網購消費者個人信息受侵害的民法救濟

李貴嬌

(福建師范大學法學院，福建福州 350100)

對于權利來說，沒有救濟就相當于沒有權利，對個人信息受侵害的網購消費者來說，民法救濟的重要性已不言而喻。2014年3月19日，中國電子商務研究中心發布的《2013年度中國電子商務市場數據檢測報告》中指出電子商務的網購用戶規模:截止到2013年12月，中國網購用戶規模達 3.12億人，同比增長26.3%，而2012年用戶規模為2.47億人。我們可以從中得知，網購消費者的人數已經達到了一定的規模。網絡消費與現實生活消費不同，由于網絡的虛擬性、第三方交易平臺、支付寶等付款機構的介入，使得消費者在網絡中的每一次消費都會留下個人信息的痕跡，讓消費者與經營者之間有了更多的聯系，而且消費者除了與經營者有聯系以外還與第三方交易平臺、第三方支付平臺有了關聯。相對來講，網購消費者個人信息被非法收集和非法使用的可能性、危險性遠遠超過現實生活中的消費者。2014年“3·15”期間，消費者紛紛熱議網絡信息安全問題。此外，據中國電子商務投訴與維權公共服務平臺透露，網絡支付中有關支付數據被篡改、遭遇異地盜刷的投訴不在少數，令網購消費者防不勝防。當網購消費者的個人信息被侵害之后請求民法救濟時，無論是在請求救濟主體、救濟對象還是侵害行為等方面的確定都有一定的不同以及更為困難的地方。在網購消費者的個人信息受侵害后，平等主體之間的糾紛訴諸于民法的保護居多，雖然在《新消法》中明確了對于消費者個人信息的保護，但是在民法中卻沒有針對于個人信息的保護，這造成了網購消費者個人信息受侵害后的民法救濟問題在現實司法中的缺陷，不利于對網購消費者權益的保護。基于救濟的迫切性，厘清網購消費者在其個人信息受侵害后的民法救濟問題是很有必要的。

一、請求救濟的主體

(一)網購消費者

消費者是指為生活消費需要而購買、使用商品或接受服務的人。網購消費者也是消費者的一種，但是與一般的消費者相比，網購消費者又有不同之處，它是指利用網絡為媒介為生活需要而購買、使用商品或接受服務的人。網購消費者在網購過程中一般會與網絡服務提供者、第三方交易平臺、經營者、第三方支付平臺或網上銀行、快遞服務商等發生聯系。網購消費者在網購之前需要利用網絡服務提供者提供的網絡在想要購買商品或接受服務的第三方交易平臺登記注冊，因此而會留下如賬號、密碼、身份證號碼等個人信息。網購通常伴隨著快遞服務，網購消費者需要留下真實的聯系方式、地址、收件人姓名等資料。網購消費者作為個人信息的所有者，在其個人信息遭受侵害之后，當然有權請求民法救濟。

(二)消費者協會

《新消法》第三十七條第七項的規定明確了在救濟消費者的權益時，消費者協會有其獨立的訴訟地位。因此，消費者的個人信息作為《新消法》新的保護對象，在其受到損害時，消費者協會當然可以提起訴訟。由于網購是通過網絡進行的，部分網購消費者都缺乏網絡技術的知識，很可能在網購消費者毫不知情的情形下使個人信息被侵害。而且對于需要通過第三方交易平臺、第三方支付平臺來完成交易的網購消費者的個人信息的侵害往往是大面積的侵害，各個消費者只是通過網絡聯系在一起，基于減少訴訟成本，網購消費者分散以及加大對侵害人的打擊力度的考慮，在網購消費者未提出異議時應由消費者協會作為直接請求救濟的主體。當然，如果只是個別網購消費者的個人信息受侵害，還是以網購消費者作為第一請求救濟主體，但是消費者協會應支持其提請訴訟;在其提起訴訟存在困難時，在經其同意后，由消費者協會提起訴訟。

