電子商務環(huán)境下個人信息保護的問題研究

II引言隨著科技的發(fā)展，互聯(lián)網(wǎng)已經成為帶動社會與經濟發(fā)展的一個重要因素，同時它也成為人們生活中必不可少的一部分。據(jù)網(wǎng)經社電子商務研究中心（100EC.CN）顯示，國家統(tǒng)計局關于電子商務交易的網(wǎng)上市場調查，在2019年我國電子商務總貿易額為34.81萬億元，比上年增長6.7%。其中以商品、服務類為主，其電商交易額33.76萬億元，增長6.6%，合約類電商交易額1.05萬億元，增長10.1%/xwzx/202002200008.shtml，于2020年4月5日訪問。同時根據(jù)網(wǎng)經社發(fā)布用戶體驗舒適度與投訴占比情況分析得出在2019年下半年通過在線遞交、電話、郵件、微信、微博等多種投訴渠道受理的投訴案件數(shù)相比于往年增長66.93%。/xwzx/202002200008.shtml，于2020年4月5日訪問雖然網(wǎng)絡技術的革新一日千里，但相關的立法進展卻是緩慢，不能滿足網(wǎng)絡時代的需求。其中電子商務環(huán)境下個人信息侵權也存在著以下問題：需要再度明確個人信息的范圍和含義。個人信息的內涵應是自然人所具有的一切信息和能了解該自然人的東西徐肖.電商時代下的個人信息保護研究[J].區(qū)域治理,2019(31):230-232.。目前的個人信息保護條文過于分散且保護的效力不足且沒有完整的懲處措施廖熠蓉.電子商務環(huán)境下對個人信息保護研究[J].市場周刊,2019(08):156-157.。并且，互聯(lián)網(wǎng)具有虛擬性、易傳播性、不對稱性等特性，使得買賣個人信息的成本低到令人驚異王瑾卿.論平臺經濟下對消費者個人信息的保護[J].廣東開放大學學報,2019,28(04):38-43.。最后，目前的法律條文缺少對電子商務環(huán)境下的行為監(jiān)管，缺少強制性。沒有相應的部門可以執(zhí)行監(jiān)管，一旦涉及到侵犯消費者權益，就很難對消費者的隱私權起到真正的保護作用。所以本文研究電子商務環(huán)境下保護個人信息侵權存在的問題。在當前環(huán)境下，對保護過程中的問題和改善個人信息保護具有一定的作用，并且提出有關保護個人信息的徐肖.電商時代下的個人信息保護研究[J].區(qū)域治理,2019(31):230-232.廖熠蓉.電子商務環(huán)境下對個人信息保護研究[J].市場周刊,2019(08):156-157.王瑾卿.論平臺經濟下對消費者個人信息的保護[J].廣東開放大學學報,2019,28(04):38-43.1電子商務與個人信息的基本理論1.1電子商務與個人信息的概述隨著互聯(lián)網(wǎng)技術的發(fā)展，個人信息的價值日益凸顯，其的范圍也相應擴大。由《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》第4條：個人信息是基于“提供服務”的過程中收集的，并且能夠“單獨或結合其他信息識別用戶”的信息，諸如姓名、證件號碼、地址、聯(lián)系方式等能夠協(xié)助識別出消費者身份的信息《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》第四條解讀可以推斷出個人信息具有以下特征：第一，個人信息具有人格屬性，個人信息與個人的認同感、特性、個人的尊嚴和自由息息相關，信息主體有權決定是否公開、修改或刪除個人信息，同時要保護個人信息不受非法的以及其他自然人、政府機構和企業(yè)的侵害的影響。第二，個人信息具經濟價價值，信息市場以信息經濟和信息技術的普及為基礎，如今信息己經成為一種商業(yè)資本并且可以創(chuàng)造新的經濟價值。第三，個人信息具有可識別性，這點也是個人信息區(qū)別于隱私的最主要的特征。