（二）电子商务中消费者隐私权和个人数据的保护

　　随着信息技术的发展，获得信息越来越具有广泛性和容易性。在网络环境下，这些个人秘密、个人信息、个人数据会面临很大的被他人取得、泄漏的风险。所以，应对信息社会的个人隐私进行针对性的保护。电子商务对侵犯个人本身有关权益的主要方式是对个人有关资料的商业利用。在电子商务环境下，应当强调对“个人资料”、“个人数据”的保护。一般来说，主要包括：姓名、出生年月、身份证号码、指纹、婚姻、家庭状况、教育、职业、健康状况、财务状况以及网络上的电子邮箱、个人账号、密码及IP地址等。此外，还有消费者网上活动，如浏览网页、进行的交易等。个人数据一旦进入互联网，不论是出于人为还是非人为的滥用或泄漏，该信息就有可能在全球范围内传播，并可能被无休止地转载、复制。

　　在电子商务环境下，对个人数据的保护主要涉及三个问题：一是个人数据的征集，经营者取得个人数据包括利用技术手段，可以在消费者不知悉的情况下了解信息，要不要取得本人真实意思的同意，要不要告知数据征集的理由、用途及如何使用，消费者有那些权利；二是个人数据的滥用。经营者可不可以将征集的消费者的个人数据用于其宣称目的之外的其他用途，可不可以随意处置，包括转让给第三方，如果需要，是否必须经消费者的同意；三是个人数据的储存安全，经营者有没有义务对个人数据采取多种可能的谨慎措施予以储存，以防止非法进入、浏览、篡改，有没有义务应消费者的要求随时更正不准确的数据。这些问题的处理都直接关系消费者网上隐私权和个人数据的保护程度。对此欧盟1995年通过的《个人数据保护指令》规定：个人数据所涉及的个人为该数据的主体，个人数据归其所有；禁止未经该主体许可披露个人数据；数据用户对数据的使用仅限于主体许可的用途，未经许可，不得向他人转让该许可的使用权，等等。该指令最重要的精神是将隐私权视为一项基本人权，并将之延伸到个人数据的保护。美国负责消费者保护事宜的联邦贸易委员会（Federal Trade Commission），曾经列出了在美国、加拿大和欧洲被广泛遵循的隐私权保护5大具体规则：一是告知。消费者应在任何个人信息被征集之前被告知有关实体的信息做法；二是选择。消费者应被给予机会对信息的任何第二手（除交易所使用之外）使用表示同意或拒绝；三是查阅。消费者应能不迟延地查阅其个人数据，同时应能方便地及时纠正不正确的信息；四是完整与安全。消费者个人信息的处理应保证准确。同时，有关实体在传输、处理和存储信息时应予以保密；五是实施。违反上述规则的，消费者应有得到救济的渠道。欧盟的规定和美国遵循的准则是有一些差异的，美国的保护水平看似稍低一些。美国也有值得称誉的地方，那就是高度重视儿童隐私权的保护，并专门制定《儿童在线隐私权保护法》，虽然儿童的隐私权不能等同于消费者的隐私权。我们再来考察一下英国《2002年电子商务条例》关于数据保护的规定。该条例规定：认证服务提供者不得非直接或者未经数据主体明示同意获取个人数据，也不得超过签发或保持证书所需的限度或者超过数据主体明示同意的限度处理该数据库，但为履行法定义务的情况不在此限。违反上述规定的，受害者有权诉诸法律，追究其法律责任。