電子商務法草案以保護消費者為基本出發點

　　“有消費者在國內某家非常大的電子商務平台上買了一個不到300元的包,到貨之后接到一個自稱是賣家的電話,稱自己一時疏忽發錯了貨,希望消費者能夠幫忙辦理退貨,並承諾退款給該消費者。由於對方掌握的信息跟自己的購物信息(姓名、電話、訂單詳情及銀行卡等)一致,消費者便按照對方發來的鏈接辦理了退款,卻不想因此被騙走了12000元。”電子商務法起草工作小組成員、北京華訊律師事務所主任張韜近日在接受記者採訪時介紹了他代理過的一個案例。

　　電子商務法起草工作小組成員、北京大學法學院副院長薛軍在接受《法制日報》記者採訪時指出,電子商務立法的前期調研和草案的草擬工作已取得實質性進展,正在爭取早日提請全國人大常委會會議審議。

　　其中,電子商務中的消費者數據保護問題,是電子商務發展中的核心法律問題。

　　“由於擬制定的電子商務法具有較高的效力等級以及對相關問題的規定比較詳盡,所以這一法律中關於消費者數據保護的規定,有望成為我國法律體系涉及網絡交易中消費者數據保護的基礎性、框架性規定。”薛軍表示。

　　界定重點在於“可識別性”

　　薛軍說,電子商務法草案目前仍處於征求意見過程中,但可以看出,其中關於電子商務數據信息相對完整和全面的規定,將非常有助於我國法律體系中關於數據保護法律制度的進一步完善。

　　草案明確規定,電子商務消費者享有對其個人信息自主決定的權利。在界定電子商務消費者個人信息的范圍時,草案採取了“具體列舉”與“概括描述”相結合的方法,將范圍界定為:信息收集人在電子商務活動中收集的姓名、身份証件號碼、住址、聯系方式、位置信息、交易記錄、支付記錄、快遞物流記錄等能夠單獨或者與其他信息結合識別特定消費者身份的信息。

　　薛軍指出,關於個人信息范圍的界定方法,其重點在於“可識別性”要素。草案通過這個要素,試圖將個人信息與作為電子商務企業重要資產形態的大數據區分開來。

　　“盡管大數據也可能建立在相關個人信息集合的基礎之上,但經過了嚴格的匿名化處理,在不對個人信息權構成侵害的前提下,可以進行商業化利用。當然,必須確保的是,這種匿名化過程必須是不可逆的,這樣才能夠確保不會導致對消費者個人信息的侵害。”薛軍說。

　　張韜同樣認為,對於個人信息,如果經過匿名化處理使他人無法識別特定個人身份且不能復原(即去身份化)后,可以在一定條件下使用、交換和共享。例如,貴陽大數據交易所就是在能夠很好地保護商業秘密和個人隱私信息這一前提下,得以迅速發展的。

　　限制經營者濫用優勢地位

　　薛軍透露,草案原則上要求,信息收集人收集電子商務消費者個人信息,應當遵循合法、必要、正當原則,事先告知消費者信息收集、處理和利用的規則,並征得消費者的同意。

　　需要強調的是,這裡的同意應該理解為明示同意,也就是將缺省狀態(即默認狀態)設置為不同意,但消費者可以明確選擇同意﹔而非將缺省狀態設置為同意,允許消費者另行選擇不同意。

　　為了限制經營者在這一問題上通過格式條款等方法,侵犯消費者實質性選擇權,草案還規定,信息收集人不得以拒絕為消費者提供服務為由強迫消費者同意其收集、處理、利用個人信息。這一規定的目的在於,結合信息數據收集上的必要性原則,限制經營者濫用其在合同締結方面的優勢地位。

　　草案還規定,禁止採用非法交易、非法入侵、欺詐、脅迫或者其他未經消費者授權的手段收集個人信息。信息收集人修改個人信息收集、處理、利用規則的,應當取得消費者的同意。消費者不同意的,信息收集人應當提供相應的救濟方法。

　　對泄露隱私信息等“零容忍”

　　薛軍坦言,關於電子商務消費者個人信息的處理和利用問題受到高度關注,必須在與數據利用相關的商業利益與個人信息保護之間尋求最完美的均衡。總的來說,電子商務法草案的相關思路是,以保護消費者作為基本出發點。

　　電子商務消費者對個人信息的處理和利用應當符合消費者同意的處理、利用規則。信息收集人處理、利用個人信息的行為可能侵害消費者合法權益的,消費者有權請求信息收集人中止相關行為。

　　信息收集人變更收集信息時約定的處理、利用的目的、方式和范圍的,應當告知消費者,並征得消費者的明示同意。

　　法定或者約定保存期限屆滿,信息收集人應當主動或者按照消費者的請求刪除、停止處理、利用或者銷毀相關個人信息。

　　在張韜看來,並不應對所有的個人信息都要“一刀切”式地允許或者禁止使用,而是要劃分個人一般信息和個人隱私信息的邊界,根據相關數據信息的屬性、所屬領域和類別、可對數據信息權利人造成的影響等多方面對其分類,再根據具體的類別給予相應級別的保護。

　　張韜認為,考慮到相關數據、信息的類型和性質,對個人隱私要嚴格保護,除非經數據信息權利人的許可,否則禁止任何企業、其他組織和個人使用、交易或者披露個人隱私。對於個人隱私信息的泄露、盜取和非法使用應當採取“零容忍”的態度,對違法行為給予嚴厲打擊。

　　確保消費者個人信息安全

　　薛軍介紹,草案規定,信息收集人應當建立健全內部控制制度,並採取必要措施防止信息泄露、丟失、毀損,確保消費者個人信息安全。在發生或者可能發生消費者個人信息泄露、丟失、毀損時,信息收集人應當向相關部門報告、採取補救措施,並及時告知消費者。

　　“網絡安全中的重要內容就是消費者個人信息安全問題。互聯網世界中已經發生多起大規模的個人信息泄露事件,造成非常大的負面影響。因此電子商務法草案對於從事電子商務經營活動的主體,規定了特別的信息安全保障義務,這是完全合理的,而且也是必要的。”薛軍說。

　　由於網絡交易在社會經濟生活中佔據越來越重要的地位,政府主管部門落實管理和監管措施往往要依賴於電子商務經營者的配合。而這種配合,在很多時候表現為提供相關的數據信息。

　　“從政府的角度來看,這一要求是合理的,也是必要的。但從電子商務經營者來看,則存在一定的風險,因為經營者對消費者個人信息負有相應的義務,如果提供給政府的相關數據發生泄露或不當使用,將直接導致經營者承擔法律責任。”薛軍說。

　　薛軍介紹,為了平衡二者的需求,電子商務法草案規定電子商務管理部門應當依法要求電子商務經營主體提供電子商務數據信息,並採取必要措施保護相關數據信息的安全。因電子商務管理部門的過錯導致數據信息泄露、丟失、毀損,侵害當事人合法權益的,電子商務管理部門應當依法承擔損害賠償責任。

　　張韜表示,相關政府部門在獲取企業的數據信息后,應當採取必要的安全保障措施,對數據信息給予保密,一旦出現數據信息泄露,應當根據具體情況進行追責。

　　薛軍同時強調,關於這一問題,因為涉及企業公法上的義務與私法上義務的交叉影響,同時也與政府相關執法部門存在密切聯系,因此如何合理界定其范圍,平衡不同的訴求,還處於熱烈討論之中。（記者　　蒲曉磊）