梁 棟

(中國(guó)政法大學(xué) 刑事司法學(xué)院，北京 100088)

電商產(chǎn)業(yè)近年來快速發(fā)展，2020年全國(guó)電商交易額達(dá)37.21萬億元，其中網(wǎng)上零售額11.76萬億元，網(wǎng)絡(luò)購(gòu)物用戶規(guī)模達(dá)到7.82億，中國(guó)繼續(xù)保持了全球規(guī)模最大、最具活力的網(wǎng)絡(luò)零售市場(chǎng)地位[1]。這其中，消費(fèi)者個(gè)人信息發(fā)揮著重要的助力作用，電商平臺(tái)收集大量的用戶信息并對(duì)用戶行為精準(zhǔn)分析，以此不斷提升服務(wù)質(zhì)量和水平。但與此同時(shí)消費(fèi)者個(gè)人信息安全也面臨巨大威脅，近年來頻發(fā)的電商平臺(tái)消費(fèi)者信息泄露事件便是例證。

如何保護(hù)消費(fèi)者個(gè)人信息以助力和實(shí)現(xiàn)電商產(chǎn)業(yè)的長(zhǎng)遠(yuǎn)與良性發(fā)展，這是電商平臺(tái)面臨的突出問題。電商平臺(tái)多制定和公布“隱私政策”，通過對(duì)其條款內(nèi)容和執(zhí)行情況進(jìn)行分析，便可描摹平臺(tái)對(duì)消費(fèi)者個(gè)人信息的重視程度與保護(hù)水平。當(dāng)前關(guān)于個(gè)人信息保護(hù)的研究較為豐富，但是以電商平臺(tái)隱私政策為視角進(jìn)行的研究卻較為匱乏。因此，本文擬以電商平臺(tái)的市場(chǎng)知名度和用戶量為標(biāo)準(zhǔn)，選擇國(guó)內(nèi)幾款電商平臺(tái)的隱私政策文本作為研究對(duì)象并對(duì)其內(nèi)容進(jìn)行分析，在總結(jié)現(xiàn)狀的基礎(chǔ)上發(fā)現(xiàn)問題，并據(jù)此提出相應(yīng)的建議。

一、電商平臺(tái)隱私政策的內(nèi)涵及性質(zhì)

1.隱私政策的基本內(nèi)涵

隱私政策也被稱為隱私聲明或隱私保護(hù)協(xié)議，是電商平臺(tái)關(guān)于保護(hù)消費(fèi)者個(gè)人信息安全的規(guī)則，是平臺(tái)關(guān)于合法處理消費(fèi)者個(gè)人信息的相應(yīng)承諾，也是平臺(tái)保護(hù)用戶個(gè)人信息的最低標(biāo)準(zhǔn)[2]。隱私政策通常被規(guī)定在網(wǎng)絡(luò)服務(wù)協(xié)議當(dāng)中，但隨著隱私問題的社會(huì)關(guān)注度越來越高，獨(dú)立發(fā)布隱私政策成為普遍做法。隱私政策內(nèi)嵌于電商平臺(tái)內(nèi)部，如手機(jī)淘寶的隱私政策位于“設(shè)置—隱私—隱私政策”，手機(jī)京東的隱私政策位于“設(shè)置—關(guān)于京東APP—隱私政策”。隱私政策可以反映出電商平臺(tái)在個(gè)人信息各個(gè)處理環(huán)節(jié)的具體操作流程和規(guī)范，因此可以作為評(píng)判電商平臺(tái)個(gè)人信息處理行為是否合法合規(guī)的重要參考[3]。隱私政策的有無及完善程度在一定程度上決定了電商平臺(tái)能否同消費(fèi)者實(shí)現(xiàn)充分互動(dòng)。電商平臺(tái)可以通過公示和披露隱私政策來向消費(fèi)者展示其保護(hù)個(gè)人信息的實(shí)踐狀況，消費(fèi)者也可以據(jù)此就個(gè)人信息安全問題向平臺(tái)提出申訴?？偟膩砜?，隱私政策已經(jīng)成為評(píng)判電商平臺(tái)保護(hù)用戶個(gè)人信息狀況的依據(jù)和標(biāo)準(zhǔn)，也在一定程度上影響著電商平臺(tái)的市場(chǎng)認(rèn)可度與收益水平[4]。畢竟，電商平臺(tái)并不一定完全按照其隱私政策中的承諾規(guī)則行事，但是隱私政策缺失、不完整或者不合理的電商平臺(tái)，其個(gè)人信息保護(hù)狀況必然難以達(dá)到理想狀態(tài)。

2.隱私政策的多元屬性

隱私政策具有多元屬性。首先，隱私政策具有合同屬性?！半[私政策的性質(zhì)已經(jīng)不再是一種聲明，而是建立在雙方合意基礎(chǔ)上的協(xié)議”[5]。可以將平臺(tái)發(fā)布隱私政策和用戶對(duì)隱私政策的同意分別看作要約與承諾。用戶授權(quán)同意平臺(tái)采集利用其個(gè)人信息并享受平臺(tái)提供的服務(wù)，而平臺(tái)則需要按照隱私政策條款內(nèi)容保護(hù)用戶個(gè)人信息并提供電商服務(wù)。其次，隱私政策具有一定的社會(huì)屬性。電商平臺(tái)中的消費(fèi)者個(gè)人信息蘊(yùn)含一定社會(huì)價(jià)值，電商平臺(tái)基于用戶信息所作的各種決策行為須符合公共利益。當(dāng)社會(huì)公眾對(duì)電商平臺(tái)個(gè)人信息處理行為的“知情”意識(shí)以及問責(zé)態(tài)度愈發(fā)強(qiáng)烈，隱私政策就成為平臺(tái)社會(huì)形象的一部分。最后，隱私政策是電商平臺(tái)自我規(guī)制的重要手段，是平臺(tái)保護(hù)消費(fèi)者個(gè)人信息的自律措施，也是平臺(tái)保護(hù)用戶隱私應(yīng)當(dāng)達(dá)到的最低標(biāo)準(zhǔn)。在兼?zhèn)涠嘣獙傩缘那疤嵯拢[私政策發(fā)揮著告知、制約和監(jiān)督功能，隱私政策告知消費(fèi)者其所享有的個(gè)人信息權(quán)利以及平臺(tái)將如何處理其個(gè)人信息；隱私政策明確了平臺(tái)的個(gè)人信息安全保障義務(wù)，以規(guī)制個(gè)人信息的不當(dāng)收集、使用或其他侵害信息主體權(quán)利的行為；隱私政策也可作為評(píng)判電商平臺(tái)個(gè)人信息保護(hù)水平和社會(huì)公信力的重要標(biāo)準(zhǔn)。

二、電商平臺(tái)隱私政策研究樣本選取與內(nèi)容分析

1.隱私政策研究樣本

根據(jù)Alexa和站長(zhǎng)之家電商網(wǎng)站排名，綜合考慮市場(chǎng)知名度、在線交易量等因素，本文按照綜合電商、直播電商、社交電商、團(tuán)購(gòu)電商、旅游電商、跨境電商的電商類型劃分，分別在每種類型下選擇2家電商平臺(tái)并收集其隱私政策作為研究樣本，具體如表1所示。作為研究樣本的平臺(tái)均選擇發(fā)布獨(dú)立于用戶協(xié)議的隱私政策，用戶是否同意和接受隱私政策直接影響電商平臺(tái)的注冊(cè)和使用，如表2所示。隱私政策的內(nèi)容架構(gòu)層次分明，主要對(duì)下列事項(xiàng)作出規(guī)定：(1)個(gè)人信息的收集和使用；(2)個(gè)人信息的存儲(chǔ)與保護(hù)；(3)個(gè)人信息的共享、轉(zhuǎn)移和披露；(4)用戶個(gè)人信息權(quán)；(5)未成年人個(gè)人信息保護(hù)；(6)Cookies和同類技術(shù)；(7)其他，比如隱私政策的適用范圍及更新、聯(lián)系方式等。

