导 读

保障电子商务各方主体的合法权益，规范电子商务行为，维护市场秩序，促进电子商务持续健康发展，《电子商务法》无疑是电子商务经营者开展经营活动的总纲领。新法施行在即，本报从今日起开设“专家谈《电子商务法》”专栏，邀请国内外高校专家、法律从业者和知名电商企业法律工作者就《电子商务法》的立法精神、个人信息保护、平台责任、权利义务关系、法律责任设置等热点问题各抒己见，以期见微知著，共促发展。

《电子商务法》和《网络安全法》关于个人信息保护的区别和联系

（一）个人信息的定义
　　

个人信息是指以电子或者其他方式记录的，能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。
　　

判断某项信息是否属于个人信息，有两个路径。一是识别，即从信息到个人，由信息本身的特殊性识别出特定自然人。二是关联，即从个人到信息，已知特定自然人在其活动中产生的信息（如个人位置信息、个人通话记录、个人浏览记录等）。符合这两种情形之一的信息，均应判定为个人信息。
　　

从信息的用途看，个人信息可以分为三类。第一类用于建立特定主体之间互动的渠道，如电话号码、电子邮箱、地址、IMEI号等。第二类用于认证特定个人电子身份，如用户名密码、指纹、虹膜、Face ID等。一旦用于认证个人电子身份的个人数据被泄露、滥用、误用，与电子身份紧密相连的各种权益都将处于巨大的风险之中。第三类用于描述特定个人某些方面的特征或情况，如浏览记录、婚史、行踪轨迹、教育经历、疾病史、宗教信仰、血型、基因信息等。这些个人数据一旦遭泄露或者被滥用、误用，他人可能利用这些信息勒索特定个人或迫使其违背意愿行事。
　　

（二）《电子商务法》和《网络安全法》关于个人信息保护的异同
　　

我国《网络安全法》和《电子商务法》都对个人信息保护作出了规定，既有区别，又有联系。
　　

1.适用对象
　　

《网络安全法》适用的对象是网络经营者，包括网络所有者、网络管理者和网络服务提供者。根据《网络安全法》第四十条、第四十一条、第四十二条、第四十三条和第四十四条的规定，个人信息收集和使用有七个基本原则，即权责一致原则、目的明确原则、选择同意原则、最少够用原则、公开透明原则、确保安全原则、主体参与原则。
　　

《电子商务法》适用于电子商务经营者，包括通过互联网等信息网络从事销售商品或者提供服务的经营活动的自然人、法人和非法人组织，有平台经营者、平台内经营者和自建网站、其他网络服务销售商品或者提供服务的电子商务经营者3类。需要注意的是，《电子商务法》通过“其他网络服务”将利用微信朋友圈、网络直播等方式从事商品、服务经营活动的主体纳入《电子商务法》规制范围，有利于加强对相关领域的监管。
　　

2.保护客体
　　

《网络安全法》保护的客体是信息（系统）安全，包括信息安全和运营安全。具体而言，《网络安全法》保护的内容包括国家网络安全战略、网络安全等级保护制度、互联网信息内容管理制度、网络安全事件管理制度及预警制度、网络产品和服务的管理制度、关键信息基础设施安全保护、个人信息和重要数据保护制度、数据本地化存储与数据跨境传输等。
　　

《电子商务法》保护的客体是网络运行安全和个人信息安全。《电子商务法》第三十条规定，电子商务平台经营者应当采取技术措施和其他必要措施保证其网络安全、稳定运行，防范网络违法犯罪活动，有效应对网络安全事件，保障电子商务交易安全。第二十三条规定，电子商务经营者收集、使用其用户的个人信息，应当遵守法律、行政法规有关个人信息保护的规定。第二十四条规定，电子商务经营者应当明示用户信息查询、更正、删除以及用户注销的方式、程序，不得对用户信息查询、更正、删除以及用户注销设置不合理条件。
　　