可識別是指通過直接的方式“識別”出某一個體，從而確定某個人的身份特征。這里所說的可識別性包括通過單一或者多個數(shù)據(jù)進行組合、疊加識別的形式。1.2個人信息保護面臨的主要挑戰(zhàn)首先，個人信息是含有一定識別度的信息，可以用于區(qū)分不同用戶且具有一定隱私性的信息，用戶可以以此來完成電子商務交易，如快遞收買、軟件網(wǎng)站使用以及更流暢的個性化體驗。但也使個人信息的獲取變得十分方便，侵權成本降低。其次，個人信息是網(wǎng)絡環(huán)境中的利益之首，互聯(lián)網(wǎng)環(huán)境下哪一家公司掌握得個人信息多，他們所占據(jù)的市場份額也會更多，根據(jù)所獲得的個人信息他們可以確定市場走向，走在行業(yè)前端。正是這樣，個人信息權與隱私權有所不同，隱私權不具有財產價值，而個人信息則有一定經濟效益，其中有很多利益相關可以用于買賣交易。而隱私權則是傳統(tǒng)法律體系中的人格權的一部分，并不存在可獲利性。所以非法倒賣個人信息也是近些年經常發(fā)生的事情。最后，個人信息具有識別性，不良商家可以利用這些信息進行非法銷售或者針對性營銷，導致用戶一直接收到無意義的廣告營銷和產品推薦。個人信息是用戶的名片，每個人就獨此一張。當其他企業(yè)收集到該用戶的名片時所形成的用戶畫像為未來企業(yè)發(fā)展的用戶定位打下牢固的用戶群體分析基礎。2電子商務環(huán)境下個人信息保護現(xiàn)狀及法律法規(guī)2.1個人信息保護現(xiàn)狀我國的互聯(lián)網(wǎng)發(fā)展雖然時間不久，但是電子商務的發(fā)展卻是遙遙領先于其他國家，同時也是電子商務個人信息侵權案件的多發(fā)國家。雖然現(xiàn)階段我國對于個人信息的權益維護愈加重視，但是目前現(xiàn)行的法律還不足以應對。下圖是2001-2020年關于個人信息侵權案件中的關鍵詞分布，在79187個訴訟案例中共6967件有關于公民個人信息侵權的案件/search?searchMode=judgements&sortType=1&conditions=searchWord%2B%E4%B8%AA%E4%BA%BA%E4%BF%A1%E6%81%AF%2B1%2B%E4%B8%AA%E4%BA%BA%E4%BF%A1%E6%81%AF&searchView=chart，于2020年4月5日訪問。其中涉及電子商務的案件有963件/search?searchMode=judgements&sortType=1&conditions=searchWord%2B%E4%B8%AA%E4%BA%BA%E4%BF%A1%E6%81%AF%2B1%2B%E4%B8%AA%E4%BA%BA%E4%BF%A1%E6%81%AF&searchView=chart，于2020年4月5日訪問/search?searchMode=judgements&sortType=1&conditions=searchWord%2B%E4%B8%AA%E4%BA%BA%E4%BF%A1%E6%81%AF%2B1%2B%E4%B8%AA%E4%BA%BA%E4%BF%A1%E6%81%AF&conditions=searchWord%2B%E7%94%B5%E5%AD%90%E5%95%86%E5%8A%A1%2B1%2B%E7%94%B5%E5%AD%90%E5%95%86%E5%8A%A1&searchView=text，于2020年4月5日訪問圖SEQ圖\*ARABIC12001-2020年個人信息關鍵詞檢索案件數(shù)從圖表中可知個人信息的侵權案件頻發(fā)，據(jù)統(tǒng)計在2019年一共發(fā)生了192件侵權案件，平均每周發(fā)生4件。如此頻發(fā)的現(xiàn)狀目前卻沒有完善的體系能應對和妥善處理。