电商平台消费者个人信息风险的行政规制路径

电商平台消费者个人信息风险的行政规制路径

高雨

天津商业大学

摘要：近年来电商产业飞速发展，消费者个人信息作为关键要素在其中发挥重要作用，但却也存在不确定的巨大风险。而当下对电商平台消费者个人信息进行保护的传统私法路径显然存在诸多适用局限，应当从风险的“程度化”视角看待消费者个人信息保护问题，以基本权利保护理论为理论基础，发挥行政规制在电商平台消费者个人信息风险领域的作用，通过构建消费者个人信息风险的行政规制体制、风险评估、风险管理的程序制度来完善电商平台消费者个人信息风险的行政规制路径。

关键词：电商平台;个人信息;行政规制

近年来，电商产业飞速发展，尤其在疫情期间，电商在保供稳市、拉动消费方面发挥了重要作用。但是在看到电子商务平台通过对信息收集与挖掘带来商业价值的同时，也应该注意到容易被人们忽略的消费者个人信息的风险。由于电商平台消费者个人信息风险具有范围广、隐蔽性强、财产属性突出等特性，一旦消费者个人信息遭受侵害，便会带来一系列严重的问题，我国电子商务也难以持续健康发展。

一、电商平台消费者个人信息风险认知

电商平台消费者个人信息的上位概念是一般个人信息，《个人信息保护法》中对个人信息的定义在“识别说”的基础上结合“关联说”，扩展了个人信息的范围。[1]因此对电商平台消费者个人信息概念的认定可以“可识别性”及“关联性”为界定标准，具体包括两类。一类是具有明显的可识别性为特征，能够识别到特定消费者的消费者身份信息，例如姓名、住址、身份证号等;另一类是不具有强烈的可识别性，但是通过技术手段挖掘分析可以追溯、识别到特定消费者的消费者行为信息，比如浏览轨迹、交易记录等。具体风险表现在以下三方面。

第一，人格权益风险。一方面是隐私权被侵害的风险。大量的消费者个人信息中势必会涉及到消费者的私密信息，一旦消费者的个人信息被泄露滥用，私密信息便会被他人掌握，便会进一步遭到侵害。[2]另一方面是人格尊严或人格自由被侵犯的风险。平台通过对消费者个人信息的收集和进一步的挖掘分析，与合作伙伴精准推送共同引导、强化或操纵个人的偏好选择，形成“信息茧房”。

第二，财产权益风险。“大数据杀熟”根据需求程度来区分客户，针对不同类型的消费全体设定不同的价格，榨干消费者的剩余价值，隐蔽地侵害消费者的财产权益。[3]此外，精准盗窃和敲诈勒索的财产权益风险。

第三，救济权益风险。首先难以通过违约责任的方式难以得到妥善的解决,消费者难以将希望寄托在违约责任上获得救济。其次消费者难以举证。相较于信息处理者而言，不掌握技术也不熟悉具体操作流程的消费者明显处于劣势地位，对于证据难以收集、固定，难以通过救济来维护自身的合法权益。

二、行政规制适用于电商平台消费者个人信息风险领域的理论基础及比较优势 

（一）行政规制适用于电商平台消费者个人信息风险领域的理论基础

1986年德国学者乌尔里希·贝克提出“风险社会”理论，因此理论界提出对风险的应对应当从个体层面转向集体层面，强调社会保护而非个人控制。基本权利保护理论表明国家负有保障基本权利的义务，国家不仅“可以”干预风险，而且有“义务”干预风险。[4]

近来，有学者主张在宪法层面保护个人信息，对宪法上“个人信息国家保护义务”概念进行探讨，提出“个人信息受保护权”的概念，该概念主要强调的是个人在信息处理活动中应当受到国家的保护。[5]个在宪法层面确立个人信息国家保护义务对个人信息的保护至少具有两方面的意义，其一，国家对个人信息保护的消极义务及公民个人信息受保护的防御权。[6]其二，国家对个人信息保护的积极义务及公民个人信息受保护的权利。即国家有义务创造和维护有利于实现个人信息保护的制度环境，通过国家积极作为保护个人信息在处理活动中不被侵害，进而推动个人基本权利的实现。[7]这也是个人信息受保护权的真正价值所在。

