大型商業企業消費者數據的法律規制

楊麗薇

【摘要】大數據時代，大型商業企業為了提高企業效益，實現線上線下聯營機制，紛紛加入了消費者數據挖掘的大潮。然而，大型商業企業在對消費者數據進行收集、利用和保護的過程中暴露出很多問題，使得信息安全事件頻發，消費者個人信息屢遭侵犯，甚至造成更嚴重的后果。而我國現有法律法規不完善也是造成該問題的主要原因。因此，探究我國消費者數據法律規制的現狀及問題，并提出完善我國法律法規的建議對于保護消費者個人信息顯得尤為重要。

【關鍵詞】消費者數據 個人信息 法律規制

一、大型商業企業消費者數據被侵犯的現狀

（一）商業企業過度收集消費者數據

依據我國法律規定，商業企業在收集消費者數據時應方式合法、目的正當、收集信息的范圍要必要。然而，在實際生活中，由于這些規定缺乏可操作的細則，往往導致消費者權益受損，維權難。目前，商業企業在收集消費者數據時存在以下幾方面問題：1、收集消費者數據主體不明確。總的來說，在線上線下交易中，主要由辦理會員卡的業務人員及平臺終端技術人員收集消費者數據。他們通過收集消費者的個人信息、個人喜好、瀏覽痕跡等，并用其分析消費者行為偏好。然而，這兩類人員范圍廣，人數多，極易造成消費者數據泄漏等不良后果。2、收集消費者數據的范圍過大。作為商業企業，收集消費者的性別、年齡、電話等個人基本信息實屬必要，收集與消費者實際需要、商家服務無關的個人收入、家庭情況等則超過了必要限度。

（二）商業企業違法使用消費者數據

商業企業不僅要合法收集消費者數據，還應當合法使用消費者數據，即將這些數據用于本企業的經營用途。根據CNNCI發布的《2015年中國網絡購物市場研究報告》，數據顯示，2015年83.5%的用戶察覺到并明確表示網購平臺根據自己的瀏覽痕跡推薦商品，這一比例較2014年提升25.9個百分點。[1]其實，在網絡交易過程中，商家利用消費者的瀏覽痕跡或訂單向消費者推薦商品的現象普遍存在于各個購物網站，這已經成為了商家的一種營銷手段。

（三）商業企業泄露消費者數據

商業企業泄露消費者數據分為兩種情況：一種是故意泄露，例如商家未經消費者同意將收集到的消費者數據與相關企業共享、與其他企業進行交換、將消費者數據明碼標價賣于其他企業或個人由此牟利。另一種是無意泄露，即不主動、惡意泄漏消費者數據，但對本企業獲得的消費者數據不加以嚴格保護。例如，商家不采取技術措施對網站安全漏洞進行修復。

二、我國消費者數據法律保護的現狀及問題

（一）我國消費者數據法律保護現狀

在我國，有關消費者個人信息保護的法律規制散見于法律、行政法規、地方性法規等多項條文中，然而在消費者個人信息保護領域卻尚未制定一部專門的法律。有關消費者個人信息保護的多項條文雖然顯示出我國近年來對消費者個人信息的重視程度日益加強，但由于其缺乏操作性、明確性，且內容龐雜，在實際生活中并未起到良好的保護作用。其中最為突出的就是于2017年6月1日起正式施行的《網絡安全法》，該法第四章主要規定了關于網絡個人信息保護的內容，同時，該法還規定倒賣個人信息可入罪。刑法修正案（九）明確規定了侵犯公民個人信息罪，將通過各種途徑非法獲取公民個人信息、侵犯公民個人信息的行為都納入了保護范圍。刑法有關法律的增加和修改無疑對打擊犯罪行為展現出其強制力和威懾力，對遏制網絡隱私侵權犯罪、保護公民的個人信息具有重要意義

