李 勇

（中南財經(jīng)政法大學 法學院，湖北 武漢 430073）

一、問題之提出

信息無疑系當代社會運作的重要命脈，乃政治、經(jīng)濟、社會決策所不可或缺。當前人們所生活的世界，主要系由科技塑造其面貌，并由信息供給其運作的能量?？萍荚O備對于人們獲取世界信息等能力及彼此的溝通，造成了天翻地覆的革命化影響。正因電腦科技及網(wǎng)絡革命促進了搜集、處理、利用及分享大量個人信息的能力，而這種能力也使得個人信息的交易蓬勃發(fā)展，因為善用個人信息無疑地將是確保財富創(chuàng)造的新途徑。尤其，某些產(chǎn)業(yè)（如金融業(yè)、廣告業(yè)）乃信息經(jīng)濟的一環(huán)，其贏家將屬于那些擅于管理客戶個人信息且能適時適地提供客戶所需產(chǎn)品的經(jīng)營者。雖然，按照國內(nèi)外學說及實務見解，個人信息所涉及的主體或當事人對于個人信息應擁有控制權，決定著是否揭露其個人信息、及在何種范圍內(nèi)、于何時、以何種方式、向何人揭露。惟信息搜集者或信息控制者擅長以高明手段取得當事人同意而搜集、利用及分享其個人信息。尤其，因交易雙方存在嚴重的信息不對稱或知識落差，極易導致消費者經(jīng)常未能注意或正確評估其大量的個人信息被以復雜方式所搜集、處理、利用或分享，當事人對于個人信息的控制能力也因此被削弱或剝奪，造成個人利益之損失。［1］

另外，據(jù)中國消費者協(xié)會2013年上半年投訴統(tǒng)計數(shù)據(jù)顯示，生活、社會服務類、銷售服務、電信服務、互聯(lián)網(wǎng)服務和公共設施服務居于投訴量前五位。其中互聯(lián)網(wǎng)服務投訴位居服務類第四位，有8942 件，占投訴比重3.4%。消費者反映的主要問題包括個人信息丟失、泄露等網(wǎng)絡安全問題。比如，才購買新車就有人來推銷保險；剛生完孩子就接到孕嬰產(chǎn)品銷售網(wǎng)的問候電話；新房鑰匙還未拿到，裝修公司就上門“拜訪”等等。2011年，著名的國內(nèi)開發(fā)者社區(qū)CSDN 遭黑客攻擊，其數(shù)據(jù)庫中超過600 萬用戶資料遭泄露。隨后黑客又相繼爆出人人網(wǎng)、178、多玩、百合網(wǎng)、51CTO、天涯論壇等用戶資料。2012年，1 號點員工泄露用戶信息事件，90 萬用戶信息被低價兜售。2013年，南方警方抓獲“內(nèi)鬼”，其竊取50 多萬條個人信息，幾乎涵蓋整個北部灣地區(qū)。［2］據(jù)CNNIC《2012年中國網(wǎng)民信息安全狀況研究報告》顯示，高達84.8%的網(wǎng)民遭到過信息安全事件，總?cè)藬?shù)為4.56 億，平均每人遇到2.4 類信息安全事件，其中77.7%的網(wǎng)民都遭受了不同形式的損失。

綜上，消費者個人信息之安全面臨嚴重危機，其隨時生活在“信息陰影”之下，呈現(xiàn)出“人為刀俎，我為魚肉”的生存狀況。為此，本文首先探討信息搜集者與當事人之間所存在的信息不對稱之流弊及其影響；其次則分析用以解決信息不對稱流弊之告知后同意原則內(nèi)涵為何，及其發(fā)展背景以供借鑒，并詳細分析信息搜集者將如何善盡告知之責，以及當事人所為同意之構成要件為何，方屬有效的告知后同意；再次即針對我國消費者個人信息保護之狀況，以新消保法第29 條為例，剖析其缺陷，以期完善。