表1 作為研究樣本的電商平臺(tái)隱私政策

表2 作為研究樣本的電商平臺(tái)隱私政策概況

電商模式平臺(tái)名稱電商平臺(tái)隱私政策的獨(dú)立性用戶同意是否為平臺(tái)注冊(cè)必要條件團(tuán)購(gòu)電商美團(tuán)餓了么《美團(tuán)用戶服務(wù)協(xié)議》《美團(tuán)隱私政策》《服務(wù)條款和協(xié)議》《餓了么隱私政策》是是旅游電商去哪兒攜程《用戶協(xié)議》《隱私政策》《用戶協(xié)議》《隱私政策》是是跨境電商天貓國(guó)際考拉海購(gòu)《用戶服務(wù)協(xié)議》《天貓國(guó)際隱私權(quán)政策》《考拉海購(gòu)服務(wù)協(xié)議》《隱私權(quán)政策》是是

2.隱私政策樣本內(nèi)容分析

(1)個(gè)人信息的收集和使用

“告知信息主體并征求其同意”已成為電商平臺(tái)對(duì)個(gè)人信息作出處理行為的前提性條件，但是對(duì)于普通用戶而言，其往往較難理解隱私政策中出現(xiàn)的各種專業(yè)術(shù)語，這就需要平臺(tái)在隱私政策中對(duì)相關(guān)概念作出解釋。根據(jù)《網(wǎng)絡(luò)安全法》第41條規(guī)定，多數(shù)電商平臺(tái)均在隱私政策中明確列出了個(gè)人信息采集和利用的目的、方式及范圍。其中采集和利用個(gè)人信息的目的主要包括完成用戶注冊(cè)、提供商品或服務(wù)、優(yōu)化用戶體驗(yàn)、實(shí)現(xiàn)安全保障等，而方式主要有用戶主動(dòng)提供、平臺(tái)自動(dòng)獲取、來自第三方或其他來源這3種。關(guān)于個(gè)人信息采集和利用的范圍，則包括用戶基本信息、在線活動(dòng)情況、電子設(shè)備信息、人際關(guān)系網(wǎng)絡(luò)、銀行賬戶信息等，具體如表3所示。

表3 個(gè)人信息的收集和利用

(2)個(gè)人信息的存儲(chǔ)與保護(hù)

關(guān)于個(gè)人信息的存儲(chǔ)，多數(shù)平臺(tái)隱私政策主要對(duì)存儲(chǔ)的地點(diǎn)和時(shí)間進(jìn)行了明確。其中存儲(chǔ)地點(diǎn)以境內(nèi)為主，只有在法律明確規(guī)定或者獲得用戶明確授權(quán)的情況下才會(huì)向境外提供個(gè)人信息。例如，《快手隱私權(quán)保護(hù)政策》闡明了其在因?yàn)闃I(yè)務(wù)發(fā)展需要向境外傳輸個(gè)人信息的情況下會(huì)明確告知用戶并征求其同意，否則一般情況下僅會(huì)將個(gè)人信息存儲(chǔ)在境內(nèi)。而存儲(chǔ)時(shí)間多為達(dá)成隱私政策所述目的所需要的期限，除非法律另有規(guī)定。例如，《小紅書用戶隱私政策》承諾其按照法律規(guī)定在合理及必要期限內(nèi)存儲(chǔ)個(gè)人相關(guān)信息。在超出存儲(chǔ)期限后，平臺(tái)將根據(jù)法律要求對(duì)信息進(jìn)行刪除或匿名化處理。

關(guān)于個(gè)人信息的保護(hù)，電商平臺(tái)主要從信息安全技術(shù)、安全管理制度、安全應(yīng)急響應(yīng)、用戶安全提示4個(gè)層面采取手段和措施。首先就信息安全技術(shù)來看，電商平臺(tái)采用的手段包括但不限SSL/TLS加密傳輸、HTTPS協(xié)議安全瀏覽、信息加密存儲(chǔ)、數(shù)據(jù)中心訪問控制等，部分平臺(tái)還積極開展信息安全認(rèn)證。其次就安全管理制度來看，平臺(tái)建立信息分級(jí)分類制度和專門的個(gè)人信息保護(hù)部門，以強(qiáng)化平臺(tái)對(duì)用戶個(gè)人信息保護(hù)的治理。例如，去哪兒網(wǎng)還對(duì)可能接觸到用戶個(gè)人信息的員工進(jìn)行嚴(yán)格的管理和監(jiān)控，與員工簽署保密協(xié)議。再次是在安全應(yīng)急響應(yīng)方面，當(dāng)電商平臺(tái)的物理、技術(shù)或管理防護(hù)措施遭到破壞，平臺(tái)將及時(shí)啟動(dòng)應(yīng)急預(yù)案以盡可能降低用戶損失，其中包括告知事件情況和可能影響、已經(jīng)采取或即將采取的措施、用戶可以自主采取的措施等，平臺(tái)還將按照要求及時(shí)將安全事件處理情況上報(bào)監(jiān)管部門。最后在用戶安全提示層面，電商平臺(tái)多建議用戶采取積極措施保護(hù)個(gè)人信息安全，包括但不限于使用復(fù)雜密碼、定期修改密碼、不輕易泄露自己的賬號(hào)密碼、謹(jǐn)慎考慮是否公開或分享相關(guān)信息等，如表4所示。

表4 個(gè)人信息的存儲(chǔ)

(3)個(gè)人信息的共享、轉(zhuǎn)移和披露

電商平臺(tái)承擔(dān)著對(duì)用戶個(gè)人信息的保密義務(wù)，但是也皆在隱私政策中明確了可能會(huì)共享、轉(zhuǎn)移或披露個(gè)人信息的特殊情形，如表5所示。平臺(tái)對(duì)用戶信息的共享通常發(fā)生在以下情形中：①法定情形：平臺(tái)根據(jù)法律規(guī)定，基于訴訟或爭(zhēng)議解決的需要，按照行政、司法機(jī)關(guān)提出的要求，對(duì)外共享用戶信息；②獲得用戶明確同意：用戶作出明確的同意或授權(quán)表示允許平臺(tái)將其信息共享給第三方；③基于為用戶提供產(chǎn)品或服務(wù)的需要：為了實(shí)現(xiàn)個(gè)性化廣告推薦、商品或服務(wù)配送及售后服務(wù)需要等目的而將信息共享給關(guān)聯(lián)公司或授權(quán)合作伙伴。通常情況下，電商平臺(tái)不會(huì)將用戶信息轉(zhuǎn)讓給其他主體，除非是發(fā)生了以下兩種情況：①用戶明確表示同意；②電商企業(yè)發(fā)生合并、分立、破產(chǎn)清算、資產(chǎn)或業(yè)務(wù)收購(gòu)與出售等情形。個(gè)人信息的披露一般情況下也不會(huì)發(fā)生，除非是在用戶明確同意、主動(dòng)選擇的情況下，或者是出現(xiàn)了用戶違反法律法規(guī)或平臺(tái)協(xié)議規(guī)則而出于保護(hù)用戶或公眾人身財(cái)產(chǎn)權(quán)利免受侵害的目的。除此之外，隱私政策還規(guī)定了無需事先征得授權(quán)同意的個(gè)人信息共享、轉(zhuǎn)移與披露情形，大致可歸納為與國(guó)家安全相關(guān)、與公共安全相關(guān)、與司法或行政執(zhí)法相關(guān)、出于維護(hù)用戶本人或他人合法權(quán)利的目的、用戶自行披露以及從合法公開披露渠道收集的信息。

