何培育

（重慶理工大學(xué)知識產(chǎn)權(quán)學(xué)院，重慶市 400054）

我國2014年新修訂的《消費(fèi)者權(quán)益保護(hù)法》第29條規(guī)定了經(jīng)營者收集消費(fèi)者個人信息應(yīng)當(dāng)遵守的基本原則及具體條件，該規(guī)定對于保障消費(fèi)者個人信息安全具有十分重要的意義。然而，該法律條文規(guī)定得相對比較原則，且針對的是一般消費(fèi)行為，對電子商務(wù)環(huán)境下個人信息保護(hù)的特殊性并未加以特別關(guān)照，因而需要在借鑒國外立法成熟經(jīng)驗(yàn)的基礎(chǔ)上加以進(jìn)一步細(xì)化，以增強(qiáng)法律的可操作性與針對性。

一、網(wǎng)絡(luò)交易消費(fèi)者個人信息法律保護(hù)立法的國際比較

1.美國個人信息保護(hù)立法考察

美國針對個人信息保護(hù)采取了法律保護(hù)與行業(yè)自律相結(jié)合的方式。目前，美國聯(lián)邦層面尚未制定專門針對網(wǎng)絡(luò)消費(fèi)者隱私權(quán)保護(hù)的一般性立法，僅針對特定對象頒布了一些法令，如針對不滿十三歲的兒童頒布了《兒童在線隱私保護(hù)法案》。美國政府較早就意識到了電子商務(wù)環(huán)境下個人信息保護(hù)的重要性，并于1997年發(fā)布了《全球電子商務(wù)政策框架》。該框架針對電子商務(wù)迅猛發(fā)展以及網(wǎng)絡(luò)環(huán)境下消費(fèi)者個人信息安全岌岌可危的態(tài)勢，特別強(qiáng)化了私營企業(yè)在網(wǎng)絡(luò)環(huán)境下對個人信息的保護(hù)力度。該框架提出了兩項(xiàng)保護(hù)網(wǎng)絡(luò)隱私權(quán)的重要基本原則：一是告知原則。網(wǎng)絡(luò)經(jīng)營者在收集公民個人信息時，應(yīng)當(dāng)向公民說明信息收集的相關(guān)情況。具體而言，網(wǎng)絡(luò)經(jīng)營者應(yīng)當(dāng)告知信息主體個人信息收集的動機(jī)、信息使用的范圍與方式、保護(hù)個人信息安全的制度與技術(shù)措施、提供個人信息所得到的回報等內(nèi)容，以供信息主體在充分考慮各方面因素基礎(chǔ)上作出審慎的決定。二是選擇權(quán)原則。公民對與自己相關(guān)的個人信息的使用目的、方式等具有完全的自主決定權(quán)。信息主體作為權(quán)利人，完全有權(quán)自主決定是否向網(wǎng)絡(luò)經(jīng)營者披露個人信息，其作出決定的原因并沒有必要向網(wǎng)絡(luò)經(jīng)營者進(jìn)行解釋，即便信息主體允許網(wǎng)絡(luò)經(jīng)營者收集其個人信息，仍然有權(quán)就網(wǎng)絡(luò)經(jīng)營者使用其個人信息的范圍、方式、期限等作出明確的要求。[1]