二、消費者個人信息保護之困境——以信息不對稱為例

當代社會中，信息無疑是重要的資源之一，乃決策所不可或缺，信息搜集者或信息使用者無疑地將有強烈動機搜集個人信息。例如，信息探勘（data-mining）業(yè)者、網(wǎng)絡廣告公司及一般信息搜集者（如金融機構、電信公司、醫(yī)院、商場等）搜集及分析消費者個人信息，以推斷其價值觀、行為及生活方式，從而供內(nèi)部使用或販賣他人。因此，倘個人信息系得自由交易的標的，其價格及消費數(shù)量將取決于市場的供需原則，故個人信息上所負載之相關權利或利益的競爭終將委由價格機能主宰，即由愿意付出高價者取得個人信息之控制權。就市場的供需而言，較重視個人信息隱私或視個人信息價值較高者，將愿意付出較高的代價來限制或防止信息搜集者或信息使用者搜集、利用或分享其個人信息。相反地，倘個人信息之搜集、利用或分享系有利可圖，則信息搜集者將愿意付出較高的價格取得該個人信息。是故，經(jīng)由當事人與信息搜集者之間要約或要約邀請的交易磋商，自由市場機能終將個人信息歸于愿意出最高價的一方。［3］

在市場上，倘賣方能有效地生產(chǎn)商品，且使生產(chǎn)成本加上交易成本乃小于買方愿意支付之購買成本時，買方將樂于與之交易。理論上，藉由將利潤回饋于擅于以最小交易成本從事商品之生產(chǎn)、取得或銷售者之賣方，市場機制得促成商品價值之有效分配。然而，市場的機制并非運作得完美無瑕，有時將決定權限交予市場參與者反而會導致無效率之現(xiàn)象。具體言之，就信息搜集者與當事人（消費者）之間關于個人信息討價還價的交易過程中，對于是否與誰分享何種個人信息，當事人本來得為告知后同意，惟現(xiàn)實的運作卻與該項假設有所落差。因為個人信息搜集者與當事人之間，關于個人信息將如何被收集、利用及分享，極有可能產(chǎn)生嚴重的信息不對稱之流弊而影響公平交易的進行。［4］

（一）信息不對稱之概述

1972年諾貝爾經(jīng)濟獎得主Kenneth Arrow 表示：信息的意義，精確而言即在降低不確定性。信息足以改變信息接收者的關注力，使得信息接收者對于外在世界的理解有別于接受前。就市場交易而言，信息的交換系促成交易雙方當事人投入與合作的重要因素。在締結契約前，契約當事人對于其將從此項交易關系中獲得之內(nèi)容、愿意接受之價格、預期之交易有效期間、重要或不重要事項等有所認識。按經(jīng)濟學者的分類，在交易談判過程中，為雙方當事人所知悉之信息為公開信息；為當事人一方所知悉而他方所不知悉之信息則為私人信息，惟私人信息的存在則常系信息充裕一方展開交易的動機。此種一方當事人比另一方當事人擁有更多關于交易的信息之信息不對稱現(xiàn)象，將影響平等互惠交易的進行。當交易一方或承諾人對于其承諾之可信賴性或品質(zhì)比交易相對人或被承諾人有更精確的認識，或交易一方比交易相對人對于契約履行的法律要件有更精確的認識，則在交易談判過程中，將會有信息不對稱之情形。在此情形下，信息不充裕之交易相對人在判斷是否信賴信息充裕之交易一方的承諾時，將發(fā)現(xiàn)難以評估其可信賴性或品質(zhì)，因此，僅能草率地信以為真或抱懷疑態(tài)度。此外，由于信息不對稱，信息不充裕的一方欠缺關于相對人信用的完整信息，不免對其承諾的可信賴性大打折扣，藉由降低支付對價或拒絕該項交易之方式而進行自我保護，將使得平等互惠的交易更難達成。

