引言

“互联网+”时代的来临，电商平台蓬勃发展，2022年中国B2C电子商务交易额在全球占比达到37.2%，处于全球领先地位。繁荣的电商市场主要依赖数量庞大的消费者群体，其中，消费者个人信息在电商市场的蓬勃发展中发挥举足轻重的作用，通过对海量的用户个人信息进行加工处理可能为电商平台和入驻第三方带来巨大的商业价值。因此，作为电子商务领域重要的资源，各大电商平台都积极对这块“富矿”进行挖掘，这也进一步引发了部分电商平台对个人信息的过度采集和使用。电商平台对个人信息的过度使用，很有可能引发消费者个人信息的泄露，进而引发对公民人身以及财产权益的侵害，消费者在通过电商平台交易时产生的个人信息需要得到更好的保护。

一、电子商务中消费者个人信息保护的价值

（一）电子商务中消费者个人信息的定义

在我国，《中华人民共和国民法典》（后文简称《民法典》）和《中华人民共和国网络安全法》都参考“识别说”认定个人信息，即通过直接识别个人姓名、地址或对个人其他身份的识别可以具体确定到某人的可以认定为个人信息。而新颁布的《个人信息保护法》在“识别说”的基础上加上了“关联说”的标准，一切与已识别或可识别的人有关的信息都属于个人数据，扩大了对个人信息保护的范围。在电子商务不断发展壮大的同时，如何保护消费者的个人信息成为一个亟须解决的问题。解决这一问题的首要任务就是对电子商务消费者以及个人信息等关键概念进行准确的界定。

1. 电子商务消费者

电子商务消费者与传统消费者在消费媒介和方式上存在显著差异。传统消费者通常通过线下支付，完成交易后获取商品或服务，而电商消费者则通过网络支付购买商品或服务，通常采取先支付后收货的方式。尽管消费方式不同，但这并不影响电商消费者在消费者法律中的定位，他们实际上是消费者群体中的一个类别，主要通过网络支付购买日常生活所需的商品或服务。

2. 个人信息

个人作为消费者时，其个人信息是指在进行日常生活消费时被记录的各种可识别信息。电商消费者的个人信息作为消费者信息的一部分，经由网络媒介产生和利用。除了《民法典》第1034条中的传统个人信息外，还包括生活习惯、消费偏好、社交关系等通过信息技术和网络算法推断出的信息。因此，电商消费者个人信息可界定为通过网络购买商品或服务时记录的可用于直接或间接识别个人身份的信息集合。

电商平台中的消费者个人信息主要是指消费者在电商平台上购买商品或使用服务过程中产生的，与消费者有关并且能据以直接或间接识别到某个特定消费者的个人信息。具体而言，不仅包括消费者在消费过程中填写的姓名、联系方式、家庭住址等个人信息，还包括电商平台自动收集的消费者在浏览过程中产生的定位信息、购物记录、搜索及浏览记录。这些信息往往由消费者主动提供，对于电商平台而言获取难度低却具有极大的商业价值。

（二）电商平台中个人信息的价值

大数据时代下的个人信息具有极强的可识别性，通过大数据与智能技术便可以基于搜集的个人信息精准定位信息背后的消费者个人，而对个人信息的非法利用可能会引发电信骚扰、电信诈骗或是其他严重影响消费者人身或财产安全状态的行为。对于电商平台而言，包含浏览记录、购物记录或购物倾向等在内的个人信息具有极大的商业价值。电商平台可以根据收集的个人信息分析出消费者的购物习惯以及消费能力从而在目标用户的电商平台应用首页精准投放商品广告，还可以通过电子邮件和手机短信的方式向消费者进行精准营销，以此进一步提高平台的成交率。电商平台还可以对收集的海量消费者个人信息进行汇总，依据消费者年龄、地域、产品需求等绘制区域性的大数据消费者画像，电商平台基于此可在全国各区域推行更精准，更具有前瞻性的战略计划。

