案例解析|【原创】王淑贤：审判实务视阈下，个人信息被注册网店成因剖析及对策初探

　　作者：王淑贤  未来科技城人民法庭负责人

　　一、案件背景

　　【案例1】

　　雅瑞公司以侵害商标权为由将在校大学生刘某、淘宝公司诉至杭州市余杭区人民法院（简称余杭法院），请求判令刘某赔偿经济损失含合理费用100万元、淘宝公司删除侵权商品链接。刘某到庭陈述两点答辩意见：第一，涉案淘宝店铺并非由其经营；第二，刘某通过涉案淘宝店铺绑定的个人手机号找回支付宝账号及淘宝账号登陆密码，经登陆卖家后台调取交易流水，存在大量刷单。即便法院认定刘某构成侵权，雅瑞公司索赔金额过高。淘宝公司确认涉案店铺由刘某进行实名认证并提交生物活体认证资料。刘某自认读书期间为赚取兼职费200元，曾接受中介组织的安排，在不知因何用途的情况下进行了人脸认证。本案得以调解结案。

　　【案例2】

　　爱亦锐公司以侵害商标权为由将婷妹许百货店（注册地位于湖南省祁东县）、淘宝公司诉至余杭法院，请求判令婷美许百货店赔偿经济损失含合理费用5万元、淘宝公司删除侵权商品链接。庭审前，爱亦锐公司以婷美许百货店已注销为由变更经营者尤某婷为第一被告。淘宝公司确认涉案店铺由婷美许百货店（经营者：尤某婷）注册并通过生物活体认证。尤某婷未答辩或举证且无正当理由拒不到庭参加诉讼。本院结合查明的事实依法适用法律判令尤某婷承担12000元的赔偿责任。本案适用小额诉讼程序，故涉案判决为终审判决。尤某婷收到判决后，以涉案店铺非其注册并经营为由申请再审，理由为尤某婷本人从未离开过河南省，更不可能在湖南省祁东县申请设立个体工商户。承办人与尤某婷多次沟通，尤某婷自认曾参与过刷单、进行过人脸识别，但不知用途为何。该案尚在申请再审处理中。

　　【案例3】

　　善琏湖笔协会以侵害商标权为由将梁某根、淘宝公司诉至余杭法院，请求判令梁某根、淘宝公司立即停止侵权；梁某根赔偿经济损失含合理费用3万元。淘宝公司确认涉案淘宝店铺由梁某根注册，梁某根未到庭应诉，亦未举证及答辩。本院结合查明的事实依法适用法律判令梁某根承担23000元的赔偿责任。该案于2021年2月19日生效。梁某根系1948年生人，截至判决生效时已73岁。

　　二、问题及危害

　　（一）问题症结：个人信息“被注册”网店

　　2021年1月1日起施行的《中华人民共和国民法典》（下称《民法典》）第一千零三十四条规定：个人信息是以电子或其他方式记录的能够单独或与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、地址、电话号码、电子邮箱、健康信息、行踪信息等。2021年8月20日通过、2021年11月1日起施行的《中华人民共和国个人信息保护法》（下称《个人信息保护法》）第四条规定：个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。个人信息既包括独立识别性信息也包括组合识别性信息，均体现个人信息的识别性特征。笔者认为，身份证件号码及生物识别信息系自然人核心、唯一指向的个人信息，个体应妥善保管。

　　笔者处在电商平台经营主体管辖地法院的审判一线，在审判实务中多次碰到淘宝/天猫店铺注册主体抗辩对开办网店事宜毫不知情，并非所涉网店的实际经营者或其个人信息被他人盗用。但经审判人员向电商平台经营者核实：所涉网店确系抗辩主体注册，且大部分注册主体还通过了电商平台的生物活体认证。据了解，淘宝平台经营者为履行平台职责，自2016年下半年起逐步推行对入驻商家进行生物活体认证。除继续保留以往提交身份证件外，增加入驻卖家（自然人本人或法人、非法人组织的负责人）进行人脸识别、手持证件拍照等全程在线留痕的认证方式，一定程度上保证了入驻卖家身份的真实性与可靠性。

　　一方面是个人信息被注册网店主体抗辩不知情，另一方面电商平台后台留存有前述自然人主体的生物活体认证信息。剔除虚假抗辩之外，作为该类情形冰山一角的前述三个案例所折射的悖论更加凸显了个人信息亟需加强保护的急迫性。

　　（二）危害从个体到社会，层层推进

　　随着信息技术的广泛应用和互联网的不断普及，数字社会进程日益加速，大数据深刻影响并改变着人们的生活、生产方式。个人信息在社会、经济活动中的地位及价值日益凸显，滥用或盗用个人信息的现象也层出不穷、花样翻新，给社会秩序、信用建设及个人切身利益带来了危害，详述如下：