尽管我国《宪法》并未对个人信息保护作出明确的规定，但是宪法作为人类社会发展的必然现象，有其自身的发展规律，其中之一就是对人民权利的保障逐步加强的趋势，在这种总体趋势下，任何国家的宪法都概莫能外。[8]

（二）行政规制适用于电商平台消费者个人信息风险领域的比较优势

第一，行政规制手段是直接控制，充分发挥规制效能。应对风险社会，通过法律责任来间接控制风险是不充分的。传统的侵权法或刑法中静态的法益范畴无法涵盖新的权益类型、存在危害难以认定、因果关系难以证明等问题，致使个体难以通过诉讼方式使制造风险者承担责任，更无法有效规制未来的风险。

第二，相较于其他责任制度，行政规制手段成本较低。侵权行为法及刑法的风险控制功能，都是通过个人责任来震慑和警戒其他社会成员来实现集体安全。这就要求确保每个个案实现个案正义，因此法院就要花费大量的成本在认定当事人的主观可归责性、因果关系及危害认定上，然而这却是现代社会风险社会特质给传统法律制度以归责为取向的调控方式带来的固有性难题，因此会导致效率低下、成本较高。

第三，相较于立法与司法机关，行政机关在收集分析、专业程度及持续沟通上具有明显优势。对于司法机关而言，一方面司法被动性的特点致使司法无法主动履行风险防控的职能实现风险预防的目的。另一方面法院要求依据法律进行裁判，但是风险很多时候难以确定的，风险规制的绝大多数时候都是“无法可依”的。

三、电商平台消费者个人信息保护的传统路径的适用局限

当前对电商领域消费者个人信息保护的传统路径主张建立以私法权利的框架展开个人信息保护的规则设计。但却存在适用局限。[9]首先告知同意机制的有效性被削弱。在实践中，由于与信息处理者间的信息不对称及信息风险发生的极大不确定性，使得消费者很难获取全部完整的信息。此外，各种冗长且复杂的隐私政策客观上增加了信息主体处理信息的工作强度与难度，信息主体很难从中迅速获取有效信息，更遑论做出理智选择。其次，电商平台消费者个人信息私法救济困难。一是对于侵权行为及损害结果的认定，由于电商平台消费者个人信息侵权具有高度隐蔽性、数字技术性的特征使得侵权行为及损害后果具有极强的不确定性，侵权主体也难以确定。二是对于因果关系的证明，由于信息处理这与信息主体双方加不平等地位，导致信息主体处于劣势地位，由于个人信息可能存在多个不同主体在各个环节处理的情况，因此很难建立排他性的因果关系。

四、完善电商平台消费者个人信息保护的行政规制路径

（一）消费者个人信息风险的行政规制体制

构建消费者个人信息风险的行政规制体制首要的便是解决体制设计及相应职权配置问题。我国立法对个人信息保护的规制主体及职权配置的规定不清晰明确，常以“有关主管部门”“其他有关机关”等含混概念进行表述，各机关彼此间的权限配置也没有详细规定，实践中常常出现不同部门“九龙治水”的分散状态，导致权责不清、互相推诿的现象，难以有效实现消费者个人信息的保护。

