于偉贊

摘要 大數(shù)據(jù)時代消費者個人信息被濫用的情形非常嚴(yán)重，本文從消費者個人信息入手，提出統(tǒng)籌考慮、加快完善個人信息保護方面的法律。通過制定《個人信息保護法》，修訂《侵權(quán)責(zé)任法》和《消費者權(quán)益保護法》，界定個人信息權(quán)，明確收集使用個人信息應(yīng)堅持的原則、侵害消費者個人信息權(quán)民事責(zé)任的過錯推定歸責(zé)原則，進一步明確工商行政管理部門作為監(jiān)管機構(gòu)的職責(zé)。

關(guān)鍵詞 大數(shù)據(jù) 消費者個人信息權(quán) 立法保護

當(dāng)今社會，大數(shù)據(jù)的應(yīng)用已深入到生活的各個領(lǐng)域，消費者的個人信息對于商家的經(jīng)濟價值及作用不言而喻，但個人信息的非法收集與使用卻也給消費者造成了一些困擾。大數(shù)據(jù)時代如何保護個人信息，已成為立法者關(guān)注和學(xué)者熱議的論題。近年來，我國在消費者個人信息保護方面加快了立法的步伐，旨在實現(xiàn)個人信息保護與利用之間的和諧，在完善個人信息保護的同時，促進個人信息的合理利用，為社會營造一個合理的安全的信息環(huán)境，防止個人信息被濫用。2014年新修訂的《消費者權(quán)益保護法》（以下簡稱《消法》）、2017年實施的《網(wǎng)絡(luò)安全法》和《民法總則》、2019年1月1日實施的《電子商務(wù)法》都在各自的調(diào)整范圍內(nèi)對個人信息的保護做出了相關(guān)規(guī)定，但缺少統(tǒng)一協(xié)調(diào)，并不能為消費者提供充分的保護。

目前全球范圍內(nèi)已有100多個國家或地區(qū)制定了專門的個人信息保護法，在互聯(lián)網(wǎng)、大數(shù)據(jù)技術(shù)的影響下，國外的個人信息保護法又進入了新一輪的修改法律的高潮。在此環(huán)境下，我國亦應(yīng)加快研究和制定個人信息保護法，一方面為自然人提供更加完善的個人信息權(quán)保護，另一方面為個人信息的正當(dāng)利用以發(fā)揮經(jīng)濟效益、社會管理價值提供更合理的法律保障。我國法律體系中《刑法修正案（九）》和《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》對懲治侵犯公民個人信息方面的犯罪行為有比較完善的規(guī)定，但關(guān)于個人信息尤其是消費者個人信息的保護以及損害賠償方面的法律規(guī)定還不盡完善。

一、在《個人信息保護法》中明確收集使用個人信息應(yīng)堅持的原則

《消法》第29條和《網(wǎng)絡(luò)安全法》第41條規(guī)定都指明，在數(shù)據(jù)的收集和使用階段，須征得消費者的同意，未經(jīng)其同意，不得收集和使用，這就是大家所熟知的知情-同意原則。采用這一原則的基本出發(fā)點是信息主體和信息業(yè)者在個人信息的收集使用過程中的信息不對稱，通過強化信息業(yè)者的告知義務(wù)，強制其向用戶披露收集個人信息的目的、用途、方式等法定事項，從而協(xié)調(diào)雙方的利益沖突。