表5 個(gè)人信息的共享、轉(zhuǎn)移和披露

(4)用戶個(gè)人信息權(quán)

電商平臺(tái)普遍于隱私政策中就用戶享有的個(gè)人信息權(quán)作出了明確規(guī)定，用戶對(duì)其個(gè)人信息享有以下幾種權(quán)利。①知情權(quán)：這是電商平臺(tái)用戶其他個(gè)人信息權(quán)利得以行使的前提，是指用戶有權(quán)對(duì)電商平臺(tái)收集、使用其個(gè)人信息的范圍、目的及處理方法等內(nèi)容予以知悉和了解。②訪問權(quán)：用戶有權(quán)查詢和訪問平臺(tái)收集和存儲(chǔ)的個(gè)人信息。例如，小紅書用戶可通過點(diǎn)擊“我—設(shè)置—賬號(hào)與安全”訪問包括其頭像、昵稱、性別、常住地等在內(nèi)的個(gè)人信息。③更正權(quán)：用戶有權(quán)要求平臺(tái)對(duì)其信息進(jìn)行更正和補(bǔ)充。如京東用戶可以在“我的京東”頁面的“賬戶設(shè)置”菜單欄中修正和更新其提交給京東的實(shí)名認(rèn)證信息外的其他個(gè)人信息，也可通過撥打95118服務(wù)熱線申請(qǐng)修改實(shí)名認(rèn)證信息。④刪除權(quán)：用戶有權(quán)要求平臺(tái)刪除其個(gè)人信息。如快手用戶可以在客戶端應(yīng)用程序中點(diǎn)擊“頭像—編輯個(gè)人資料”刪除生日、星座、所在地等賬戶信息，也可點(diǎn)擊“搜索”，在搜索歷史下點(diǎn)擊“刪除圖標(biāo)”來刪除搜索記錄。⑤撤銷權(quán)：用戶有權(quán)收回或改變對(duì)平臺(tái)采集和處理其個(gè)人信息所作出的授權(quán)同意。⑥可攜帶權(quán)：用戶有權(quán)要求平臺(tái)提供其獲取的自身相關(guān)個(gè)人信息，并且可以無障礙地將相關(guān)個(gè)人信息提供給其他個(gè)人信息處理者。

(5)未成年人個(gè)人信息保護(hù)

由于缺乏對(duì)個(gè)人信息安全風(fēng)險(xiǎn)及防范的認(rèn)知，未成年人個(gè)人信息遭到泄露和濫用風(fēng)險(xiǎn)更大。因此，電商平臺(tái)普遍制定了專門針對(duì)未成年人的個(gè)人信息保護(hù)條款，例如，淘寶制定了專門的《兒童個(gè)人信息保護(hù)規(guī)則》，抖音也出臺(tái)了《兒童/青少年使用須知》。其主要包括以下內(nèi)容：①聲明產(chǎn)品和服務(wù)主要面向成年人；②未成年人在使用產(chǎn)品和接受服務(wù)之前需取得監(jiān)護(hù)人書面同意；③監(jiān)護(hù)人對(duì)平臺(tái)個(gè)人信息處理行為有疑問的，應(yīng)當(dāng)及時(shí)同平臺(tái)聯(lián)系；④對(duì)未成年人信息的使用、共享、轉(zhuǎn)移和披露只有在法律允許、監(jiān)護(hù)人明確同意或者保護(hù)未成年人所必要的情況下才會(huì)發(fā)生；⑤發(fā)現(xiàn)存在未事先征得監(jiān)護(hù)人同意的，平臺(tái)將立刻采取措施將信息刪除。但是，電商平臺(tái)多對(duì)用戶采用推定其在使用過程中具有相應(yīng)的民事行為能力的方式，而并未采取強(qiáng)制措施來確保監(jiān)護(hù)人同意在未成年人接受電商平臺(tái)服務(wù)之前來實(shí)現(xiàn)，因此，電商平臺(tái)應(yīng)當(dāng)改進(jìn)向未成年人監(jiān)護(hù)人征詢意見的方式，比如可以采用諸如撥打免費(fèi)電話和發(fā)送電子郵件等形式來獲得監(jiān)護(hù)人同意[6]。

(6)Cookie和同類技術(shù)

平臺(tái)會(huì)在用戶登錄時(shí)保存其登錄狀態(tài)，并為之分配一個(gè)或多個(gè)Cookie。Cookie及同類技術(shù)主要通過發(fā)送小型數(shù)據(jù)文件至計(jì)算機(jī)來對(duì)用戶的線上活動(dòng)進(jìn)行追蹤和記錄，這在為用戶使用和接受電商服務(wù)帶來便利的同時(shí)也導(dǎo)致用戶個(gè)人信息泄露的風(fēng)險(xiǎn)加大。電商平臺(tái)普遍在隱私政策中明確了采用的追蹤技術(shù)類型，且部分平臺(tái)不止采用Cookie這一種技術(shù)，比如淘寶還使用ETag(實(shí)體標(biāo)簽)、像素標(biāo)簽、網(wǎng)站信標(biāo)等其他同類技術(shù)。多數(shù)平臺(tái)也在隱私政策中就Cookie及相關(guān)技術(shù)的作用做出了說明，比如主要用于簡(jiǎn)化用戶重復(fù)登錄步驟、存儲(chǔ)用戶購(gòu)物偏好與消費(fèi)數(shù)據(jù)以方便個(gè)性化推薦、輔助判斷登錄狀態(tài)以及賬戶或數(shù)據(jù)安全等。其中，《抖音隱私政策》明確闡述了其主要將Cookie等同類技術(shù)用于保障產(chǎn)品與服務(wù)的安全和高效運(yùn)轉(zhuǎn)、幫助用戶獲得更加輕松的訪問體驗(yàn)、優(yōu)化與改善產(chǎn)品服務(wù)和推薦功能等。絕大多數(shù)電商平臺(tái)還設(shè)置了拒絕或者禁止網(wǎng)絡(luò)追蹤技術(shù)的操作指引，用戶有權(quán)拒絕此類追蹤技術(shù)，如《美團(tuán)隱私政策》表示用戶可以根據(jù)自身偏好管理或者刪除Cookie。

三、電商平臺(tái)隱私政策中存在的問題

1.平臺(tái)與用戶之間的協(xié)商對(duì)話存在隔閡

用戶查找隱私政策的便利性仍舊有待提高。在本文的研究樣本中，尚存在無法在平臺(tái)網(wǎng)頁端如拼多多查找到隱私政策文本的情況，在平臺(tái)手機(jī)端，用戶也往往需要點(diǎn)擊2到3次乃至4次才能查閱隱私政策(具體見表6)。而面對(duì)隱私政策，用戶只有作出同意才可享受平臺(tái)所提供的服務(wù)，否則便無法使用電商平臺(tái)，這實(shí)際上剝奪了用戶的選擇權(quán)，普通用戶并沒有與平臺(tái)進(jìn)行協(xié)商對(duì)話的空間與能力。而如果用戶在使用電商平臺(tái)的過程中就隱私政策提出異議，也只能通過在線客服等途徑聯(lián)系平臺(tái)運(yùn)營(yíng)者，至于平臺(tái)運(yùn)營(yíng)者是否會(huì)作出答復(fù)、將于何時(shí)作出答復(fù)以及最終能否消除用戶所提異議這些問題均存在較大不確定性，這需要平臺(tái)及監(jiān)管機(jī)構(gòu)重點(diǎn)關(guān)注。

