導語：電子商務法信息保護及風險防范研究一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

[摘要]隨著互聯網和大數據時代的到來，電子商務發展迅猛。與此同時，消費者對于電子交易過程中所產生的個人信息安全問題也愈加重視。在電子商務給生活帶來便捷的同時，也引起消費者對個人信息安全的關注。2019年1月1日《電子商務法》正式開始實施，繼《網絡安全法》之后，該法再次重申了對個人信息的保護。文章將從個人信息的概述出發，對比《電子商務法》與《網絡安全法》對個人信息保護的區別，分析電子商務中個人信息保護的相關要求，進而提出經營者風險防范策略，以強化信息安全，促進電子商務蓬勃發展。

[關鍵詞]個人信息；電子商務；風險規避

一、個人信息概述

（一）個人信息的由來及定義?！皞€人信息”一詞與大數據時代的到來相伴而生，不同國家和地區對其有不同的表述，如“私人數據”“個人數據”“私人信息”等。就其概念而言，我國法律并沒有明確統一的界定，學界對此也看法不一。理論上對于這一概念主要采用不窮盡的列舉式或概括式進行闡述。前者通過羅列出某幾類信息對其加以定義，例如《網絡安全法》中列舉了姓名、電話號碼、身份證號、住址等；后者則較為籠統地對其加以概括，例如歐盟對于個人信息的定義表述為“任何能夠或可能與自然人相關聯的信息”。（二）個人信息的范圍。在當今社會，信息的利用價值逐步增大，個人信息的可利用性使其不僅具有人格意義更具有財產價值。因此，不宜將個人信息范圍劃分得過于狹窄，應盡可能囊括更多的方面。筆者認為，個人信息應強調匹配識別性，其范圍主要是通過一定聯系能夠或直接或間接的對應出某一特定自然人的所有信息。根據不同的劃分方法，可以分為距離自然人不同遠近的信息、專業化、行業化信息以及敏感信息等。

二、《電子商務法》對個人信息的保護

（一）《電子商務法》中相關條文分布。《電子商務法》的立法目的在于盡量平衡安全與發展，其中信息安全是不可忽視的一環。由于我國已經將個人信息列入立法規劃之內，此前的《網絡安全法》也對此內容有所涉及，所以《電子商務法》中并沒有太多相關的條文。但本法對于個人信息保護的規定與《民法總則》《刑法》以及《網絡安全法》中的相關內容相互銜接，承上啟下。《電子商務法》中有關個人信息的部分主要有第五條、第二十三條至二十五條、第二十七條、第三十一條、第五十七條、第六十九條以及第七十九條等，較為分散，大致可分成三類。第一類是宣誓性條款，如總則中的第五條；第二類是具有實際內容的義務性要求，如分則中的第二十三條；第三類是法律責任?？傮w上，先在總則中明確電子商務中個人信息保護這一基本原則，要求經營者落實個人信息保護義務。分則中又明確了不得私自保存、及時刪除、嚴格保密、信息核實等義務及違反義務的后果。（二）《電子商務法》中的電商義務與責任豁免?！峨娮由虅辗ā分袑€人信息保護不止做了一般性的規定，同時對一些平臺提出了特殊要求。以更正、刪除、注銷信息為例，實踐中多數電商平臺都賦予用戶自主修改交易過程中提供的個人信息內容的權利，這類信息往往不具備唯一性，用戶可自行修改，無需電商經營者的配合。而對于相應的實名制信息或特征識別信息（如身份證照片、指紋信息、人臉信息等），因其具有高度的身份識別性，一旦泄露會給用戶帶來巨大的人身或者財產損失隱患?！峨娮由虅辗ā分袑Υ艘幎ㄟ@類信息的更正、刪除和注銷可以隨時行使，而無需前置條件，很大程度地保證了用戶個人信息安全。同時，《電子商務法》中對于刪除也規定了例外情形，當法律另有規定或者是經營者和消費者之間有特別約定的時候，可就此問題做特殊處理，這一規定很好的化解了雙方意見分歧。由此可見，個人信息正逐步從消極性權利轉變為積極性權利。與此同時，《電子商務法》在保護個人信息的同時，其第二十五條也對電子商務經營者提供有關數據作出了責任豁免的規定。電子商務經營者作為信息的擁有者不能壟斷信息，對于有關主管部門依照法律、行政法規的規定要求提供的，應當提供。在此情況下，要求提供信息的有關主管部門應當采取必要措施保障用戶信息安全，不得泄露、出售或者非法向他人提供。實際上，此條規定是對經營者責任的豁免，在這種情況下，如果經營者提供數據符合法律規范，那么對于提供信息造成的泄漏，電子商務經營者可以免責?！峨娮由虅辗ā穼τ趥€人數據保護的深入必須結合電子商務的業態，結合該行業信息化的具體操作與運用。對于電子商務領域如何利用個人信息，往往與業外人想象的相去甚遠。它一定程度上收集了很多匿名化的用戶信息（如用戶畫像），在這方面《電子商務法》第十八條已經進行了規定，但是未來仍然可以借鑒其他國家經驗和學者的觀點加以細化。

