論網絡營銷中侵犯個人信息權的法律保護

李佳潤

論網絡營銷中侵犯個人信息權的法律保護

李 佳 潤

（江蘇師范大學? 法學院，江蘇? 徐州? 221000）

摘 要：網絡營銷在給消費者帶來便利的同時，也帶來了個人信息泄露的隱憂。目前，網絡平臺經營者正從技術層面保護消費者個人信息權，公安機關擴大了網絡警察力量，立法、學界加強了立法研究，大大推進了我國公民網絡營銷中個人信息權保護的法治進程，促進了法律保護。但是，2018年網絡營銷個人信息重大侵權事件多發，立法及理論尚有問題需要探討。

關鍵詞：網絡營銷;個人信息;法律保護

中圖分類號：D922.8? ? ? ? 文獻標志碼：A? ? ? 文章編號：1673-291X（2019）24-0197-03

一、問題緣起

據《360：2018年中國互聯網安全報告（個人安全篇）》報告，2018年全年，360互聯網安全中心共截獲移動端新增惡意程序樣本約434.2萬個，平均每天新增約1.2萬，新增惡意程序類型中隱私竊取高達33.7%。2018年360手機先賠共接到手機詐騙舉報7 716起。其中，詐騙申請為3 380起，涉案總金額高達1 927.9萬元，人均損失4 969元。回顧2018年，國內營銷網絡侵權事件頻發，2018年5月江蘇淮安警方成功偵破一起公安部督辦的“黑客”非法入侵快遞公司后臺竊取客戶信息牟利案件，抓獲犯罪嫌疑人13名，繳獲非法獲取的公民信息近1億條。隨后曝光的有喜達屋酒店預訂的5億名客人的信息被泄露，華住集團旗下酒店5億條用戶信息泄露，暗網上有人兜售圓通10億條快遞數據。這些事件，再一次將網絡營銷個人信息法律保護問題擺到了政府有關部門及理論界、實務界的面前。筆者認為，網絡營銷中個人信息的概念及特征尚不夠明確，認定責任要件有待界定，法律法規亟待完善。

二、網絡營銷中個人信息的概念及特征

（一）網絡營銷中個人信息的概念

個人信息是指可以直接或間接識別權利主體的信息。網絡營銷中的個人信息是指，消費者填寫由網絡經營者以電子形式保存，在網絡營銷環境下傳播或有可能傳播于網絡的涉及特定消費者的數據或資料。包括個人實名、真實手機號碼、身份證號碼、郵件寄出地、接收地、家庭住址、工作單位、指紋、不動產等可以用來直接識別特定消費者個人的信息。網絡營銷環境下的個人信息主要包括兩大類：一類是虛擬網絡營銷環境中專有的個人信息，比如微信號、QQ號、電子郵箱等;另一類是消費者個人的真實信息，一旦進入網絡平臺設備，就可以實時轉化成網絡營銷環境中的個人信息。

（二）網絡營銷中個人信息侵權的主要特征

在網絡交易環境下，由于互聯網的特性決定現階段網絡交易主體范圍大幅拓展，甚至任何人只要擁有網絡終端設備并接入互聯網就可進行交易，進而引發相應信任風險、法律風險。這種獨特的網絡交易環境，使個人信息權侵權呈現出以下幾點特征。

1.侵權手段多樣化，且具有隱蔽性。網絡營銷中個人信息權的侵權行為往往使用了高技術手段，加之網絡環境虛擬，侵權地域不易確定，鎖定侵權行為主體極其困難。消費者在營銷網站上選購商品、與店家信息互動、與電商平臺網上支付、支付方式的選擇、物流快遞等活動中，均可能被其存儲個人信息。如果這些信息被不法分子獲得，即使侵權事實發生，被害人也常被蒙在鼓里，直到損害發生才恍然大悟。目前，網絡黑技術不斷出現，遠程攻擊的木馬程序、靜待上鉤的“釣魚”程序，獲取、增刪個人信息的方式出現了多樣性和隱蔽性的特征。

2.侵權方式便捷，侵害后果嚴重。營銷網絡具有高度的滲透性和高度的傳播速度性，網絡侵權可以做到足不出戶，在網絡與智能傳輸設備結合的情況下披露、刪除、修改、傳播個人信息便捷快速，隱私信息公開范圍轉瞬至全球范圍，中間通過網民下載及轉載可將損害無限制擴大，致使當事人的信息泄露，侵權危害極大。即使平臺刪除但已經下載的個人信息卻無法刪除，仍可通過朋友圈、微信群、QQ群轉發，重要信息可能被披著合法外衣使用，比如營銷人員電話促銷;也可能為犯罪分子利用，造成財產損失。據報載，某電商平臺的網店賣家，因買家差評，就打電話要求刪除和修改為好評，遭到拒絕后利用掌握的買家個人信息，不惜買通社會人員上門強求買家好評，嚴重侵害了消費者的合法權益。

3.網絡營銷個人信息權的保護范圍具有特殊性。平時，除明星及公眾人物外，普通消費者的姓名、體重、婚姻家庭、父母子女、購物偏好、單位住址等，由于每天待人接物，拋頭露面是普通人的常態，一般不具有現實個人信息保護意義。但這些數據資料經過網絡營銷平臺，利用信息技術進行篩選、加工、組合就具有了經濟性價值，成為消費者個人的重要隱私性信息。假如不良電商將此信息出售或泄露，就應當評價為對用戶個人信息權的侵害，屬于個人信息權的保護范圍。

