1、電子商務經營者的個人信息保護責任與措施分析摘要：在電子商務蓬勃發展的今天，各種與電子商務相關的信息保護成為消費者與經營者共同關心的熱點問題。今年新頒布的電子商務法對個人信息保護方面的責任從電子商務經營者角度進行了規定，并對承擔信息保護義務的方式、方法等都進行了明確的闡明。本文旨在從具體的電子商務法律條文出發，結合我國其他個人信息保護相關法規，根據我國電子商務交易活動的需求，分析探討了電子商務經營者各種個人信息保護的權利與義務，以期使電子商務經營者在經營實踐中，能明確各種信息保護責任，并從電子商務安全管理角度對安全管理規范制度進行了闡述，旨在有利于促進我國電子商務的健康發展。關鍵詞：電子商務經營

2、者、個人信息保護、電子商務法、安全措施、安全制度進入網絡信息爆炸時代，計算機網絡所具備的超級強大的數據處理能力，使現代社會個人信息的收集與交換發生了前所未有的變革，與個人生活息息相關的信息在今天的大數據時代已經成為一種非常重要的可以帶來經濟利益的資源。今天，全世界90%以上的信息是以數字形式存儲的，在電子商務交易活動中，人們利用計算機網絡技術迅速搜尋、儲存、送達與個人或企業相關的數據信息，信息流、物流和資金流構成了一個網絡化的商務交易生態系統，中國電子商務報2018顯示：2018年中國電子商務交易額達到31.63萬億元，網絡零售規模全球第一。在電子商務迅猛發展的同時，為追逐各種經濟利益而產生的

3、：非法收集、盜竊、買賣、欺詐騙取等侵犯個人信息權的行為時有發生，破壞了電子商務發展所需要的健康社會環境，同時給網民帶來了經濟損失，有些甚至危及公民的生命和財產安全。為保障電子商務交易活動的安全性，新頒布的電子商務法中設專門條款對個人信息保護方面的內容進行了規定，電子商務法第23條、 第24條、 第25條規定具體的電子商務交易活動中個人信息的保護內容。本文將從電子商務經營者責任出發對電子商務交易活動中的與個人信息保護相關的部分展開法律分析，并對電子商務經營者依法所必須履行的個人信息保護的方法與措施進行了論述。1、電子商務經營者與個人信息權在虛擬環境下從事的電子商務交易，電子商務經營者必須獲取消費

4、者的個人信息方可完成整個購買、物流、支付的全過程，因此，電子商務經營者對消費者個人信息的利用與個人信息安全和保護，從交易活動的開始就是一個矛盾對立統一體。所謂電子商務經營者根據電子商務法第9條規定：是指通過互聯網等信息網絡從事銷售商品或者提供服務等經營活動的自然人、法人和非法人組織，包括：電子商務平臺經營者、平臺內經營者以及通過自建網站、其他網絡服務銷售商品或者提供服務的電子商務經營者。個人信息，按照2016年頒布的中華人民共和國網絡安全法的第76條第5款的規定：以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個

5、人生物識別信息、住址、電話號碼等。公民的個人信息還包括通信通訊聯系方式、通信記錄和內容、賬號（淘寶號、QQ號、支付寶賬號、銀行賬號等）信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。個人信息是自然人在社會生存發展狀態下所與生俱來或后天獲取的他人可知或不可披露于眾的所有信息內容的總稱。個人信息權指任何公民，都享有支配或自主裁決其個人信息的權利。個人信息權的內容包括：收集和利用個人的信息的知情權，以及本人利用或授權他人利用其信息的決定權等方面的內容，個人擁有的與其相關信息的控制權等。個人信息權有學者認為他是一種可以被所有者占有、利用和出售并帶來經濟利益的商品；也有學者認為他是一種個人

6、隱私內容，侵犯個人信息就是侵害信息主體個人隱私的內容；另有觀點認為任意收集、處理或利用個人信息是對公民個人人格利益的侵犯。個人信息權屬于受民法保護一種獨立的民事權利，是人格權的一部分。我國民法第111條規定：“自然人的個人信息受法律保護，任何組織和個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。”個人信息在現代社會已成為一種在信息發展中產生的新生利益，其所有、控制、支配等需要法律規范予以制約與調整。在大數據、云計算的時代，在不斷完善的數據挖掘技術基礎上，商家通過大數據系統收集個人消費信息，利用碰撞、對比

