网络交易中消费者个人信息安全权保护问题研究
一、网络交易中消费者个人信息安全权的概念
首先,法律意义上的消费者,是为了个人生活的需要而购买、使用商品或接受服务的交易方。在网络交易中,根据交易主体的不同,可以分为B2B、B2C、C2C、B2G 四种类型,其中涉及消费者个人信息安全保护的,主要是B2C 和C2C 两种交易模式,因此,本文以此二种交易模式为研究视角。网络交易中消费者也就是指在B2C 和C2C 这两种模式中购买商品或接受服务的一方当事人。其次,不同的国家或组织关于个人信息的但基本涵义是相同的,即有关能够证明个人身份的信息。那么,在网络交易中,能够证明消费者个人身份的信息就可以分为以下三类:
(1) 标识个人身份的数据资料,即网络用户在申请上网开户、申请电子邮箱或申请网络服务提供商提供的其他服务时被要求其提供的姓名、年龄、地址、身份证号码、工作单位、通信地址等信息;
(2)与个人上网有关的信用、财产状况的数据资料,包括信用卡、上网卡、上网账号与密码、交易账号与密码等;
(3)标识个人上网活动踪迹的在线数据资料,包括IP 地址、浏览过的网页地址一记录、上网活动的内容记录、电子邮件地址等。因此,网络交易中消费者个人信息安全权,是指在网络交易中,消费者享有个人信息不受网络交易的经营者和网络交易平台提供商过度收集和超出交易目的使用的权利,其主要包括了网络消费者个人信息的隐瞒权能和支配权能。
二、保护网络交易中消费者个人信息安全权的必要性
首先,保护网络消费者个人信息安全权的客观必要性。一方面,电子商务的开放性加大网络消费者个人信息安全被侵害的风险,一旦消费者的个人信息被过度收集和超出交易目的范围使用,就会使其人身或财产遭受损失。另一方面,保护个人信息安全权是私权神圣的必然要求。个人信息不仅是个人自由和人格尊严的载体,而且其涉及信用和财产的信息,具备了波斯纳提出的财产权所应有的普遍性、排他性和可转让性,因此具有财产权的性质。若个人信息遭受非法扩散,则会侵害消费者的人身利益,也极有可能会造成消费者的财产损失。此外,随着我国经济的快速发展和产业的迅速升级,个人信息日益显示出其商业价值。然而,掌握了个人信息的网络经营者或者网络平台提供商并没有对其进行保护的驱动力。综上,保护个人信息安全权,是保护个人尊严和财产权利的必然要求。其次,保护网络消费者个人信息安全权的主观必要性。第一,经济人理论和信息不对称产生道德风险。首先,威廉姆斯的交易成本包括有限理性与机会主义列入人的行为基本假设之中。其次,在任何交易模式下都存在信息不对称,这使得消费者在交易中处于信息劣势地位。
而在网络交易中,消费者的劣势地位进一步突显。因为网络消费者在利用网络购物时,常常被强制填写很多个人信息。而这些个人信息,最终被网络交易平台提供商和网络经营者所掌握。因此,网络交易中的经营者和网络交易平台提供者基于经济人假设和信息优势地位会去追求自身利益的最大化,而在利益最大化的追求过程中,就难免会产生道德风险,即这二者对网络交易的消费者个人信息进行超出交易目的的收集和使用,谋求自身利益最大化。具体来说,主要表现为不当收集个人数据和不当使用个人数据。前者主要表现为网络交易的经营者出于促销等合同之外的目的要求消费者提供超出合同目的以外的个人信息,以及网络交易平台提供商过度收集个人信息。例如在C2C 的模式中,消费者进行网络购物需要借助网络服务商提供的平台。在使用网络平台提供商提供的服务时,则会被要求填写个人信息,这也极容易会出现消费者的个人信息被过度收集和使用的情形。同时,cookies 技术也会被网络服务商利用,从而达到了解消费者的购物信息和消费习惯的目的。后者主要表现为网络交易的经营者或网络交易平台提供者利用其所掌握的消费者的个人信息,向消费者的邮箱、手机等发送垃圾广告信息以及为了自身的利益,未经消费者同意擅自将其掌握的消费者的个人信息提给第三人或转卖给第三人。第二,消费者对个人信息的保护意识淡薄。个人信息中绝大部分属于隐私的范畴。
而我国对隐私权的保护并不完善。从立法层面上来看,宪法并未直接规定公民的隐私权,民法也未将其作为一项独立的人格权加以保护,刑法也没有直接规定侵犯隐私权所应当承担的刑事责任。因此,我国立法对隐私权的保护是非常不完善的。正基于此,法的规范作用未能充分发挥,由此造成了公民的隐私权利意识淡薄,甚至当隐私权遭受侵害时仍未察觉。
三、保护网络交易中消费者个人信息安全权相关立法及评析
通过考察《网络商品交易及有关服务行为管理暂行办法》、《网络购物服务规范》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《网络信息安全保护法(草案)》、《第三方电子商务交易平台服务规范》等主要规范网络信息的相关法规,归纳和分类如下:
(一) 保护网络交易中消费者个人信息安全权的直接规定首先,关于网络交易中经营者保护消费者个人信息安全权的直接规定,主要体现在《网络商品交易及有关服务行为管理暂行办法》第十六条。其次,关于网络交易平台提供者的保护消费者个人信息的义务的直接规定,则体现在多部法律法规之中。如:《网络商品交易及有关服务行为管理暂行办法》、《网络购物服务规范》。因此,我国现行法规中直接规定网络交易中经营者对消费者个人信息安全权保护的较少且不全面,而对网络交易平台提供者对消费者个人信息安全权保护的义务的规定较多且较全面。
(二)关于保护网络交易中消费者个人信息安全权的间接规定《计算机信息网络国际联网安全保护管理办法》和《全国人大常委关于维护互联网安全的决定》都规定了公民的通信自由和通信秘密受到保护。《中华人民共和国计算机信息网络联网管理暂行规定实施办法》第18条规定了互联网用户不得进入未经许可的计算机系统,篡改他人信息以及不得在网络上散发恶意信息,冒用他人名义发出信息,侵犯他人隐私。《网络信息安全保护法(草案)》第八条规定了任何组织和个人不得向无理由擅自修改、删除或向第三方提供用户数据以及第九条规定了网络服务提供者收集信息的范围应与提供的服务直接相关,并明确告知用户,和为用户保密的义务。另外,如《宪法》第38 条;《刑法》第130 条、第131 条、第149条、第191 条;《民事诉讼法》第66 条和第120 条和《刑事诉讼法》第252 条都对个人信息的保护做了规定。这些都可以看作是对网络交易中消费者个人信息提供了间接的保护。