　　第一，个人信息“被开店”，对个体而言，轻则有侵权风险，重则或恐被课以刑责。实际经营者使用以他人信息开设的淘宝网店，本意往往不追求以诚信经营来提升店铺的信用等级，而以此从事售假等侵权行为。知识产权权利人通常以民事侵权为由将网店注册主体诉至法院，要求注册主体停止侵权并赔偿损失。审判实务中，注册主体通常不到庭；即便到庭，出于对高额赔偿的恐惧及试图逃脱责任的“鸵鸟”心理，往往会选择不知情且非实际经营为由进行抗辩。有的注册主体也确实并不知情其个人信息被非法获取方用于实施侵权行为中。无论是“知情不道”还是“确不知情”，法院通常以具有完全民事行为能力的民事行为主体疏于对个人信息的保护及掌控，为侵权行为的发生提供了实施场合，且亦未举证证明实际经营者为由，不予采信其抗辩理由，并判令其承担金额从几千到几万元不等的民事赔偿责任。若所涉网店售假金额过高，亦不排除被追究刑事责任的可能性。

　　第二，实际经营者“另有其人”的卖家模式将会导致消费者合法权益及电商经济有序健康发展业态的双重受损。电商经济不同于传统柜面经济。线下交易面对面，在发生商品质量争议时，买家可以快速定位卖家，推动争议的有效解决。而电商经济中买家与卖家通过一条网线进行商品或服务与对价的交换，在发生争议时，确定真实的卖家与有效的联络对于争议的解决至关重要。但该类网店系注册主体与实际经营者“两张皮”的经营模式，注册主体不参与经营，网店预留的联系方式也往往并非其所有，故注册主体处于“无知并失联”状态；实际经营者不以诚信经营所涉网店为目标，在发生争议时可能“金蝉脱壳”。在无法对接卖家主体时，消费者合法权益势必受到影响。

　　2019年1月1日起施行的《电子商务法》系促进电商经济持续健康发展的有力法律保障。该法规定包括电子商务平台经营者、平台内经营者等在内的电子商务经营者从事经营活动，应当遵循自愿、平等、公平、诚信的原则，遵守法律和商业道德，公平参与市场竞争，履行消费者权益保护、环境保护、知识产权保护、网络安全与个人信息保护等方面的义务，承担产品和服务质量责任，接受政府和社会的监督。而本文所涉的该类网店集结所售商品存在侵权争议、售后服务缺位、注册经营主体有失诚信等负面因素。倘若该类网店众多，必然会降低消费者的网购体验，继而削弱用户对电商平台的黏性，侵蚀电商平台本应涌入的流量；反过来，电商平台流量的降低，影响潜在平台内经营者的入驻意愿，优质的平台内经营者集散率势必影响消费群体对电商平台的依赖程度。优质商家入驻率与网购用户依赖度是电商平台持久发展的强劲引擎，二者如前所述的相互牵制必然掣肘电商经济的有序、持续、健康发展。

　　第三，“小信成则大信立”，如不防控个体、细微处的失信，最终将滞缓信用社会的建成。擅自使用他人个人信息注册网店，侵害的不仅仅是个体的信用，聚沙成塔，最终受损的是日渐完善的信用社会体系。

　　三、“被开店”案件特点及成因分析

　　（一）案件特点

　　第一，注册主体呈现人群、地域集中化。人群相对集中为在校大学生和中老年人。相对而言，该两类人群风险意识淡薄且甄别能力欠缺。个人信息获取方通常通过施加小惠小利，比如拿着身份证领取鸡蛋、电饭煲等生活用品，或者通过提供兼职机会、提供刷单赚取小额收入等方式获取他人个人信息。倘若涉及生物活体认证，或轻描淡写认证意图,或不予告知，个人信息提供方或疏忽大意或毫无警惕意识就完成了相应认证。无论是主动提供个人信息还是无知状态下的被动提供，该两类人群通常并不清楚甚至并不关心个人信息的终将用途。地域方面，注册主体户籍地常为偏远地区。个人信息非法获取方往往利用偏远地区群众对个人信息自我保护意识缺位或不足的弱点，通过非法倒卖、盗取、骗取以及买卖等方式获取。

　　第二，网店往往是以个人或该个人为经营者的个体工商户名义注册的淘宝C店。个人户籍地与个体工商户注册地往往跨行政区域，且在一定时间内，个体工商户工商注册行政区域相对集中。