但從較好的一面來看，我國已經初步建立了與國內環(huán)境相符、與全球態(tài)勢相適應的保護體系。從產業(yè)標準方面看，全國通信標準化服務委員所推出的用戶個人信息保護標準工作組，正在推進“通信與互聯(lián)網(wǎng)服務個人信息保護標準系統(tǒng)”建設，從建構體系中提出定義、分類、分級和管理技術要求，初步對個人信息保護起到推動作用。在監(jiān)管方面，全國人大常委會依法履職開展“一法一決定”檢查、中央網(wǎng)信辦牽頭隱私條款聯(lián)合檢查、工信部以正面引導和問題查處為重點開著個人信息保護研究報告:電信和互聯(lián)網(wǎng)用戶個人信息保護白皮書。在行業(yè)監(jiān)督方面，全國信息安全技術標準化委員會（TC260），中國通信標準化協(xié)會（CCSA）等標準組織積極開展個人信息保護標準制定研究報告:電信和互聯(lián)網(wǎng)用戶個人信息保護白皮書2018年《電信和互聯(lián)網(wǎng)用戶個人信息保護白皮書》從上述的各組織和單位中可以看出，目前我國的網(wǎng)絡環(huán)境下的個人信息保護還是處于零散的、分散式的標準，整體的保護條例和保護依據(jù)都處于萌芽階段。2.2個人信息保護的標準及立法現(xiàn)狀2.2.1《中華人民共和國電子商務法》中的相關規(guī)定目前涉及電子商務環(huán)境中個人信息問題的是《電子商務法》，該法在第二十三條規(guī)定電子商務經營者在收集和使用用戶的個人信息時，應遵守有關個人信息保護的法律和管理法規(guī)中的有關條款。并且隨后的二十四和二十五條中都對此做出解釋“電子商務經營者應當明示用戶信息查詢、更正、刪除以及用戶注銷的方式、程序，不得對用戶信息查詢、更正、刪除以及用戶注銷設置不合理條件。電子商務經營者收到用戶信息查詢或者更正、刪除的申請的，應當在核實身份后及時提供查詢或者更正、刪除用戶信息。用戶注銷的，電子商務經營者應當立即刪除該用戶的信息；依照法律、行政法規(guī)的規(guī)定或者雙方約定保存的，依照其規(guī)定?！薄吨腥A人民共和國電子商務法》23,24,25條當有關部門需要電子商務經營者提供用戶個人信息時，經營者應該當主動提供。有關部門在接受該信息后有義務對信息進行保密，且不得用其從事非法行為。2.2.2《網(wǎng)絡安全法》中的相關規(guī)定該法在第四十一條至第四十三條指出：應明確網(wǎng)絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，并經被收集者同意。網(wǎng)絡運營者不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個人信息，并應當依照法律、行政法規(guī)的規(guī)定和與用戶的約定，處理其保存的個人信息《中華人民共和國網(wǎng)絡安全法》《中華人民共和國網(wǎng)絡安全法》41,42,43條網(wǎng)絡運營者需在用戶的同意下才可以收集個人信息，并應對收集到的信息采取保密措施，在發(fā)生個人信息侵權行為后及時采取補救措施，最后用戶對其信息享有處置權。以上強調網(wǎng)絡運營商的責任，隨后在四十四條和四十五條中則是指出個人和組織以及網(wǎng)絡監(jiān)管部門的責任。該法對違法人員作出懲處，侵害個人信息依法得到保護的權利的，根據(jù)情況受到警告或者扣押，沒收非法收入，處以1倍以上或者10倍以下的罰款，情節(jié)嚴重的，取消相關業(yè)務許可。2.2.3《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》在該規(guī)定的“信息收集和保護規(guī)范”中闡述了業(yè)務經營者所應盡到的義務和責任，其中的要求和《網(wǎng)絡安全法》不盡相同，在懲處力度上以“責令改正，予以警告，并處一萬元以上三萬元以下的罰款，向社會公告；構成犯罪的，依法追究刑事責任?！