如上述，信息不對稱將阻礙平等交易談判的進行。由于欠缺平等的交易談判，倘信息不充裕的相對人又未投入資源，以理清所有交易條件、未來的不確定性而克服信息不對稱的流弊，則信息不充裕的相對人的利益將亦陷于易遭受投機取巧的信息充裕一方的侵害。由于此等現(xiàn)象之出現(xiàn)最終會破壞市場之正常運轉(zhuǎn)，因此，當事人或法律應尋求方法對于此種機會主義加以箝制。又從效率角度言，信息不對稱系一嚴重市場失靈現(xiàn)象，在雙方交易關系中將導致無效率的出現(xiàn)，阻礙社會最大效率之追求。倘當事人對于交易的所有內(nèi)容及條件，擁有告知后評估或告知后選擇所必需的信息，契約將可徹底地增進福祉。然而，信息不對稱將使得“被承諾人系自己福祉最佳的裁判（Promisees are the best judges of their own utility）”之法諺落空。當信息不對稱存在時，當事人藉由公開市場交易而極大化其福祉的能力，將不可避免地降低。具體言之，信息不對稱將產(chǎn)生“信息經(jīng)濟租金（information rent）”，在經(jīng)濟租金與效率之間形成抵換關系。由于信息充裕的一方可以利用信息不對稱而獲取額外社會剩余價值，且掠奪信息不充裕的一方的信息經(jīng)濟租金，致使信息不充裕的一方可能因不愿意支付高額信息經(jīng)濟租金而寧愿放棄交易，因此，信息不對稱將導致交易的無效率。尤其，當存在交易雙方當事人間的信息不對稱過于嚴重時，將導致平等互惠的交易難以順利進行。

為解決信息不對稱的流弊，除政府立法強制介入外，學者Ian Ayres 與Robert Gertner 曾提出違約懲罰之概念，［5］以達告知后同意之效。違約懲罰之概念，乃在契約關系中，設計針對信息相對充裕一方當事人的違約懲罰條款，以督促其提供完整信息于信息相對稀少的另一方當事人，以利決策。由于懲罰效果，信息較充裕的一方將與信息較稀少的另一方分享信息，以及雙方當事人將因此被鼓勵展開關于分享充分信息的契約條款之協(xié)商。

（二）信息不對稱于個人信息保護之具體影響

1.信息搜集者與當事人之間的信息不對稱。按自由市場理論的假設，對于是否與誰分享何種個人信息，當事人得為告知后選擇，惟現(xiàn)實的運作卻與該項假設有所落差。相對于個人信息所涉及之當事人，信息搜集者顯然有較多的信息與談判力量，先天上處于較優(yōu)越之地位，尤其，關于如何搜集、利用及分享個人信息，信息搜集者擁有較完整之信息。相反地，關于個人信息將如何被搜集、利用及分享或個人信息之市場價值，當事人可能所知有限或一無所知。可以預見，信息搜集者與當事人之間，極可能產(chǎn)生嚴重的信息不對稱之流弊。信息不對稱除發(fā)生于現(xiàn)實世界外，尤其，因個人信息的價值相對地比較小的，在網(wǎng)絡虛擬世界中，網(wǎng)絡使用者經(jīng)常未注意到其個人信息在網(wǎng)絡上及時又無形得被搜集。即使網(wǎng)絡使用者知悉其個人信息被搜集，但其通常不了解信息搜集者、網(wǎng)絡廣告業(yè)者或信息中介如何將其被搜集的個人信息與其他信息結合，雇主及放款人等個人信息搜集者將如何使用該等信息，或者信息探勘者可如何由該等個人信息推衍出額外、潛在的信息。［6］當前網(wǎng)絡使用者常藉由在搜索引擎輸入一則關鍵字檢索而開始遨游網(wǎng)絡世界，搜索引擎亦因此搜集了個人信息。這些檢索通常是無害的，但他們可能是高度個人化的。但倘將這些關鍵字檢索集合起來，將可提供了解某特定使用者日常生活重心及內(nèi)在人生的秘密拼圖，因為其構筑個人好奇心、興趣、焦慮及日常問題的流水賬。例如根據(jù)一份意外泄露的文件，360 曾詳細記錄了大量用戶的全網(wǎng)訪問行為，在它的服務器上，每個用戶對應一個字符串，通過查詢字符串，就可以了解該用戶所有個人信息、上網(wǎng)瀏覽記錄、賬號密碼，網(wǎng)購歷史、甚至他所使用過的金蝶、奇瑞等企業(yè)內(nèi)部財務數(shù)據(jù)、所供職的政府機構官方郵箱用戶名及密碼等鏈接數(shù)據(jù)。此次泄密事件涉及總條數(shù)141 萬條，其中涉及用戶信息的條目有247326 個，既包含用戶名又包含密碼條目有816個。事實上，搜索引擎能連結輸入該關鍵字檢索的那一臺電腦，因此，當該臺電腦再度登入時，搜索引擎可將該等關鍵字檢索連結至使用者。而搜索引擎搜集或持有這些關鍵字檢索可能長達數(shù)月或數(shù)年之久。再者，搜索引擎搜集、持有、利用或分享這些關鍵字檢索的個人信息常不為當事人所知悉或同意，更可能危害信息隱私。另外，即使當事人知悉個人信息被搜集，但其可能對于個人信息將如何被使用或被誰使用所知極其有限。因此，倘無政府干預，信息搜集者將無視當事人的損失，而過度使用當事人的個人信息，以追求最大利潤。［7］可知，放任市場自行運作的結果并不符合追求社會福祉或效率極大化的目標。