然而，《全球電子商務(wù)政策框架》對消費(fèi)者個人信息保護(hù)的規(guī)定非常原則，難以滿足現(xiàn)實(shí)需要，以至于有學(xué)者認(rèn)為該法“錯失了一次明確消費(fèi)者網(wǎng)絡(luò)隱私權(quán)保障的重要機(jī)會”。[2]2010年12月，美國聯(lián)邦貿(mào)易委員會公布《急速改變時代中的消費(fèi)者隱私保護(hù)報告》，制定了消費(fèi)者隱私權(quán)保護(hù)制度框架，特別提出要為消費(fèi)者和電子商務(wù)企業(yè)提供簡單易行的保護(hù)機(jī)制，明確規(guī)定了消費(fèi)者信息選擇權(quán)的內(nèi)容與行使方式，特別強(qiáng)調(diào)了消費(fèi)者信息保護(hù)的透明度要求，并公布了“禁止追蹤”（Do-not-Track）計劃，以保護(hù)消費(fèi)者網(wǎng)絡(luò)信息不受侵犯。為彌補(bǔ)聯(lián)邦層面立法的缺失，美國一些州紛紛開始制定網(wǎng)絡(luò)交易中消費(fèi)者個人信息保護(hù)的法律規(guī)范。2011年，賓夕法尼亞州眾議院通過一項(xiàng)決議，指出美國聯(lián)邦層面缺乏消費(fèi)者隱私保護(hù)立法容易造成嚴(yán)重的社會后果，主張聯(lián)邦應(yīng)當(dāng)盡快通過新的消費(fèi)者隱私權(quán)保護(hù)法，并建議聯(lián)邦立法應(yīng)遵循“簡單、靈活、有效執(zhí)行和減少損害”的立法原則。同時，賓夕法尼亞州眾議院認(rèn)為，聯(lián)邦貿(mào)易委員會長期從事網(wǎng)絡(luò)民事糾紛處理，積累了豐富的經(jīng)驗(yàn)，因此建議由聯(lián)邦貿(mào)易委員會負(fù)責(zé)網(wǎng)絡(luò)消費(fèi)者隱私權(quán)保護(hù)實(shí)施工作，還建議對消費(fèi)者隱私信息進(jìn)行分類并對消費(fèi)者因電子商務(wù)企業(yè)侵權(quán)行為遭受損失的救濟(jì)方式進(jìn)行統(tǒng)一。

為回應(yīng)各州以及聯(lián)邦貿(mào)易委員會的訴求，美國政府于2012年2月23日公布了《全球數(shù)字經(jīng)濟(jì)下隱私保護(hù)的創(chuàng)新推動的框架》，重點(diǎn)闡明了政府?dāng)M敦促國會通過消費(fèi)者在線隱私保護(hù)法案并將大力推進(jìn)電子商務(wù)環(huán)境下消費(fèi)者個人信息保護(hù)制度實(shí)施的立場。雖然該框架并非最終立法，但可以預(yù)見美國有關(guān)消費(fèi)者在線隱私保護(hù)法案的制定與頒布將不再遙遠(yuǎn)。[3]

除法律保護(hù)之外，美國針對網(wǎng)絡(luò)交易中消費(fèi)者個人信息保護(hù)的行業(yè)自律模式也一向?yàn)楦鲊Q道。具體而言，美國電子商務(wù)行業(yè)保護(hù)消費(fèi)者個人數(shù)據(jù)主要采用三種方式：一是通過非強(qiáng)制性的商業(yè)指引為電子商務(wù)企業(yè)保護(hù)消費(fèi)者個人信息提供示范性指導(dǎo)；二是利用技術(shù)保護(hù)，較有代表性的是互聯(lián)網(wǎng)協(xié)會提出的個人隱私偏好性平臺技術(shù)（P3P）；三是網(wǎng)絡(luò)隱私認(rèn)證機(jī)制，比如TRUSTe、BBBONLine、Web Trust等。[4]

2.日本個人信息保護(hù)立法考察

日本對網(wǎng)絡(luò)交易消費(fèi)者個人信息保護(hù)主要通過以《個人信息保護(hù)法》為代表的相關(guān)立法進(jìn)行調(diào)整，也取得了較好的法律及社會效果。日本關(guān)于消費(fèi)者個人信息保護(hù)的立法早期主要體現(xiàn)為一系列的指導(dǎo)方針，如1988年頒布的《關(guān)于民間部門個人信息保護(hù)指導(dǎo)方針》以及1989年頒布的《關(guān)于民間部門電子計算機(jī)處理和保護(hù)個人信息的指導(dǎo)方針》。之后，日本政府又對上述兩項(xiàng)指導(dǎo)方針進(jìn)行了修訂，逐漸完善了關(guān)于個人信息保護(hù)的行政法規(guī)。1999年11月，高度信息化通信社會推動戰(zhàn)略本部通過了《個人信息保護(hù)體系的存在方式》的報告，具體提出了行政機(jī)關(guān)與市場主體保護(hù)個人信息的具體措施。2003年，聯(lián)合執(zhí)政黨提出個人信息保護(hù)立法修正草案，同年3月《個人信息保護(hù)法》、《信息公開與個人信息保護(hù)審查會設(shè)置法》等五項(xiàng)法案終于在議會獲得通過。至此，日本有關(guān)個人信息保護(hù)的立法體系基本完成。[5]