睘橹鳌＞C上所述，我國電子商務中的個人信息保護還處在法規(guī)和條例中，法律效益不足，應繼續(xù)加強立法，完善法規(guī)制度形成一套個人信息保護體系。3電子商務中個人信息保護存在的問題3.1缺少具有專門針對性的法律法規(guī)目前我國關于個人信息保護的相關法律法規(guī)分散于《憲法》《民法》《刑法》《刑事訴訟法》《消費者權益保護法》等法律法規(guī)等各大法律體系中，沒有一個確切的法律去約束和限制它。雖然2016年的《網(wǎng)絡安全法》，從網(wǎng)絡運營者的角度對個人信息保護的法律責任、義務及救濟方面進行了規(guī)定。以及2019年頒布的《兒童個人信息網(wǎng)絡保護規(guī)定》都只是針對于某一方面的個人信息保護。個人信息保護僅僅依靠這些零散的保護規(guī)定就顯得捉襟見肘。參考國外立法方面，日本目前的《個人信息保護法》規(guī)定，防止公共機關侵犯個人信息，保護個人信息處理人員的信息義務，并對個人信息侵權處以更大的處罰。美國以隱私權為核心，把個人信息保護的重點轉移至人格尊嚴和個人獨立的層面，路易斯布蘭代斯和薩繆爾發(fā)表的《論隱私權》提出個人信息權利的概念，不局限于物質和精神，而不斷擴展個人信息權利的范圍，凡是跟個人信息有關的一切東西都屬于該法的保護范疇。但美國把保護對象限制在個人，而排除了企業(yè)，并且把保護的內容限定在了儲存在政府系統(tǒng)內的數(shù)據(jù)記錄，而不是企業(yè)和其他機構的。這里雖然加大了個人信息保護的力度，但是卻因為個人信息的內涵不斷擴大而無力去完善。美國起草的《消費者隱私權利法案》中把部分合法公開，經過處理的信息排除在個人信息的范圍，有利地杜絕了把信息用于反詐騙、反偵察等活動中，但是依然沒有脫離傳統(tǒng)定義上的“個人信息?！碑斍拔覈诹⒎ǚ矫?，應當注意到一方面?zhèn)€人信息的內涵不斷擴大，它會隨著互聯(lián)網(wǎng)的發(fā)展而不斷衍生出更多的種類；另一方面居于大數(shù)據(jù)背景下的數(shù)據(jù)基數(shù)大，所以通過信息識別個人信息的方法也在增加。要想在信息保護和利益關系上找到平衡，必須測算雙方的利害關系，保護個人信息的訴求事項，使網(wǎng)絡用戶對網(wǎng)絡有信心，使網(wǎng)絡事業(yè)的發(fā)展不受任何人為使之公式化而妨礙，這是符合中國國家條件和未來網(wǎng)絡發(fā)展要求的最完善的法律規(guī)定。3.2潛在及惡意收集消費者個人信息每個人的生活都離不開網(wǎng)絡，在生活中登錄賬號、購買東西、觀看新聞都是需要你提交電話號或者部分信息才能享有的。這些提交的資料都會被后臺機器默默第保存下來，這些的信息一方面便于企業(yè)精準營銷，另一方面有利于消費者得到更好的產品或服務體驗。據(jù)統(tǒng)計對于大多數(shù)收集個人信息的企業(yè)，用戶有著這樣的擔心：圖SEQ圖\*ARABIC2用戶認為企業(yè)在個人信息保護方面存在的主要問題從上圖中可以看出“未經用戶同意擅自向他人提供個人信息”、“收集過多（不相關的）個人信息”和“非法出售個人信息”這三種問題最受用戶在意2018《電信和互聯(lián)網(wǎng)用戶個人信息保護白皮書》17頁。這也說明用戶對于互聯(lián)網(wǎng)企業(yè)缺乏普遍的信任，在提供個人信息時處于糾結的狀態(tài)。與此同時，用戶還沒有充分的保護個人信息的意識和能力。銀行應用程序的密碼設置過于簡單，容易破譯，或者隨意掃描QR碼，或者用不安全的程序瀏覽網(wǎng)頁等，還有一些用戶的個人信息安全碼過于簡易，導致個人信息外露。以及在服務合同中包含的個人信息內容不明確，以至于規(guī)制機構、消費者團體、企業(yè)客戶服務及其他渠道無法保護合法權益。