二、請求救濟的對象——個人信息

(一)個人信息的含義

《新消法》第十四條明確表示了消費者享有個人信息依法得到保護的權利;第二十九條更為具體的規定了對消費者的個人信息的保護。但是，對于消費者的個人信息的概念以及范圍都沒有明確規定，更別說是網購消費者的個人信息概念與范圍。2013年9月1日開始實施的《電信和互聯網用戶個人信息保護規定》第四條規定了電信和互聯網用戶個人信息的范圍。①個人信息的重要判斷基準為是否有助于識別個人特征，人們對其的定義大多采取列舉加兜底性特征描述的方法。在個人信息的定義中，“識別”是關鍵性的詞匯。識別又可以分為直接識別和間接識別。直接識別指的是通過可以直接確認本人身份的個人信息來確認，通常是個人獨一無二的信息，例如身份證號碼、基因等。而間接識別指的是現有信息無法直接確認當事人的身份，需要借助其他個人信息的比對進行綜合分析才能確定當事人的身份。[1]例如，我們無法通過姓名直接確定當事人的身份，因為可能存在同名的情況，但是我們可以結合生日、地址、電話號碼、性別等其他信息進行核對從而確認出當事人的身份。在網購過程中，第三方購物平臺都需要網購消費者注冊成自己的會員，并留下能識別他的信息。對于網購消費者的個人信息，結合其他法律和學者的觀點，筆者認為，可以定義為網購消費者的賬號、密碼、真實姓名、出生日期、身份證號碼、住址和電話號碼等能夠單獨或者與其他信息結合識別用戶的信息以及用戶使用服務的時間、地點、網頁瀏覽記錄以及消費過的商品或服務記錄等信息。對于未列舉的諸如戶籍、遺傳特征、指紋、婚姻、家庭、教育、職業、健康、病歷、財務情況、社會活動等個人信息在收集時就不在“必要”之列。

(二)個人信息的請求權基礎

有學者認為，個人信息應作為財產權加以保護，因為個人信息具有價值，網絡經營者利用收集到的消費者個人信息分析消費者的個人愛好、消費習慣等從而尋找商機。而有的個人信息更是直接就具有財產性質，如支付寶賬號。還有學者認為，個人信息可以作為隱私權來加以保護，按照我國王利明教授的說法，隱私是個人不愿意他人侵入或者是他人知曉的私人領域，隱私跟公共利益是無關的。[2]這顯然與個人信息不符，因為網絡消費者的很多個人信息是消費者自愿提供給網絡經營者的。但大多數學者還是將其看作人格權來保護的，“個人信息權”理論是順應信息社會的發展需要而出現的。如王澤鑒先生所言，當某種法益在現實生活中具有相當程度的重要性時，“或直接經由立法，或間接經由判例學說被賦予法律效力，使其成為權利。[3]又如周漢華所說，“個人信息所體現的利益是一種新型的利益，他是公民人格利益的一部分，對于這個新型的利益，我們應該賦予它一個獨立的權利。”[4]筆者也認為，應將個人信息作為單獨的一種人格權進行保護，雖然個人信息具有一定的財產屬性，但更多的是體現一種人格利益，其財產屬性也是通過人身屬性間接體現出來的，應當說是一種兼有財產屬性與人身屬性的人格權。

三、侵害網購消費者個人信息的行為類型

(一)非法收集網購消費者個人信息

1.過度收集網購消費者的個人信息

網購消費者若欲通過網絡商家購買商品或提供服務，一般都要按照網絡商家的要求登記注冊一個獨屬于自己的賬號、密碼，并在注冊時留下消費者的個人信息，諸如真實姓名、出生日期、身份證號碼、住址和電話號碼等。由于網絡的虛擬性，網絡商家為了識別消費者以及更好地管理，合理、必要地收集消費者的個人信息也是無可厚非。但是，有些網絡商家除了收集上述信息外還要收集諸如戶籍、遺傳特征、指紋、婚姻、家庭、教育、職業、健康、病歷、財務情況、社會活動等與購物不慎相關的個人信息，這明顯侵害了網購消費者的個人信息。在這種侵害行為中，過度收集網購消費者的個人信息的網絡商家就是侵害人。