2.個人信息價值之評估與其困難。因信息探勘的科技越來越復雜，因此，有越來越多的個人信息搜集及分享行為不易為外界知道。尤其，去通知當事人其大量的個人信息如何被搜集、利用、儲存、分享及散布，其并不符合信息搜集者的利益。［8］再者，因信息探勘的本質(zhì)系在發(fā)現(xiàn)信息彼此間的未知關系或聯(lián)系，信息探勘者一開始未必知悉其用途及價值。更倘若當事人不知何種信息被搜集、如何被利用及因此可能衍生的損害風險與范圍，其將無法評估值得投入多少時間、金錢或努力以采取適當防止或制止措施，以維護個人信息的私密性。因此，針對是否揭露其個人信息搜集及在何種范圍內(nèi)、于何時、以何種方式、向何人揭露，以及是否投入時間、金錢而為保護個人信息之告知后選擇，當事人必須知悉其利害攸關之范圍有多少為前提。

理論上，當事人可以將其個人信息的價值折算為一定的金錢。然而，如同其他涉及個人尊嚴的標的，個人信息本質(zhì)上亦有難以金錢化的尺度（dimension），在折算為金錢的過程中，這些尺度將因此喪失或被扭曲，因此，當事人將難以有效地把如個人信息般的無體物折算為一定的金錢價值。然而，信息搜集者則無此困難，因為其毋庸考慮尊嚴的問題。對于信息搜集者而言，他人個人信息的價值得完全以轉(zhuǎn)售第三人的金額或自行所獲得的利益而計算之。據(jù)此，當事人欲對個人信息的價值進行完全精確的評估實務上恐有困難，因此，不得不對于信息搜集者投入一定的信任，相信其不會輕易傷害當事人。

惟在這個數(shù)字時代，個人信息一旦以數(shù)字形式儲存，即能與其他信息相結合，當事人將對其用途失去控制，因為電子化個人信息幾乎可以及時同步進行交易，人們無從得知個人信息的利用將終結于何處。縱使，當事人知悉信息搜集者的最初單一使用目的，但倘個人信息的最終用途或去處不明，則當事人亦不可能評估其個人信息的真正價值。再者，倘當事人以非常小的邊際價值來衡量其個人信息，則拒絕揭露該個人信息的價值通常將低于獨立協(xié)商一個適用于雙方當事人的個人信息保護契約或放棄該筆交易的價值為低。當消費者購買及運送大型家電而必須提供住址時，相對于因此拒絕購買該家電所造成的成本而言，住址的信息隱私價值顯得微不足道，故多數(shù)的消費者通常同意提供個人信息與交易相對人（即信息搜集者）。綜上，當信息搜集者知悉個人信息之用途而當事人卻不知時，此種信息不對稱將造成當事人因缺乏足夠信息以進行正確評估而更易于低估所提供個人信息之價值，導致于過度揭露其個人信息。因此，有論者以為，當事人這種雖然肯認隱私或信息隱私的價值，卻又過于頻繁及以過低價格處分其個人信息而未采取行動自我保護之現(xiàn)象，可謂“隱私之短視近利（privacy myopia）”。［9］