同時很多商家都樂于把消費者的信息集合在一起，針對消費者的搜索和購買選項推送特定的產品或服務2018《電信和互聯(lián)網(wǎng)用戶個人信息保護白皮書》17頁2018《電信和互聯(lián)網(wǎng)用戶個人信息保護白皮書》18頁銀行APP是居民可以處理零售金融業(yè)務的軟件，用戶應向其軟件上傳個人財務信息，并根據(jù)個人業(yè)務需求和技術功能，一并上傳“臉”和“指紋”等個人信息。這些隱藏的風險或過度使用的界限，完全是根據(jù)銀行的商業(yè)運營標準不同而有所不同。比如當用戶的消費貸款沒有在規(guī)定的時間內償還，銀行則依據(jù)用戶在APP中上傳的個人信息進行定點催收。根據(jù)APP用戶提供的財務信息，銀行資產管理部門有時會針對用戶未同意的情況下，發(fā)送各類金融資產管理產品的信息。2019年光大銀行、天津銀行、天津農商銀行等金融機構旗下手機銀行，就因為其軟件和合同中缺乏隱私協(xié)議、收集使用個人信息范圍描述不清、超范圍采集個人信息和非必要采集個人信息等情形，被國家網(wǎng)絡安全通報中心約談整改。/s/2Z6LSxy7Em1SRqTLfBx9jA，于2020年4月8日訪問2018年初支付寶為用戶準備的年消費結算單中，有一條“同意芝麻服務合同”的規(guī)定。該選項經證明與結算單并無瓜葛，并自行套取用戶的個人消費信息，其中包含了很多第三方的信息，但根據(jù)《互聯(lián)網(wǎng)交易管理辦法》規(guī)定，經營者應該當使用顯著的方式來表明這類收集用戶個人信息的選項，并且在收集個人信息時應該對用戶表明其信息的使用目的和范圍，給用戶選擇權和信息的處置權，然而支付寶并沒有這樣。這些問題至今也沒人能斷言已經完全杜絕。在購物時填寫的地址、電話等信息，還有瀏覽的商品這些依然會被記錄下來。在支付的過程中，支付平臺的密碼、支付的賬號在后臺都是可見的。從安全上來說，個人的信息被平臺收集，在平臺安全的情況下個人信息是安全的，當平臺出現(xiàn)了問題，個人信息就可能被泄露或被倒賣。3.3行業(yè)監(jiān)管力度不夠電子商務整體的發(fā)展趨勢是向好向上的，但是卻有一些細微的問題伴隨著現(xiàn)在的網(wǎng)絡時代的而生。在個人信息保護方面，作為經營者需要有相應的義務和責任，同時作為市場監(jiān)管者的政府部門也有應設定與之相適應的制度和監(jiān)管體系，整改和調整目前的監(jiān)管上的滯后于缺失。目前監(jiān)管方面主要出現(xiàn)的問題是體制、隊伍、技術這三方面。體制上，面對海量的數(shù)據(jù)和不停迭代的信息，各種各樣的侵權行為和侵權方式根本無法杜絕，政府管理機關往往疲于應付。其他的主管部門信息產業(yè)、文化、等部門在工作對接時，存在一定的誤差，缺少明確的規(guī)范和指導條例，這使得這類問題經過多方協(xié)作反而難以解決，導致消費者對此的公信度下降。隊伍上，因為是以電子商務環(huán)境為基礎的網(wǎng)絡侵權，屬于迭代速度飛快的技術侵權行為。但是我國的監(jiān)管部門和行政單位卻沒有與之向適應的團隊和技術，監(jiān)管的方式方法任然是老辦法、傳統(tǒng)思維，總是不能在行為發(fā)生前杜絕該侵權行為。因此，監(jiān)管的效率和效果普遍差強人意。技術上，監(jiān)管過程需要技術的支持，從電子商務交易行為的準備、交易行為的過程、交易行為的結束，都是技術的支持。但目前對于這些技術都是缺乏行之有效的監(jiān)管技術。并且專業(yè)的網(wǎng)絡信息盜用者使用的工具和技術普遍高于監(jiān)管技術。監(jiān)管技術因為缺乏開發(fā)和應用導致盜用行為發(fā)生后，監(jiān)管部門依然使用半年前乃至一年前的技術來監(jiān)察監(jiān)管。