網絡交易消費者的個人信息保護

何培育

（重慶理工大學知識產權學院，重慶市 400054）

我國2014年新修訂的《消費者權益保護法》第29條規定了經營者收集消費者個人信息應當遵守的基本原則及具體條件，該規定對于保障消費者個人信息安全具有十分重要的意義。然而，該法律條文規定得相對比較原則，且針對的是一般消費行為，對電子商務環境下個人信息保護的特殊性并未加以特別關照，因而需要在借鑒國外立法成熟經驗的基礎上加以進一步細化，以增強法律的可操作性與針對性。

一、網絡交易消費者個人信息法律保護立法的國際比較

1.美國個人信息保護立法考察

美國針對個人信息保護采取了法律保護與行業自律相結合的方式。目前，美國聯邦層面尚未制定專門針對網絡消費者隱私權保護的一般性立法，僅針對特定對象頒布了一些法令，如針對不滿十三歲的兒童頒布了《兒童在線隱私保護法案》。美國政府較早就意識到了電子商務環境下個人信息保護的重要性，并于1997年發布了《全球電子商務政策框架》。該框架針對電子商務迅猛發展以及網絡環境下消費者個人信息安全岌岌可危的態勢，特別強化了私營企業在網絡環境下對個人信息的保護力度。該框架提出了兩項保護網絡隱私權的重要基本原則：一是告知原則。網絡經營者在收集公民個人信息時，應當向公民說明信息收集的相關情況。具體而言，網絡經營者應當告知信息主體個人信息收集的動機、信息使用的范圍與方式、保護個人信息安全的制度與技術措施、提供個人信息所得到的回報等內容，以供信息主體在充分考慮各方面因素基礎上作出審慎的決定。二是選擇權原則。公民對與自己相關的個人信息的使用目的、方式等具有完全的自主決定權。信息主體作為權利人，完全有權自主決定是否向網絡經營者披露個人信息，其作出決定的原因并沒有必要向網絡經營者進行解釋，即便信息主體允許網絡經營者收集其個人信息，仍然有權就網絡經營者使用其個人信息的范圍、方式、期限等作出明確的要求。[1]

然而，《全球電子商務政策框架》對消費者個人信息保護的規定非常原則，難以滿足現實需要，以至于有學者認為該法“錯失了一次明確消費者網絡隱私權保障的重要機會”。[2]2010年12月，美國聯邦貿易委員會公布《急速改變時代中的消費者隱私保護報告》，制定了消費者隱私權保護制度框架，特別提出要為消費者和電子商務企業提供簡單易行的保護機制，明確規定了消費者信息選擇權的內容與行使方式，特別強調了消費者信息保護的透明度要求，并公布了“禁止追蹤”（Do-not-Track）計劃，以保護消費者網絡信息不受侵犯。為彌補聯邦層面立法的缺失，美國一些州紛紛開始制定網絡交易中消費者個人信息保護的法律規范。2011年，賓夕法尼亞州眾議院通過一項決議，指出美國聯邦層面缺乏消費者隱私保護立法容易造成嚴重的社會后果，主張聯邦應當盡快通過新的消費者隱私權保護法，并建議聯邦立法應遵循“簡單、靈活、有效執行和減少損害”的立法原則。同時，賓夕法尼亞州眾議院認為，聯邦貿易委員會長期從事網絡民事糾紛處理，積累了豐富的經驗，因此建議由聯邦貿易委員會負責網絡消費者隱私權保護實施工作，還建議對消費者隱私信息進行分類并對消費者因電子商務企業侵權行為遭受損失的救濟方式進行統一。

為回應各州以及聯邦貿易委員會的訴求，美國政府于2012年2月23日公布了《全球數字經濟下隱私保護的創新推動的框架》，重點闡明了政府擬敦促國會通過消費者在線隱私保護法案并將大力推進電子商務環境下消費者個人信息保護制度實施的立場。雖然該框架并非最終立法，但可以預見美國有關消費者在線隱私保護法案的制定與頒布將不再遙遠。[3]

除法律保護之外，美國針對網絡交易中消費者個人信息保護的行業自律模式也一向為各國稱道。具體而言，美國電子商務行業保護消費者個人數據主要采用三種方式：一是通過非強制性的商業指引為電子商務企業保護消費者個人信息提供示范性指導；二是利用技術保護，較有代表性的是互聯網協會提出的個人隱私偏好性平臺技術（P3P）；三是網絡隱私認證機制，比如TRUSTe、BBBONLine、Web Trust等。[4]