表6 用戶查找隱私政策的便利程度

此外，也有部分隱私政策文本當(dāng)中還存在表述晦澀、模糊、泛化的問題。比如隱私政策中提出了匿名化、去標(biāo)識(shí)化處理用戶信息用于信息共享和優(yōu)化產(chǎn)品與服務(wù)的情形，但是無法界定相關(guān)信息是否達(dá)到了無法識(shí)別用戶身份的標(biāo)準(zhǔn)；還有隱私政策中存在明顯傾向性或引導(dǎo)性的表述，對(duì)用戶作出更多的個(gè)人信息處理授權(quán)進(jìn)行暗示和引導(dǎo)[7]。也有隱私政策篇幅過長(zhǎng)，表述重點(diǎn)不明等問題，均給用戶閱讀帶來挑戰(zhàn)，真正閱讀和理解隱私政策的用戶少之又少。提高隱私政策的可讀性應(yīng)當(dāng)成為電商平臺(tái)的工作重點(diǎn)，包括語言表達(dá)更加通俗易懂、結(jié)構(gòu)布局更加清楚、需用戶授權(quán)事項(xiàng)及范圍更加明確等方面。

2.平臺(tái)個(gè)人信息處理規(guī)則存在模糊地帶

在個(gè)人信息的采集環(huán)節(jié)，“最少必要”已經(jīng)成為信息處理者需要遵循的重要原則?！秱€(gè)人信息保護(hù)法》第6條明確規(guī)定了個(gè)人信息處理應(yīng)當(dāng)具有明確、合理的目的，不得進(jìn)行與實(shí)現(xiàn)目的無關(guān)的處理活動(dòng)[8]；《信息安全技術(shù) 個(gè)人信息安全規(guī)范》第5.2條要求信息控制者收集和獲取的個(gè)人信息應(yīng)當(dāng)同其業(yè)務(wù)功能直接相關(guān)，且是功能實(shí)現(xiàn)所需的最低頻率和最少數(shù)量[9]。但電商平臺(tái)個(gè)人信息采集和利用的實(shí)踐狀況究竟如何？頻繁發(fā)生的電商平臺(tái)消費(fèi)者個(gè)人信息泄露事件是最好的例證。電商平臺(tái)可以利用Cookie等技術(shù)在用戶無意識(shí)的情況下對(duì)其在線行為進(jìn)行跟蹤和記錄，只要消費(fèi)者在電商平臺(tái)上進(jìn)行活動(dòng)，其行為便有被記錄的可能。多數(shù)電商平臺(tái)均在隱私政策中表明了可能開啟收集地理位置、讀取通訊錄、使用攝像頭和啟用錄音以及其他功能。比如淘寶《隱私權(quán)政策》明確闡釋了其會(huì)根據(jù)用戶在訪問或使用中的具體操作，接收并記錄設(shè)備所在的位置相關(guān)信息；拼多多也在隱私政策中表明其可能會(huì)出于推薦商品或服務(wù)的目的采集用戶位置信息并以此判斷用戶所處地點(diǎn)，但這些信息是否為平臺(tái)開展業(yè)務(wù)之必需，這一點(diǎn)卻存在較大的不確定性。

在個(gè)人信息的共享、轉(zhuǎn)移和披露環(huán)節(jié)，由于信息的價(jià)值通常不會(huì)隨著使用頻率的增加而減少，而往往是在不斷的流通共享中得到發(fā)揮和增強(qiáng)，面對(duì)個(gè)人信息當(dāng)中蘊(yùn)藏的巨大價(jià)值，電子商務(wù)平臺(tái)通常無法抵擋信息共享、轉(zhuǎn)移和披露的誘惑。通過分析可以發(fā)現(xiàn)，隱私政策更多強(qiáng)調(diào)的是平臺(tái)有權(quán)將消費(fèi)者信息同相關(guān)主體進(jìn)行共享，有權(quán)在電商企業(yè)發(fā)生合并、分立、清算等情形時(shí)將信息轉(zhuǎn)移，有權(quán)在信息主體明確同意、出于維護(hù)公共利益的目的、法律法規(guī)強(qiáng)制性要求的情況下合法披露信息。但是，隱私政策卻忽略了在此過程中平臺(tái)應(yīng)當(dāng)相應(yīng)承擔(dān)的義務(wù)和責(zé)任。特別值得注意的是，用戶信息共享存在歸屬于同一企業(yè)的不同平臺(tái)隱私政策允許將各自用戶信息共享這種特殊情形，這被稱之為互聯(lián)網(wǎng)巨頭公司的信息聚合效應(yīng)。這種形式的信息共享能夠極大地增強(qiáng)平臺(tái)的整體服務(wù)水平和市場(chǎng)競(jìng)爭(zhēng)力，電商企業(yè)可以將分散在多個(gè)平臺(tái)的用戶信息予以整合，進(jìn)而使得用戶在平臺(tái)中的形象更加立體、真實(shí)、生動(dòng)，但所產(chǎn)生的負(fù)面效應(yīng)便是用戶個(gè)人信息安全更易遭到侵犯，用戶信息泄露的風(fēng)險(xiǎn)和保護(hù)難度均大大增加，更強(qiáng)的信息聚合帶來的更多的數(shù)字監(jiān)控，造成了消費(fèi)者和巨頭公司之間的信息不對(duì)稱，增強(qiáng)了公司的力量卻削減了消費(fèi)者的選擇自由[10]。因此，電商企業(yè)應(yīng)當(dāng)更加重視平臺(tái)對(duì)用戶信息安全的維護(hù)，應(yīng)當(dāng)在隱私政策當(dāng)中更加清晰地界定平臺(tái)所應(yīng)當(dāng)承擔(dān)的義務(wù)與責(zé)任。

3.信息主體的可攜帶權(quán)利面臨落地困境

《個(gè)人信息保護(hù)法》第45條就信息主體所享有的可攜帶權(quán)利作出了明確規(guī)定。信息可攜帶權(quán)是指信息主體有權(quán)從電商平臺(tái)等信息處理者處獲取其相關(guān)個(gè)人信息，并且在技術(shù)條件允許的情況下，可以將這些個(gè)人信息無障礙地提供和傳輸給另一個(gè)信息處理者。在我國(guó)起草《個(gè)人信息保護(hù)法》的過程中，學(xué)界一直存在是否可以就可攜帶權(quán)作出規(guī)定的爭(zhēng)議，最終通過的《個(gè)人信息保護(hù)法》第45條第3款對(duì)可攜帶權(quán)予以了確認(rèn)?！秱€(gè)人信息保護(hù)法》通過并實(shí)行以后，部分電商平臺(tái)在新修訂的隱私政策當(dāng)中明確承認(rèn)了平臺(tái)用戶享有信息可攜帶權(quán)利。比如，京東商城在隱私政策中明確闡明了用戶有權(quán)獲取其自身相關(guān)個(gè)人信息的副本，用戶可以隨時(shí)聯(lián)系京東平臺(tái)并要求其提供自身相關(guān)個(gè)人信息副本[11]。再比如，去哪兒網(wǎng)也說明了用戶可以通過訪問線上客服系統(tǒng)，撥打客服電話，或者向個(gè)人信息保護(hù)負(fù)責(zé)人發(fā)送電子郵件的形式來獲取個(gè)人信息副本，如果出于特殊原因不能將個(gè)人信息副本向第三方提供的，去哪兒網(wǎng)還會(huì)主動(dòng)為用戶尋找替代性的解決方案[12]。

不過，仍然有一部分電商平臺(tái)并未在隱私政策中就信息主體的可攜帶權(quán)利作出明確規(guī)定。在本文的研究樣本中，有50%的電商平臺(tái)隱私政策文本中未出現(xiàn)信息可攜帶權(quán)利的相關(guān)內(nèi)容，如表7所示，這就造成可攜帶權(quán)利地落地面臨實(shí)現(xiàn)困境。