二、电商交易活动中消费者个人信息保护的立法现状及存在问题

（一）我国电商交易活动中消费者个人信息保护立法现状

1. 《民法典》

《民法典》第111条规定特别提到了对自然人个人信息的保护，将个人信息保护置于空前重要的位置。在独立成编的人格权编中加入“隐私权和个人信息保护”的章节，并以列举的形式对个人信息的概念作出了较为明晰的定义，对个人信息与隐私权进行区分保护，将敏感个人信息以隐私权的形式进行保护。此外，《民法典》还完善了公民享有的个人信息权益的内容，明确了信息时代下公民享有知情同意权、查阅和复制个人信息的权利以及删除个人信息的权利。

2. 《中华人民共和国个人信息保护法》（后文简称《个人信息保护法》）

《个人信息保护法》进一步丰富了个人信息保护的含义，对个人信息的界定采取“关联说”加“识别说”，扩大了个人信息的范围，加强了对信息主体的保护。其次，细化了信息主体享有的多项权利，对信息主体的知情权、更正权、删除权等多项权利的行使具体情况和救济程序作出更加具体的规定，使之更具有可操作性。此外，除了明确信息主体享有的权利，还规定了提供互联网服务的信息处理者的义务，对提供重要互联网平台服务的个人信息处理者还进一步作出了特殊要求。

3. 《中华人民共和国消费者权益保护法》（后文简称《消费者权益保护法》）

《消费者权益保护法》在2013年修改时就已增加了对消费者个人信息进行依法保护的内容。明确消费者在购买和使用商品或服务时产生的个人信息依法受到保护，同时对经营者收集使用消费者个人信息时必须履行的义务作出详尽规定，还对侵害消费者个人信息权利的行为明确规定了民事责任的承担方式，设定了行政处罚。

4. 《中华人民共和国电子商务法》

《电子商务法》更侧重于对电子商务活动中电商经营者的规制，要求电商经营者严格履行保护个人信息的义务，规定了电商平台存储用户数据的时长要求。从消费者权利角度出发，《电子商务法》对电商用户的查询权和注销权作出了保护性规定，明确了消费者对于用户信息的查询和注销的权利。

（二）电商平台中个人信息保护存在的问题

1. 敏感个人信息处理不合理

在消费者使用电商平台进行交易的过程中，平台经营者一方或第三方收集大量消费者个人数据，其中既包括消费者主动提供的相对具有社会属性的个人信息，也包括与消费者人格尊严与人身财产紧密联系的个人敏感信息。这些敏感信息直接指向人格尊严以及人身、财产权利。但当前的电商平台未能实现对所收集个人信息的精准识别，法律也尚未对敏感个人信息给出统一的判断标准，这使得电商平台对敏感信息的分类存在漏洞。当前，各大电商平台都在积极开发社交功能，诸如淘宝开发的“淘友圈”以及拼多多开发的“拼小圈”，消费者购买商品的记录以公开的方式展示于其社交主页。在尚未形成完善的信息分类标准的情况下，涉及消费者个人隐私的敏感商品可能会被公开展示于消费者社交平台，进而伤害消费者人格尊严并侵犯其隐私权。

2. “告知–同意”规则的履行仍需完善

“告知–同意”原则是个人信息处理者处理个人信息时应当遵守的基本准则。各大电商平台虽然都依据《个人信息保护法》制定了相关的用户协议以履行告知义务，但也仅是差强人意，仍存在极大的问题。电商平台的隐私政策以及用户服务协议一般采用复杂且冗长的格式条款，对于没有相关专业基础的一般消费者而言，通篇阅读并且理解其条款含义的可能性较小。2018年中消协发布的《APP个人信息泄露情况调查报告》中，仅仅26.7%的受访者反映能够认真阅读完应用权限和用户协议或隐私政策的文字说明。而从不阅读相关条款的受访者一部分是基于对运营商的善意信任，另一部分仅是因为不授权就无法使用平台的服务，消费者只能被迫同意授权。在消费者不了解自己的个人信息去向以及使用方式的情况下就接受平台协议，在根本上违背了“告知–同意”原则中信息主体基于其个人意志对个人信息进行处分的精神。