2.日本個人信息保護立法考察

日本對網絡交易消費者個人信息保護主要通過以《個人信息保護法》為代表的相關立法進行調整，也取得了較好的法律及社會效果。日本關于消費者個人信息保護的立法早期主要體現為一系列的指導方針，如1988年頒布的《關于民間部門個人信息保護指導方針》以及1989年頒布的《關于民間部門電子計算機處理和保護個人信息的指導方針》。之后，日本政府又對上述兩項指導方針進行了修訂，逐漸完善了關于個人信息保護的行政法規。1999年11月，高度信息化通信社會推動戰略本部通過了《個人信息保護體系的存在方式》的報告，具體提出了行政機關與市場主體保護個人信息的具體措施。2003年，聯合執政黨提出個人信息保護立法修正草案，同年3月《個人信息保護法》、《信息公開與個人信息保護審查會設置法》等五項法案終于在議會獲得通過。至此，日本有關個人信息保護的立法體系基本完成。[5]

（1）個人信息的范圍界定

日本學界有關隱私權保護理論的主流觀點傾向于“個人信息控制權”論。按照該學說，隱私權的實質是個人有權自主決定在什么時間、以何種方式、以何種程度向他人傳遞與自己有關信息的民事權利，簡而言之就是個人擁有對自身可識別信息的控制權。[6]對隱私權保護的對象也經歷了一個發展的階段，早期主要針對不為人所知、不愿或不便為人所知的個人“私事”，隨著社會的發展以及人際交往的日益頻繁，逐步擴展到了可以識別出的個人的所有信息方面，大大拓展了保護的范圍。日本《個人信息保護法》第2條規定，個人信息是指能把在世的某一個人從其他人中識別出來的與之相關的各種信息，包括姓名、出生年月等內容。日本《個人信息保護法》對個人信息的描述主要采用了概括性的立法方式，與單純列舉式的立法模式相比其涵蓋內容更加廣泛，能夠更加靈活地適應信息技術的飛速發展。

（2）網絡交易經營者的個人信息保護義務

企業通過各種方式掌握的關于顧客的個人信息屬于公司的商業秘密，具有很高的商業價值。日本《個人信息保護法》第4章在市場主體保證個人信息安全性方面提出了明確而嚴格的要求，具體包括：①個人信息收集、使用目的明確原則。市場主體在使用數據主體的個人信息時，必須遵從被授權的特定目的，不得超出數據主體授權使用范圍使用個人信息。②個人信息利用限制原則。市場主體未經數據主體同意，不得以任何形式向第三人提供其掌握的個人信息。③個人信息收集限制原則?！秱€人信息保護法》嚴厲禁止市場主體以各種不正當手段獲取個人信息。④個人資料內容完整正確原則。市場主體有義務保持信息內容的正確完整，數據主體個人信息發生變化時，市場主體應當及時對個人信息內容作出變更。⑤個人信息安全保護原則。市場主體必須采取必要的安全管理措施，防止個人信息泄露等風險的產生。⑥個人信息收集、使用公開原則。市場主體通過各種方式取得個人信息后，必須明確公布并告知數據主體其利用個人信息的目的。⑦個人參加原則。數據主體有權對其個人信息進行確認、修訂并要求市場主體停止使用。⑧責任原則。市場主體違反應承擔的個人信息安全保障與管理義務，需要承擔相應的法律責任。這些原則與世界經濟合作與發展組織（OECD）《對個人數據隱私和跨界流動保護準則》所規定的8項基本原則基本一致。

（3）侵害個人信息的法律責任

日本較早的有關個人信息保護的立法，針對侵犯他人隱私權的行為，僅僅規定了民事責任。隨后，日本于2000年7月頒布的《信息安全政策指導方針》以及同年12月頒布的《重要基礎設施網絡襲擊對策特別行動計劃》，對侵害他人個人信息行為的法律責任類型另外增加了行政與刑事責任。日本《個人信息保護法》詳細規定了處罰的原則與具體操作細則，凡違反政府和地方公共團體政策法規以及違反主管大臣改善、終止命令者，都要承擔相應的法律責任。[7]