表7 個(gè)人信息的可攜帶權(quán)利

4.信息的存儲(chǔ)期限與保護(hù)措施告知不明

《個(gè)人信息保護(hù)法》第17條要求信息處理者應(yīng)當(dāng)在個(gè)人信息處理活動(dòng)前將信息保存期限等內(nèi)容明確告知信息主體。但實(shí)踐當(dāng)中電商平臺(tái)的隱私政策往往未對(duì)消費(fèi)者個(gè)人信息的存儲(chǔ)期限予以明確說明。作為本文研究樣本的隱私政策文本中多采用如“實(shí)現(xiàn)目的所必需的最短時(shí)間”以及類似含糊不清、難以理解的表述。還有電商平臺(tái)規(guī)定了平臺(tái)變更消費(fèi)者個(gè)人信息存儲(chǔ)期限的數(shù)項(xiàng)例外情形，這些進(jìn)一步加大了電商平臺(tái)存儲(chǔ)用戶個(gè)人信息期限的不確定性，甚至使得平臺(tái)存儲(chǔ)用戶信息的期限并未受到實(shí)質(zhì)性約束。而在用戶停止使用或注銷賬號(hào)之后，平臺(tái)保存用戶信息的期限更加不確定，隱私政策普遍采用類似“平臺(tái)將在用戶賬號(hào)注銷后適時(shí)刪除或匿名化處理用戶信息”的表述。數(shù)字信息技術(shù)的發(fā)展使得每個(gè)人的在線活動(dòng)行為越來越難“被遺忘”，允許平臺(tái)長(zhǎng)期保存用戶信息對(duì)私人生活構(gòu)成嚴(yán)重威脅，增加用戶生活中的不安全感。電商平臺(tái)應(yīng)當(dāng)設(shè)定和明確信息存儲(chǔ)的“到期日”，在“到期日”來臨之際，平臺(tái)自動(dòng)刪除相關(guān)用戶信息。這種“到期日”的設(shè)計(jì)是基于數(shù)據(jù)保留的“目的限制”原則，因?yàn)槟撤N特殊目的將個(gè)人信息委托給某主體，在這種目的實(shí)現(xiàn)之后，該主體便不再具有能夠使用該個(gè)人信息的條件，自然應(yīng)該將個(gè)人信息刪除。

是否具備充足可行的信息安全保護(hù)措施是衡量電商平臺(tái)對(duì)用戶個(gè)人信息保護(hù)能力的重要參考依據(jù)。電商平臺(tái)主要在信息安全技術(shù)、安全管理制度、安全應(yīng)急響應(yīng)、用戶安全提示4個(gè)層面來保護(hù)用戶信息，但是電商平臺(tái)在信息安全保護(hù)措施的具體落實(shí)上也存在諸多差異和不完善之處。雖然電商平臺(tái)普遍表示將采用信息安全技術(shù)保護(hù)用戶信息和強(qiáng)調(diào)了信息安全技術(shù)的重要性，但是并不是所有的平臺(tái)均明確了可能采取的信息安全技術(shù)措施。比如抖音在隱私政策中僅表示其會(huì)采用不低于同行的加密技術(shù)等措施來保護(hù)用戶信息，這種泛化而又模糊的表述方式當(dāng)落實(shí)在具體操作層面顯得既空洞又缺乏實(shí)際價(jià)值。

5.對(duì)未成年人用戶信息保護(hù)的規(guī)定不足

應(yīng)當(dāng)注意到是，隨著法律規(guī)定的趨嚴(yán)，多數(shù)電商平臺(tái)在落實(shí)對(duì)未成年人用戶信息保護(hù)方面的態(tài)度較過去已經(jīng)更加積極，手段也更加充分。作為本文研究樣本的電商平臺(tái)均在隱私政策當(dāng)中單獨(dú)設(shè)置“未成年人個(gè)人信息保護(hù)”章節(jié)。例如，淘寶平臺(tái)制定了專門的《兒童個(gè)人信息保護(hù)規(guī)則》；抖音平臺(tái)更是提供了未成年保護(hù)工具等功能，抖音會(huì)在每天用戶首次登陸時(shí)提醒是否打開兒童/青少年模式，未成年用戶的監(jiān)護(hù)人可以在接受《抖音親子平臺(tái)服務(wù)協(xié)議》之后，在平臺(tái)幫助下對(duì)未成年人用戶賬號(hào)采取限制使用時(shí)長(zhǎng)和內(nèi)容過濾等措施。但不容忽視的是，即便平臺(tái)均在隱私政策當(dāng)中單獨(dú)列出“未成年人個(gè)人信息保護(hù)”章節(jié)，但是其具體內(nèi)容當(dāng)中依然存在顯著差異，如拼多多對(duì)于未成年人用戶信息保護(hù)的相關(guān)規(guī)定內(nèi)容十分有限，特別是關(guān)于未成年人父母及其他監(jiān)護(hù)人對(duì)未成年人用戶的監(jiān)護(hù)職責(zé)界定不清。

同時(shí)存在的問題是，對(duì)于電商平臺(tái)的用戶，平臺(tái)往往推定其具有相應(yīng)的民事行為能力，比如“快手”和“餓了么”隱私政策表明其推定使用平臺(tái)服務(wù)的用戶具有相應(yīng)的民事行為能力。也就是說，電商平臺(tái)并不會(huì)采取積極主動(dòng)的措施來確認(rèn)用戶是否為未成年人，遑論平臺(tái)是否會(huì)采取積極手段確保未成年用戶的使用已經(jīng)取得了監(jiān)護(hù)人同意。對(duì)于未成年人這一行為識(shí)別能力有限的特殊群體，為了保護(hù)其個(gè)人信息，電商平臺(tái)應(yīng)當(dāng)肩負(fù)和承擔(dān)更高水平的注意義務(wù)。平臺(tái)可以借助信息技術(shù)對(duì)用戶身份予以辨別和確認(rèn)，比如可以通過用戶瀏覽的頁面和商品內(nèi)容來判斷其是否屬于未成年人，而對(duì)于確認(rèn)了未成年人身份的用戶，電商平臺(tái)更應(yīng)該采取諸如發(fā)送電子郵件抑或撥打電話等積極主動(dòng)的措施確認(rèn)未成年用戶使用電商平臺(tái)已經(jīng)獲得父母或其他監(jiān)護(hù)人同意。

6.平臺(tái)的外部獨(dú)立監(jiān)督機(jī)構(gòu)設(shè)置不到位

作為數(shù)字經(jīng)濟(jì)的關(guān)鍵構(gòu)成要素，大型電商平臺(tái)在商業(yè)經(jīng)營(yíng)者與在線消費(fèi)者的交易當(dāng)中發(fā)揮著中介作用，扮演著守門人的角色。由于其占據(jù)著信息優(yōu)勢(shì)地位，平臺(tái)既可以借此來構(gòu)筑市場(chǎng)準(zhǔn)入壁壘從而影響電商市場(chǎng)秩序，也可以借此直接影響在線消費(fèi)者的合法權(quán)益。因此，作為互聯(lián)網(wǎng)生態(tài)的關(guān)鍵環(huán)節(jié)，大型電商平臺(tái)需要肩負(fù)起更多的個(gè)人信息保護(hù)責(zé)任，法律也需要為之配置同其實(shí)際影響力和控制力相適應(yīng)的個(gè)人信息保護(hù)義務(wù)?；谶@一原因，我國(guó)《個(gè)人信息保護(hù)法》在借鑒歐盟《數(shù)字市場(chǎng)法提案》和《數(shù)字服務(wù)法提案》的基礎(chǔ)上，強(qiáng)化了大型平臺(tái)的個(gè)人信息保護(hù)義務(wù)?！秱€(gè)人信息保護(hù)法》第52條要求平臺(tái)指定專門的個(gè)人信息保護(hù)負(fù)責(zé)人，第58條還要求平臺(tái)應(yīng)當(dāng)成立獨(dú)立的機(jī)構(gòu)來對(duì)自身的個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督，機(jī)構(gòu)應(yīng)當(dāng)由外部成員構(gòu)成。

