集合的基础之上，但经过了严格的匿名化的处理，在不对个人信息权构成侵害的前提下，可以进行商业化的利用。但必须确保，这种匿名化的过程必须是不可逆的，这一才能够确保不会导致对消费者个人信息的侵害。

　　应征得消费者的明示同意

　　记者：个人信息的收集、处理与利用，是个人信息保护中的一个重要问题。草案对此是如何规定的？

　　薛军：在电子商务消费者个人信息的收集上，草案原则上要求，信息收集人收集电子商务消费者个人信息，应当遵循合法、必要、正当原则，事先告知消费者信息收集、处理和利用的规则，并征得消费者的同意。

　　需要强调的是，关于这里的同意应该理解为是明示同意，也就是将缺省状态设置为不同意，但消费者可以明确选择同意(opt in)，而非将缺省状态设置为同意，允许消费者另行选择不同意(opt out)。

　　为了限制经营者在这一问题上通过格式条款等方法，侵犯消费者实质性的选择权，草案还规定，信息收集人不得以拒绝为消费者提供服务为由强迫消费者同意其收集、处理、利用个人信息。这一规定的目的在于，结合信息数据收集上的必要性原则，限制经营者滥用其在合同缔结方面的优势地位。

　　草案还规定，禁止采用非法交易、非法入侵、欺诈、胁迫或者其他未经消费者授权的手段收集个人信息。信息收集人修改个人信息收集、处理、利用规则的，应当取得消费者的同意。消费者不同意的，信息收集人应当提供相应的救济方法。

　　关于电子商务消费者个人信息的处理和利用问题。这一问题受到高度关注。必须在与数据利用相关的商业利益与个人信息保护，这二者之间寻求最完美的均衡。总的来说，电子商务法草案中的相关思路是，以保护消费者作为基本的出发点。

　　电子商务消费者对个人信息的处理和利用应当符合消费者同意的处理、利用规则。信息收集人处理、利用个人信息的行为可能侵害消费者合法权益的，消费者有权请求信息收集人中止相关行为。

　　信息收集人变更收集信息时约定的处理、利用的目的、方式和范围的，应当告知消费者，并征得消费者的明示同意。法定或者约定保存期限届满，信息收集人应当主动或者按照消费者的请求删除、停止处理、利用或者销毁相关个人信息。

　　经营主体负有信息安全保障义务

　　记者：草案对于消费者个人信息安全是否予以专门规定？哪些主体负有这一义务？

　　薛军：草案规定，信息收集人应当建立健全内部控制制度，并采取必要措施防止信息泄露、丢失、毁损，确保消费者个人信息安全。在发生或者可能发生消费者个人信息泄露、丢失、毁损时，信息收集人应当向相关部门报告、采取补救措施，并及时告知消费者。

　　欧盟不久前刚刚通过网络安全相关的法案。而中国也已通过《网络安全法》。网络安全中的重要内容就是消费者个人信息安全问题。互联网世界中已经发生多起大规模的个人信息泄露的事件，造成非常巨大的负面影响。因此中国的电子商务法草案对于从事电子商务经营活动的主体，课加了特别的信息安全保障义务。这是完全合理的，而且也是必要的。

　　管理部门承担过错赔偿责任

　　记者：网络经营主体对于监管部门提供数据信息，容易处于两难境地。一方面，政府主管部门落实管理和监管措施，往往要依赖于电子商务经营者的配合。另一方面，如果提供给政府的相关数据发生泄露或不当使用，将直接导致经营者承担法律责任。如何平衡此二者的关系？

　　薛军：为了平衡二者的需求，电子商务法草案规定电子商务管理部门应当依法要求电子商务经营主体提供电子商务数据信息，并采取必要措施保护相关数据信息的安全。因电子商务管理部门的过错导致数据信息泄露、丢失、毁损，侵害当事人合法权益的，电子商务管理部门应当依法承担损害赔偿责任。

　　关于这一问题，因为涉及企业的公法上的义务与私法上的义务的交叉影响，同时也与政府相关执法部门存在密切联系，因此如何合理界定其范围，平衡不同的诉求，还处于热烈的讨论之中。