（1）個人信息的范圍界定

日本學(xué)界有關(guān)隱私權(quán)保護(hù)理論的主流觀點(diǎn)傾向于“個人信息控制權(quán)”論。按照該學(xué)說，隱私權(quán)的實(shí)質(zhì)是個人有權(quán)自主決定在什么時間、以何種方式、以何種程度向他人傳遞與自己有關(guān)信息的民事權(quán)利，簡而言之就是個人擁有對自身可識別信息的控制權(quán)。[6]對隱私權(quán)保護(hù)的對象也經(jīng)歷了一個發(fā)展的階段，早期主要針對不為人所知、不愿或不便為人所知的個人“私事”，隨著社會的發(fā)展以及人際交往的日益頻繁，逐步擴(kuò)展到了可以識別出的個人的所有信息方面，大大拓展了保護(hù)的范圍。日本《個人信息保護(hù)法》第2條規(guī)定，個人信息是指能把在世的某一個人從其他人中識別出來的與之相關(guān)的各種信息，包括姓名、出生年月等內(nèi)容。日本《個人信息保護(hù)法》對個人信息的描述主要采用了概括性的立法方式，與單純列舉式的立法模式相比其涵蓋內(nèi)容更加廣泛，能夠更加靈活地適應(yīng)信息技術(shù)的飛速發(fā)展。

（2）網(wǎng)絡(luò)交易經(jīng)營者的個人信息保護(hù)義務(wù)

企業(yè)通過各種方式掌握的關(guān)于顧客的個人信息屬于公司的商業(yè)秘密，具有很高的商業(yè)價值。日本《個人信息保護(hù)法》第4章在市場主體保證個人信息安全性方面提出了明確而嚴(yán)格的要求，具體包括：①個人信息收集、使用目的明確原則。市場主體在使用數(shù)據(jù)主體的個人信息時，必須遵從被授權(quán)的特定目的，不得超出數(shù)據(jù)主體授權(quán)使用范圍使用個人信息。②個人信息利用限制原則。市場主體未經(jīng)數(shù)據(jù)主體同意，不得以任何形式向第三人提供其掌握的個人信息。③個人信息收集限制原則?！秱€人信息保護(hù)法》嚴(yán)厲禁止市場主體以各種不正當(dāng)手段獲取個人信息。④個人資料內(nèi)容完整正確原則。市場主體有義務(wù)保持信息內(nèi)容的正確完整，數(shù)據(jù)主體個人信息發(fā)生變化時，市場主體應(yīng)當(dāng)及時對個人信息內(nèi)容作出變更。⑤個人信息安全保護(hù)原則。市場主體必須采取必要的安全管理措施，防止個人信息泄露等風(fēng)險的產(chǎn)生。⑥個人信息收集、使用公開原則。市場主體通過各種方式取得個人信息后，必須明確公布并告知數(shù)據(jù)主體其利用個人信息的目的。⑦個人參加原則。數(shù)據(jù)主體有權(quán)對其個人信息進(jìn)行確認(rèn)、修訂并要求市場主體停止使用。⑧責(zé)任原則。市場主體違反應(yīng)承擔(dān)的個人信息安全保障與管理義務(wù)，需要承擔(dān)相應(yīng)的法律責(zé)任。這些原則與世界經(jīng)濟(jì)合作與發(fā)展組織（OECD）《對個人數(shù)據(jù)隱私和跨界流動保護(hù)準(zhǔn)則》所規(guī)定的8項(xiàng)基本原則基本一致。

（3）侵害個人信息的法律責(zé)任

日本較早的有關(guān)個人信息保護(hù)的立法，針對侵犯他人隱私權(quán)的行為，僅僅規(guī)定了民事責(zé)任。隨后，日本于2000年7月頒布的《信息安全政策指導(dǎo)方針》以及同年12月頒布的《重要基礎(chǔ)設(shè)施網(wǎng)絡(luò)襲擊對策特別行動計劃》，對侵害他人個人信息行為的法律責(zé)任類型另外增加了行政與刑事責(zé)任。日本《個人信息保護(hù)法》詳細(xì)規(guī)定了處罰的原則與具體操作細(xì)則，凡違反政府和地方公共團(tuán)體政策法規(guī)以及違反主管大臣改善、終止命令者，都要承擔(dān)相應(yīng)的法律責(zé)任。[7]