從本文的研究樣本來看，各電商平臺(tái)均在隱私政策中設(shè)立了專門的個(gè)人信息保護(hù)負(fù)責(zé)人。比如，淘寶在隱私政策末尾聲明用戶可以通過發(fā)送電子郵件的形式同淘寶的個(gè)人信息保護(hù)專職部門取得聯(lián)系，去哪兒網(wǎng)也在隱私政策中聲明用戶可以發(fā)送電子郵件來聯(lián)系個(gè)人信息保護(hù)負(fù)責(zé)人，用戶也可以直接將相關(guān)問題郵寄至個(gè)人信息保護(hù)負(fù)責(zé)人的辦公地點(diǎn)。不過，在本文研究的電商平臺(tái)隱私政策文本當(dāng)中，均并未出現(xiàn)關(guān)于外部獨(dú)立監(jiān)督機(jī)構(gòu)的相關(guān)內(nèi)容，這就導(dǎo)致《個(gè)人信息保護(hù)法》中關(guān)于成立“主要由外部成員組成的獨(dú)立機(jī)構(gòu)”的規(guī)定落空。

四、電商平臺(tái)消費(fèi)者個(gè)人信息保護(hù)的規(guī)范思路

1.夯實(shí)平臺(tái)用戶隱私保護(hù)政策法律基礎(chǔ)

電商平臺(tái)隱私政策中出現(xiàn)和存在的關(guān)于個(gè)人信息處理規(guī)定虛化、規(guī)則模糊、保障有限等問題，一定程度上仍舊依賴相關(guān)法律規(guī)范完善來解決。因此，應(yīng)當(dāng)持續(xù)優(yōu)化和完善個(gè)人信息保護(hù)的法律法規(guī)體系，夯實(shí)電商平臺(tái)隱私政策的法律基礎(chǔ)。從域外立法狀況來看，美國(guó)聯(lián)邦層面并未進(jìn)行統(tǒng)一的個(gè)人信息保護(hù)立法，而是在提供宏觀依據(jù)的同時(shí)注重重點(diǎn)領(lǐng)域和地方立法，比如旨在規(guī)制網(wǎng)絡(luò)經(jīng)營(yíng)者非法處理13周歲以下兒童個(gè)人信息行為的《兒童在線隱私保護(hù)法》(The Children’s Online Privacy Protection Act,COPPA)和作為互聯(lián)網(wǎng)科技公司聚集地的加州出臺(tái)的《加州消費(fèi)者隱私法》(California Consumer Privacy Act,CPPA)等；歐盟則進(jìn)行了以《通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation,GDPR)為核心的個(gè)人信息保護(hù)統(tǒng)一立法，從基本原則、信息主體的權(quán)利、信息控制者與處理者的義務(wù)、個(gè)人信息的跨境傳輸、獨(dú)立的監(jiān)管機(jī)構(gòu)等多個(gè)層面搭建起完整的個(gè)人信息保護(hù)框架，整體上對(duì)信息處理者提出了更高的要求，最大限度地降低了個(gè)人信息濫用的可能性。不僅僅是美國(guó)和歐盟，面對(duì)數(shù)據(jù)信息作為關(guān)鍵性生產(chǎn)要素的地位日益突出以及個(gè)人信息安全風(fēng)險(xiǎn)加劇的現(xiàn)實(shí)局面，其他國(guó)家也日益重視和加強(qiáng)個(gè)人信息保護(hù)方面的相關(guān)立法。比如，日本于2017年對(duì)《個(gè)人信息保護(hù)法》進(jìn)行了較大幅度的修訂，擴(kuò)大了個(gè)人信息保護(hù)的范圍，針對(duì)企業(yè)經(jīng)營(yíng)者設(shè)定了更為嚴(yán)格的義務(wù)，特別設(shè)立了個(gè)人信息保護(hù)委員會(huì)作為專門的監(jiān)管主體。2020年，日本再次對(duì)《個(gè)人信息保護(hù)法》進(jìn)行修改，新增了關(guān)于人臉識(shí)別信息使用的相關(guān)規(guī)定，還建立了強(qiáng)制性的信息泄露報(bào)告制度。

反觀我國(guó)的個(gè)人信息保護(hù)立法歷程及法律規(guī)范體系，我國(guó)最早是在公法層面來對(duì)個(gè)人信息加以保護(hù)?！缎谭ㄐ拚?五)》最早對(duì)侵害公民個(gè)人信息犯罪作出規(guī)定，《網(wǎng)絡(luò)安全法》將保護(hù)個(gè)人信息作為捍衛(wèi)網(wǎng)絡(luò)安全的重要組成部分。在民事層面，《消費(fèi)者權(quán)益保護(hù)法》就個(gè)人信息保護(hù)作出規(guī)定；《民法總則》明確提出了保護(hù)公民的“個(gè)人信息”和“隱私權(quán)”；《民法典》的規(guī)定更加詳細(xì)，在為信息處理行為提供規(guī)則指引的同時(shí)也回應(yīng)了理論上長(zhǎng)期存在的一系列爭(zhēng)議。2021年8月，我國(guó)正式通過了《個(gè)人信息保護(hù)法》，這是我國(guó)個(gè)人信息保護(hù)領(lǐng)域的基本法，該法于2021年11月開始實(shí)施。統(tǒng)一的個(gè)人信息保護(hù)法具有系統(tǒng)性和權(quán)威性的優(yōu)勢(shì)，但是在實(shí)際應(yīng)用當(dāng)中也面臨著難以適應(yīng)不同行業(yè)領(lǐng)域具體情況的問題。鑒于電子商務(wù)領(lǐng)域的消費(fèi)者個(gè)人信息保護(hù)具有權(quán)利主體弱勢(shì)地位更加明顯、權(quán)利客體范圍更加廣闊、侵權(quán)行為主體更加復(fù)雜多樣、侵權(quán)行為發(fā)生的隱蔽性更強(qiáng)、個(gè)人信息財(cái)產(chǎn)權(quán)屬性更加突出等特點(diǎn)，我國(guó)可考慮借鑒美國(guó)的經(jīng)驗(yàn)做法，制定和出臺(tái)更具行業(yè)針對(duì)性的電子商務(wù)消費(fèi)者個(gè)人信息保護(hù)法律規(guī)范，從而為電商消費(fèi)者個(gè)人信息安全提供更加周全細(xì)致的保護(hù)。