三、消費者個人信息保護之路徑——告知后同意原則論

告知后同意原則不僅有助于保護當事人之信息隱私，也有助于保護國際普遍接受的人性價值（如個人自主、個人自決、人性尊嚴）。學者Jerry Kang 認為人性價值并不容易藉由市場機制的效率概念能完全有效地加以詮釋，故在市場進行個人信息交易時，必須有額外限制或其他配套措施，如告知后同意原則之導入。事實上，告知后同意原則用于解決個人信息保護的問題前，早于運用其他領域（如醫(yī)學）并發(fā)展相當成熟，有值得借鑒之處。［10］

（一）告知后同意原則之發(fā)展背景

告知后同意原則乃指醫(yī)師有法律上的義務，以病人得以了解的語言，主動告知病人病情、可能之治療方案、各種方案可能之風險與利益，以及不治療之后果，以利病人作出合乎其生活形態(tài)的醫(yī)療選擇。未取得病人之告知后同意所進行之醫(yī)療行為，醫(yī)師應對該醫(yī)療行為所造成的一切后果負責。［11］此原則旨在規(guī)范醫(yī)病關系中醫(yī)師的告知義務，以確保病人知的權利，并進一步彰顯病人于醫(yī)療關系中的主體性。告知后同意原則于20 世紀60年代開始于美國，80年代進入研究的全盛期，也發(fā)展出較細膩、清楚的理論架構，并流傳至歐洲各國及日本，廣為采納。［12］

就醫(yī)病關系而言，深植于美國醫(yī)界的告知后同意原則，實源自個人自主的概念與病人對身心診療與否應有自決權的假設。尊重個人自主原則，即包含得對于發(fā)生于其自身事務（如身體、個人信息、秘密）之決定權，換言之，個人得對于自身決定與相關活動擁有控制權。［13］告知后同意應包含：（1）病人對于是否同意接受特定的醫(yī)療應有決策能力；（2）病人應有足夠的信息，而該信息系一個理性的病人在相同或類似的環(huán)境中為告知后決定所必須知道的；（3）病人所為的醫(yī)療決定必須是自愿的，不得有強暴、脅迫或詐欺之情事。［14］而上述三者，系使病人的同意有效不可或缺的構成要件。據(jù)此，所謂告知后同意，系指某些事情因當事人的同意而發(fā)生，且其同意系對于因此所可能發(fā)生的風險與所存在可能的選擇項目有充分認知下而為之。另就醫(yī)學研究而言，自紐倫堡大審以來，即要求進行研究前必須先得當事人同意。因此，倘欲取得基因樣本或相關醫(yī)療信息，研究人員必須取得當事人的告知后同意，即研究人員主動尋求樣本捐獻者個人同意之過程，且研究人員必須告知捐獻者其研究性質(zhì)、目的、風險、效益、方法及可能衍生后果。另外，告知后同意原則也廣泛運用于精神醫(yī)療業(yè)、法律服務專業(yè)以及金融服務業(yè)。其中，金融商品交易過程中，金融服務業(yè)者有義務向金融消費者告知契約內(nèi)容及風險，以利消費者之決策，我國臺灣地區(qū)金融消費者保護法第10 條、11 條即有所規(guī)定。