這恰恰也是監(jiān)管不到位的最核心原因。3.4舉證難度大在電子商務個人信息侵權行為過程中，想要確鑿的認定對方所侵犯的權益，以及構成侵權行為后的損失和賠償方式，都需要用到證據(jù)。這就必須要有一個合適電子商務中個人信息侵權信息收集的方式和對重要材料證據(jù)的固定機制。在證據(jù)鑒定和核準過程中，電子商務環(huán)境下的個人信息侵權案件同屬于民事訴訟案件，同樣應遵循民事訴訟的一般規(guī)則——誰主張，誰舉證。原告需要按照證據(jù)的準備順序來收集對自己有利的證據(jù)證明被告侵權，但是電子商務中的交易是在網(wǎng)絡環(huán)境中完成的，證據(jù)主要是在產品、服務、交易記錄、電商平臺、文字對話等方面。上述的幾種證據(jù)大都是電子證據(jù)，電子證據(jù)存在不穩(wěn)定性，電子證據(jù)會隨著時間的推移出現(xiàn)變化，侵權方若是平臺或網(wǎng)絡媒介，就可以私自改動相關信息從而使證據(jù)無效。目前主要的證據(jù)固定方式是公證，公證處、網(wǎng)絡公證都可以，但公證的時間和價格也是一個問題。侵權責任的資料公證需要千元，這使得公證多項有效證據(jù)將要付出一大筆資金，倘若侵權行為賠償金額不足公證金額，原告還需自己多出一份錢。在此情況下，原告可能放棄訴訟助長了侵權行為繼續(xù)下去。其次，公證過程需要對互聯(lián)網(wǎng)和計算機技術熟練掌握，對于公證人員的技術素養(yǎng)有更高得要求，然而只有少部分公證人員具備這樣的能力，公證過程使用這樣的技術人員也是增加公證成本的一大原因。4歐美電子商務個人信息保護的啟示隨著互聯(lián)網(wǎng)的發(fā)展，電子商務的走進每個人的生活中。相較于我國，國外優(yōu)先針對個人信息進行調整和保護。我國對個人信息的認知無論從國家層面還是個人層面都是較落后與其他國家，近些年因大型互聯(lián)網(wǎng)企業(yè)頻頻爆出泄露信息的丑聞，才使得個人信息保護引起了人們的注意。4.1美國《隱私權法》美國是高度發(fā)達的社會，隨著經濟的發(fā)展，美國對信息的依賴與日俱增。與此同時美國有一分散式立法和行業(yè)自律來保障個人信息的安全。在公共領域以上文提到的《隱私權法》為主，主要是協(xié)調政府機關部門和公民之間的個人信息問題；在非公共領域以聯(lián)邦法案的施行針對某一行業(yè)或領域的個人信息進行有效的保護和侵權救濟。行業(yè)自律方面，主要是市場發(fā)揮保護個人信息的作用，主要分為三種模式：第一，指向性的企業(yè)引導，是在市場內具有一定資歷和電子商務企業(yè)帶頭公司做出模范帶頭作用；第二，向“合格”的企業(yè)頒布證書，引導其他企業(yè)向其學習，并以一段時間的考核作為標準，倘若不合格便撤回證書；第三，政府提前向在不安全網(wǎng)站交易的用戶提出警告，并提醒用戶安裝預防黑客攻擊的軟件從而降低使用電子商務平臺時個人信息被非法盜取。4.2歐盟的《通用數(shù)據(jù)保護條例》歐盟的《通用數(shù)據(jù)保護條例》(GDPR)的核心原則之一是控制者應以收集，使用，咨詢或其他處理數(shù)據(jù)主體的透明方式，向數(shù)據(jù)主體征求提供真實信息。其中有關個人信息及個人信息的處理或處理程度的收集，應按照數(shù)據(jù)主體的要求，自愿提供具體、特定、知情，以及明確的信息為指導。這些指示是通過陳述或明確的肯定措施得到的，表示用戶同意數(shù)據(jù)控制者的個人信息處理行為。并且還要加上《荷蘭數(shù)據(jù)保護法》（DPA）的額外要求。所提供的指針不得脫離某一特定范圍，不明確的同意不適用于以沉默或默許的方式獲取信息，如事前有選定的選擇框。GDPR中關于數(shù)據(jù)泄漏的定義較廣，包括但不限于黑客盜取、存有個人信息的軟件或硬件丟失，被盜，感染及數(shù)據(jù)損失等。