中國電子商務數據信息的法律保護

張舒榮

《電子商務法（草案）》二審稿第20條規定：“電子商務經營者收集、使用其用戶的個人信息，應當遵守《中華人民共和國網絡安全法》等法律、行政法規規定的個人信息保護規則。”這是通過指引性規范對電子商務數據信息的保護做出規范，而《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）針對網絡數據信息的安全維護做出了較為詳盡的規定，但電子商務數據信息具有特殊性，針對其不同于一般數據信息的商業特征，有必要對網絡安全法中沒有規定的內容進行補充完善，以加強對電子商務數據信息的全面保護。

一、中國電子商務數據信息法律保護的困境與挑戰

隨著大數據時代的到來，電子商務數據信息的保護面臨著各種困境和挑戰，也對其法律保護提出了更高的要求。

（一）大數據開放共享與私有權利保護的沖突

隨著移動互聯網、物聯網等新技術的迅速發展，無論知情與否同意與否我們的生活已經處在了一個由數據信息編制而成的巨大網絡之中。電子信息社會在給我們帶來方便快捷、拓展我們活動空間的同時也引發了各種隱患。當我們在進行各種電子商務活動時，都會面臨一系列的隱私授權，如位置信息、通話記錄、通訊錄等，很多情況下常常是被迫授權，因為不同意就無法使用。而殺毒軟件、瀏覽器、各種購物社交軟件也在我們無法知悉的情況下實時記錄著我們的各項基本數據活動信息。電子商務數據信息的泄露導致我們經常收到各種莫名其妙的短信、電話和推送，也誘使很多人上當受騙甚至因此想不開而選擇輕生。電子商務數據信息關乎的不僅是消費者方的利益，涉及的不僅是個人信息保護的問題，還關系著作為電子商務經營者的利益。現代社會，掌握了數據信息就相當于掌握了生存之道和發展之基，很多電子商務的經營者都將掌握的用戶個人信息以及在此基礎上加工處理的二次數據作為自己的私有財產，甚至有一些信息咨詢公司以此作為賺錢之道。毫無疑問，電子技術的發展促進了數據信息的融通與共享，在有利于我國電子商務產業迅速發展的同時，也嚴重威脅個人信息安全和經營者私有財產的安全。電子商務數據信息構成了互聯網數據信息的大部分，有必要通過法律規范的方式對電子商務數據的流通共享與私有權利保護之間進行價值平衡，實現利益的最大化。

（二）電子商務用戶的個人數據信息保護困境

在大數據環境下，侵犯用戶的個人信息呈現出犯罪行為多樣化、危害全民性和公共性等特征。電子商務用戶的個人信息在收集、利用和保管過程中存在著各種各樣的安全危機，如用戶的個人信息被不法收集和過度收集；網絡經營者和網絡信息中介公司以盈利為目的直接或進行二次加工后交換、買賣用戶的個人信息；網絡經營者的信息安全保障系統級別過低也可能導致用戶個人數據庫被泄露或為不法分子盜取提供可乘之機。

（三）電子商務數據信息膨脹發展提出的立法挑戰

電子商務數據信息的迅速膨脹式發展需要緊跟互聯網和電子商務的發展步伐，同時也需傳統的數據信息保護適應新的挑戰。目前，各國都對個人信息的保護做出了相關立法規定，內容涵蓋原則、權利義務、救濟等方面，手段包括政府機構、行業自律和用戶個人。由于各國國情不同，目前我國正在進入一個全新的無現金式社會，傳統立法中對電子商務數據信息的定位及保護規范，處理現在的電子商務數據信息問題具有一定的局限性，有必要針對電子商務發展的特殊性制定促進經濟發展符合社會需要的電子商務數據信息保護規則。