3.國外個人信息保護制度的比較與啟示

通過對美國和日本個人信息保護制度進行梳理，不難發現兩者之間存在的顯著區別：美國除制定了保護個人信息的相關立法外，還重點通過電子商務企業的行業自律來規范網絡經營者對消費者個人信息的收集與使用行為；而作為具有大陸法系傳統的日本，則針對消費者個人信息保護制定了嚴密的權利、義務、責任體系，并建立了相應的司法與行政救濟措施，有力保障消費者個人信息不受侵犯。相比較而言，美國的個人信息保護制度更多兼顧了電子商務企業的利益，為企業經營提供了更加寬松的政策環境；而日本的立法機制則更加傾向于消費者權益保護，提升了電子商務經營者的注意義務與經營成本。

相比較而言，筆者認為，日本的個人信息保護制度更值得我國吸收和借鑒。首先，我國與日本具有共同的大陸法系傳統，日本通過立法詳細規定消費者個人信息權、市場主體收集與使用個人信息義務以及違反相關義務需要承擔法律責任的做法，更符合當前我國法律制度的現狀，相關法律原則與具體規范更便于我國進行法律移植。其次，美國重點依靠網絡經營者行業自律方式保護消費者個人信息的模式需要一個特定的前提，即電子商務行業發展比較成熟且行業協會具有重要的影響力，能夠對行業內部企業起到有力的約束作用。當前，我國電子商務產業的發展仍然處于不斷探索階段，相關制度和規范尚不健全，特別是電子商務行業協會的作用與美國相比仍然存在較大差距，當前環境下借鑒美國依賴行業自律進行規范的條件尚不成熟。

二、網絡交易消費者個人信息保護立法現狀與問題剖析

我國網絡交易中的個人信息收集與使用過程存在大量的安全風險，隨著網絡技術的不斷發展，團購等新型網絡交易形式也將引發更多的個人信息交易安全風險，[8]亟需對我國現行立法進行審視并不斷完善。

1.我國個人信息保護立法現狀

當前，我國針對網絡交易消費者個人信息保護尚缺乏一部專門的法律進行規范，相關條文散見于一些法律、法規、規章及司法解釋中。較早規定網絡用戶個人信息保護的法律規范包括2000年信息產業部頒布的《互聯網電子公告服務管理規定》以及2007年商務部印發的《商務部關于促進電子商務規范發展的意見》。前者原則性地規定了電子公告服務者進行個人信息保護的義務，后者也僅僅倡導性地規定了電子商務企業應當建立信息安全保障制度，重點防范通過互聯網交易個人信息牟利的違法行為等內容。新修訂的《消費者權益保護法》2014年3月15日生效，其第29條對經營者收集與使用消費者個人信息專門作出了規定。國家工商行政管理總局2014年制定的《網絡交易管理辦法》第18條有關網絡交易中個人信息保護的條文與《消費者權益保護法》第29條相比，除明確針對網絡商品經營者、有關服務經營者外，其他內容基本一致。

2.我國網絡交易消費者個人信息保護制度問題剖析

第一，個人信息權利內容體系不清晰。當前，我國立法中關于個人信息保護的內容散見于一些部門法，特別是有關個人信息權利的內容較為散亂，不利于個人信息侵權法律糾紛的解決與對信息主體的權利保護。

第二，電子商務經營者的消費者個人信息義務不明確?！断M者權益保護法》及《網絡交易管理辦法》規定了電子商務經營者保護消費者個人信息的相關義務，但法律條文較為抽象且缺乏體系，需要進一步細化以增強可操作性。

第三，電子商務環境下個人信息保護侵權責任體系尚不完善。《消費者權益保護法》第50條規定了經營者侵犯消費者個人信息需要承擔的民事責任，除民事責任外，還應進一步加強網絡經營者侵犯消費者個人信息的行政與刑事責任，提高網絡經營者侵權行為的違法成本，增強法律的威懾力以及教育和預防作用。

三、我國網絡交易消費者個人信息保護的立法對策

1.構建個人信息權利內容體系

構建科學、合理的個人信息權利內容體系是保障消費者個人信息安全的前提與基礎。個人信息權是一種新類型的具體人格權，其目的在于使個人能夠以自己的積極行為支配其個人信息，保護其精神人格利益。筆者贊同一些學者的建議，將個人信息權確定為公民的基本權利，并以法律形式固定下來，由全國人大制定統一的法典。[9]筆者認為，個人信息權應當包括信息收集知情權、信息收集選擇權、信息控制權、信息安全請求權等內容。