3.國外個人信息保護(hù)制度的比較與啟示

通過對美國和日本個人信息保護(hù)制度進(jìn)行梳理，不難發(fā)現(xiàn)兩者之間存在的顯著區(qū)別：美國除制定了保護(hù)個人信息的相關(guān)立法外，還重點(diǎn)通過電子商務(wù)企業(yè)的行業(yè)自律來規(guī)范網(wǎng)絡(luò)經(jīng)營者對消費(fèi)者個人信息的收集與使用行為；而作為具有大陸法系傳統(tǒng)的日本，則針對消費(fèi)者個人信息保護(hù)制定了嚴(yán)密的權(quán)利、義務(wù)、責(zé)任體系，并建立了相應(yīng)的司法與行政救濟(jì)措施，有力保障消費(fèi)者個人信息不受侵犯。相比較而言，美國的個人信息保護(hù)制度更多兼顧了電子商務(wù)企業(yè)的利益，為企業(yè)經(jīng)營提供了更加寬松的政策環(huán)境；而日本的立法機(jī)制則更加傾向于消費(fèi)者權(quán)益保護(hù)，提升了電子商務(wù)經(jīng)營者的注意義務(wù)與經(jīng)營成本。

相比較而言，筆者認(rèn)為，日本的個人信息保護(hù)制度更值得我國吸收和借鑒。首先，我國與日本具有共同的大陸法系傳統(tǒng)，日本通過立法詳細(xì)規(guī)定消費(fèi)者個人信息權(quán)、市場主體收集與使用個人信息義務(wù)以及違反相關(guān)義務(wù)需要承擔(dān)法律責(zé)任的做法，更符合當(dāng)前我國法律制度的現(xiàn)狀，相關(guān)法律原則與具體規(guī)范更便于我國進(jìn)行法律移植。其次，美國重點(diǎn)依靠網(wǎng)絡(luò)經(jīng)營者行業(yè)自律方式保護(hù)消費(fèi)者個人信息的模式需要一個特定的前提，即電子商務(wù)行業(yè)發(fā)展比較成熟且行業(yè)協(xié)會具有重要的影響力，能夠?qū)π袠I(yè)內(nèi)部企業(yè)起到有力的約束作用。當(dāng)前，我國電子商務(wù)產(chǎn)業(yè)的發(fā)展仍然處于不斷探索階段，相關(guān)制度和規(guī)范尚不健全，特別是電子商務(wù)行業(yè)協(xié)會的作用與美國相比仍然存在較大差距，當(dāng)前環(huán)境下借鑒美國依賴行業(yè)自律進(jìn)行規(guī)范的條件尚不成熟。

二、網(wǎng)絡(luò)交易消費(fèi)者個人信息保護(hù)立法現(xiàn)狀與問題剖析

我國網(wǎng)絡(luò)交易中的個人信息收集與使用過程存在大量的安全風(fēng)險，隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，團(tuán)購等新型網(wǎng)絡(luò)交易形式也將引發(fā)更多的個人信息交易安全風(fēng)險，[8]亟需對我國現(xiàn)行立法進(jìn)行審視并不斷完善。