因此有学者建议以网信部门作为独立的个人信息保护机构来建立集中系统的规制体制，由于网信部门具有相关法律法规所赋予的权限并在实践中高度参与互联网的治理中，具有一定的执法基础，确实是一个较为合适的选择，但是作为行政规制控制核心的行政规制权，网信部门在此方面存在两方面障碍。[10]一是由于网信部门组织法地位的不清晰导致其行政规制权力不清，可问责性不清。二是由于大数据技术的飞速发展，已经涵盖生活的方方面面，在如此庞杂的执法要求下，网信部门的执法资源以及执法能力都受到巨大的挑战。因此，应当对《个人信息保护法》中相关主体及权力分配进一步的细化及解释，明确网信部门及相关各部门间的执法权限划分。由网信部门牵头制定个人信息风险规制的基础性规则及通用标准，再由各部门依据相关规定并结合各自行业的实际情况，具体展开各领域的行政规制工作。

（二）消费者个人信息风险评估

风险评估、风险管理是风险分析框架的重要基本组成部分。风险评估是风险规制的基础，而规制决策应当建立在对风险实施的充分了解之上，因此风险评估必须是一项科学性质的事业和工作，如此基于科学的风险评估基础上的风险管理才能够真正发挥作用。[11]

因此应当通过科学可靠的程序制度构建来保障风险评估的科学性。首先引入同行评审制度，将参与个人信息风险评估的专家、技术检测机构名单、风险评估方法和结果等一切会影响评估结果科学意义上可靠的信息向同行专家们披露，由该领域的专家对风险评估及其初步结论进行双向匿名评审，有助于保障在专业角度初步评估由于专家个人局限可能导致的问题或错误，更好的保障评估结果的科学性。其次，应当让不同价值偏好有大致平等的地位，对于消费者个人信息风险监测应当向多元主体共治的方向发展，而不是仅局限于规制机构自身确定的专门风险检测技术机构来收集有关风险的信息。拓宽风险评估建议渠道，要求企业实行自我风险监测，要求个人信息处理者制作并提交个人信息保护影响评估报告给规制机构，加强其自我规制。鼓励个人即投诉人、举报者提供信息进行风险监测。

（三）消费者个人信息风险管理

风险管理与强调科学性的风险评估不同，后者以前者为依据，但更倾向于价值偏好的选择对各种规制手段或措施进行选择，做出决策并予以实施。应当通过科学民主的决策制度保障来保障这种民主化科学的实现。具体而言，首先要有公众参与。公众参与是民主的符号。公众参与可以将公众不同的价值诉求带到行政决策的过程中，使决策者在进行决策时可以充分周全的考虑各方面的权益，做出更好的选择，推进科学决策。其次，应当有专家论证。专家论证是科学的象征，消费者个人信息保护领域的专家有过该领域系统专门的知识训练及长期的实践积累，其具有正确的判断能力而成为公众所认可的人。最后强化决策机构的责任，加强公众、专家及决策机构之间的对话与交流。充分发挥各自的知识优势，使最终决策能够体现公众的价值选择，弥补在风险认知上有较大非理性成分的公众的认知缺陷，发挥专家知识优势增强决策的科学性，使公众更加理解决策机构的管理活动，在科学和民主价值方面加强其合法性。

此外，还应当注意在整个风险规制过程中的不同主体之间的风险信息交流，风险沟通是风险分析框架中的重要组成部分，其贯穿于整个风险规制始终，是一个持续不断的过程。有效的风险信息交流不仅可以增强公众对于信息风险的认识，避免陷入对风险过分轻视或过分恐慌的状态进而影响在风险决策实施过程中的态度，而且能在一定程度上缩小各主体间在价值层面的分歧，促进共识的达成，推进风险决策活动的展开。

参考文献：

[1] 赵鹏：《风险社会的行政法法回应》，中国政法大学出版社2018年版，第32页。

[2] 王锡锌：《个人信息国家保护义务及展开》，载《中国法学》2021年第1 期，第150-153页。

[3] 孔祥稳：《论个人信息保护的行政规制路径》，载《行政法学研究》2022年第1期，第131-145页。

[4] 王锡锌,彭錞：《个人信息保护法律体系的宪法基础》，载《清华法学》2021年第15卷第3期，第6-24页。

[5] 张翔：《基本权利的规范建构》，法律出版社2017年版，第239页。