7、、串聯等方式獲取消費者全面的個人身份和消費特征等信息，可以對每個消費者的生活軌跡、消費習慣等信息了如指掌。所以，電子商務經營者如何合理合法地利用消費者個人信息，防止在商務活動中侵犯個人信息行為的發生已成為電子商務中個人信息保護的瓶頸問題。電子商務活動中，相關個人信息權侵犯問題的產生主要表現為：（1）不當收集個人信息；電子商務平臺及其經營者可以輕易獲取消費者各種人身安全相關的信息，借助大數據分析，電商企業可以了解消費者的個人生活等軌跡，使用不當，對消費者權益將形成危害。（2）個人信息不法交易；獲取個人信息背后是巨大的商業利益產業鏈，根據消費者愛好興趣消費取向，個人信息在商家之間的買賣，很可能構成

8、對消費者利益對損害。（3）個人信息的泄露；如：近年來，個人隱私信息泄露、盜用、販賣事件時有發生，騷撓、詐騙電話和郵件仍然肆虐，電子商務平臺是信息泄露“重災區”。如：2018年9月，中國消費者協會在北京所發布的APP個人信息泄露情況顯示：曾經遭遇到個人信息泄露情況的受訪者占85.2%，當消費者個人信息泄露后，約85.5%的受訪者曾收到推銷電話或短信的騷撓，約75.0%的受訪者接到詐騙電話，約63.4%的受訪者收到垃圾郵件。調查結果顯示經營者未經本人同意收集個人信息，約占總樣本的62.2%，經營者或違法分子泄露、出售或非法向他人提供個人信息占調查總樣本60.6%，網絡服務漏洞形成個人信息泄露57.

9、4%，通過電腦病毒或釣魚網站等非法手段獲取個人信息分別是34.4%和26.2%。保護個人信息權是電子商務交易活動中需要引起足夠重視的內容，對電子商務中個人信息的保護，與規范電子商務參與者的行為，維護網絡交易市場的正常社會秩序，以及促進電子商務可持續地健康發展等密切相關。2、個人信息權法律保護與電子商務用立法方式保護公民個人信息權是世界各國共同實踐和采用的方法。如德國聯邦個人資料保護法；英國個人資料保護法；日本、韓國頒布的公民個人信息保護法等相關法律規定。全國人大法律委員會經研究認為，個人信息權利是公民在現代信息社會享有的重要權利。明確對個人信息的保護對于保護公民的人格尊嚴，使公民免受非法侵擾，

10、維護正常社會秩序具有現實意義。從電子商務經營者角度規定電子商務個人信息保護，成為2019年1月1日施行的電子商務法的一大亮點。電子商務法第23條規定：“電子商務經營者收集、使用其用戶的個人信息，應當遵守法律、行政法規有關個人信息保護的規定。”該條明確規定了電子商務經營者在進行電子商務交易活動中，必須遵守國家法律、法規的規定，保護當事人所享有的個人信息權。第24條規定：“電子商務經營者應當明示用戶信息查詢、更正、刪除以及用戶注銷對方式、程序，不得對用戶信息查詢、更正、刪除以及用戶注銷設置不合理條件。”第25條規定“有關主管部門依照法律、行政法規的規定要求電子商務經營者提供有關電子商務數據信息的，

11、電子商務經營者應當提供。”在互聯網技術迅速發展的今天，信息時代的到來，人們生活在各種信息始終被收集、處理、利用和交換的環境中，信息成為極具經濟價值的新生利益，而個人信息已經納入我國民法保護的范疇。電子商務法中的規定，是民法中關于個人信息保護的擴展與延伸。個人信息的專條法律規定，體現了我國法律對人格尊嚴的關照和對社會現實的尊重，為人民法院裁判侵害個人信息權利的案件提供了法律基準和依據。民法規定了對個人信息權的保護屬于人格權保護的內容，通過民法總則確立了個人信息權是一種獨立的人格權并予以保護，其作用將有助于我國個人信息保護法律體系的建立。電子商務法中明確規定了電子商務經營者對個人信息保護的責任和義