1.我國個人信息保護(hù)立法現(xiàn)狀

當(dāng)前，我國針對網(wǎng)絡(luò)交易消費(fèi)者個人信息保護(hù)尚缺乏一部專門的法律進(jìn)行規(guī)范，相關(guān)條文散見于一些法律、法規(guī)、規(guī)章及司法解釋中。較早規(guī)定網(wǎng)絡(luò)用戶個人信息保護(hù)的法律規(guī)范包括2000年信息產(chǎn)業(yè)部頒布的《互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定》以及2007年商務(wù)部印發(fā)的《商務(wù)部關(guān)于促進(jìn)電子商務(wù)規(guī)范發(fā)展的意見》。前者原則性地規(guī)定了電子公告服務(wù)者進(jìn)行個人信息保護(hù)的義務(wù)，后者也僅僅倡導(dǎo)性地規(guī)定了電子商務(wù)企業(yè)應(yīng)當(dāng)建立信息安全保障制度，重點(diǎn)防范通過互聯(lián)網(wǎng)交易個人信息牟利的違法行為等內(nèi)容。新修訂的《消費(fèi)者權(quán)益保護(hù)法》2014年3月15日生效，其第29條對經(jīng)營者收集與使用消費(fèi)者個人信息專門作出了規(guī)定。國家工商行政管理總局2014年制定的《網(wǎng)絡(luò)交易管理辦法》第18條有關(guān)網(wǎng)絡(luò)交易中個人信息保護(hù)的條文與《消費(fèi)者權(quán)益保護(hù)法》第29條相比，除明確針對網(wǎng)絡(luò)商品經(jīng)營者、有關(guān)服務(wù)經(jīng)營者外，其他內(nèi)容基本一致。

2.我國網(wǎng)絡(luò)交易消費(fèi)者個人信息保護(hù)制度問題剖析

第一，個人信息權(quán)利內(nèi)容體系不清晰。當(dāng)前，我國立法中關(guān)于個人信息保護(hù)的內(nèi)容散見于一些部門法，特別是有關(guān)個人信息權(quán)利的內(nèi)容較為散亂，不利于個人信息侵權(quán)法律糾紛的解決與對信息主體的權(quán)利保護(hù)。

第二，電子商務(wù)經(jīng)營者的消費(fèi)者個人信息義務(wù)不明確?！断M(fèi)者權(quán)益保護(hù)法》及《網(wǎng)絡(luò)交易管理辦法》規(guī)定了電子商務(wù)經(jīng)營者保護(hù)消費(fèi)者個人信息的相關(guān)義務(wù)，但法律條文較為抽象且缺乏體系，需要進(jìn)一步細(xì)化以增強(qiáng)可操作性。

第三，電子商務(wù)環(huán)境下個人信息保護(hù)侵權(quán)責(zé)任體系尚不完善?！断M(fèi)者權(quán)益保護(hù)法》第50條規(guī)定了經(jīng)營者侵犯消費(fèi)者個人信息需要承擔(dān)的民事責(zé)任，除民事責(zé)任外，還應(yīng)進(jìn)一步加強(qiáng)網(wǎng)絡(luò)經(jīng)營者侵犯消費(fèi)者個人信息的行政與刑事責(zé)任，提高網(wǎng)絡(luò)經(jīng)營者侵權(quán)行為的違法成本，增強(qiáng)法律的威懾力以及教育和預(yù)防作用。

三、我國網(wǎng)絡(luò)交易消費(fèi)者個人信息保護(hù)的立法對策

1.構(gòu)建個人信息權(quán)利內(nèi)容體系

構(gòu)建科學(xué)、合理的個人信息權(quán)利內(nèi)容體系是保障消費(fèi)者個人信息安全的前提與基礎(chǔ)。個人信息權(quán)是一種新類型的具體人格權(quán)，其目的在于使個人能夠以自己的積極行為支配其個人信息，保護(hù)其精神人格利益。筆者贊同一些學(xué)者的建議，將個人信息權(quán)確定為公民的基本權(quán)利，并以法律形式固定下來，由全國人大制定統(tǒng)一的法典。[9]筆者認(rèn)為，個人信息權(quán)應(yīng)當(dāng)包括信息收集知情權(quán)、信息收集選擇權(quán)、信息控制權(quán)、信息安全請求權(quán)等內(nèi)容。

（1）信息收集知情權(quán)

電子商務(wù)環(huán)境下，大量的消費(fèi)者個人信息是在消費(fèi)者本人并不知情的情況下被收集的，而且對于被收集的個人信息將用于何種用途，消費(fèi)者本人也并不知情，這種行為侵犯了消費(fèi)者個人信息收集知情權(quán)。消費(fèi)者不僅有權(quán)知道個人信息收集主體的準(zhǔn)確信息，并且有權(quán)明確個人信息收集的范圍、表現(xiàn)形式，還有權(quán)知道被收集的個人信息將用于何種用途。

（2）信息收集選擇權(quán)