三、《電子商務法》和《網絡安全法》關于個人信息保護的區別

在《電子商務法》出臺以前，《網絡安全法》就已經對個人信息保護作出了相應的規定。對比兩部法律可以發現，二者既一脈相承又相互區別。（一）適用對象不同。從適用對象上來看，《網絡安全法》主要針對網絡經營者，包括境內的一切網絡建設者、運營者、維護者和使用網絡者，不區分內、外資企業，一律受制于《網絡安全法》的各項規定；《電子商務法》在此基礎上，將生活中常見的朋友圈微商、各平臺直播銷售等納入調整范圍，進一步明確了適用主體為利用互聯網進行銷售或提供服務的電子商務經營者。（二）從保護方式和留存期限不同。從保護方式和留存期限來看，《網絡安全法》規定的方式較為籠統，時間較短。在最低限度上規定留存網絡日志的時間不得少于6個月；《電子商務法》則進一步在數據儲存上進行了完善和細化。不僅將數據區分為商品、服務等不同類型，對于信息保存時間的規定也較長，最低限度為自交易完成之日起3年。（三）權利實現方式不同。從實現權利的方式上來看，《網絡安全法》中規定了“個人信息刪除權”，并為此權力設置了前提。權利主體在網絡運營方違反法律或合約的前提下，對于信息錯誤有權要求更正，對侵權方有權要求將違法收集的個人信息及時刪除；《電子商務法》承延了這一權利，并就刪除權的行使明確了電子商務經營者的信息刪除程序與方式，同時，對于權利行使，未設置違法違約這一前提。

四、《電子商務法》實施下經營者的風險防范

（一）個人信息收集和使用保存的最小化。信息接觸量減少，泄漏的風險也會隨之減少。個人信息收集和使用保存的最小化意味著在不影響特定目的的情況下，將信息收集保存限制在最小范圍內。具體到每一步驟中，收集的個人信息應與經營者經營的業務直接相關，即需收集的信息是服務或功能實現的必要條件且收集頻率與數量都應當維持最低值；在保存上，保存期限不應超過實現服務所需的最短時間，在目的實現后應及時清除信息或對信息進行匿名處理以兼顧個人信息保護與數據利用；在使用個人信息時，應將個人信息與特定自然人的關聯隱去，避免精確映射出權利人，且使用范圍不得超出收集個人信息時所明確告知用戶的目的范圍并需與經營者業務范圍相關聯。（二）將用戶知情強化為用戶明示同意。實踐中，多數電子商務經營者在收集使用消費者信息時往往履行的是告知義務，但《民法總則》及《電子商務法》等都明確規定需要消費者同意，電子商務經營者應當強化權利人的同意權這是電子商務經營者收集使用個人信息是否合法的關鍵所在。盡管對于同意方式，法律并沒有明確規定采取明示還是默示，但筆者認為，明示同意更為保險。通常而言，電子商務經營者往往采用默示的方式取得用戶同意，比如“一旦您選擇使用或繼續使用，即表示您認可并接受相關協議”。這種方式存在較大的風險，一旦發生信息泄露，電子商務經營者將陷入被動。因此，對于某些敏感信息，如保險信息等應取得被收集者的明示同意。同時，電子商務經營者之間往往存在信息流動，為防范風險，對于從他方獲取的信息，應當審慎審核他方資質，對于其是否有權提供個人信息以及其收集信息是否取得權利人同意進行核實確定。并且，應當對這種審查進行記錄保存，以作為涉訴后的證據。（三）尋找第三方信息交互平臺轉移風險。目前，電子商務經營者多是直接接觸個人信息，在類似案件中往往難以證明自己沒有過錯和泄漏行為，也沒有辦法避免接觸到消費者個人信息。對此，我們可以參見國外和快遞業目前的做法，尋找一個專門的權威第三方平臺，在交易過程中，消費者將個人信息提供給第三方平臺，由第三方平臺對信息進行處理，利用信息技術通過代碼完成個人信息與電子商務經營者的交互。這樣既避免了經營者大量直接接觸個人信息，將信息泄漏的法律責任大部分轉移給專門的第三方，同時第三方也可以起到監督和證明作用，對電子商務經營者過錯等提供證明，避免經營者舉證困難。（四）個人信息泄露的投訴的規范處理。實踐操作中，電子商務經營者在被投訴泄露消費個人信息后，首先采取的舉動往往是劃清關系，極力強調與經營者無關或者建議消費者向有關部門反映而不是主動采取相應的措施。這種消極態度實際上已經違反了有關規定。對此，筆者認為電子商務經營者在處理此類問題時，應當首先對投訴內容和事項進行登記，進而向投訴人詢問相關線索。其次應當立即啟動風險預警，核實信息系統是否出現漏洞并采取相應的技術補救措施，按照規定向有關部門進行報告備案。最后將處理結果向消費者予以反饋。此外，我實現這一系列的過程的順利進行，電子商務經營者應當事先制定相應的規章制度，并建立專門的部門，定期組織技術培訓，系統維護及數據備份等。

五、結語

《電子商務法》的頒布對于保障電子商務各方主體的合法權益，規范電子商務行為，維護市場秩序等方面起到了很好的指向性作用。而新法的實施又將會出現新的實踐問題，需在今后進行更多深入的研究，從而更好地規范電子商務經營者的經營活動，促進電子商務持續健康發展。

作者:劉雪營 胡天琦 單位:渤海大學政法學院