然而，大數(shù)據(jù)時代互聯(lián)網(wǎng)技術(shù)和信息收集使用業(yè)務(wù)的快速發(fā)展，知情同意原則的適用環(huán)境發(fā)生了巨大變化。一方面，人們越來越依賴網(wǎng)絡(luò)服務(wù)，各種網(wǎng)絡(luò)購物、網(wǎng)上平臺、網(wǎng)絡(luò)支付方式已深深的融入我們的生活，為我們的日常生活提供了極大的便利的同時，也為大量個人信息的收集打開方便之門，信息業(yè)者以我們難以察覺的方式大量收集、使用個人信息。經(jīng)營者、網(wǎng)絡(luò)運營商在收集、使用個人信息的過程中是否告知或征得信息主體的同意很難界定，即使未征得信息主體的同意，信息主體可能也會被迫的接受對自己信息的處理活動。另一方面，大數(shù)據(jù)時代個人信息中包含著巨大的經(jīng)濟價值，每一個個體都是信息的提供者與需求者，有效利用個人信息，發(fā)掘其經(jīng)濟效用，是大數(shù)據(jù)時代的必然要求。如果個人信息數(shù)據(jù)不能流通、難以獲取，大數(shù)據(jù)產(chǎn)業(yè)也將無法發(fā)展。因此，如果要求所有的個人信息收集、使用行為都必須取得信息主體的同意，將嚴(yán)重影響大數(shù)據(jù)技術(shù)的發(fā)展及應(yīng)用。

基于此，信息的收集、處理過程一概要求征得信息主體的同意己不能現(xiàn)實。在我國的相關(guān)立法中應(yīng)當(dāng)限制知情同意原則的使用范圍。很多學(xué)者也提議引入場景、風(fēng)險規(guī)則（金耀，2017.范為，2016）?！耙?guī)定‘合理使用的場景，且對信息處理行為進行風(fēng)險評估，在信息處理行為構(gòu)成‘合理或帶來的風(fēng)險在‘可預(yù)期的范圍之內(nèi)時，免予取得用戶同意，減輕為機構(gòu)及用戶自身帶來的負(fù)擔(dān);在‘不合理或引發(fā)的風(fēng)險程度高時，規(guī)定應(yīng)以顯著的方式確保用戶知悉引發(fā)高風(fēng)險的要素，并主動采取降低風(fēng)險的手段，或者取得用戶明確、主動的同意作為繼續(xù)處理的合法授權(quán)”。根據(jù)這一理論，在信息的收集和初次利用階段，在場景一致的情形下，信息業(yè)者可以自由收集和使用個人信息，對這些信息的使用符合信息主體的預(yù)期，此時對信息主體的權(quán)利作出適當(dāng)?shù)南拗?，信息業(yè)者無需征得其的同意可收集使用個人信息，但須以適當(dāng)?shù)姆绞礁嬷鋫€人信息獲取的相關(guān)情況，使信息主體知悉其個人信息被收集、利用的目的;在超越了初始目的收集和使用目的之外使用個人信息則屬于“場景不一致”，如未經(jīng)信息主體同意向第三人提供個人數(shù)據(jù)，顯然超越了信息主體的合理預(yù)期，應(yīng)當(dāng)要取得信息主體的同意。至于“同意”的形式，大多學(xué)者都主張不予以限定。如周漢華教授起草的《中華人民共和國個人信息保護法（專家建議稿）》第43條表述為“信息主體明確同意”，楊立新教授主持起草的《中華人民共和國人格權(quán)法建議稿及立法理由書》第39條第2款表述為“被收集者同意”。筆者也贊同無需規(guī)定特定的形式，不管是線下交易還是網(wǎng)絡(luò)交易，但收集個人信息時要以通俗易懂、簡單明了的方式展示個人信息收集使用規(guī)則，并經(jīng)個人信息主體自主選擇同意。當(dāng)然，在涉及訴訟時，是否征得了信息主體的同意屬于舉證責(zé)任的范疇，下文詳述。

