泄露网购用户信息或被追究刑责
《中华人民共和国电子商务法(草案)》19日首次提请全国人大常委会审议,这是我国首部电商领域的综合法律。其中的多项内容,对网购过程中的信息泄露问题提出了具有针对性的规定。
草案分别在多个章节明确了电商平台、商家、支付、快递等责任主体。草案第四十九条规定,电子商务经营主体应当建立健全内部控制制度和技术管理措施,防止信息泄露、丢失、损毁,确保电子商务数据信息安全。在发生或者可能发生用户个人信息泄露、丢失、损毁时,电子商务经营主体应当立即采取补救措施,及时告知用户,并向有关部门报告。
除电子商务经营者,草案第二章第二节还专门明确了电子商务第三方平台的责任和义务,要求对进入第三方平台的经营者信息审查登记、检查监控,提供必要、可靠的交易环境和服务,公开公平公正制定交易规则等,进一步为保障消费者合法权益保驾护航。
中国政法大学副校长时建中教授认为,草案对于保护个人信息安全和电商产业健康持续发展,具有重大的基础性作用。“如果越来越多的消费者对网络购物缺乏安全感,笼罩在恐惧和疑虑中,想实现电商产业大发展是不可能的。”时建中说。
深圳前海征信公司信息安全总监戴鹏飞曾梳理网购订单的4大环节,发现有13种信息泄露的可能,包括商家环节的内部倒卖、病毒攻击、信息被监听,用户环节账号被盗,物流环节被“内鬼”倒卖,电商平台环节的内部倒卖、系统漏洞等。
中国电子商务研究中心数据显示,截至2016年上半年,我国网购用户规模达4.8亿人。中国互联网协会发布的《中国网民权益保护调查报告2016》反映,网民在网购过程中,遭遇“个人信息泄露”的占51%,84%因信息泄露受到骚扰、金钱损失等不良影响,一年因个人信息泄露等遭受的经济损失高达915亿元。
另据中国电子商务投诉与维权公共服务平台近年来受理的数十万起投诉案件表明,天猫、淘宝、京东、当当、苏宁易购、国美在线、1号店等主要网购平台,以及美团、大众点评、携程、去哪儿等互联网O2O平台,均屡因用户信息泄露造成平台上账户被盗,带来经济损失。
除了明确责任主体,草案还有针对性地对信息收集得益者的行为,作了多层次的规范,对违法行为明确提出追责。根据草案,未履行个人信息保护义务的最高处50万元罚款,并责令停业整顿直至吊销营业执照,构成犯罪的,追究刑事责任。
“换言之,如果没有能力保护好,就别收集;收集了,就得从管理和技术上保护好;泄露了或者有可能泄露,必须提前介入,不能只放马后炮。”时建中说。
记者采访了解到,对于以往大量存在的网购过程中的信息泄露“三宗罪”,草案都制订了相关规定。
——监守自盗“内鬼”成泄露大户。草案第四十九条明确规定电子商务经营主体的义务,强调应该建立健全内部控制制度和技术管理措施,防止信息泄露、丢失、损毁。
——为信息贩卖提供平台。草案专门明确了电子商务第三方平台的责任和义务。草案第十九条要求,电子商务第三方平台应当对申请进入平台销售商品或者提供服务的经营者身份、行政许可等信息进行审查和登记,建立登记档案,并定期核验更新。专家认为,这有助于堵住在网络平台进行非法信息交易的行为。
——一些电商主体对保护信息不积极。草案第四十六条明确,在收集用户信息方面,电子商务经营主体应事先向用户明示信息收集、处理和利用的规则,并征得用户的同意;不得以抗拒为用户提供服务为由强迫用户同意其收集、处理、利用个人信息。
同时,对于处理和利用用户信息,草案第四十八条规定,电子商务经营主体对个人信息的处理和利用应当符合用户同意的处理利用规则;处理、利用个人信息的行为可能侵害用户合法权益的,用户有权请求电子商务经营主体中止相关行为。
业内人士表示,草案未来通过审议,将倒逼平台、商家、快递投入大量人力、物力强化个人信息安全保护。
南开大学周恩来政府管理学院教授徐行认为,对个人信息安全保护的发展将促进电子商务获得长远的发展:“个人信息安全是电子商务健康发展的基础,相关立法的推进,将优化电商的市场环境,规范市场秩序。”
百度法务部副总经理杜剑波称,“谁采集、谁使用、谁负责。拥有数据多,承担责任就大。如果不当保管和使用,导致信息泄露,就应该承担相关的法律责任。互联网公司应该做表率。”
京东方面表示,将重视安全漏洞问题,针对可能存在信息安全风险的用户进行安全升级提示。阿里巴巴集团法律研究中心副主任顾伟认为,大量平台商家涉及订单泄露,平台设定规则,对于卖家泄露买家信息要进行扣分处理。
顾伟说,法案将促使电商主体向安全领域加大投资,主要的互联网公司都将向信息安全领域布局,其自身也将有动力推动安全保障体系升级。同时,执法机构本身缺乏高效有力的安全监管技术工具,将是未来治理信息泄露的难点之一。
工信部信息中心工经所所长于佳宁强调,除了明确收集信息者的主体责任,还需要进一步强化政府监督。需多部门联动,明确监管责任,实现收集——使用——监管的责任闭环。