消費(fèi)者個人信息收集選擇權(quán)是指，消費(fèi)者個人有權(quán)選擇是否允許經(jīng)營者收集其個人信息、選擇收集個人信息的范圍以及信息被收集后的使用方式。為獲得網(wǎng)絡(luò)服務(wù)，消費(fèi)者通常需要提供相關(guān)的個人信息。這里有必要對經(jīng)營者要求提交的個人信息予以分類，一般來講與消費(fèi)者購買行為密切相關(guān)的信息才屬于消費(fèi)者應(yīng)當(dāng)提交的范圍，而與購買行為不是密切相關(guān)的信息，消費(fèi)者有權(quán)拒絕提供，經(jīng)營者不得以此為由拒絕為消費(fèi)者提供網(wǎng)絡(luò)服務(wù)。

（3）信息控制權(quán)

針對經(jīng)營者向消費(fèi)者收集的個人信息，消費(fèi)者有權(quán)訪問、查閱、要求經(jīng)營者提供復(fù)制本，有權(quán)針對錯誤的個人信息要求經(jīng)營者予以更改，有權(quán)要求經(jīng)營者刪除那些不再必要的個人信息?？傊?，盡管消費(fèi)者向經(jīng)營者提供了個人信息，但并不喪失對個人信息的控制權(quán)，可以通過合理的方式要求經(jīng)營者保存的個人信息準(zhǔn)確、完整，且有權(quán)在交易結(jié)束或消費(fèi)者認(rèn)為必要且不影響經(jīng)營者合法利益的情況下要求經(jīng)營者刪除消費(fèi)者個人信息。

（4）信息安全妨害排除請求權(quán)

電子商務(wù)經(jīng)營者作為個人信息的收集者，同時負(fù)有保障消費(fèi)者個人信息安全的義務(wù)，一旦經(jīng)營者違法使用消費(fèi)者個人信息或由于外部原因?qū)е滦畔⑿孤兜模M(fèi)者有權(quán)要求經(jīng)營者采取必要、合理的措施保障其個人信息安全。如經(jīng)營者拒絕采取必要措施或技術(shù)手段保障消費(fèi)者個人信息安全，消費(fèi)者有權(quán)向經(jīng)營者主張其承擔(dān)損害賠償責(zé)任。

2.明確電子商務(wù)經(jīng)營者的個人信息保護(hù)義務(wù)

電子商務(wù)經(jīng)營者是個人信息保護(hù)法律關(guān)系中的義務(wù)主體，有義務(wù)保障消費(fèi)者實(shí)現(xiàn)個人信息權(quán)。具體而言，電子商務(wù)經(jīng)營者主要應(yīng)當(dāng)承擔(dān)三個方面的法律義務(wù)：

第一，信息收集合法義務(wù)。該義務(wù)又包含目的合法、程序合法、方式合法三項(xiàng)內(nèi)容。經(jīng)營者通常都是以特定目的來收集個人信息的，該目的必須限于合法的商業(yè)用途，不得以非法目的收集個人信息。經(jīng)營者收集個人信息必須符合法律要求的合法程序，必須對消費(fèi)者進(jìn)行明確的提醒并在確認(rèn)征得消費(fèi)者同意的情況下進(jìn)行收集，如未經(jīng)消費(fèi)者許可收集消費(fèi)者個人信息則構(gòu)成侵權(quán)。另外，經(jīng)營者收集消費(fèi)者個人信息的方式也應(yīng)當(dāng)符合法律規(guī)定，不得使用木馬程序、蠕蟲病毒等威脅網(wǎng)絡(luò)安全的方式收集。

第二，信息使用合法義務(wù)。經(jīng)營者在使用消費(fèi)者個人信息的過程中也應(yīng)當(dāng)符合法律規(guī)定，應(yīng)當(dāng)在信息主體授權(quán)的范圍之內(nèi)用于合法的商業(yè)目的。除法律另有規(guī)定外，任何未經(jīng)消費(fèi)者許可的使用行為、超出消費(fèi)者授權(quán)范圍的使用行為以及出售、轉(zhuǎn)讓、傳輸個人信息等行為，均有可能構(gòu)成侵權(quán)行為并承擔(dān)法律責(zé)任。