二、在《侵權(quán)責(zé)任法》中明確侵害消費者個人信息權(quán)民事責(zé)任的歸責(zé)原則

《刑法修正案九》中規(guī)定了侵犯公民個人信息罪，《電子商務(wù)法》規(guī)定對違反法律法規(guī)規(guī)定的電子商務(wù)經(jīng)營者依照《網(wǎng)絡(luò)安全法》等法律、行政法規(guī)的規(guī)定處罰?！毒W(wǎng)絡(luò)安全法》規(guī)定了網(wǎng)絡(luò)運營者、網(wǎng)絡(luò)產(chǎn)品或者服務(wù)的提供者侵害個人信息所應(yīng)承擔(dān)的行政責(zé)任。《消法》規(guī)定了經(jīng)營者有侵害消費者個人信息依法得到保護的權(quán)利的行為的，應(yīng)當(dāng)停止侵害、恢復(fù)名譽、消除影響、賠禮道歉，并賠償損失。從以上規(guī)定可以看出，對于侵害消費者個人信息的行為，法律規(guī)定重刑事責(zé)任、行政責(zé)任，輕民事責(zé)任，這必然是導(dǎo)致漠視公民個人信息權(quán)、侵害公民個人信息民事案件頻發(fā)的原因之一。

個人信息權(quán)作為民事權(quán)利的一種，在侵權(quán)責(zé)任的承擔(dān)方面要遵循侵權(quán)責(zé)任法的制度設(shè)計，但是對于個人信息侵權(quán)行為適用何種歸責(zé)原則存在爭議，筆者認(rèn)為應(yīng)適用過錯推定責(zé)任原則，設(shè)置舉證責(zé)任的倒置。具體到消費者個人信息權(quán)受侵害的民事責(zé)任，在歸責(zé)原則的選擇上采用過錯推定原則的理由在于：經(jīng)營者對消費者個人信息的處理和利用的手段，不管是線上還是線下，都不易被消費者所知曉，尤其在通過網(wǎng)絡(luò)平臺的交易中，消費者個人信息的收集、處理和利用大都依靠對普通消費者來說可以稱之為“高科技”的技術(shù)，行為人大多受過專門訓(xùn)練，普通消費者較難掌握和理解，證明經(jīng)營者具有過錯很難。相反對于收集和利用消費者個人信息的經(jīng)營者來說，對個人信息的處理和使用都會遵循一定的程序，尤其在電腦相關(guān)程序中會留下記錄，由其證明自身沒有過錯較為容易，成本較低。因此在堅持過錯責(zé)任原則的前提下，由經(jīng)營者舉證證明沒有過錯，否則即推定為有過錯，可以更好的督促經(jīng)營者采取技術(shù)措施或其他安全措施，確保信息安全，防止消費者個人信息泄露、丟失。

在2018年8月16日最高人民法院發(fā)布的第一批涉互聯(lián)網(wǎng)典型案例中，龐理鵬訴東方航空公司、北京趣拿信息技術(shù)有限公司隱私權(quán)糾紛案也體現(xiàn)了過錯推定原則的適用。北京市第一中級人民法院二審認(rèn)為，“從收集證據(jù)的資金、技術(shù)等成本上看，作為普通人的龐理鵬根本不具備對東航、趣拿公司內(nèi)部數(shù)據(jù)信息管理是否存在漏洞等情況進行舉證證明的能力。因此，客觀上，法律不能也不應(yīng)要求龐理鵬證明必定是東航或趣拿公司泄露了其隱私信息。舊由于東航和趣拿公司未能證明涉案信息泄漏是由于其他人或龐理鵬本人，或受到黑客攻擊，也未能證明在被媒體多次報道涉嫌泄露乘客隱私后迅速采取了專門的、有針對性的有效措施，法院認(rèn)定上述兩公司存在過錯，判決兩公司分別在其官方網(wǎng)站首頁以公告形式連續(xù)三天向龐理鵬賠禮道歉。

三、在《消費者權(quán)益保護法》中進一步明確監(jiān)管機構(gòu)及其職責(zé)

大數(shù)據(jù)時代消費者個人信息權(quán)受侵害的情形主要發(fā)生在網(wǎng)絡(luò)交易中，常見的有經(jīng)營者非法收集信息、消費者和網(wǎng)絡(luò)經(jīng)營者之外的第三方非法竊取信息、涉及個人信息的非法交易、侵?jǐn)_式推送等，侵權(quán)情形有的輕微，消費者并不關(guān)注或者睜一只眼閉一只眼;有的造成嚴(yán)重的財產(chǎn)損失或精神損害，消費者想維權(quán)卻難以入手;司法機關(guān)苦于案件多人手少，法律規(guī)定又不完善，如何發(fā)揮各部門的作用，使侵害消費者個人信息權(quán)的案件能夠順利的解決是我們需要借鑒和探討的問題。