在對個人信息的定義上，GDPR把這幾類數(shù)據(jù)信息視為敏感數(shù)據(jù):1、種族或民族出身；2、政治觀點；3、宗教/哲學信仰；4、工會成員身份；5、涉及健康、性生活或性取向的數(shù)據(jù)；6、基因數(shù)據(jù)（新）；7、經處理可識別特定個人的生物識別數(shù)據(jù)（新）歐盟《通用數(shù)據(jù)保護條例》。除個別基因和生物信息外，大體類別與DPA相似。歐盟《通用數(shù)據(jù)保護條例》GDPR明確區(qū)分數(shù)據(jù)控制者和數(shù)據(jù)處理者的職務，從實施起，在機構內保存?zhèn)€人數(shù)據(jù)處理記錄不再是監(jiān)督機構的責任，而是在保護系統(tǒng)中設立數(shù)據(jù)保護官（DPO）。涉及大量敏感數(shù)據(jù)或數(shù)據(jù)被傳送到多個非歐盟國家時，DPO需要處理此類的數(shù)據(jù)問題，這需要更高水平的專業(yè)知識。同時，DPO也必須完全理解其所在市場的部門和組織。在處罰金方面，GDPR的行政罰款在1000萬歐元到2000萬歐元之間，懲罰力度可見其嚴。并且如有違法，處理者依情況也可能承擔管理責任和數(shù)據(jù)主體的損失責任，而不是與數(shù)據(jù)控制者的合約責任。綜上，美國《隱私法》和歐盟的GDPR在數(shù)據(jù)信息的范圍和監(jiān)督保護措施值得我國學習借鑒。5電子商務個人信息保護的建議及策略5.1出臺《個人信息保護法》立法必須遵守法的基本原則，要使其貫穿這個法的過程，從我國電子商務的發(fā)展角度入手，應選擇統(tǒng)一立法，制定出臺《個人信息保護法》。首先，在制度設計上，該專門立法應創(chuàng)造更多的信息主體權利和實現(xiàn)權利的條件。其次，對于該法的調整范圍，應考慮個人信息的內涵形式，個人信息的范圍既包括個人的權利和利益，也包括一部分具有重要影響的敏感信息。還包括一些雖然不敏感，但是通過技術分析及整合后可以直接獲得個人信息的分散信息。再有，就調整對象而言，該專門立法應將重點放在網(wǎng)絡服務和行業(yè)行為上，對違反公共機關法規(guī)的行為應給予更加嚴厲的處罰。以此來確保網(wǎng)絡消費者享有查詢個人信息的權利，修改個人信息的權利，在處理個人信息時可以要求其他行為人履行通知和保密義務。5.2增加行業(yè)自律機制個人信息保護體系不僅僅需要法律法規(guī)的支持，還需要市場和行業(yè)形成自己的監(jiān)管體系，在各行業(yè)之間形成一套行之有效的監(jiān)管體系就可以吸引更多的用戶在企業(yè)自己的網(wǎng)站上注冊、交易。對企業(yè)而言，參考美國的“行業(yè)自律要求”，行業(yè)中的龍頭企業(yè)應做出表率作用，在用戶提交個人信息時可以給予選項，自擬時間更新信息或自動刪除信息。這樣既可以提高老用戶的留存率增加的新用戶使用頻率。給用戶充足的選擇和知情權，讓個人信息的保存不再是單一化的“輸入、保存”，而是多了“刪除、注銷、加密、擇期注銷”等。雖然現(xiàn)在部分企業(yè)的用戶賬號可以注銷，這樣的選擇往往隱藏在很多繁雜的操作步驟之后，用戶在注銷時時不得不一次又一次接收驗證碼、填寫選項、問題反饋，最后才能執(zhí)行注銷命令，還不能達到立即注銷效果。從事網(wǎng)絡服務的企業(yè)應建立信息審核員職務（與歐盟的DPO職務相同），該職務人員必須具備一定的法律專業(yè)知識以及相應的信息處理能力?？梢栽谄髽I(yè)經營過程中確保企業(yè)收集個人信息的合同協(xié)議是符合法律要求，并且可以處理好用戶的個人信息，對到達刪除日期和有刪除要求的用戶給予后臺支持。例如奇虎360在早期設立的一個專門保護個人信息的機制，每一個產品都會設立專門的信息控制員去保護用戶的個人信息，并且有相應的保密機制和監(jiān)督機制。