一、電子商務經營者收集使用個人信息的規制

在大數據時代，個人信息的處理有系統化、智能化等特點，這也使得相關主體極易因個人信息的侵犯而遭受嚴重損害。所以，規范電子商務經營者相關行為對保護用戶的個人信息十分重要。《電子商務法》第二十三條規定：“電子商務經營者收集、使用其用戶的個人信息，應當遵守法律、行政法規有關個人信息保護的規定。”對于這一規定，可從以下幾個角度進行理解。

(一)保護對象為用戶個人信息

用戶的概念是與互聯網信息系統相聯系產生的一個獨特的法律主體概念，認定依據是系統注冊行為，擺脫了消費者身份認定的復雜性。個人信息是一個廣泛的概念，包括個人一般信息與個人敏感信息。個人敏感信息一旦被泄露、非法提供或濫用，可能危害人身和財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇，其具體內容需要根據用戶的意愿和各自業務特點來確定，通常包括真實姓名、身份證號碼、手機號碼、郵箱、密碼、收件地址、精確地理位置、賬戶余額、網頁瀏覽記錄、通話記錄及內容、行蹤軌跡、指紋等。個人一般信息是除個人敏感信息以外的個人信息，比如用戶的購買記錄等。通常情況下，對于個人敏感信息的保護程度比對個人一般信息的保護程度更高，但在此條款未明確劃分個人信息是敏感信息還是一般信息的情況下，兩種個人信息均受該條款保護。

(二)個人信息收集使用保護具體適用的相關法律

《電子商務法》沒有具體規定個人信息收集使用的要求和違法收集使用的責任。個人信息收集和使用，適用其他法律、行政法規有關個人信息保護的規定。目前我國與個人信息保護有關的法律、行政法規主要有《民法總則》《網絡安全法》《關于加強網絡信息保護的決定》《電信條例》《互聯網信息服務管理辦法》等。電子商務經營者在收集、使用用戶個人信息時，應當遵循上述規定。

(三)電子商務經營者收集與使用用戶個人信息應當遵循法定和約定要求

收集用戶個人信息是指電子商務經營者從用戶處采集其個人信息，獲得對個人信息的控制權的行為，包括由個人信息主體主動提供、通過與個人信息主體交互或記錄個人信息主體行為等自動采集，以及通過共享、轉讓、收集公開信息間接獲取等方式。實踐中，電子商務經營者通常會使用Cookies（小型文本文件）等具有跟蹤功能的程序對用戶的網絡操作記錄進行跟蹤、測定，以獲取用戶的個人信息。使用用戶個人信息即對用戶個人信息進行分析、處理、利用等，包括二次加工后的再次使用。收集、使用用戶個人信息應遵循以下規則：一是收集、使用個人信息應當遵循合法、正當、必要的原則；二是應當公開收集、使用規則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意；三是不得收集與其提供的服務無關的個人信息；四是不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息；五是不得泄露、篡改、毀損其收集的個人信息；六是未經被收集者同意，不得向他人提供個人信息。但是，經過處理無法識別特定個人且不能復原的除外。

二、用戶對其信息的支配權利及經營者相應的義務

《電子商務法》第二十四條規定：“電子商務經營者應當明示用戶信息查詢、更正、刪除以及用戶注銷的方式、程序，不得對用戶信息查詢、更正、刪除以及用戶注銷設置不合理條件。電子商務經營者收到用戶信息查詢或者更正、刪除申請的，應當在核實身份后及時提供查詢或者更正、刪除用戶信息。用戶注銷的，電子商務經營者應當立即刪除該用戶的信息；依照法律、行政法規的規定或者雙方約定保存的，依照其規定。”個人信息是與用戶人身有關權益，本條規定一方面確認了用戶對其信息擁有的查詢、更正、刪除、注銷等支配權利，另一方面明確了用戶行使這些權利時，電子商務經營者應承擔的義務。具體涉及以下兩方面內容。

(一)電子商務經營者的積極義務

1. 明示用戶信息查詢、更正、刪除和用戶注銷的方式、程序。對電子商務經營者的明示方式的要求一般是在其網站顯示且從技術上保證用戶能夠便利、完整地閱覽。實踐中，用戶登錄自己賬戶后可在“賬號管理”或“設置”中進行信息的查詢、更正、刪除或注銷，該些內容在網頁上的布局由電子商務經營者進行設計，不應將“注銷”等按鈕安排于用戶不易發現的位置。