　　第三，网店信用等级较低。网店注册用途专一，通常专门用来销售侵权商品。在被权利方投诉或起诉或被电商平台经营者查处后，该些店铺或被屏蔽或被关店，因此，店铺的信用等级往往较低。

　　第四，网店内上架商品种类单一且商品链接数量较少。该类店铺内往往仅有几个商品链接和包邮链接，契合了该类店铺作为侵权方“马甲账号”的定位。

　　第五，所涉网店常见于商标或著作权侵权纠纷案件。就商标侵权案件而言，被侵权的注册商标往往具有一定的市场知名度。如雅瑞公司或爱亦锐公司（暴龙眼镜品牌）、紫曦公司（卡宾男装品牌）系列商标维权案等。

　　第六，侵权商品的实际发货地高度集中、发货模式往往呈现“一件代发”,侵权商品的实际发货地相对集中。本文所讨论的该类淘宝店铺具有“侵权专用”的属性，往往成为买卖淘宝店铺关系链中的交易标的，为契合该类店铺的定位，发货模式也往往呈现“一件代发”。“一件代发”一词来源于网络经营，准确来讲它是在网上经营货源代理的供应商和需求货源的网店（网站）的供求关系中产生的。区别于其他网店传统销售的“进货-订单-发货”模式，“一件代发”模式是当下电商经济快节奏、供销高效对接需求下的产物，网店经营者上架商品后无需库存， 在订单产生时，将订单信息转发给供货商，由供货商直接发货给买家，网店经营者赚取差价。

　　第七，庭审抗辩率、执行到位率双走低。该类案件适用公告送达率偏高，即便个别被告获知开庭信息，也往往不到庭应诉，导致缺席审理率偏高。审判程序中被告的缺席往往也会影响案件的自动履行率甚至是执行到位率。案件进行执行程序后，被采取执行措施导致信用受限时，部分注册主体方才主动联系法院，抗辩自己并非店铺经营主体，或称并不知晓已经开设淘宝店铺或称身份证件曾被借用或丢失等。

　　（二）成因分析

　　第一，个体保护及防范泄露个人信息意识薄弱，毫不设防给不法分子提供可乘之机。

　　通过本文所涉情形不难看出，个人信息被用于注册淘宝网店，或由个体主动提供：如碍于情面所谓帮忙、如为赚取蝇头小利配合提供、如不明就里随便提供等；或因疏于保管被动泄露：如任意海投个人简历、随意放置身份证件、不明链接随意填写个人信息等。外因通过内因起作用，个体保护及防范意识的薄弱甚至欠缺是内因，他人的不法行为是外因。抛开不法分子使用技术手段窃取的情形，倘若个体筑牢个人信息保护与防范侵犯的防线，不因蝇头小利或不明就里主动提供或不该疏于保管而被动泄露，本文所涉情形应该得以逐步缩减。

　　第二，非法经营个人信息灰色产业链日渐成熟，有利可图诱使不法分子铤而走险。

　　近年来，泄露、窃取个人信息的案件越来越多，获取方式由从物质载体上非法收集演变为使用技术手段从软件运行后台窃取。个人信息危机的背后是巨大的灰色利润支撑，一条个人信息看似售价低廉，但庞大的基数如同滚雪球般让灰色利润膨胀耀眼。马克思在《资本论》中曾言“如果有10%的利润，资本就会保证到处被使用；有20%的利润，资本就能活跃起来；有50%的利润，资本就会铤而走险；为了100%的利润，资本就敢践踏一切人间法律；有300%以上的利润，资本就敢犯任何罪行，甚至去冒绞首的风险。”资本为人操控，利润驱动甚至决定人的行为。

　　第三，规范严惩网尚未织密织实，百密一疏让不法分子有恃无恐。

　　以经济学上成本收益理论分析，当违法成本低于因违法行为所获收益时，违法行为即难以得到有效制止。《个人信息保护法》历经一次、二次审议稿最终于2021年8月20日靴子落地。在该部专门法正式施行前，与保护个人信息有关的规定散见于《民法典》《侵权责任法》《刑法》《网络安全法》《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等条文中。纵观我国《刑法》对于公民个人信息的保护，经历了从无到有、从宽到严、日臻成熟的过程。其中《刑法》（2020年修正）第二百五十三条之一规定了“侵犯公民个人信息罪”的入罪条件为“情节严重”，《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》明确了“情节严重”的认定标准，为公检法实务操作提供了法律指引。但刑法作为治世“重典”，应秉承谦抑原则，且刑事审判程序较之民事审判程序繁琐。因此，对于社会生活中绝大部分侵犯个人信息纠纷而言，民事救济方式应用空间颇广。但囿于被侵权主体对个人信息保护意识的薄弱，以及受取证意识、举证能力等因素所限，民事救济效果不显。违法低成本、获利高收益的杠杆刺激并驱动不法行为人有恃无恐。