（二）我國消費者數據法律保護中存在的問題

縱觀我國網絡個人信息的相關立法，不難看出，雖然我國在保護公民個人信息立法方面日益精進，但仍然存在很多問題。第一，尚未形成統一立法，缺乏明確性、可操作性。有關個人信息保護的立法散見于不同的法律法規中，相關規定多數較為籠統，在實際操作過程中往往會導致不同規定之間產生沖突或者在實踐適用中找不到具體標準，可實施性不強。例如，《電信和互聯網用戶個人信息保護規定》，該法規對于個人信息泄露的有關規定比較籠統，對于法律責任的界定缺乏量化標準。第二，立法保護程度較低、保護涉及面較窄。我國對于隱私權、公民個人信息權的保護基本上都是民事或刑事層面規定的，但現實中存在尚未達到犯罪標準，而又難以追究民事責任的大片“責任真空地帶”，此時就需要行政立法對其加以填補。第三，規制主體不全面，對保護的基本原則、主要內容等規定粗泛。消費者在網購中遭到侵犯個人信息權的事件屢見不鮮，而電商平臺往往將責任推到物流等第三方，造成消費者維權難。筆者認為，究其根源，消費者是因為信任商家才被動接受了其選擇的物流方等第三方，因此，商家應對第三方的侵權承擔連帶責任。

三、完善我國消費者數據保護的法律規制建議

（一）制定保護消費者數據的專門立法

隨著信息技術的快速發展，越來越多的企業對消費者數據進行挖掘，以此來研究消費者的行為偏好，實現擴大經營，提高經濟效益的目的。然而，由于現行法律關于消費者個人信息的保護還不完善，使得企業侵犯消費者信息的事件頻頻發生。因此，筆者認為，完善我國消費者數據保護的法律規制十分必要。

（1）針對大型商業企業挖掘消費者數據行為的法律規制方法。對消費者數據挖掘的主體進行限定，只允許商家內部從事數據挖掘工作的專業技術人員對消費者數據進行搜集、整理，并賦予這類從事從事數據挖掘工作的專業技術人員以保密義務，承擔比其他人違法挖掘消費者數據更重的責任。限定消費者數據挖掘的對象范圍，企業只能對自己的客戶群體及潛在的客戶群體進行數據挖掘，企業之間不得對自己收集的消費者數據進行共享、互換等。限定消費者數據挖掘的內容，規定企業進行消費者數據挖掘時只能挖掘和消費者消費行為相關的信息，例如：行為偏好，而不能涉及其個人隱私。第四，數據挖掘的手段應合法，商家只能通過會員證辦理、做問卷調查、詢問消費者等公開合法的方式對消費者數據進行挖掘。

（2）針對大型商業企業利用消費者數據行為的法律規制方法。規定企業利用消費者數據的目的應正當，只能將其用于企業針對性的營銷活動中，而不能將收集的消費者數據信息出售給他人用于牟利或其他不正當目的。限定數據使用范圍僅限本企業，不能提供給他人使用。利用數據的方式和手段應該合法，不得披露不應公開的內容，泄露消費者的信息。

（3）針對大型商業企業保護消費者數據行為的法律規制方法。規定企業應加強自身監管，賦予專門從事數據挖掘的技術人員、能夠接觸到消費者數據的人員乃至整個企業對消費者數據承擔保密義務，保證數據安全。規定企業應加強技術防范，防止數據被其他其他企業或人員盜用。企業不主動加強技術防范造成消費者數據泄漏、個人信息被侵犯的，視為企業消極的不作為，其與竊取消費者數據的加害方應承擔連帶責任。

（二）確立個人信息權

正如王澤鑒先生所言，當某種法益在社會生活中具有相當程度的重要性時，“或直接經由立法，或間接經由判例學說被賦予法律效力，使其成為權利”。基于個人信息的重要性、保護個人信息的必要性，以及借鑒歐美國家的先進經驗，筆者認為我國應在民法中確立個人信息權，將其作為人格權加以保護。以此使得關于個人信息的保護更系統，更好的維護消費者的信息權。

四、結語

綜上所述，消費者權益保護法等有關保護公民個人信息的法律雖然在很大程度上對大型商業企業收集、利用、保護消費者數據提供了法律支撐，但由于其缺乏明確性、可操作性，使得實踐中暴露出很多問題。本文僅從法律規制的角度對大型商業企業的消費者數據問題進行了探析，筆者認為，若想推動國內個人信息立法的發展，改變目前國內個人信息保護水平落后于西方的窘境，還需要加強商業企業行業自律、提高消費者信息保護意識等一系列舉措的配合。

參考文獻：

[1]中國互聯網絡信息中心. 2015年中國網絡購物市場研究報告[EB/OL].網站，2017.

[2]張志彤，龔肄茹，秦雨晨.電子商務中消費者的個人信息保護研究[J].才智，2016，（20）.endprint