二、中國電子商務數據信息保護的法律分析

制定完善的電子商務數據信息保護法律制度，有必要先對電子商務數據信息的概念、基本類型和權利主體等基本法律問題進行分析。

（一）電子商務數據信息的界定

《網絡安全法》中明確：“網絡數據，是指通過網絡收集、存儲、傳輸、處理和產生的各種電子數據。”電子商務數據信息是指在電子商務活動中通過互聯網收集、存儲、傳輸、處理和產生的各種電子數據信息，不僅包含用戶的個人信息，還包含網絡經營者收集加工的數據信息。將電子商務數據信息作為隱私權來保護是一種最為簡便的方式，但電子商務數據信息與民法中具有人身屬性的個人信息相比還有很大區別，其不僅具有人格屬性，還體現出了巨大的財產價值，故應當將其作為一種單獨的權利加以保護，并且在權利保護方面實行區分對待。當電子商務數據信息主要體現的是人格利益，應當保護其人格權；當主要是體現網絡經營者的財產價值時，應保護其財產利益。

（二）電子商務數據信息的基本類型

電子商務數據信息主要有以下三種類型。（1）用戶個人的基本信息。主要包括姓名、電話號碼、身份證號、家庭住址等私人信息以及在交易過程中可能涉及的銀行卡賬號密碼等信息。（2）用戶網絡活動信息。主要是通過追蹤和分析用戶在進行網絡活動時留下的痕跡，判斷用戶的消費傾向和購買習慣等信息以便為商家進行精準營銷提供參考數據。（3）用戶信息二次加工數據。網絡經營者利用掌握的用戶個人信息建立綜合的數據庫，通過加工分析提取一些用戶潛在的具有商業價值的信息，提供給商家制定其下一步的銷售策略[1]。

（三）電子商務數據信息的權利主體

當前社會各界關注重點是數據主體的個人信息權，對電子商務經營者和數據從業者的權利關注較少。運用數據處理技術整理數據從而發掘其商業和社會管理價值，是數據從業者從事數據收集和處理的動力所在，在收集處理、分析活動的同時也凝結了其智力勞動。因此，在不侵害數據主體個人信息權的前提下，應保證數據從業者對其收集加工整理后具有原創性的數據享有的知識產權，這有利于數據從業者合作共享，有利于促進大數據產業的良性發展。當然，同所有知識產權保護相似，對數據從業者的數據知識產權保護要有明確的規則，以取得促進創新與社會發展的平衡。孫憲忠教授認為，數據從業者對這些信息僅僅只有占有的權利，并沒有所有權，不同意信息占有者將這些信息當作自己的財產的觀點。同時，按照《民法總則》第111條規定，信息獲得者對他們獲得的信息負有嚴格保護的義務，以及依法使用的義務等。綜上，個人信息權所享有的是所有權，信息獲得者和數據從業者所享有的權利主要從知識產權角度進行保護。

三、中國電子商務信息立法現狀

目前，我國未制定統一的信息保護法，關于電子商務數據信息的保護條文散見于《憲法》《民法總則》《刑法》《行政訴訟法》《侵權責任法》等法律法規中，也陸續出臺了相關專門文件，又相繼制定頒布了《網絡安全法》等法律法規加強信息保護。它們在保護電子商務數據信息方面起著重要的作用。但這些規范整體呈現出過于分散，缺乏一個完整的法律保護體系；刑法中對侵害信息的違法犯罪行為懲罰力度不夠；沒有建立相應的民事賠償制度等問題。

目前，《電子商務法（草案）》已經進入第二次審議階段。二審稿相比一審稿發生了很大的變化，制度更加完善語言也更加嚴謹精煉。其中，發生最大變化的是原來的一審稿設第四章電子商務交易保障一章，分別規定了：電子商務數據信息、市場秩序與公平競爭、消費者權益保護和爭議解決四部分內容，現在的二審稿刪去了這部分內容，將有關電子商務數據信息保護的內容放在了第二章電子商務經營者一章中，主要由第20、21和22三個條文加以規定。第20條：“電子商務經營者收集、使用其用戶的個人信息，應當遵守《中華人民共和國網絡安全法》等法律、行政法規規定的個人信息保護規則。”通過這一指引性規范直接加以規定，沒有再細節性地進行全面規定。而《網絡安全法》主要在第四章網絡信息安全的第40～50條對網絡信息進行了規范。《網絡安全法》是2016年11月制定2017年6月正式實施的一部法律，對保障網絡安全、維護網絡空間主權和各方利益具有重要作用，內容也比較詳盡，涉及網絡信息的基本原則，收集、加工和處理環節的具體可指引性規范，對第三方主體網絡平臺的責任以及法律責任和救濟等各方面，是一部較為完善的法律。但是，電子商務數據信息與普通的網絡信息有很大區別，電子商務的快速發展要求經營活動方便快捷，直接通過電子簽名的方式加以確定，電子商務活動中經營者利用自己掌握的信息加工成數據庫成為核心競爭力。面對這些情況，《網絡安全法》是無法做出回應的，應當在《電子商務法》制定中對這些特殊的問題作出具體回應，彌補法律漏洞，促進電子商務發展和數據信息的保護。