　　四、规制对策初探

　　个人信息主动或被动泄露，于个体、社会而言均有不可逆转的危害性。强化对个人信息的保护，既是个人义务也是社会共同责任。如何有效规制个人信息被注册淘宝网店的情形，笔者认为可从四个层面进行规制：

　　第一，有法可依，严格执法，形成个人信息保护的法律屏障。《个人信息保护法》第二条明确规定：自然人的个人信息受法律保护，任何组织、个人不得侵害自然人的个人信息权益。该法首先具有“法立于上、教弘于下”的宣示、引导意义，从单行国家法律层面认可自然人对个人信息享有受保护的民事权益，既彰显了法律对包括个人信息在内的人格尊严和人格自由的尊重与保护，又能够促使社会公众更加重视该项权益，从而由点及面形成保护与规范个人信息使用的良好社会氛围；其次具有“有令必行、令行禁止”的规范、评价意义，该法作为个信息保护的基本法，必然将在民事、刑事及行政法律关系中产生无可比拟的影响。该法明确了个人信息处理的原则、除“同意”之外增加处理个人信息的合法条件、明确共同处理和委托处理个人信息的法律责任、赋予个人信息主体相关权利、明确个人信息处理者应承担的法定义务等。

　　“徒法不足以自行”，良法善治的达成得力于有力、全面的法的实施。行政、司法机关应有法必依，分别从管理、规范、宣教层面织密保护个人信息的法治之网。例如，在审查个体工商户登记时，行政管理机关对于申请人为委托代理人、待申办个体工商户的自然人主体户籍并非该行政管理机关管辖区域，抑或一个委托代理人申办多个个体工商户时，可拉高审查通过门槛，优化验证措施。司法机关对于非法获取、倒卖等侵害个人信息构成犯罪的，依法追究刑事责任；对尚不构成犯罪的违法行为，依法给予否定评价并课以相应民事责任。同时注重发挥“以案释法、以案明理”的案例宣教作用，以鲜活的案例开展普法，以期在全社会形成个人信息强保护的氛围。

　　第二，个体自觉，意识防控，筑牢个人信息保护的个人防线。个人信息是公民重要的人身权益。信息时代的到来，个人信息不仅隶属于人格权，其经济价值权重也日益增加。台湾地区熊秉元教授在《正义的效益》一书中提及“最小防范成本原则”：即对于意外或过失，谁能以较低的成本防范，谁就承担这个责任。笔者认为，个体完整掌握个人信息，对于个人信息的所有、排他使用、支配、处分享有绝对的权利。根据最小防范成本原则，个体是以最小成本防范个人信息被泄露、挪用的最优防范主体。自然人应加强对个人信息的保护，提高风险防控意识，莫因小利小惠而让渡宝贵的个人信息，谨慎对待个人信息的用途，谨防陷入侵权或犯罪之困。

　　第三，社会合力，重点深耕，念好重点人群个人信息保护的“紧箍咒”。针对个人信息被挪用的重点人群，重视并力推学校、基层村社建立普法宣教长效机制，通过学校、基层村社的个性化工作安排，丰富宣教形式，精准细化普法，提高重点人群的风险防范意识，从源头上减少该类事件的发生。发挥法院司法延伸服务基层功能，通过提供详实案例，以案示法，扩大警示案例的影响力。

　　第四，平台治理，数智赋能，完善个人信息保护的平台防火墙。1、入驻前端身份核验加码。电商平台经营者在商家入驻时，首先，可通过设置入驻商家年龄关键词等结合提交的身份证件进行筛选，对于尚未年满18周岁或年逾花甲的人群应重点审查；其次，在生物活体认证环节增加个人信息开店用途提示，通过入驻商家自行勾选或系统提示等方式给予明示；再次，对于以个体工商户名义入驻的商家，在人脸识别环节，确保识别对象与个体工商户经营者身份信息的一致性。通过以上等措施，力保从前端筛除涉嫌挪用他人个人信息开设网店的情形。2、数智赋能排查异常账号。商家入驻后，电商平台基于其庞大的用户数据、交易数据、物流数据等基础信息，运用大数据及云计算等设计数据模型，对马甲账号及关联主体账号等异常淘宝账号重点排查。3、信用惩戒以儆效尤。启动联动惩戒机制，电商平台通过信用惩戒机制、大数据排查异常账号联动公检法机关等措施，对使用他人信息注册淘宝账号的情形进行规制，完善平台对个人信息治理及保护的防火墙。