3.数据存储与安全保障
　　

《网络安全法》规定，网络日志的留存时间不少于6个月。网络运营者应采取技术措施和其他必要措施，维护网络数据的完整性、保密性和可用性。
　　

《电子商务法》第三十一条规定，商品和服务信息、交易信息保存时间自交易完成之日起不少于3年。同时，要求电子商务经营者保证数据的完整性、保密性、可用性。可见，《电子商务法》进一步细化了《网络安全法》就数据存储在特定领域的时间要求，数据类型也具体化为商品、服务交易信息。
　　

4.个性化搜索结果显示
　　

《网络安全法》第四十一条规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则。
　　

对《网络安全法》作细化解释的国家推荐性标准《个人信息安全规范》规定，当仅依据信息系统的自动决策而作出显著影响个人信息主体权益的决定时，个人信息控制者应向个人信息主体提供申诉方法。
　　

《电子商务法》第十八条规定，电子商务经营者针对消费者个人特征提供商品、服务搜索结果时，要一并提供非针对个性推荐选项，通过提供可选信息保护消费者的知情权、选择权。这样规定有利于防止电子商务经营者利用大数据分析“杀熟”，即收集用户画像、支付能力、支付意愿实行“一人一价”，甚至出现“会员价”高于正常价格的情况。
　　

5.个人信息主体的权利实现方式
　　

关于个人信息删除权，《网络安全法》规定网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，个人信息主体有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。
　　

《电子商务法》则进一步明确了删除的方式和程序。第二十四条要求电子商务经营者明示用户信息查询、更正、删除以及用户注销的方式、程序，不得对用户信息查询、更正、删除以及用户注销设置不合理条件。
　　

值得注意的是，《网络安全法》规定用户要求网络运营者删除其个人信息的前提是网络运营者有违法或违约的情况，而《电子商务法》在用户实现删除权方面未设置前提，这是在《网络安全法》基础上针对特定领域用户权利加强了保护。
　　

可携权是《欧盟数据保护条例》中的概念，指个人信息主体有权要求数据控制者提供个人数据副本，有权要求数据控制者将其个人数据传输至其他数据控制者。《网络安全法》没有相关规定，但《个人信息安全规范》规定了个人信息主体可以向数据控制者请求特定类型的个人信息副本，或在数据控制者技术可行的前提下直接将个人信息副本传输给第三方。《电子商务法》未采纳《个人信息安全规范》中的相关规定，这并不是与国家标准的要求相背离，可能是待相关法律制度成熟后再进行补充。

违反《电子商务法》个人信息保护规定的主要表现形式

1.过度收集。例如，天气预报类APP收集联系人、短信内容。
　　

2.秘密收集。例如，收集信息时仅作有限告知、含糊告知等。
　　

3.诱骗收集。例如，发送中奖信息骗取个人提供信息等。
　　

4.强制收集。例如，设置一揽子协议、霸王条款等。
　　

5.非法收集。例如，非法押存身份证等。
　　

6.从黑市上购买个人信息。主要用于增加用户数、丰富用户信息等。
　　

7.强制推送商业广告。
　　

8.无限期存储、使用个人信息。例如，拒绝用户注销、删除请求等。
　　

9.使用个人信息时，在非必要的情形下保持了对个人身份的指向性。
　　

10.随意变更目的使用个人信息。
　　

11.未经授权同意对外提供个人信息，包括非法交易、共享等。
　　

12.非法披露个人信息。例如，快递单流转时没有任何防护措施。
　　

13.内部人员非法对外倒卖个人信息。主要是由于企业对客户信息管理未设置权限等。
　　

14.对用户的查询、投诉置若罔闻。
　　

15.外包处理业务时没有严格管理而导致个人信息泄漏。
　　

16.对个人敏感信息随意处理。
　　

17.创业失败后随意处置所收集的个人信息。
　　

18.个人信息遭窃取、泄漏后极力遮掩。
　　

19.当个人信息被冒用时，没有做到有效核验。例如，手机号易主等情形。
　　

20.平台对商户收集、使用个人信息行为缺乏管控。

违反《电子商务法》个人信息保护规定的法律责任

环球律师事务所合伙人 孟 洁