第三，信息安全保障義務(wù)。經(jīng)營者應(yīng)當(dāng)采取適當(dāng)?shù)募夹g(shù)措施，防止網(wǎng)絡(luò)系統(tǒng)遭受攻擊而造成個人信息泄露。具體而言，應(yīng)當(dāng)做到以下幾個方面：電子商務(wù)系統(tǒng)研發(fā)人員在設(shè)計網(wǎng)絡(luò)系統(tǒng)的過程中應(yīng)當(dāng)盡力避免出現(xiàn)程序“漏洞”，一旦發(fā)現(xiàn)“漏洞”，應(yīng)當(dāng)及時安裝“補(bǔ)丁”；在電子商務(wù)經(jīng)營者內(nèi)部網(wǎng)與外部網(wǎng)之間、網(wǎng)絡(luò)與儲存介質(zhì)之間采取物理隔離等安全手段，防范通過外部網(wǎng)入侵內(nèi)部網(wǎng)的行為；避免存儲涉密信息的儲存介質(zhì)在外部網(wǎng)計算機(jī)上使用；為網(wǎng)絡(luò)系統(tǒng)安裝有效的防火墻程序，進(jìn)行過濾設(shè)置與控件屏蔽設(shè)置，避免非法入侵者繞過防火墻進(jìn)行竊密；采取積極的入侵檢測、鑒別、取證等安全防御措施，檢測與屏蔽各種網(wǎng)絡(luò)欺騙與入侵行為。

3.完善個人信息侵權(quán)法律責(zé)任制度

當(dāng)前導(dǎo)致電子商務(wù)環(huán)境下個人信息保護(hù)危機(jī)凸顯的一個重要原因在于，個人信息侵權(quán)行為難以受到法律追究，這在一定程度上縱容了個人信息侵權(quán)現(xiàn)象的泛濫。個人信息保護(hù)法是著眼于問題和目的的部門法，同時也是公私混合的領(lǐng)域法，[10]為了使個人信息能夠獲得全面保護(hù)，需要從民事、行政、刑事等三個方面入手來完善個人信息保護(hù)法律責(zé)任制度。

（1）在民事責(zé)任方面，筆者認(rèn)為，首先個人信息侵權(quán)適用過錯責(zé)任原則。其次，個人信息侵權(quán)責(zé)任認(rèn)定應(yīng)當(dāng)具備以下四個要件：一是侵害行為。電子商務(wù)環(huán)境下的個人信息侵害行為具體表現(xiàn)為個人信息違法收集、個人信息違法使用以及違反安全保障義務(wù)的侵害行為。個人信息收集方面的侵害行為包括欺騙性地收集消費(fèi)者個人信息、未經(jīng)許可收集消費(fèi)者個人信息以及通過購買方式收集個人信息。個人信息使用方面的侵害行為包括非法二次開發(fā)利用個人信息、非法出售或轉(zhuǎn)讓個人信息、非法泄露個人信息等。網(wǎng)絡(luò)經(jīng)營者未采取適當(dāng)技術(shù)與管理措施造成消費(fèi)者個人信息泄露的同樣構(gòu)成侵害行為。二是損害后果。電子商務(wù)環(huán)境下的個人信息侵權(quán)損害后果包括財產(chǎn)損害與精神損害兩種。財產(chǎn)損害包括直接損害（如因消費(fèi)者銀行卡等財務(wù)信息泄露而造成的金錢損失）與間接損害（如消費(fèi)者可期待經(jīng)濟(jì)利益遭受的損失）兩種。精神損害指由于消費(fèi)者個人信息被泄露或非法使用而造成的消費(fèi)者的精神創(chuàng)傷或精神痛苦。三是因果關(guān)系。從平衡信息權(quán)人與行業(yè)發(fā)展的角度分析，筆者認(rèn)為應(yīng)適用相當(dāng)因果關(guān)系規(guī)則，即行為人針對信息主體實(shí)施了加害行為，其危害程度足以導(dǎo)致消費(fèi)者個人信息權(quán)受損時，即可認(rèn)定行為與損害后果之間具有因果關(guān)系。四是主觀過錯。行為人的故意主要體現(xiàn)為，未經(jīng)消費(fèi)者許可以贏利為目的收集、出售個人信息；過失主要體現(xiàn)為，對網(wǎng)站疏于管理，造成他人輕易入侵網(wǎng)站導(dǎo)致個人信息泄露后果等。其三，在侵權(quán)責(zé)任承擔(dān)方面，新修訂的《消費(fèi)者權(quán)益保護(hù)法》第50條明確規(guī)定，經(jīng)營者侵害消費(fèi)者個人信息權(quán)應(yīng)當(dāng)承擔(dān)停止侵害、恢復(fù)名譽(yù)、消除影響、賠禮道歉并賠償損失等責(zé)任。特別需要關(guān)注的是，個人信息權(quán)屬于人格權(quán)的內(nèi)容之一，因此消費(fèi)者個人信息權(quán)受到侵害時，有權(quán)要求加害人承擔(dān)精神損害賠償責(zé)任。