2. 對申請用戶信息查詢或者更正、刪除的主體進行身份核實，電子商務經營者通過申請人提供的證件號碼或手機號碼等，核實申請人是否為用戶本人或本人授權的主體，核實方式可以自行約定，但不得過于簡單。核實無誤符合要求的，及時提供查詢和進行更正、刪除。需要說明的是，除需要核實身份外，《電子商務法》對用戶更正、刪除個人信息并無其他條件要求，只要經營者和用戶之間沒有其他約定，在核實身份后，電子商務經營者就應當予以更正或刪除個人信息。

《網絡安全法》第四十三條規定：“個人發現網絡運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個人信息的，有權要求網絡運營者刪除其個人信息，發現網絡運營者收集、存儲的其個人信息有錯誤的，有權要求網絡運營者予以更正。”也就是說，《網絡安全法》對用戶要求刪除、更正個人信息規定了一定的條件，兩相比較，《電子商務法》對用戶信息支配權的保護更為充分。相對于整個互聯網領域而言，《電子商務法》調整的領域中個人信息查詢、更正、刪除的規定是特別法，應優先適用。

3. 用戶申請注銷時，在核實身份后，電子商務經營者應立即刪除其信息。明確規定用戶的注銷權，是《電子商務法》保護個人信息支配權的一大亮點。用戶注銷，整個賬號消除，賬戶內相關的信息也應當刪除，法律、行政法規另有規定或雙方約定繼續保存其信息的除外。

(二)電子商務經營者的消極義務

電子商務經營者不得對用戶信息查詢、更正、刪除以及用戶注銷設置不合理條件。不合理條件包含但不限于以下幾種情形：要求用戶提供非必要證明，如要求用戶提供與身份無關的證明材料；提出不必要的硬件要求，如要求用戶在特定手機上提交相關申請；不合理限制用戶提交申請的次數；要求用戶對通過此賬戶進行的站外授權關系進行清空、與其他軟件進行賬號解綁等。

需要說明的是，《電子商務法》第三十一條規定電子商務平臺經營者負有交易信息保存義務，該法第六十二條規定電子商務爭議中電子商務經營者應當提供原始合同和交易記錄的義務。電子商務經營者履行該法第二十四條規定的義務刪除、注銷用戶信息和賬戶時，如何處理與上述兩個條文中的信息保存義務、提供義務的關系？筆者認為，當用戶提出要求刪除信息或注銷賬戶時，如果符合法定及約定方式、條件，此種權利的行使導致相應信息刪除平臺或者經營者無法保存或無法在爭議中提供，自刪除之日起，平臺經營者及其他經營者不再承擔相關信息的保存義務、提供義務。在具體操作中，經營者應當在履行明示告知義務時對此后果明確告知用戶。

三、電子商務經營者向主管部門提供數據信息的義務

《電子商務法》第二十五條規定：“有關主管部門依照法律、行政法規的規定要求電子商務經營者提供有關電子商務數據信息的，電子商務經營者應當提供。”電子商務經營者能夠控制有關的電子商務數據信息，其向主管部門提供有關的電子商務數據信息屬于一種法定義務。這一義務的履行涉及以下幾個方面。

1. 主管部門要求電子商務經營者提供電子商務數據信息的,應當以法律、行政法規的規定為依據。對于沒有相關依據的要求，電子商務經營者可以拒絕提供；對于具有相關依據的要求，電子商務經營者應當提供。

2. 從立法目的解釋的角度，這里“法律、行政法規的規定”，既包括其他法律、行政法規中的相關規定，也包括《電子商務法》中的有關規定。也就是說，當其他法律、行政法規沒有專門對電子商務數據提供義務作出規定時，《電子商務法》第二十五條規定本身就是主管部門要求電子商務經營者提供有關電子商務數據信息的依據。否則，如果僅指其他法律、行政法規，在目前法律行政法規沒有明確直接規定的情形下，《電子商務法》第二十五條的規定就沒有意義，不符合立法目的。

3. 其他法律、行政法規中所規定經營者應提供的內容，包含了電子商務數據信息的，可以作為適用依據。例如，《反不正當競爭法》第十三條規定，監督檢查部門調查涉嫌不正當競爭行為時，可以要求被調查的經營者、利害關系人及其他有關單位說明有關情況或者提供與被調查行為有關的其他資料。這里所說的有權調查的有關資料，可以包括電子商務數據。