消费者授权电商平台使用个人信息一般有两种形式，第一种是通过点击同意等按钮以明示的方式授权使用其个人信息，在这种情况下，授权界面往往只显示同意按键或勾选选项，具体的用户协议或隐私政策被放置于难以引起注意的位置，并且需要通过二次点击才可以查看相应的内容。第二种是将消费者登录电商平台账号或使用特定服务的行为作为授权处理个人信息的默示同意，消费者想要在电商平台进行交易就需要概括性地对协议中个人信息相关条款也作出同意，消费者属于相当被动的状态，没有能力拒绝或阻止个人信息被收集。

3. 消费者救济维权难度高

电商平台运作依靠网购平台本身、入驻平台的商家、支付服务的提供者以及物流服务的提供者等多方主体，因而当个人信息发生泄露时，难以从上述四者甚至是未知的第三方处对侵权主体进行溯源。《个人信息保护法》中采取了过错推定的归责方式，电商平台需要对于已发生的个人信息侵权行为不存在过错承担举证责任，但消费者仍需要就其个人信息权益受侵害的结果与某一电商平台相关行为存在因果关系作出证明。然而基于网络而存在的互联网电商平台上的行为往往具有一定的隐蔽性和时效性，当消费者发现个人信息权益遭受侵害时，很难依靠自己的力量寻找足够的证据以证明侵害结果与电商平台行为之间存在因果关系。经营具有一定规模的电商平台，一般都拥有专业的信息管理系统和团队，相对于消费者而言在技术上和平台上都具有较大的证明优势。在“庞理鹏案”“申瑾案”以及“付全贵案”这三个相似的案例中，法院在举证责任以及证明限度方面展现出了偏向消费者一方的态度，将证据证明力的标准改为“具有高度盖然性”，这展现出了减轻消费者个人举证责任，加重第三方审查义务和举证责任的趋向，这是一个积极的转变趋向，但仍然需要通过立法来制定符合针对保护网络平台消费者个人信息的规则原则。消费者实际损失难以证明。

既往互联网平台侵犯消费者个人信息权利的案件中，消费者主要要求平台方承担财产损失和精神损害的赔偿以及向当事人赔礼道歉。然而基于个人信息权益侵害造成的财产损失因缺乏统一标准，难以用数额进行衡量。依照《个人信息保护法规定》，赔偿数额的计算仅依照被侵权消费者的直接损失，相对于电商平台运用个人信息取得的商业价值而言极其微小，无法对电商平台滥用个人信息的行为起到惩戒和警示相关行业的作用。同样作为消费者进行交易活动的场所，电商平台交易中的不诚信行为也应当引入《消费者权益保护法》中的惩罚性赔偿以维护消费者权益并警示其他同业者。

三、完善我国电商平台活动中个人信息保护的建议

（一）明晰消费者个人信息权益的范围

1. 厘清消费者敏感信息的范围

敏感信息的泄露是消费者在使用电商平台时遭受侵害的主要原因之一，因此需要进一步对敏感信息的概念进行界定，对信息分类给出相应的判断标准。《民法典》将个人信息分为私密与非私密的个人信息，《个人信息保护法》将个人信息划分为普通的个人信息以及敏感个人信息，但两者就敏感信息这一概念没有作出进一步的规定，实践中缺乏明确具体的分类标准可供实践参考，最终导致敏感个人信息这一概念及相关规定形同虚设。对此，可以参考域外的立法经验，欧盟2018年出台的《通用数据保护条例》中对特殊类型的个人数据作出了详尽的列举，并依据敏感程度的不同对信息处理者做出相应的要求。我国可以参考建立健全相应的个人信息分级保护目录制度，依据不同敏感程度对信息处理者提出相应的处理要求，禁止电商平台经营者处理绝对敏感的个人信息，并对违反规定擅自收集处理该类信息的电商平台给予惩罚性措施；而其他敏感信息的收集和处理应当在经过消费者明示同意的前提下方可进行。