12、務，電子商務法第9條規定：電子商務平臺經營者、平臺內經營者和其他網絡商品或服務提供商都屬于電子商務經營者的范圍。網絡安全法第41條規定網絡運營者收集、使用個人信息的基本原則和具體要求：網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則；規定了公開收集、使用規則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意，不得違反法律、行政法規和雙方的約定收集、使用個人信息。個人信息條款在網絡安全法中是以“安全”為基本要求，即：嚴格保密是網絡運營者收集使用信息的基本制度。為維護網絡安全，網絡運營者應當采取技術措施確保其收集的個人信息安全，防止個人信息的被泄露、銷毀、損壞和丟失。在發生信息安

13、全問題時，網絡運營者應當迅速采取各種補救措施，并及時按規定告知用戶和相關主管部門。同時作為用戶一旦發現網絡運營商有違反法律、法規或雙方約定收集、使用其個人信息行為或結果的，有權要求網絡運營商對相關信息進行刪除或更正。網絡安全法適用的對象是網絡經營者（網絡所有者、管理者、網絡服務提供者），保障安全是網絡安全法中的核心內容，因此對個人信息泄露的防止、網絡運營商的運營責任和個人信息的非法銷售等網絡安全法都進行了詳細的規范。刑法第253條規定：“違反國家有關規定，向他人出售或提供公民個人信息，情節嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金。違反國家有關規定，將在履行職責或提供服務過程中獲得的

14、公民個人信息，出售或提供給他人的，依照前款的規定從重處罰。”刑法對嚴重破壞個人網絡信息安全、擾亂或傷害公民人身與財產利益的網絡犯罪行為進行了刑事法律規范，其目的是加強保證公民信息保密程度，保障公民個人信息的合法權益，侵犯個人信息的網絡犯罪將依法追究刑事責任，以期預防與嚴厲打擊各種侵犯公民個人信息相關的違法犯罪行為，更有效地防范和化解侵犯個人信息的風險。作為個人信息權的享有者，在無法控制自己向商家所提供個人信息被非法利用或收集的情況下，只能求助于法律手段來保護自身的合法權益。我國目前尚未頒布個人信息保護法，個人信息保護法已列入全國人大常委會的立法規劃，對個人信息保護的規定與規范散見在各個部門法規

15、中，作為電子商務經營者需要熟悉和了解有關個人信息保護內容的各個具體條款和內容，方能更好地實現經營操作與制度管理上對個人信息的嚴格保護或保密。3、電子商務經營者依法保護個人信息措施分析電子商務交易活動中個人信息被侵犯的形式多種多樣，為了有效保障個人信息所有者對個人信息的控制權，努力降低信息被泄露和被濫用的風險，一方面需要通過立法手段來達到減少或消除非法侵害個人信息權屢禁不止的情況發生，同時電子商務經營者需要在技術上、規范管理制度上采取措施依法保護電子商務交易中的各種個人信息。第一，電子商務經營者需要嚴格遵守既定個人信息權保護等法律規范；目前，電子商務中個人信息安全問題主要集中在：網絡安全與交易安

16、全活動中，存在著如盜取信息、黑客攻擊網絡、惡意破壞、假冒身份和網絡故障等；網絡安全法的目的是保護網絡安全，管理互聯網信息內容，規范網絡安全事件管理制度等，并對關鍵信息基礎設施予以安全建設與保護。電子商務經營者應當明示用戶信息的有關查詢、更正、刪除情況，不得任意設置不合理條件對相關用戶個人信息之進行查詢、更正、刪除或對用戶進行注銷。（1）查詢、更正或刪除信息，如果經營者收到有關要求對用戶個人信息進行查詢、更正或刪除的申請時，電子商務經營者應當在核實當事人身份等認證信息后，及時進行查詢或者更正、刪除該用戶信息。（2）刪除用戶信息，如果是被注銷的用戶，電子商務經營者應當立即刪除用戶所存的全部信息；（