（1）信息收集知情權

電子商務環境下，大量的消費者個人信息是在消費者本人并不知情的情況下被收集的，而且對于被收集的個人信息將用于何種用途，消費者本人也并不知情，這種行為侵犯了消費者個人信息收集知情權。消費者不僅有權知道個人信息收集主體的準確信息，并且有權明確個人信息收集的范圍、表現形式，還有權知道被收集的個人信息將用于何種用途。

（2）信息收集選擇權

消費者個人信息收集選擇權是指，消費者個人有權選擇是否允許經營者收集其個人信息、選擇收集個人信息的范圍以及信息被收集后的使用方式。為獲得網絡服務，消費者通常需要提供相關的個人信息。這里有必要對經營者要求提交的個人信息予以分類，一般來講與消費者購買行為密切相關的信息才屬于消費者應當提交的范圍，而與購買行為不是密切相關的信息，消費者有權拒絕提供，經營者不得以此為由拒絕為消費者提供網絡服務。

（3）信息控制權

針對經營者向消費者收集的個人信息，消費者有權訪問、查閱、要求經營者提供復制本，有權針對錯誤的個人信息要求經營者予以更改，有權要求經營者刪除那些不再必要的個人信息。總之，盡管消費者向經營者提供了個人信息，但并不喪失對個人信息的控制權，可以通過合理的方式要求經營者保存的個人信息準確、完整，且有權在交易結束或消費者認為必要且不影響經營者合法利益的情況下要求經營者刪除消費者個人信息。

（4）信息安全妨害排除請求權

電子商務經營者作為個人信息的收集者，同時負有保障消費者個人信息安全的義務，一旦經營者違法使用消費者個人信息或由于外部原因導致信息泄露的，消費者有權要求經營者采取必要、合理的措施保障其個人信息安全。如經營者拒絕采取必要措施或技術手段保障消費者個人信息安全，消費者有權向經營者主張其承擔損害賠償責任。

2.明確電子商務經營者的個人信息保護義務

電子商務經營者是個人信息保護法律關系中的義務主體，有義務保障消費者實現個人信息權。具體而言，電子商務經營者主要應當承擔三個方面的法律義務：

第一，信息收集合法義務。該義務又包含目的合法、程序合法、方式合法三項內容。經營者通常都是以特定目的來收集個人信息的，該目的必須限于合法的商業用途，不得以非法目的收集個人信息。經營者收集個人信息必須符合法律要求的合法程序，必須對消費者進行明確的提醒并在確認征得消費者同意的情況下進行收集，如未經消費者許可收集消費者個人信息則構成侵權。另外，經營者收集消費者個人信息的方式也應當符合法律規定，不得使用木馬程序、蠕蟲病毒等威脅網絡安全的方式收集。

第二，信息使用合法義務。經營者在使用消費者個人信息的過程中也應當符合法律規定，應當在信息主體授權的范圍之內用于合法的商業目的。除法律另有規定外，任何未經消費者許可的使用行為、超出消費者授權范圍的使用行為以及出售、轉讓、傳輸個人信息等行為，均有可能構成侵權行為并承擔法律責任。

第三，信息安全保障義務。經營者應當采取適當的技術措施，防止網絡系統遭受攻擊而造成個人信息泄露。具體而言，應當做到以下幾個方面：電子商務系統研發人員在設計網絡系統的過程中應當盡力避免出現程序“漏洞”，一旦發現“漏洞”，應當及時安裝“補丁”；在電子商務經營者內部網與外部網之間、網絡與儲存介質之間采取物理隔離等安全手段，防范通過外部網入侵內部網的行為；避免存儲涉密信息的儲存介質在外部網計算機上使用；為網絡系統安裝有效的防火墻程序，進行過濾設置與控件屏蔽設置，避免非法入侵者繞過防火墻進行竊密；采取積極的入侵檢測、鑒別、取證等安全防御措施，檢測與屏蔽各種網絡欺騙與入侵行為。

3.完善個人信息侵權法律責任制度

當前導致電子商務環境下個人信息保護危機凸顯的一個重要原因在于，個人信息侵權行為難以受到法律追究，這在一定程度上縱容了個人信息侵權現象的泛濫。個人信息保護法是著眼于問題和目的的部門法，同時也是公私混合的領域法，[10]為了使個人信息能夠獲得全面保護，需要從民事、行政、刑事等三個方面入手來完善個人信息保護法律責任制度。