2.未經許可收集網購消費者的個人信息

《新消法》明確規定經營者收集消費者個人信息要經過消費者的同意。網絡經營者在未經網購消費者許可或者在消費者完全不知情的情況下，通過具有追蹤功能的軟件來追蹤消費者的瀏覽蹤跡，進而收集消費者的網絡活動信息，并用于其他商業目的，這嚴重侵害了消費者的個人信息，屬于侵權行為。在這種侵害個人信息的行為中，使用追蹤軟件未經許可收集個人信息的網絡商家就是侵害者。

3.通過買賣方式收集網購消費者個人信息

在網購方式日益發達的時代，大量的網購消費者的個人信息在網絡經營中愈來愈起到舉足輕重的作用。在大多數情況下，網絡商家追逐利潤的關鍵是其所掌握的消費者的個人信息的多少。因此，許多網絡商業機構為謀取更大的商業利益，會直接購買消費者的個人信息。通過買賣方式收集網購消費者的個人信息的網絡商家就是侵害人。

(二)非法使用網購消費者個人信息

1.非法泄露個人信息

在網購過程中收集到網購消費者個人信息的所有經營者對于所收集到的個人信息都有保密的義務，故意或者過失泄露個人信息的，是對該保密義務的違反，導致網購消費者的個人信息非法泄露，是對個人信息的一種侵害行為。由于網絡的虛擬性，時常會發生或者可能發生信息泄露、丟失的情況，在這種情況發生時，網絡經營者應立即采取補救措施，譬如履行通知義務、采取技術手段加強網絡防御等。如果網絡經營者未采取補救措施，則應當承當責任。

2.非法出售或向他人提供個人信息

如今，網購消費者的個人信息的商業價值越來越凸顯，擁有消費者的個人信息數量的多少決定著網絡經營者競爭力的大小，這就引誘著手中掌握消費者個人信息的網絡經營者或其職員向他人出售或者提供消費者的個人信息。這種未經消費者同意出售或非法提供個人信息的行為侵害了消費者的個人信息，出售者或非法提供者是侵害人。

3.未經許可(明許/默許)向消費者發送商業信息

網購消費者要在網絡上購買商品或享受服務，首先要知道關于商品或服務的商業信息。無論是否合法擁有消費者個人信息的經營者，如果為了銷售自己的商品或服務不顧消費者的個人意愿通過電子郵件、電話、短信等方式向其發送商業信息，都是對消費者個人信息的濫用，侵害了消費者的個人信息，侵害人就是濫發商業信息者。閱讀以及刪除商業信息占用了消費者的時間，接受過多擾人的商業信息會給消費者的正常生活造成不良影響。所謂“不顧消費者意愿”，包括消費者的明示不許可和默示不許可，明示不許可包括明確拒絕接收商業信息、事先告知經營者不接收商業信息等;默示不許可包括對于接收到的商業信息無回應等。

4.不當二次開發個人信息

個人信息的二次開發是網絡經營者利用各種手段收集獲取的個人信息，構建個人信息庫，通過對庫中的個人信息的整理、分析、挖掘、提煉出對商家的生產經營、營銷戰略有用的、有商業價值的、未透露的用戶信息并為之利用。[5]經營者對個人信息的合理的二次開發是允許的，然而在現實生活中，網絡經營者經常做的則是根據他們分析出來的消費者的消費偏好，不經消費者同意就強制性向消費者的郵箱或手機里發送各類廣告信息，直接影響了消費者的日常生活。這就是不當利用二次開發的個人信息。