（二）告知后同意原則于消費者個人信息保護之具體適用

1.告知之具體規(guī)范。網(wǎng)絡摧毀了個人信息搜集、利用及分享的障礙。然而，過去僅有少數(shù)人注意到網(wǎng)絡的個人信息運用狀況，而這種對于虛擬世界中使用個人信息的真實狀況加以忽略，乃普遍存在的狀況，并非特例。惟個人信息遭濫用的情形日漸增多，人們也逐漸注意到網(wǎng)絡的個人信息運用狀況可能衍生的信息隱私問題。尤其，持續(xù)性秘密處理個人信息所導致的信息不對稱問題，將危害到當事人針對其個人信息的自由選擇機會。相反地，處理個人信息相關慣例的通知將提供當事人個人審慎決策過程中所需的安全閥，讓其知悉個人信息將如何被搜集、利用或分享之細節(jié)，并于信息搜集者違反其法定或政策通知時，當事人得籍以向其究責，維護自身之權益。為此，關于通知之具體規(guī)定須如下要求：（1）履行之主體。其為個人信息所涉及之搜集、利用、儲存及分享者，即個人信息利益之相關者，如保險從業(yè)人員、律師、醫(yī)生、經(jīng)營者、銷售者、生產(chǎn)者等交易之相對人。（2）履行之時點及方式。所應通知的信息應在當事人決定是否同意個人信息之搜集、利用及分享前即提供予當事人，才系真正的告知后同意，因為只有當事人知悉個人信息之可能運用狀況，當事人才會認真與信息搜集者就其個人信息的保護展開協(xié)商，并獲得其應有之利益。履行的方式一般為書面或口頭，另由于現(xiàn)代遠程交易的盛行（如電話、網(wǎng)絡行銷），也可通過電子方式予以通知當事人，完成履行方式之要求。（3）履行之范圍及程度。當事人所應被提供的信息應包括個人信息搜集的主體、目的、是否與第三者分享該信息、對于搜集目的以外的利用或揭露之限制、以及當事人所因此讓與個人信息之利益。再者，若國家政策、法律規(guī)定等有所變更時，搜集者亦應通知當事人，以利其為是否繼續(xù)同意個人信息被搜集、利用或分享之決策。關于認定之標準，乃應通過清楚可理解地形式，以足以引起當事人注意的文字、字體、符號或者其他明顯標志作出提示，并給予當事人進行說明與解釋，能讓當事人徹底明白所涉及的一切信息內(nèi)容與權利。綜上，諸多規(guī)范與具體形式，皆在要求信息搜集者善盡告知義務，以增加信息的透明化，及減少信息不對稱所造成的流弊，方有助于當事人為告知后同意。

2.同意之具體規(guī)范。一般而言，除法律另有規(guī)定者外，個人信息的搜集、處理、利用或分享應經(jīng)當事人同意。進一步言，告知后同意亦系個人信息搜集、處理、利用或分享的前提要件。為了使同意具有法律上的意義，當事人必須能了解信息搜集者將如何運用其個人信息，方能為有效的同意。因此，信息搜集者必須經(jīng)合理的努力告知當事人其個人信息被搜集之目的，以確保當事人能合理地理解其個人信息將如何被使用或揭露。［15］當事人的同意系個人信息保護的關鍵概念之一，何種情形下的同意方屬有效，及嗣后得否選擇撤銷或退出同意之授予，均有理清的必要。

關于同意之構成要件，同意應符合下列5 項標準才會在法律上生效：（1）同意必須清楚且明確地指出其意愿；個人信息的搜集、利用或分享，應經(jīng)當事人明確地同意，且同意之方式應為明示同意。（2）同意必須出于自由意志；即指個人利用所有能力所為的自愿性決定，且非出于任何社會、經(jīng)濟、心理或其他脅迫而為之。具體言之，倘信息搜集者以強暴或脅迫而強制、或以詐術或違反告知義務等詐欺手段，導致當事人不得不同意或因陷于錯誤而為同意，均非有效之同意。當事人得依法加以撤銷。［16］（3）同意必須特定；即同意必須清楚及精確地指出系針對特定個人信息處理的范圍及后續(xù)應用而為之，而同意不得針對不設限、開放性的個人信息處理活動而為之。（4）同意必須基于告知后而為；即欲使同意有效，則必須經(jīng)告知才可，而所提供之通知應完整、清楚及明確地指出何種個人信息將被搜集、如何被利用、與誰分享，且不得有欺罔、誤導或錯誤之情事，否則同意將無效。（5）同意應以書面為之；為了促使同意的進行能慎重其事，以減少爭議及有助于當事人權益的進一步保障，同意應以書面為之，較為適當。綜上，同意若不符合上述之要件，法院亦將毫不遲疑地宣告所為的同意無效。