《歐盟數(shù)據(jù)保護基本條例》第六章的規(guī)定，歐盟每個成員國應(yīng)當(dāng)設(shè)立至少一個獨立的監(jiān)督機關(guān)，該機關(guān)的任務(wù)是監(jiān)督基本條例在本國內(nèi)的實施情況并為歐盟范圍內(nèi)的統(tǒng)一實施服務(wù)。借鑒國外先進經(jīng)驗，完善消費者個人信息權(quán)安全保障的監(jiān)管措施，對監(jiān)管機構(gòu)的職責(zé)進行補充，使其發(fā)揮防患于未然的作用。如，首先明確監(jiān)管機構(gòu)受理、查處消費者投訴的職責(zé)，包含對于經(jīng)營者違法收集、使用、泄露個人信息的投訴;其次，賦予監(jiān)管機構(gòu)調(diào)查取證的權(quán)利，對經(jīng)營者收集、使用消費者個人信息的情況隨時跟蹤調(diào)查，有權(quán)要求經(jīng)營者進行解釋說明并采取相關(guān)措施;再次，賦予監(jiān)管機構(gòu)對查證屬實的侵害消費者個人信息權(quán)的經(jīng)營者進行處罰的權(quán)利。職責(zé)的明確有利于監(jiān)管機構(gòu)及時處罰侵害消費者個人信息權(quán)的違法行為，同時監(jiān)管機構(gòu)對經(jīng)營者的威懾作用，也有利于對消費者個人信息權(quán)的維護。在我國，各級人民政府工商行政管理部門一直承擔(dān)著保護消費者合法權(quán)益的職責(zé)，應(yīng)當(dāng)進一步明確其職責(zé)范圍，在查明事實后，對經(jīng)營者作出相應(yīng)的處罰，對消費者作出合理保護，并可根據(jù)實際情況對民事責(zé)任進行調(diào)解。消費者除了可以向監(jiān)管機構(gòu)申請救濟之外，還可以向司法機關(guān)提起訴訟。當(dāng)然，大數(shù)據(jù)時代還要考慮與網(wǎng)絡(luò)安全監(jiān)管部門職責(zé)協(xié)調(diào)的問題?！秱€人信息保護法》專家建議稿起草人、中國人民大學(xué)法學(xué)院張新寶教授曾提到：《個人信息保護法》的立法，還有一些難點問題，比如個人信息的領(lǐng)導(dǎo)監(jiān)管體制問題。我們之前的專家建議稿規(guī)定了以網(wǎng)信辦為主、各行業(yè)監(jiān)管為輔的統(tǒng)籌協(xié)調(diào)機制，但從歷次研討會的情況來看，大家對這種監(jiān)管機制的落地情況存在疑慮。不管個人信息保護法如何設(shè)置監(jiān)管部門，但在消費領(lǐng)域，由工商行政管理部門履行相關(guān)職責(zé)、必要時下設(shè)專門處理網(wǎng)絡(luò)交易糾紛的職能部門是可以實現(xiàn)的。

四、結(jié)語

面對當(dāng)下個人信息安全的嚴(yán)峻形勢，以往的零散法律法規(guī)對個人信息很難給予全面充分的保護，推動立法完善，構(gòu)建個人信息多元保護體系，是大勢所趨。從民法的角度保護個人信息權(quán)，是多元體系中不可缺少的組成部分。2018年9月7日，十三屆全國人大常委會立法規(guī)劃公布，其中條件比較成熟、任期內(nèi)擬提請審議的69件立法法律草案中就包含了《個人信息保護法》。我們期待《個人信息保護法》的早日出臺，在此基礎(chǔ)上，修改完善《侵權(quán)責(zé)任法》和《消費者權(quán)益保護法》，為消費者編織一張便利安全的法律網(wǎng)。