(三)第三方通過網絡商家侵害消費者個人信息

對于侵害網購消費者的侵害人不局限于其相對人即經營者。對于經營者盡到保密義務，但是非法獲得者比如黑客、盜竊者等通過網絡攻破、現實盜竊等方式非法獲得消費者的個人信息的行為也侵害了消費者的個人信息。消費者應先向非法獲得者請求救濟，在找不到真正侵害人時，若經營者有過錯，則由經營者承擔賠償責任。若經營者無過錯，根據公平原則，則由經營者根據實際情況，給予消費者一定的補償。

四、民法救濟的制度要素

(一)歸責原則的確定

所謂歸責原則，是確定侵權人承擔侵權損害賠償責任的一般準則，它是在損害事實已經發生的情況下，為確定侵權人對自己的行為所造成的損害，以及對自己所管領下的人或者物所造成的損害是否應當承擔賠償責任的原則。[6]我國的侵權責任法規定了三種歸責原則:過錯責任原則、過錯推定原則、無過錯責任原則。針對侵害網購消費者個人信息的歸責原則，有學者主張其屬于一般侵權行為，應當適用過錯歸責原則。[7]筆者也認為針對侵害網購消費者個人信息的行為應當適用過錯責任原則。民事侵權是在平等主體之間發生的，適用過錯原則符合自羅馬法以來在平等主體之間追求的公平原則以及私法自治原理。而且縱觀侵害網購消費者個人信息的行為絕大部分的侵害人是網購經營者，其侵害了消費者的個人信息是要受責難的，但過于苛責經營者也不利于網絡交易的發展。

(二)舉證責任的確定

網購消費者在受侵害之后，請求民法救濟需要相關的證據來支持其請求。法律規定在一般情況下，誰主張，誰舉證。可是在現實中，同一網購消費者往往在不同的網絡商家處登記注冊時提供過自己的個人信息，這會導致在同一時段會有多家經營者掌握消費者的個人信息。在這樣的情況下，要網購消費者提供證據證明有哪些經營者侵害了其個人信息是非常困難的，也是不公平的。因為網購消費者一般都不是網絡精通人員，不太了解網絡技術、網絡運營等，要其承擔舉證責任有失公平。網購消費者相當于網絡經營者來說，處于弱者的地位，為了消費者能更有利地保護個人信息，筆者認為應采取舉證責任倒置，由侵權人承擔證明其沒有侵害消費者的個人信息的責任，如其無法提供，就由侵權人承擔不利后果。當然，這并不是說網購消費者對于自己的請求就不承擔任何的舉證責任，即在其提出請求時應該承擔證明侵害人侵害個人信息的行為是真實存在著的舉證責任。法律的一項重要職能就是保護弱者，倘若要網購消費者在其個人信息受侵害中承擔舉證責任，那么后果就只會是強者更強，弱者更弱，這與法律的正義目標是背道而馳的，所以采取舉證責任倒置才是符合正義的。

(三)損害賠償問題分析

《侵權責任法》第三十六條規定的制定，對網購中消費者個人信息的保護也具有重要的指導意義。[8]所謂沒有救濟就沒有權利，而受侵害人所求救濟的結果往往是損害賠償。對于侵害個人信息的損害后果，可能是物質上的損害、人身上的損害、還可能是精神上的損害，對于責任的承擔則涉及到物質上的賠償以及精神損害賠償。網購消費者被侵權后，侵權責任承擔問題也往往是其最關心的問題。

