《电子商务法》消费者数据权属界定分析
一、《电子商务法》中消费者数据权属的法律框架
(一)立法背景与目的
随着中国电子商务交易规模从2015年的20.8万亿元增长至2023年的43.8万亿元(数据来源:中国商务部),消费者数据权益保护成为立法核心议题。《电子商务法》于2019年正式实施,其第23条明确规定“电子商务经营者收集、使用消费者个人信息,应当遵循合法、正当、必要原则”,旨在解决平台与用户间的数据权属争议,平衡商业利益与个人隐私保护。
(二)核心条款解析
《电子商务法》第五章“电子商务争议解决”中,第25条、第32条等条款对数据收集、存储、使用作出详细规定。例如,第32条要求平台在用户注销账户后“及时删除其个人信息”,但允许在“法律、行政法规另有规定”时保留数据。此类条款体现了立法者对数据控制权与所有权的区分,即消费者拥有数据主体权利,而企业在一定条件下享有数据使用权。
(三)与国际立法的比较
相较于欧盟《通用数据保护条例》(GDPR)确立的“数据可携权”,中国《电子商务法》更强调数据控制者的责任边界。例如,GDPR第20条允许用户转移个人数据至其他平台,而中国法律目前仅规定了数据访问权,尚未建立完整的可携权制度。这种差异反映了不同法域对数据产权界定的不同价值取向。
二、消费者数据权属界定的核心原则
(一)用户主体权利优先原则
最高人民法院2021年发布的典型案例显示,在“某电商平台用户数据纠纷案”中,法院认定用户对个人浏览记录、交易数据享有排他性控制权。该判决依据《民法典》第1034条与《电子商务法》第23条,确立了“数据生成者权利优先”的司法实践标准。
(二)企业数据资产化的边界
根据中国信息通信研究院《数据要素白皮书(2022)》,企业通过算法加工形成的用户画像、行为分析等衍生数据,其产权归属存在法律空白。现行法律承认企业在符合《反不正当竞争法》第9条的前提下,对衍生数据享有有限财产权益,但不得损害消费者原始数据权利。
(三)公共利益的平衡机制
《网络安全法》第37条与《电子商务法》第76条共同构建了数据安全审查制度。在2023年某头部平台数据出境案中,监管部门依据“数据本地化存储”要求,阻止了涉及500万用户数据的跨境传输,体现了国家对重要数据资源的管控权。
三、消费者数据权利的具体内容
(一)知情权与同意权的实施现状
中国消费者协会2022年调查报告显示,78.6%的电商平台在隐私政策中明确了数据收集范围,但仅有34.2%的平台提供“逐项勾选”的同意方式。这反映出《电子商务法》第23条“明示同意”要求在实际执行中存在打折现象。
(二)数据访问与更正权的技术障碍
某第三方测评机构对20家主流电商平台的测试表明,用户平均需要经过5个操作步骤才能导出个人数据,且仅45%的平台支持在线批量修改信息。数据可访问性的技术壁垒,实质削弱了法律赋予消费者的权利。
(三)数据删除权的执行困境
尽管《电子商务法》第32条规定了删除权,但在实际操作中,企业常以“履行合同所必需”为由保留数据。例如,某快递平台在用户注销账户后仍存储寄递信息6年,援引《快递暂行条例》第34条作为抗辩依据,凸显不同法律规范间的协调难题。
四、企业数据处理的义务与责任
(一)数据收集的合法性审查
根据《个人信息保护法》第13条,企业需建立数据分类分级制度。某电商上市公司披露,其将用户数据分为基础信息、行为数据、敏感信息三类,分别对应差异化的授权机制,其中支付数据需单独获取“单独同意”。
(二)数据安全的技术保障义务
2023年国家网信办通报的典型案例中,某社交电商因未对2.3亿条用户数据采取加密措施,导致数据泄露,最终被处以全年营收4%的罚款。这警示企业必须按照《网络安全等级保护条例》要求,建立符合等级保护2.0标准的技术防护体系。
(三)数据共享的第三方责任
在平台与第三方服务商的数据合作中,《电子商务法》第25条要求签订数据安全协议。某跨境代购平台诉讼案显示,由于未对物流合作方的数据使用进行有效约束,平台被判承担连带赔偿责任,赔偿金额达120万元。
五、权属界定的争议与挑战
(一)数据财产权益的分配难题
学界对数据权属存在“用户所有权说”“企业用益物权说”等理论分歧。中国政法大学2023年课题研究指出,应当建立“数据权益分层体系”,将原始数据权属归于用户,加工数据权益部分让渡给企业。
(二)跨境数据流动的监管冲突
在浙江某跨境电商平台案中,企业因将欧盟用户数据传输至中国服务器,同时违反GDPR数据本地化要求和《中国数据出境安全评估办法》,面临双重处罚。这种监管冲突凸显国际规则协调的必要性。
(三)司法实践中的举证责任分配
北京互联网法院2022年数据显示,在数据权属纠纷案件中,消费者对“实际损害”的举证成功率不足30%。部分法官建议参照《消费者权益保护法