2. 明确消费者在电商平台中享有的个人信息权利

依据《个人信息保护法》，消费者在使用电商平台的过程中，享有包括知情权、决定权、删除权等使用或保护其个人信息的权利，具体而言，消费者在参与电商平台交易的过程中，有充分知悉了解其个人信息处理主体、处理方法和事后处理方式的权利，消费者被允许独立且自由地依法支配、使用、修改或删除其个人信息，在权利遭受平台方侵害时可以要求侵权方停止侵害并向司法机关寻求救济。正如大隐私模式，将个人信息所包含的数据纳入隐私范畴予以保护，重点关注对消费主体隐私的侵犯，达到隐私保护与正常市场经济发展的平衡。

（二）完善告知同意规则

1. 提高电商平台“告知”的标准

为了使告知同意规则切实得到应用，使消费者在充分理解平台的用户协议以及隐私政策的基础上行使个人信息的支配权，电商平台应当尽量使用通俗易懂、简明扼要的语言组织用户隐私政策的文字，并就其中的关键信息使用明显的字号或颜色标注，尤其是对信息处理主体以及第三方主体、信息的使用目的与方法应当特别作出标注，以充分满足消费者的知情权。

《个人信息保护法》规定应当对敏感个人信息作特殊保护，因此电商平台还应当在隐私保护协议中以明显的方式区分可能收集处理的一般个人信息与敏感个人信息以引起消费者的重。除此以外，在每次收集和使用消费者敏感个人信息时应当以弹窗或其他形式取得消费者的同意。

2. 完善消费者的同意方式

电商平台隐私协议取得消费者同意应当尽可能采取明示同意的方式，即消费者主动点击或勾选平台方设置的“同意”按键以表达同意签订隐私协议的意思表示，避免电商平台通过默认同意或勾选的方式与消费者签订隐私协议的现象。为了敦促消费者对其签约行为加强重视，可以参考将隐私协议的同意方式修改为电子签名同意方式。一方面签名更能代表消费者主体的真实性，另一方面也使得消费者对其授权行为更加关注。同时，有学者提出可以基于同意强度的不同进行区分适用，对信息处理者处理敏感度较弱的个人信息在首次明示同意后可采取默认同意的授权方式，而针对个人尊严和自由发展密切相关的个人信息则需采取明确同意的授权方式，这种区分可以将消费者从频繁授权的麻木状态中解放出来，有更多精力审慎处理敏感度较高的个人信息授权行为。

（三）完善网络消费者个人信息权益受损时的救济途径

1. 降低消费者的举证责任

消费者作为个体，在个人信息权益受损时收集证据及相关信息的能力有限，而成规模的电商平台具有强大的信息能力和集成的信息管理体系。为了实现平等，应当结合具体场景适当向消费者一侧赋予倾斜保护，降低消费者的举证责任。《个人信息保护法》规定，个人信息侵权案件的归责方式为过错推定，虽然由信息处理者一方承担主要举证责任，但消费者一方仍需要提供证据证明自身遭遇的损害结果与电商平台的某一行为之间有因果关系，并且需要达到“唯一指向性”的证明标准，这对于处于弱势地位的消费者而言难度仍然很大，消费者的权益难以得到救济。因此，建议将电商平台对消费者个人信息侵权采用“无过错”归责原则，这样可以大大降低消费者举证难度，同时也符合社会公益，可以敦促电商平台加强对自身个人信息处理行为的审视，推动对个人信息保护的正向发展。