關于同意之撤銷或退出權，學者Hanoch Dagan 及Michael Heller 曾謂：退出，代表著撤銷或拒絕參與之權利，亦即分離或切斷與他人關系的能力。［17］是否授權于當事人之同意權行使，應該不僅系消費者最初得拒絕信息交易的機會，也應系消費者嗣后得選擇從信息交易契約退出的自由，以防止最初不當?shù)膮f(xié)商結果而貿(mào)然同意其個人信息被搜集、利用或分享所導致長期不利的影響。而當事人同意之撤銷或退出權，應不溯及既往之效力，僅能防止信息搜集者繼續(xù)或進一步處理、利用或分享個人信息。再者，雖有不同見解的立法例，但為保護消費者利益，同意之撤銷或退出權應不得預先拋棄或以特約限制之，較為適當。

四、我國消費者個人信息保護之檢視——評述新《消費者權益保護法》第29 條

我國個人信息保護法一直未能進入立法程序，我國對于個人信息的保護主要是從隱私權的角度出發(fā)，但是隨著人類進入信息時代，其制度難以全面維護個人信息的安全。尤其，在消費者個人信息保護領域，新科技一方面為消費帶來便捷，另一方面也對消費者信息保護造成前所未有的挑戰(zhàn)。為反映社會的發(fā)展，應對信息保護的挑戰(zhàn)，保護消費者的合法權益，新《消費者權益保護法》第14 條、29 條、50 條、56 條等涉及消費者個人信息保護之規(guī)定，成為我國個人信息保護之重大突破，成為新亮點。但據(jù)《人民日報》報道，中消協(xié)和各地消協(xié)組織對新消法實施后維權實踐中案例認真發(fā)現(xiàn)，其中存在主要問題之一，即是個人信息保護問題落實困難；［18］為此針對其中第29 條之規(guī)定進行評述，以期構筑更完善之立法。

（一）經(jīng)營者告知義務之規(guī)定缺陷

據(jù)新《消費者權益保護法》第29 條第1 款之規(guī)定，要求經(jīng)營者明示其收集、使用信息的目的、方式和范圍。然而，關于明示之時間點、具體方式、程度等細節(jié)，皆未有規(guī)定，可能造成實務操作之困境。在美國，個人選擇及有助于個人選擇的通知，受到極大重視，以減緩信息不對稱的問題。美國聯(lián)邦貿(mào)易委員會于提交國會的報告中提及，由各國文件可知，隱私保護主要有5 項核心原則。其中，最重要的基本原則即是通知，因為無具體、有效之通知，消費者即無法針對是否及于何種范圍內(nèi)揭露個人信息而為告知后的決定。［19］我國臺灣地區(qū)新修正的個人資料保護法第8 條或第9 條則明文規(guī)定，不論直接或間接搜集資料，除符合得免告知情形者外，公務機關或非公務機關均須明確告知當事人搜集機關名稱、搜集目的、資料類別、利用方式、資料來源等相關事項。且其告知方式，按第16 條規(guī)定，得以言詞、書面、電話、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。相較于新消保法第29 條內(nèi)容，上述之規(guī)定比較完善，值得參考。

（二）消費者同意權利之規(guī)定缺陷

據(jù)新《消費者權益保護法》第29 條第1 款之規(guī)定，經(jīng)營者搜集、使用個人信息，并經(jīng)消費者同意。如前述，消費者同意構成要件之5 項標準，我國新消保法之規(guī)定并不符合其要求，不具有同意效力。按歐盟信息保護指令第2（h）條規(guī)定：當事人的同意系任何出于自由意志、目的的特定及基于告知后所表示之期望，籍以指出其同意個人信息被處理。又按歐盟信息保護指令第7（a）條規(guī)定，欲處理個人信息者，應經(jīng)當事人毫不含糊、明確地同意。我國臺灣地區(qū)個人資料保護法第15 條、16 條、19 條及第20 條規(guī)定，除有其他法定理由外，個人資料的搜集、處理或利用應經(jīng)當事人書面同意。以同意為基礎的個人信息與信息隱私保護體制可定性為一種個人選擇的模式，參照各國、各地區(qū)或國際組織制定之法律，其具有相當吸引性。尤其，當科技日新月異的蓬勃發(fā)展降低個人對于其信息的控制時，同意權的賦予明顯的部分返還了被科技所竊取的控制權，因為同意的要求賦予當事人得排除他人接近其個人信息之權，或其可選擇授予他人搜集、處理、利用或分享個人信息。故同意權的規(guī)定與完善，對于消費者個人信息的真正保護，具有重大意義。