1.一般侵權責任的承擔

《新消法》第五十六條第一款規定，經營者侵害消費者個人信息依法得到保護的權利的，除承擔行政責任外，還要承擔相應的民事責任。網絡消費者的個人信息受到他人侵害后，侵害人應當承擔侵權責任。而《侵權責任法》第十五條規定了承擔侵權責任的方式，這些承擔侵權責任的方式可以單獨適用，也可以合并適用。但是由于網購消費者個人信息一旦泄露并為他人所知是不可逆轉的特殊性，所以在當發生侵害請求侵害人承擔侵權責任時應采取的方式有:停止侵害，排除妨礙，消除影響，恢復名譽，賠償損失，賠禮道歉。而《新消法》第五十條恰恰也是這樣規定的，只是它限定了侵害主體——經營者。也許侵害網購消費者個人信息的主體不只是經營者，在可以找到具體侵權人時，不應限定承擔責任主體于經營者。網購消費者的個人信息無論是作為隱私權或人格權的一部分來保護，或是作為法律單獨保護的對象，雖然它本身日益具有商業價值但是都不能作為財產權的一部分，而應屬于人身權益部分，當網購消費者的個人信息一旦被非法泄露或使用后，很可能造成被侵害人嚴重的精神損害，這時被侵權人就可根據《侵權責任法》第二十二條的規定請求精神損害賠償。

2.懲罰性賠償的適用

《新消法》對于懲罰性賠償的規定有一定的修改，但是它還只是針對經營者的欺詐行為以及明知商品或服務有缺陷仍向消費者提供而造成嚴重損害的。人大代表朱海燕建議，對擅自公開、出售或不當使用網購客戶個人信息，造成客戶權益受到損害的，有關部門要加大懲罰力度，可考慮實行懲罰性賠償金制度，明確精神損害賠償范圍，以此增加泄露個人信息的企業違法侵權成本。[9]懲罰性賠償對于經營者來說有一定震懾作用。但近幾年來，網絡經營者憑借其自身強勢地位侵害網購消費者個人信息事件有增無減，可見刑法以及其他法律、規章等對個人信息的保護是遠遠不夠的。網購消費者向網絡經營者提供的個人信息足以威脅到其個人隱私、安全等權利，非法使用或泄露嚴重損害了其利益。當前，為了在根源上遏制網購消費者個人信息被侵害，借鑒《新消法》上的懲罰性賠償不失為一種良策。一旦發生網購消費者的個人信息被網絡經營者或第三人非法收集、非法使用，網絡經營者或第三人都應受到懲罰性賠償責任的追究。這樣有助于在源頭上遏制侵害行為，能更好地維護網購消費者的個人信息權益。

在網購消費者的個人信息受到侵害之后，消費者有權請求民法上的救濟。由于網絡的虛擬性、傳播性，網購消費者的個人信息受侵害之后的危害性較大，救濟也更為迫切，所以追求更強有力的救濟。希望本文的分析對網購消費者的個人信息受侵害后請求民法上的救濟有所幫助。

注釋:①《電信和互聯網用戶個人信息保護規定》第四條:電信和互聯網用戶個人信息是指電信業務經營者和互聯網信息服務提供者在提供服務的過程中收集的用戶姓名、出生日期、身份證件號碼、住址、電話號碼、賬號和密碼等能夠單獨或者與其他信息結合識別用戶的信息以及用戶使用服務的時間、地點等信息。

[1]齊愛民.拯救信息社會中的人格——個人信息保護法總論[M].北京:北京大學出版社，2009.

[2]王利明.人格權法新論[M].吉林:吉林人民出版社，1994.

[3]王澤鑒.民法總則[M].北京:中國政法大學出版社，2001.

[4]周漢華.中華人民共和國個人信息保護法(專家建議稿)及立法研究報告[M].北京:法律出版社，2006.

[5]郎慶斌，孫毅，楊莉.個人信息保護概論[M].北京:人民出版社，2008.

[6]楊立新.侵權責任法[M].北京:法律出版社，2010.

[7]楊立新.侵權責任法條文背后的故事與難題[M].北京:法律出版社，2011.

[8]林李金.淺論電子商務中消費者隱私權的保護[D].蘇州大學，2010.

[9]陳麗平.網購客戶個人信息保護應予加強[N].法制日報，2014－03－12.