2. 建立针对电商平台的惩罚性赔偿制度

目前《个人信息保护法》中尚未有关于侵犯公民个人信息权益而给予惩罚性赔偿的规定，《消费者权益保护法》也仅将惩罚性赔偿规则适用于三种与个人信息保护关系较疏远的情形。相较于电商平台通过收集处理个人信息获得的财产性利益，消费者个人在个人信息侵权案件中获得的侵害赔偿微不足道，面对这种个人信息权益难以得到补偿的情况，应当通过建立电子商务领域的惩罚性赔偿制度来予以弥补。对违反法律规定收集或处理消费者个人信息造成严重后果的电商平台，可以对其要求惩罚性赔偿。一方面，这是对被侵害了个人信息权益的消费者的回应，另一方面也是通过加重经济责任的方式以引起电商平台对于其保护消费者合法个人信息权益的重视。

四、结语

数字经济时代的发展是社会发展不可逆之局势，应当认可其对社会发展的贡献，同时也应当对其带来的风险加倍重视。消费主体个人信息作为数字经济时代的核心要素，消费主体在当下必然不可拒绝地要用自己的个人信息交换以获得企业经营主体提供的相应产品或者服务，从该角度来说个人信息所带来的经济价值是惠及企业经营主体和消费主体本身。因此绝对保护个人信息和摒弃个人信息安全都不具有可采性，法律规范体系的完善应当朝着平衡二者关系方向前进，兼具促进数字经济时代市场经济发展与保障个人信息安全之功效。

参考文献：

1. [1] 央视网.数字贸易发展与合作报告 2023[EB/OL].(2023-09-04)[2024-10-31].https://news.cctv.com/2023/09/04/ARTIb7Y9gHFHKH6vcNAZ86Wd230904.shtml.
2. [2] 蒋丽华.无过错归责原则：个人信息侵权损害赔偿的应然走向[J].财经法学,2022(01):32-44.
3. [3] 王利明,丁晓东.论《个人信息保护法》的亮点、特色与适用[J].法学家,2021,(06):1-16+191.
4. [4] 王芳.电商平台消费者个人信息立法保护研究[D].安徽财经大学,2022.
5. [5] 宋宁华,江跃中,毛丽君.民法典来了，将带来哪些改变？[J].党的生活(黑龙江),2020,(06):36-37.
6. [6] 宁园.敏感个人信息的法律基准与范畴界定——以《个人信息保护法》第28条第1款为中心[J].比较法研究,2021,(05):33-49.
7. [7] 中国消费者协会.App个人信息泄露情况调查报告[EB/OL].(2018-08-29)[2024-10-31].https://cca.cn/Detail?catalogId=475803785949253&contentType=article&contentId=526001653121093.
8. [8] 程啸.论大数据时代的个人数据权利[J].中国社会科学,2018,(03):102-122+207-208.
9. [9] 蒋丽华.无过错归责原则：个人信息侵权损害赔偿的应然走向[J].财经法学,2022,(01):32-44.
10. [10] 李爱君,孙彦东.论非基于个人同意的个人信息处理与单独同意规则的体系解释[J].西北工业大学学报(社会科学版),2023,(03):112-127.
11. [11] 高志宏.隐私、个人信息、数据三元分治的法理逻辑与优化路径[J].法制与社会发展,2022,28(02):207-224.
12. [12] Park, G. (2019) The Changing Wind of Data Privacy Law: A Comparative Study of the European Union’ s General Data Protection Regulation and the 2018 California Consumer Privacy Act. UC Irvine Law Review, No. 4, 1455-1490.
13. [13] 李莎莎.场景与风险理念下的个人信息私法保护[J].天水行政学院学报,2019,20(03):67-71.
14. [14] 吕炳斌.个人信息保护的“同意”困境及其出路[J].法商研究,2021,38(02):87-101.
15. [15] 王玉辉.反垄断法中消费者损害赔偿权研究[J].河南社会科学,2010,18(02):109-111.
16. [16] 刘海安.个人信息泄露因果关系的证明责任——评庞某某与东航、趣拿公司人格权纠纷案[J].交大法学,2019,(01):184-192.