2.優(yōu)化拓寬平臺(tái)與用戶之間的對(duì)話路徑

面對(duì)電商平臺(tái)企業(yè)，普通用戶天然處于弱勢(shì)地位，拓寬平臺(tái)和用戶之間的協(xié)商對(duì)話空間非常必要。首先，平臺(tái)應(yīng)當(dāng)提高用戶在制定和修改隱私政策過程中的參與度。通常情況下，隱私政策由電商平臺(tái)予以單方制定和修訂，除非不再使用該平臺(tái)，用戶面對(duì)隱私政策內(nèi)容只能選擇同意和接受，這種隱私政策的單方性特征使得平臺(tái)與用戶之間難以真正就個(gè)人信息保護(hù)達(dá)成合意與合力。只有提高用戶在隱私政策制訂修改過程中參與度，使平臺(tái)和用戶雙方在交流過程中充分表達(dá)自身訴求，才能實(shí)現(xiàn)隱私政策規(guī)則內(nèi)容優(yōu)化。平臺(tái)可成立專門部門和指派專人負(fù)責(zé)同用戶進(jìn)行協(xié)商溝通，也可邀請(qǐng)用戶參與隱私政策的制定與修改過程，還可建立對(duì)提供意見和建議用戶的獎(jiǎng)勵(lì)激勵(lì)機(jī)制。其次，平臺(tái)需要增強(qiáng)隱私政策的顯著性和通俗性。電商平臺(tái)通常在用戶首次安裝和注冊(cè)時(shí)提示其閱讀和同意隱私政策，并采用較為顯著的方式提醒用戶關(guān)注，常見的方式有使用特殊字體、字號(hào)、顏色展示重點(diǎn)條款，或者通過鮮明的版面設(shè)計(jì)吸引用戶，又或以視頻、音頻等方式向用戶展示隱私政策，甚至有平臺(tái)采用要求用戶填寫關(guān)鍵信息、選擇正確答案等行為驗(yàn)證。這些方式固然在一定程度上提高了隱私政策顯著性，但是對(duì)普通用戶來說，隱私政策中部分內(nèi)容仍然具有較強(qiáng)的專業(yè)性。電商平臺(tái)需要采用更加清晰準(zhǔn)確和通俗易懂的方式向用戶說明相關(guān)內(nèi)容，使用戶充分認(rèn)知自身享有的個(gè)人信息權(quán)利和平臺(tái)的信息處理行為。最后，平臺(tái)可以提前向用戶展示隱私政策的時(shí)間。從目前來看，電商平臺(tái)多是在用戶下載和安裝后再向用戶提供和展示隱私政策，用戶只有先下載和安裝平臺(tái)后才能了解隱私政策。有學(xué)者在對(duì)國(guó)外應(yīng)用進(jìn)行考察后發(fā)現(xiàn)，部分軟件的隱私政策在應(yīng)用市場(chǎng)的搜索和下載界面即可跳轉(zhuǎn)和查看，用戶在下載和安裝之前便可了解隱私政策內(nèi)容，并據(jù)此作出是否下載和使用的決定[13]。國(guó)內(nèi)電商平臺(tái)可以借鑒這種方式，以保障用戶知情選擇權(quán)的充分實(shí)現(xiàn)。

3.健全對(duì)平臺(tái)隱私政策的審查監(jiān)管機(jī)制

行之有效的監(jiān)管機(jī)制是平臺(tái)隱私政策得以完善和落實(shí)的保障，而高效的監(jiān)管機(jī)制又有賴于監(jiān)管部門的牽頭實(shí)施。我國(guó)《個(gè)人信息保護(hù)法》第60條規(guī)定了由國(guó)家網(wǎng)信辦負(fù)責(zé)統(tǒng)籌協(xié)調(diào)個(gè)人信息保護(hù)相關(guān)工作，但不僅僅是網(wǎng)信辦，目前我國(guó)多個(gè)政府機(jī)構(gòu)和部門均具有查處個(gè)人信息違法違規(guī)現(xiàn)象的權(quán)力，這便導(dǎo)致了部門之間可能會(huì)出現(xiàn)信息溝通不暢、工作銜接失位以及相互推諉的問題出現(xiàn)，構(gòu)建強(qiáng)力、動(dòng)態(tài)、高效的個(gè)人信息監(jiān)管機(jī)制勢(shì)在必行。首先，監(jiān)管部門之間應(yīng)當(dāng)加強(qiáng)溝通協(xié)調(diào)，更加注重對(duì)平臺(tái)隱私政策的審查，只有審查合格的平臺(tái)才可以正常上線運(yùn)營(yíng)；審查不合格的，監(jiān)管部門應(yīng)當(dāng)勒令其進(jìn)行修改，再次審查合格后平臺(tái)才可繼續(xù)運(yùn)營(yíng)；多次審查不合格的，監(jiān)管部門可采取罰款、通報(bào)等手段予以懲戒。我國(guó)可以考慮在適當(dāng)?shù)臅r(shí)機(jī)建立專門的個(gè)人信息保護(hù)機(jī)構(gòu)。對(duì)于這一點(diǎn)，歐盟的經(jīng)驗(yàn)值得我國(guó)借鑒。歐盟早在1995年的《個(gè)人數(shù)據(jù)保護(hù)指令》當(dāng)中便規(guī)定了設(shè)立獨(dú)立監(jiān)管機(jī)構(gòu)的內(nèi)容，《通用數(shù)據(jù)保護(hù)條例》(GDPR)在此基礎(chǔ)上以獨(dú)立一章(第六章)的篇幅就設(shè)立獨(dú)立監(jiān)管機(jī)構(gòu)作出了更加詳細(xì)的規(guī)定，特別強(qiáng)調(diào)個(gè)人信息保護(hù)機(jī)構(gòu)應(yīng)當(dāng)能夠獨(dú)立地行使權(quán)力和履行職責(zé)。其次，我國(guó)應(yīng)當(dāng)注重行業(yè)自律在監(jiān)管機(jī)制中的作用。我國(guó)可以借鑒美國(guó)的行業(yè)自律手段與措施經(jīng)驗(yàn)：由行業(yè)自律組織適時(shí)制定和發(fā)布行業(yè)指引，并要求作為組織成員的電商平臺(tái)承諾遵守行業(yè)指引和保護(hù)用戶信息，美國(guó)具有較強(qiáng)代表性的行業(yè)自律組織在線隱私聯(lián)盟(Online Privacy Alliance,OPA)曾經(jīng)發(fā)布在線隱私指引，要求其成員保護(hù)網(wǎng)絡(luò)中的消費(fèi)者個(gè)人信息；也可以建立個(gè)人信息安全認(rèn)證機(jī)制，即由具備社會(huì)公信力的單獨(dú)信息安全認(rèn)證機(jī)構(gòu)來調(diào)查電商平臺(tái)的信息處理行為是否符合法律法規(guī)以及認(rèn)證機(jī)構(gòu)制定的相關(guān)規(guī)范與要求。對(duì)于符合規(guī)范要求的電商平臺(tái)，認(rèn)證機(jī)構(gòu)給予認(rèn)證合格標(biāo)識(shí)并允許平臺(tái)公示，平臺(tái)用戶可以根據(jù)認(rèn)證標(biāo)識(shí)來判斷平臺(tái)對(duì)用戶個(gè)人信息的保護(hù)水平，目前美國(guó)便存在多種形式的網(wǎng)絡(luò)隱私認(rèn)證組織，其中TRUSTe、BBBOnline和WebTrust最有代表性。最后，我國(guó)還應(yīng)該建立社會(huì)公眾監(jiān)督機(jī)制，積極發(fā)揮電子商務(wù)消費(fèi)者的監(jiān)督作用。監(jiān)管部門和行業(yè)組織可以采取激勵(lì)手段，鼓勵(lì)社會(huì)公眾對(duì)電商平臺(tái)隱私政策的制定和實(shí)施情況進(jìn)行監(jiān)督，用戶在發(fā)現(xiàn)隱私政策存在不完善不合規(guī)之處抑或是平臺(tái)存在泄露用戶信息情況時(shí)能夠及時(shí)指出，通過廣泛動(dòng)員和發(fā)揮消費(fèi)者的力量與監(jiān)督作用，保證出現(xiàn)泄露用戶個(gè)人信息行為的電商平臺(tái)得到應(yīng)有懲罰，從而提高平臺(tái)的個(gè)人信息保護(hù)責(zé)任，降低侵害個(gè)人信息事件的發(fā)生概率。