五、結語

消費者個人信息的保護，對于現(xiàn)代社會高品質(zhì)生活的追求，實屬不可或缺。學者Alan F.Westin 曾謂：隱私乃個人得決定其何種信息于何時及如何提供予他人之一種權利。此后，許多主要國際組織、國家或地區(qū)保護個人信息的規(guī)范即如同該種見解，以同意及協(xié)助該同意所需的告知為保護個人信息之重要機制。借鑒、完善及發(fā)展告知后同意原則，可確保個人自我選擇的信息權利，亦增進人性尊嚴與個人主體性之維護及人格發(fā)展之完整。

［1］Paul M.Schwartz，Property，Privacy，and Personal Data，117 HARV.L.Rev.2055，2069（2004）.

［2］張琪.中國網(wǎng)民“三權”的夢想與現(xiàn)實 ［N］.經(jīng)濟觀察報，2013-12-02（44）.

［3］Jerry Kang，Information Privacy in Cyberspace Transactions，50 Stan.L.Rev.1264-1247（1998）.

［4］Paul M.Schwartz，Beyond Lessig`s Code for Internet Privacy:Cyberspace Filters，Privacy Control，and Fair Information Practices，2000 Wisc.L.Rev.743，766（2000）.

［5］Edward J.Jange&Paul M.Schwartz，Modern Studies in Privacy Law:Notice，Autonomy and Enforcement of Data Privacy Legislation:The Gramm-Leach-Bliley Act，Information Privacy，and the Limits of Default Rules，86 Minn.L.Rev.1219，1232（2002）.

［6］Dennis D.Hirsch，The Law and Policy of Online Privacy:Regulation，Self-Regulation，or Co-Regulation，34 SeattleU.L.Rev.439，455（2011）.

［7］翁清坤.臺灣與美國金融機構分享客戶個人資料之法律界限［J］.輔仁法學，2008，（35）.

［8］James P.Nehf，Incomparability and the Passive Virtues of Ad Hoc Privacy Policy，76 U.Colo.L.Rev.20-21（2005）.

［9］Martin C.McWilliams，Applicants Laid Bare:The Privacy Economics of University Application Files，34 Hofstra L.Rev.185，217（2005）.

［10］林孟玲.人群基因資料庫之建置——告知后同意原則之檢討［J］.臺灣警察大學法學論集，2007，（1）.

［11］楊秀儀.誰來同意？ 誰來決定？ 從告知后同意法則談病人自主權的理論與實踐:美國經(jīng)驗之參考［J］.臺灣法學會學報，1999，（20）.

［12］楊秀儀.美國告知后同意法則之考察分析［J］.月旦法學雜志，2005，（121）.

［13］Franklin G.Miller，Research on Medical Records Without Informed Consent，36 J.L.Med.&Ethic560，561（2008）.

［14］Derek Kroft，Informed Consent:A Comparative Analysis，6 J.Int`l L.&PRAC.457，459（1997）.

［15］Erika King&John H.Fuson，An Overview of Canadian Privacy Law for Pharmaceutical and Device Manufacturers Operating in Canada，57 Food&Drug L.J.205，215（2002）.

［16］許文義.個人資料保護法論［M］.臺北:三民書局，2001.238.

［17］Hanoch Dagan&Michael A.Heller，The Liberal Commons，110 Yale L.J.549，568（2001）.

［18］新《消費者權益保護法》實施滿月［N］.人民日報，2014-04-16（4）.

［19］Fred H.Cate，Protecting Privacy in Health Research:the Limits of Individual Choice，98 Cal.L.Rev.1767-1768（2010）.