17、3）依法保存信息，依照法律、行政法規的規定或者雙方的約定需保存的信息，將依法律規定予以保存。電子商務經營者依法應當向有關主管部門要求提供電子商務數據信息，其相關主管部門應當采取必要安全措施，確保電子商務經營者所提供的數據信息的安全。第二，電子商務經營者需要從互聯網系統安全角度來保障公民的個人信息保護；保證電子商務中個人信息安全的基礎是擁有安全的個人信息體系，電子商務安全依賴于互聯網系統設施的安全，安全的互聯網技術、設施以及安全系統是解決電子商務安全的基本保障。相關的互聯網安全技術包括：（1）防火墻技術，即由軟件和硬件組建成的一個或一組系統，它位于企業或網絡群體計算機與外界通道之間，其目的是加強

18、互聯外網與內部網之間的安全防范。構成控制網絡內外的信息交流，提供接入控制和審查跟蹤，在外部網和內部網間的界面構造一個安全屏障。（2）IPSec和虛擬專用網；IPSec在網絡層上對數據包進行高強度的安全處理，提供數據源驗證、無鏈接數據完整性、數據機密性、抗重播和有限的業務流機密性等安全服務。（3）Web安全協議，實現網絡安全的途徑有多種，如可使用安全套接層協議來實現Web的安全；另外，安全電子交易（SET）是目前已經標準化且被業界廣泛接受的一種網際網絡信用卡機制。（4）計算機病毒防治技術，防治計算機病毒技術有觀點將其分為病毒預防、檢測和清除技術。病毒的預防技術：禁止病毒對計算機系統的傳染和破壞的

19、技術方法；預防技術，系指對磁盤引導區的保護技術，對可執行程序的加密技術，控制讀寫的和對系統的監控技術等。病毒的檢測技術，是一種對各種計算機病毒進行判斷和檢查的技術，具體檢測技術內容包括：其一，根據計算機病毒的關鍵字詞、程序段特征性的內容、病毒表現特性以及傳染方式、文件內容長短多少的變化，在對特征進行歸類的基礎上建立的病毒檢測技術；其二，不針對具體病毒的相關程序，對文件或數據段進行檢測和計算并保存其結果，之后將定期或不定期地利用保存的結果對該文件、數據段進行檢測。計算機病毒消除技術是計算機病毒傳染程序的逆過程。病毒消除的技術操作多發生在某種病毒被發現之后，并對其進行仔細分析研究，才能研制出來具有

20、相應解毒功能的軟件。（5）網絡入侵檢測技術。隨著網絡技術的飛速發展，網絡入侵種類不斷翻新（漏洞掃描、口令破解、系統后門、Web攻擊等），網絡入侵的檢測方法包括：其一，異常檢測法，即選取正常模式審計的相關數學特征，檢查各種事件數據流中是否存在與之相違背的異常模式情況。相應的手段有對統計異常的檢測法、基于神經網絡的異常檢測法、基于規則異常性的檢測方法。其二，誤用檢測，即總結、概括已知的入侵模式來檢測入侵。入侵者常常會利用系統和應用軟件中存在的弱點來進行攻擊，而這些弱點可能會組織成某種模式。誤用檢測的方法包括：基于串匹配的誤用檢測法；基于專家系統的誤用檢測法、基于狀態轉移的誤用檢測方法、基于模型的誤

21、用入侵檢測方法。其三，混合檢測方法，包括基于生物免疫的入侵檢測、基于Agent的入侵檢測模式，此處Agent實際上是某種軟件實體在網絡中執行某項特定監視任務 。第三，電子商務經營者需要從系統安全制度上規范個人信息安全管理；建立了安全的硬件、軟件和技術體系，還需要建立與安全防范的相匹配的制度才能實現整個電子商務生態系統的安全運營。實現電子商務的安全風險管理需要健全的規章制度。電子商務是在網絡環境中完成的商務交易活動，因此除了可能遭受互聯網的各種攻擊和信息風險外，還會遭遇來自企業內部的攻擊，對于這些破壞電子商務安全性的攻擊，僅僅依靠技術措施是無法徹底防范的，還需要配套建立健全的電子商務安全管理制度和管理規范，并嚴格予以執行。制定的網絡信息安全制度的基本要求包括：（1）