毕德旭

摘 要：在对电子商务平台消费者个人信息界定的基础上，概括了当前我国该领域个人信息泄露的现状。探究电商平台信息泄露的直接原因、催化原因、根本原因与客观技术原因。基于此，提出了整合法律体系、完善多方监督、提升技术水平及提升个人信息安全意识等多途径防范措施。

关键词：电子商务平台  个人信息泄露  原因  防范

中图分类号：F724.6 文献标识码：A 文章编号：2096-0298（2020）08（b）--02

1 电子商务平台消费者个人信息泄露的原因

1.1 消费者个人信息的电商平台接触者逐利是直接原因

一些电子商务平台，特别是许多小型电商平台招聘员工，尤其是基层员工时，通常存在招聘门槛低，待遇差等状况，面对一些诱惑，再加上法律意识薄弱，容易出现倒卖消费者个人数据的现象，电商平台员工流动性大，职业的约束力低，在出售了几批数据之后，他们可以换另一个地方或者另一家公司继续上岗。电商平台员工泄露消费者数据的接触者分别是内部员工、外包员工和黑入员工。外包员工泄露个人信息被侦破或见诸媒体的已屡有发生，外包的应用系统开发与维护的参与员工与客服是信息泄露的重点人群。黑入员工即“黑与灰产业”直接派一些人去应聘，然后拿数据，流动性很大。

1.2 消费者个人信息保护意识差是泄露的催化原因

部分消费者对个人信息泄露带来的危害没有清醒的认识，网络安全防范意识差。账户和密码设置过于简单，习惯用自己的生日或姓名拼音，还有一部分消费者所有消费平台都用同一个密码，这极大的增加了犯罪分子获取个人信息的便利性。当个人账户信息被窃取后，犯罪分子运用大数据信息分析软件将会把个人信息由点到面进行二次处理，更为隐私的习惯和信息将被挖掘出来，这会对消费者的财产安全，甚至人身安全造成极大的潜在威胁。随着手机智能化的不断升级，现在大部分消费者都是用手机在电商平台进行消费或服务，个别消费者警觉意识不高，在外出场景中，喜欢使用免费的手机充电桩，链接免费的Wi-Fi，从而增加了个人信息数据被泄露的风险。

1.3 行业监管与自律不足是信息泄露的根本原因

我国对于电子商务平台个人信息保护的行业自律主要來源于两个方面：一是网络行业自律，依托于《中国互联网行业自律公约》;二是在互联网行业自律的约束下，电商平台自身制定的电商平台行业自律，依托于《中国电子商务诚信公约》。但《中国互联网行业自律公约》针对消费者个人数据的保护部分只是笼统概括而未作出明确说明;而《中国电子商务诚信公约》只是要求“加强消费者隐私权管理，确保消费者各种信息和资料得到安全保护”，这种规定大而笼统，缺乏对电商平台在消费者个人信息保护方面的实际约束力，也不具有可行的操作性。电子商务平台及其从业者的自律主要体现在把消费者隐私保护协议之类的格式条款添加到平台网站的页面上，还普遍放到页面的不显著位置。这种看似保护消费者隐私的声明只是对《中国互联网行业自律公约》《中国电子商务诚信公约》等行业自律公约的应付式回应，既没有提高自己的行业自律标准，更没有增加平台及其从业者自身的义务。

现有的行业自律体系由于对消费者个人信息保护规定不具体、权责边界不明晰，很难发挥出切实保护消费者个人信息的效力。再加上电子商务行业忽视了对电商平台的自我约束，导致非法收集、过度收集、无法注销、信息泄露屡屡发生、愈演愈烈。使消费者的个人数据面临各种安全风险，也阻碍了电子商务行业的快速发展。

1.4 电子商务平台防范技术滞后是信息泄露的客观原因

受限于计算机软件研发水平，软件漏洞的风险存在于各种软件，仅仅是风险高低，漏洞多少的问题。受累于软件研发的技术瓶颈，电子商务平台深受软件漏洞导致的消费者个人信息泄露的困扰。尤其是一些中小电子商务平台，缺乏软件研发能力及资金支持，只能在市场上购买平台建设的各种软件，甚至是全部软件。市面上提供的平台建设所需软件性能参差不齐，甚至有些软件本身就是黑产公司开发的，这无疑加大了平台泄露个人消息的风险，并且这种风险是电商平台不可控的。

另一部分技术性因素导致的个人信息泄露虽然归结于技术因素，但却是人为可控的，具体表现为弱口令和无线被监听。基层员工流动性大是电商平台人力资源的一个显著特征，部分员工离职后，平台网络站点的密码没有及时修改造成消费者个人信息泄露的情况时有发生，尤其是在刚成立的微小电商平台中更为普遍。另外就是无线与监听问题，这种问题也集中存在于小微电商平台中，这类企业多用家用无线路由器替代商用路由器，这种路由器一是默认密码不修改，二是自身有漏洞，极易造成平台消费者信息被窃取。