（2）在行政責(zé)任方面，我國《消費(fèi)者權(quán)益保護(hù)法》第56條規(guī)定了侵犯消費(fèi)者個人信息的行政責(zé)任，并通過記入信用檔案、向社會公布等方式增強(qiáng)對不法經(jīng)營者的震懾力，有助于個人信息得到更好的保護(hù)。但由于網(wǎng)絡(luò)經(jīng)營者侵犯消費(fèi)者個人信息的行為往往比較隱蔽，筆者建議我國設(shè)立專職部門負(fù)責(zé)查辦此類案件，同時增強(qiáng)調(diào)查取證的水平，加大對違法行為的打擊力度，保障相關(guān)制度措施取得實(shí)效。

（3）我國現(xiàn)行《刑法》第253條規(guī)定，出售或非法提供公民個人信息情節(jié)嚴(yán)重者要承擔(dān)刑事責(zé)任。該條規(guī)定自納入《刑法》以來在現(xiàn)實(shí)中較少適用，其主要原因在于，《刑法》第253條約束的重點(diǎn)是國家機(jī)關(guān)或金融、電信、交通、教育、醫(yī)療等單位及其工作人員等特殊主體，而對于一般主體是否適用該條規(guī)定則比較模糊。另外，只有在符合“情節(jié)嚴(yán)重”的條件下，才能追究行為人的刑事責(zé)任，而“情節(jié)嚴(yán)重”的標(biāo)準(zhǔn)在司法適用中不甚明確。筆者建議，將第253條針對特殊主體與普通主體的刑事責(zé)任法律適用加以區(qū)分，同時對“情節(jié)嚴(yán)重”作出進(jìn)一步的解釋，以便司法適用并打擊犯罪行為。

＊本文系國家社科基金重大項(xiàng)目課題“國家網(wǎng)絡(luò)空間安全法律保障機(jī)制研究”（項(xiàng)目編號：13&ZD181）的階段性研究成果。

[1]郎慶斌.國外個人信息保護(hù)模式研究[J].信息技術(shù)與標(biāo)準(zhǔn)化，2012（1）：22-24.

[2]See Joel R.Reidenberg.Restoring Americans'Privacy in Electronic Commerce[M].Berkeley Tech.L.J.，1999：771-772.

[3]牟凡.中美電子商務(wù)消費(fèi)者隱私權(quán)保護(hù)制度比較研究[D].南京：南京大學(xué)，2012：17.

[4]華劼.網(wǎng)絡(luò)時代的隱私權(quán)——兼論美國和歐盟網(wǎng)絡(luò)隱私權(quán)保護(hù)規(guī)則及對我國的啟示[J].河北法學(xué)，2008（6）：10.

[5]、[7]謝青.日本的個人信息保護(hù)法制及啟示[J].政治與法律，2006（6）：152-153.

[6]奧平康宏.知情權(quán)[M].巖波書店，1981：384.

[8]王芳云，張炳發(fā).我國網(wǎng)絡(luò)團(tuán)購風(fēng)險的成因與對策建議[J].中國流通經(jīng)濟(jì)，2013（2）：62.

[9]米鐵男.中國電子商務(wù)領(lǐng)域隱私數(shù)據(jù)保護(hù)研究[J].學(xué)術(shù)交流，2013（7）：41.

[10]齊愛民.論個人信息保護(hù)法的地位與性質(zhì)[J].中國流通經(jīng)濟(jì)，2009（1）：65.