四、中國電子商務數據信息保護的立法建議

基于以上分析，我國現在需要制定真正的電子商務數據信息保護法律制度，是能夠滿足從信息采集、保管、利用的源頭來保護的制度。首先是從源頭治理，完善數據信息侵權、犯罪的法律。建立以行政法規則、民法規則和刑法規則相結合的綜合治理方式來保護電子商務數據信息的制度[2]。

（一）完善電子商務數據信息保護權利內容體系

二審稿對電子商務數據信息的權利義務方面規定通過指引性規范直接參照《網絡安全法》進行規范，《網絡安全法》不僅規定了禁止性規范，還規定了權利性規范。對用戶個人的各項權利都做了非常充分的規定，而對電子商務的經營主體，只規定了義務，沒有規定其可以享有的權利。電子商務活動中不僅有用戶即消費者的信息，也有賣方即電子商務運營者的數據信息，只是消費者處于相對弱勢的地位，所以在理論界和實務界都側重對其的保護，但運營者的電子商務數據信息權利也應當予以平等保護。對此，可以參照歐盟1995年《關于涉及個人數據處理的個人保護及此類數據自由流動的指令》中的規定。該指令系統地規定了個人資料權的內容體系，具體包括獲取權、自主決策權、拒絕使用權和獲得救濟權等方面。

（二）確立證明責任制度

為平衡信息持有者與信息所有者之間不對等的地位，在信息權受到侵害產生的糾紛中，應當確立舉證責任倒置制度即要求信息持有者對其收集、使用信息的合法性及履行了信息安全保障義務承擔舉證責任。此外，還應當建立普遍的嚴格責任制度，將侵權人的抗辯理由壓縮到最小的范圍[3]。

（三）完善電子商務數據信息保護的救濟制度

二審稿在電子商務數據信息權利受到侵害后的維權、起訴、索賠等方面的制度設計上，缺乏明確具體、可操作性的規定，應賦予其通過多種途徑獲得救濟的權利。（1）有權要求侵害者終止相關行為。（2）向專門監督機關提起控訴。目前我國對信息安全保護的監管分別由公安部、工業與信息化部等多個部門管理，這樣的管理體制難免導致監管不嚴或存在監管漏洞，對此應明確監管機構與各部門之間的職責[4]。除此之外，可以建立一個獨立的第三方機構，通過法律授權使其獲得權威性和獨立性，從而介入個人信息侵害事件，彌補官方監督機構工作中的遺漏和不作為。（3）向司法機構提起訴訟。信息權主體還可向司法機構提起訴訟。同時，還需制定具體、詳細、操作性強的賠償制度，包括對財產損害和精神損害的賠償。財產損害是指電子商務中因侵權行為而受到的經濟損失，又可以分為直接損失和間接損失，直接損失如交易過程中用戶的銀行卡信息等財務信息的泄露而導致的損失，間接損失如網絡經營者未經用戶的同意將用戶個人信息用作搜集以外的目的而出賣的行為，精神損害主要是由于電子商務中的數據信息被泄露導致評價降低帶來的精神上傷害等。

目前,我國關于電子商務數據信息的法律保護大而化之的內容較多，操作性不強，一些法規之間還存在交叉和沖突，只有在電子商務安全管理中制定專門的電子商務法律法規以規范對電子商務數據信息的取得、管理和利用，科學地設置個人信息安全與利用的界限、信息主體的權利和義務，有權審查數據信息的機構；規定當數據信息主體權利受到侵犯時，應當通過何種渠道獲得法律救濟，以及如何追究侵權者的法律責任等，我國電子商務數據信息的亂象才能得以改善，電子商務發展才會更加繁榮。