4.強(qiáng)化對(duì)電商平臺(tái)經(jīng)營(yíng)者的全流程監(jiān)管

強(qiáng)化和落實(shí)平臺(tái)責(zé)任是保護(hù)電商消費(fèi)者個(gè)人信息的重要環(huán)節(jié)。就目前來看，《個(gè)人信息保護(hù)法》《網(wǎng)絡(luò)安全法》《消費(fèi)者權(quán)益保護(hù)法》《電子商務(wù)法》等法律規(guī)范中均明確規(guī)定了監(jiān)管部門有權(quán)對(duì)存在非法個(gè)人信息處理行為的電商平臺(tái)給予警告、罰款、責(zé)令改正、沒收違法所得、責(zé)令暫停或者終止提供服務(wù)等違法處罰措施，特別是《個(gè)人信息保護(hù)法》在借鑒和吸收歐盟立法經(jīng)驗(yàn)的基礎(chǔ)上加大了對(duì)非法行為主體的處罰力度，加重了電商平臺(tái)經(jīng)營(yíng)者等信息處理主體的違法成本。但是，監(jiān)管部門過于依賴事后處罰的監(jiān)管手段卻在一定程度上忽視了事前和事中監(jiān)管手段的落實(shí)。出于助力電商產(chǎn)業(yè)發(fā)展之考量，監(jiān)管部門不應(yīng)當(dāng)對(duì)電商經(jīng)營(yíng)者的消費(fèi)者個(gè)人信息處理行為予以過于嚴(yán)苛的事先限制，但這并不意味著監(jiān)管部門可以在事前防范階段對(duì)電商經(jīng)營(yíng)者放任自流。我國(guó)監(jiān)管部門當(dāng)前主要采用行政約談的手段對(duì)電商經(jīng)營(yíng)者進(jìn)行事中監(jiān)管，但行政約談的主要功能在于溝通、協(xié)商、警示和告誡，并不具有強(qiáng)制效力，難以真正對(duì)存在侵害消費(fèi)者個(gè)人信息行為的電商經(jīng)營(yíng)者實(shí)現(xiàn)有效規(guī)制[14]。即便是在事后處罰階段，我國(guó)當(dāng)前的行政處罰規(guī)則也存在需要進(jìn)一步明確的空間。比如《個(gè)人信息保護(hù)法》中僅以“情節(jié)嚴(yán)重”與否作為判斷不同違法行為所需承擔(dān)行政責(zé)任的標(biāo)準(zhǔn)，但是對(duì)于何為“情節(jié)嚴(yán)重”卻并未明確?？偟膩碚f，在當(dāng)前數(shù)字經(jīng)濟(jì)蓬勃發(fā)展和全球競(jìng)爭(zhēng)日趨激烈的大背景下，固然需要給予電商企業(yè)一定的扶持，但是面對(duì)中國(guó)電商企業(yè)已經(jīng)并必將繼續(xù)走向世界的未來趨勢(shì)，通過強(qiáng)化全流程監(jiān)管來提高企業(yè)的個(gè)人信息保護(hù)和合規(guī)意識(shí)確有必要。畢竟，隨著海外市場(chǎng)的開拓，電商企業(yè)所面臨的法律合規(guī)風(fēng)險(xiǎn)將不僅來自于國(guó)內(nèi)，更可能來自國(guó)外。

5.著力推行個(gè)人信息保護(hù)公益訴訟制度

由于個(gè)人信息自身帶有明顯的私益屬性，電商消費(fèi)者可以通過傳統(tǒng)的民法保護(hù)方式依賴個(gè)案解決提起私益訴訟來捍衛(wèi)其權(quán)益，在最高法2020年12月制定頒布的《民法典》人格權(quán)編司法解釋當(dāng)中，“個(gè)人信息保護(hù)”也被增加為一項(xiàng)新的民事案件案由。但是，面對(duì)實(shí)力雄厚的電子商務(wù)平臺(tái)，單個(gè)消費(fèi)者在提起私益訴訟時(shí)可能顯得力不從心，而當(dāng)大型消費(fèi)者信息泄露事件發(fā)生，分別由消費(fèi)者提起私益訴訟也可能造成司法資源的浪費(fèi)。更何況，大規(guī)模信息泄露事件同時(shí)也關(guān)涉到社會(huì)公共利益，數(shù)字經(jīng)濟(jì)時(shí)代的個(gè)人信息呈現(xiàn)出更多的社會(huì)公共屬性，私益與公益的界限不再清晰，保護(hù)平臺(tái)用戶信息安全不再僅僅是個(gè)體消費(fèi)者的需求，同時(shí)也涉及到社會(huì)治理和國(guó)家治理的公共價(jià)值實(shí)現(xiàn)[15]。在這種情況下，公益訴訟便是一種更為高效的電商消費(fèi)者個(gè)人信息保護(hù)方式。所謂公益訴訟，是指在公共利益遭遇非法侵害時(shí)，出于捍衛(wèi)公共利益的目的由相關(guān)主體根據(jù)法律規(guī)定向法院提起訴訟的特別程序制度[16]。目前的司法實(shí)踐當(dāng)中已經(jīng)出現(xiàn)了個(gè)人信息保護(hù)公益訴訟的典型案例，比如2017年12月江蘇省消費(fèi)者權(quán)益保護(hù)委員會(huì)就百度涉嫌違規(guī)收集消費(fèi)者個(gè)人信息提起的民事公益訴訟[17]，以及2021年1月杭州市下城區(qū)檢察院提起的個(gè)人信息保護(hù)民事公益訴訟[18]；《個(gè)人信息保護(hù)法》第70條更是明文規(guī)定了個(gè)人信息保護(hù)的公益訴訟制度。在電商消費(fèi)者個(gè)人信息保護(hù)領(lǐng)域推行公益訴訟制度，能夠有效整合社會(huì)資源，形成全方位的個(gè)人信息保護(hù)屏障。不過，當(dāng)前關(guān)于個(gè)人信息保護(hù)公益訴訟制度的規(guī)定仍舊較為籠統(tǒng)，諸如立案標(biāo)準(zhǔn)和起訴條件等個(gè)人信息保護(hù)公益訴訟類案件的實(shí)體與程序類問題有待在未來進(jìn)一步明確。

五、結(jié) 語

在數(shù)字經(jīng)濟(jì)蓬勃發(fā)展和數(shù)據(jù)信息安全形勢(shì)嚴(yán)峻的大背景下，強(qiáng)化對(duì)電商消費(fèi)者個(gè)人信息保護(hù)成為迫切的時(shí)代需求。平臺(tái)隱私政策在保護(hù)電商消費(fèi)者個(gè)人信息中扮演著重要角色，不僅僅是平臺(tái)與用戶之間就信息保護(hù)達(dá)成的合意，更是平臺(tái)實(shí)現(xiàn)有效自律和其他主體監(jiān)督平臺(tái)的手段。本文通過觀察和比較多個(gè)平臺(tái)的隱私政策文本可以發(fā)現(xiàn)：信息的收集和使用，存儲(chǔ)與保護(hù)，共享、轉(zhuǎn)移和披露，用戶權(quán)利，未成年人保護(hù)，Cookie和同類技術(shù)構(gòu)成了隱私政策文本內(nèi)容的6大核心內(nèi)容。但隱私政策當(dāng)中仍然存在平臺(tái)與用戶對(duì)話溝通困難、個(gè)人信息處理規(guī)則模糊、信息可攜帶權(quán)利落地困難、信息存儲(chǔ)期限和保護(hù)措施告知不明、未成年人信息保護(hù)不足、平臺(tái)的外部獨(dú)立監(jiān)督機(jī)構(gòu)設(shè)置不到位等突出問題，需要繼續(xù)夯實(shí)法律保護(hù)基礎(chǔ)和拓寬平臺(tái)與用戶之間的協(xié)商對(duì)話路徑、健全審查機(jī)制、強(qiáng)化全流程監(jiān)管、著力推行公益訴訟制度，從而實(shí)現(xiàn)對(duì)電商消費(fèi)者個(gè)人信息更加周全細(xì)致的保護(hù)。