2 电子商务平台消费者个人信息泄露的防范对策

2.1 整合个人信息保护法律体系，加强依法保护

2019年1月，我国正式实施《电子商务法》对于个人信息保护的规定与《民法总则》《刑法》以及《网络安全法》中的相关内容互有关联，相互呼应。只有整合《电子商务法》与《网络安全法》中有关电商平台个人信息保护的权利与义务，并明晰《民法》《行政法》与《刑法》关于个人数据保护的法理解释与实践运用，才能协同发挥保护个人信息的目的。《电子商务法》明确了电子商务经营者收集与使用用户个人信息应当遵循的法定和约定要求，既规定了电子商务经营者的积极义务，又明确了消极义务。尤其明确指出电子商务经营者不得对用户信息查询、更正、删除以及用户注销设置不合理条件，这相较于《网络安全法》第四十三条对用户要求删除、更正个人信息时只能在“个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集”和“发现网络运营者收集、存储的其个人信息有错误的”的前提下操作而言，《电子商务法》对用户信息支配权的保护更为充分。

为了回应互联网时代保护个人信息安全的公众诉求，进一步完善民法中关于个人信息权的内涵与外延是大势所趋。鉴于个人信息本身蕴含的经济价值，应该明确个人信息权的人身属性和财产属性，并赋予相应的个人信息人格权和个人信息财产权。关于电商环境下消费者个人数据的刑法保护建议细化个人信息保护条例，并增加确切的刑罚体系。而对于侵犯公民个人信息却不够刑法定罪量刑的，可以进一步细化侵权行为，纳入《治安管理处罚法》中，给予个人信息的全方位、无空白、分层次的协同保护。

2.2 完善多方监督体制，补强行业自律规则

首先，夯实分业监管与公安机关兜底监管的监督体系。市场监管部门及相关分业行政部门履行监督职能，主要从以下三方面入手：一是监督电子商务平台对《电子商务法》《网络安全法》等涉及消费者个人信息保护的权利与义务的落实情况，审核平台对消费者个人信息收集、流转是否依法依规，在此过程中及时发现问题并进行制止与纠正，超越行业监管权限的违法行为及时报送公安机关。二是负责行业的普法工作，让行业法律法规警钟长鸣，入脑入心，成为电商平台规范自我行为的自觉行动指南，让其行业有戒尺、员工有戒律。三是协助制定电商平台行业自律规则，让行业自律规则不违法不逾规，有操作，能执行，保证电商平台对消费者个人信息的保护由被动的应付式接受转变为主动的积极行为。

其次，加强电商平台行业自律。2019年电商系列调查专项行动之互联网信息安全乱象调查明确指出，当前电商领域涉及个人信息安全的典型乱象为过度收集、非法收集、非法售卖、无法注销、泄露隐患。电商平台必须针对这5大典型乱象，在相关法律法规的框架内，在分业行政部门的监督下，尽快制定和完善针对消费者个人信息保护的行业协会法规。一是明确过度收集的特征及表现，做到行业知边界，人员能操作。二是明確“非法”的行业外延及对非法收集和非法售卖的行业惩处办法。三是针对无法注销，要严格执行《电子商务法》中对个人信息账户注销，平台不能设置前置条件的规定;对于泄露隐患，既可能是人为导致，也可能是技术缺陷或二者兼有。四是在行业协会的层面整合个人信息数据防泄露技术的研发与运用，对于员工导致的个人信息泄露，应该加强行业协会的统筹职业培训，并对倒卖平台个人信息牟利的个人试行行业“黑名单”制。

2.3 提升技术防范水平，强化信息保护能力

个人信息作为电商平台的重要人力资源储存在后台数据库中，对于非本人信息的使用，可以借助对称加密或动态密钥来规避泄露风险，即在电商平台或第三方对消费者信息进行查询时，需要消费者手中的密码才能进行信息提取和使用，并且以动态密钥的形式存在。不同的密匙用于不同的信息查询并且具有即时性。同时，加强网络过滤技术。采用加强网络过滤技术的方法，在网络监管过程中，建立了大量的信息传输监控设备，以及时检测大量尚未归档或准备传输的信息，并进行阻塞和阻断。切断及时传输的未知信息。在确定传输渠道和用途以防止不必要的传输并防止犯罪之前，不得“释放”或“扣留”其传输渠道。最后，发展网络跟踪技术。消费者个人信息泄露频发的主要原因是证据难以固定，难以调查泄露根源以及难以追踪泄露行为，导致侵权人犯罪侥幸心理增长，犯罪行为增加。在增加网络管理和控制的同时，加大网络跟踪技术研发与运用。通过网络后台监控，发现被追踪信息的“起点”和“终点”，以达到快速查清泄露源头，锁定犯罪人，及时破案的目的和震慑犯罪的效果。

参考文献

喻海松.侵犯公民个人信息罪司法疑难之案解[J].人民司法（案例），2018（16）.

陈文行.大数据背景下电商平台信息分享策略研究[J].商业经济研究，2019（01）.

孔德晨.今年已查办侵害消费者信息案1474件[N].人民日报海外版，2019-11-19.

孙国一.我国侵犯公民个人信息犯罪的现状与对策研究[D].北京：中国人民公安大学，2019（06）.

吕斌.电商信息泄露风险何在[J].法人，2017（07）.