在建立行業(yè)自律和市場監(jiān)督上，可以參考行業(yè)自律的三種方式，使用戶被潛在收集的個人信息可以得到保護，而不是暴露于互聯(lián)網(wǎng)之下。針對于惡意收集和黑客攻擊，企業(yè)應提前做到審核和提醒義務，提醒用戶安裝防黑客攻擊軟件和謹慎輸入個人信息。當大部分行業(yè)的龍頭企業(yè)都以建成個人信息保護機制，企業(yè)在個人信息保護上應盡到的責任和義務也完成了。5.3政府更新監(jiān)管機制設立專門的機構管理個人信息，這樣既可以保證個人信息的相關法律可以順利實施和執(zhí)行，同時也能減少不同部門之間對接工作產生的誤差。建議互聯(lián)網(wǎng)中心和工信部抽出相關人員成立監(jiān)督部門。因此，有必要成立一個特別機構，不僅起到監(jiān)督和保護個人信息措施的落實情況，還監(jiān)管中國國內消費者個人信息的保密情況。第一，為了監(jiān)督機關能夠依法合理地行使監(jiān)督，有必要明確監(jiān)督機關堅決執(zhí)行綜合性監(jiān)督及統(tǒng)一的監(jiān)管政策。第二，為了營造良好的網(wǎng)絡數(shù)據(jù)開發(fā)氛圍，加強網(wǎng)絡服務提包商的準入監(jiān)管。第三，依法合理配置監(jiān)督權，明確責任，強調責任的監(jiān)督方式，迭代網(wǎng)上消費者個人信息安全隱患預防和應急處置方式。最后，在監(jiān)督方法上實現(xiàn)從靜態(tài)監(jiān)督向動態(tài)監(jiān)督的轉變，最終達到監(jiān)督的全覆蓋。在制度、隊伍、技術上分別解決保護的難題，在政府的宏觀層面把控個人信息侵權問題，監(jiān)督落實《個人信息保護法》的落實，督促企業(yè)建立信息專員，讓信息保護生態(tài)得以正常運行。5.4加大侵權成本，縮減舉證難度和成本縮減舉證難度和成本可以從以下幾方面入手：第一，侵權行為的發(fā)生是依靠互聯(lián)網(wǎng)和計算機技術，可以從技術的角度入手，對個人信息的保護提供技術支持，例如防黑客攻擊軟件、個人信息加密軟件、信息閱后即焚等，加大侵權成本和減小侵權利潤。計算機、互聯(lián)網(wǎng)平臺要對已經出現(xiàn)技術漏洞、技術盲點的區(qū)域進行徹查，修補漏洞提高軟件技術。應加大對技術標準的扶持力度，讓其保護技術走向自主化、國際化。對于即將研發(fā)的個人信息產品，則要吸收和借鑒以往侵權行為中高發(fā)的原因，通過技術手段避免相同的事件發(fā)生。這樣使產品和服務在產生時就已經獲得了相比于以往的個人信息更具有防偽優(yōu)勢的特點，讓侵權者無從下手。第二，同時舉證存在的問題是需要的資金數(shù)額大、技術難度高。但是在公證處可以熟練運用這項技術的人員較少。推進電子化公證可以減少信息公證人的支出，在技術上簡化公證難度、增加公證可信度，從技術革新和公證體系入手。6結語隨著信息網(wǎng)絡的發(fā)展，人們在享受電子商務帶給生活的便利時也在承受它帶來的困擾。在其發(fā)展環(huán)境下，用戶可以得到更好的定制化服務，也增加了潛在收集、惡意販賣、監(jiān)管不嚴等侵權行為的發(fā)生。我國目前可以保障公民信息安全的主要是《網(wǎng)絡安全法》和《電子商務法》，但是這兩部法律都缺少詳細的說明和執(zhí)行方式。在遇到個人信息侵權行為時，處理過程僅僅是對侵權行為人一定的處罰和罰款，并不能杜絕此類事件的發(fā)生，對被侵權人的補償只能適當挽回損失。為此，本文探討了我國個人信息保護的現(xiàn)狀以及存在的問題，并對這四類問題進行分析給出了四個建議。首先出臺《個人信息保護法》是最為關鍵的，在我國適合統(tǒng)一立法，在該法的指導下建立相應的行業(yè)自律體系和