（1）在民事責任方面，筆者認為，首先個人信息侵權適用過錯責任原則。其次，個人信息侵權責任認定應當具備以下四個要件：一是侵害行為。電子商務環境下的個人信息侵害行為具體表現為個人信息違法收集、個人信息違法使用以及違反安全保障義務的侵害行為。個人信息收集方面的侵害行為包括欺騙性地收集消費者個人信息、未經許可收集消費者個人信息以及通過購買方式收集個人信息。個人信息使用方面的侵害行為包括非法二次開發利用個人信息、非法出售或轉讓個人信息、非法泄露個人信息等。網絡經營者未采取適當技術與管理措施造成消費者個人信息泄露的同樣構成侵害行為。二是損害后果。電子商務環境下的個人信息侵權損害后果包括財產損害與精神損害兩種。財產損害包括直接損害（如因消費者銀行卡等財務信息泄露而造成的金錢損失）與間接損害（如消費者可期待經濟利益遭受的損失）兩種。精神損害指由于消費者個人信息被泄露或非法使用而造成的消費者的精神創傷或精神痛苦。三是因果關系。從平衡信息權人與行業發展的角度分析，筆者認為應適用相當因果關系規則，即行為人針對信息主體實施了加害行為，其危害程度足以導致消費者個人信息權受損時，即可認定行為與損害后果之間具有因果關系。四是主觀過錯。行為人的故意主要體現為，未經消費者許可以贏利為目的收集、出售個人信息；過失主要體現為，對網站疏于管理，造成他人輕易入侵網站導致個人信息泄露后果等。其三，在侵權責任承擔方面，新修訂的《消費者權益保護法》第50條明確規定，經營者侵害消費者個人信息權應當承擔停止侵害、恢復名譽、消除影響、賠禮道歉并賠償損失等責任。特別需要關注的是，個人信息權屬于人格權的內容之一，因此消費者個人信息權受到侵害時，有權要求加害人承擔精神損害賠償責任。

（2）在行政責任方面，我國《消費者權益保護法》第56條規定了侵犯消費者個人信息的行政責任，并通過記入信用檔案、向社會公布等方式增強對不法經營者的震懾力，有助于個人信息得到更好的保護。但由于網絡經營者侵犯消費者個人信息的行為往往比較隱蔽，筆者建議我國設立專職部門負責查辦此類案件，同時增強調查取證的水平，加大對違法行為的打擊力度，保障相關制度措施取得實效。

（3）我國現行《刑法》第253條規定，出售或非法提供公民個人信息情節嚴重者要承擔刑事責任。該條規定自納入《刑法》以來在現實中較少適用，其主要原因在于，《刑法》第253條約束的重點是國家機關或金融、電信、交通、教育、醫療等單位及其工作人員等特殊主體，而對于一般主體是否適用該條規定則比較模糊。另外，只有在符合“情節嚴重”的條件下，才能追究行為人的刑事責任，而“情節嚴重”的標準在司法適用中不甚明確。筆者建議，將第253條針對特殊主體與普通主體的刑事責任法律適用加以區分，同時對“情節嚴重”作出進一步的解釋，以便司法適用并打擊犯罪行為。

＊本文系國家社科基金重大項目課題“國家網絡空間安全法律保障機制研究”（項目編號：13&ZD181）的階段性研究成果。

[1]郎慶斌.國外個人信息保護模式研究[J].信息技術與標準化，2012（1）：22-24.

[2]See Joel R.Reidenberg.Restoring Americans'Privacy in Electronic Commerce[M].Berkeley Tech.L.J.，1999：771-772.

[3]牟凡.中美電子商務消費者隱私權保護制度比較研究[D].南京：南京大學，2012：17.

[4]華劼.網絡時代的隱私權——兼論美國和歐盟網絡隱私權保護規則及對我國的啟示[J].河北法學，2008（6）：10.

[5]、[7]謝青.日本的個人信息保護法制及啟示[J].政治與法律，2006（6）：152-153.

[6]奧平康宏.知情權[M].巖波書店，1981：384.

[8]王芳云，張炳發.我國網絡團購風險的成因與對策建議[J].中國流通經濟，2013（2）：62.

[9]米鐵男.中國電子商務領域隱私數據保護研究[J].學術交流，2013（7）：41.

[10]齊愛民.論個人信息保護法的地位與性質[J].中國流通經濟，2009（1）：65.