三、網絡營銷中個人信息侵權行為的構成要件

（一）對于一般的侵權行為的構成要件

《歐盟個人資料保護指令》導言第55條規定，如果信息管理者沒有尊重資料主體的權利，國家法律必須規定相應的司法救濟;信息管理者必須賠償因非法處理給信息主體造成的損失，但是如果信息管理者能夠證明他對此不負責任，特別是在他能夠找出資料主體的錯誤或有不可抗力的情形下，可以免除信息管理者的責任;任何違反根據本《指令》所采取的國家措施的個人，無論是受私法還是受公法調整，都必須受到法律制裁。第55條前段規定的，沒有尊重信息主體的權利就應該提供司法救濟，主要是指在沒有損害情況下應承擔的責任的情形。另外，從另一個角度看，認定網絡營銷平臺個人信息一般侵權行為，在無損害的前提下主要是看是否有侵權行為的事實，有侵權事實存在就界定侵權，其他要件在所不論。

（二）網絡營銷中承擔個人信息不當損害賠償責任的構成要件

1.有個人信息致人損害行為。致人損害行為是指網絡營銷中的行為主體實施的致用戶個人損害的行為。致害行為有合法行為和違法行為之分。有的致害行為，本身合法，但也造成了他人的損害，而應當承擔責任。當然，大部分致害行為是違法行為造成的。個人信息致害行為是指網絡營銷中的行為主體實施的侵害消費者個人信息權的行為，此類行為大部分出現于網絡營銷的經營者在獲取消費者個人信息、處理加工及運用過程中。違法行為包括作為和不作為兩種：作為的違法行為是指經營者積極實施的違法行為，如非法獲取、處理和運用消費者的個人信息;不作為是經營者應當阻止他人的個人信息侵權行為而消極的不阻止。如電商平臺違反安全原則個人信息安全管理不力，系統出現漏洞，讓不法分子鉆了空子，攻破了防護墻，保存措施及管理制度存在疏漏等。當然，若網絡經營者實施了為法律所不禁止的行為，但侵害了消費者個人信息保護的權利，雖然其行為不違法，但仍屬于對消費者個人信息侵權。如果網絡營銷經營者僅僅違反了合同義務，則不構成侵權，應該以違約責任承擔相應的責任。

2.有過錯。界定是否存在過錯，我們認為應當適用過錯推定責任原則。只要網絡營銷經營者不能提供自己沒有過錯的證明，就推定其對消費者個人信息泄露及不當使用有過錯。如果網絡營銷經營者能夠提供自己沒有過錯的證明，就不承擔賠償責任。這一點，歐盟的規定值得我們借鑒。《歐盟個人資料保護指令》第23條規定，如果信息管理者能夠證明他不對產生損害的事件負責，可以全部或部分免除他的責任。

3.有損害事實。違法行為是引起損害的主要原因，網絡營銷個人信息侵權引起的消費者損害是消費者的個人信息遭受非法侵害而利益受損的事實狀態。損害的外部表現有的是財產利益，有的是精神痛苦。損害事實存在使法律救濟獲得了正當性，損害事實是賠償責任的關鍵因素。

4.具備因果聯系。網絡營銷經營者的加害行為和消費者個人信息被侵權之間有因果聯系。如果僅有加害行為，但損害后果系第三人介入所致，網絡營銷經營者不擔責。例如，消費者個人信息，不是通過阿里巴巴平臺及其網店原因泄露的，而是快遞公司泄露的，承擔賠償的主體就應該是快遞公司，這符合一個普通人的理性判斷標準。

只有當對消費者個人信息侵權的一個行為，同時滿足承擔損害賠償責任的四個要件時，網絡營銷的經營者才承擔侵權損害賠償責任。

四、我國法律對網絡個人信息權保護的立法現狀

當前，我國法律保護個人信息權的主要法律淵源有：憲法、民法總則、侵權責任法、民訴法、刑訴法、未成年人保護法、統計法、證券法等單行法中有關個人信息隱私保護的零散規定，侵權責任法第一次立法明確民事權益涵攝包括個人信息在內的隱私權。民法總則專條規定了保護個人信息的內容，這是我國民事基本法律中最高層次立法保護個人信息的條文，其規定充滿原則性和規范性。

至于專門針對網絡個人信息權的保護，主要是2012年全國人大常委會頒布的《關于加強網絡信息保護的決定》和2000年實施的《關于維護互聯網安全的決定》，對通過互聯網侵犯他人信息權的具體形式及應承擔的責任做了規定。2017年6月我國頒布了《網絡安全法》，作為我國第一部網絡空間綜合性法律，彌補了我國網絡安全法律領域的空缺。上述法律規范效力層次高，但是實務規制性還有問題，難以對網絡個人信息權提供強有力的法律保護。

由于2018年網絡營銷個人信息權侵權及犯罪事件多發，國家有關部門開始有針對性地開展立法工作。國家網信辦適時出臺了《微博客信息服務管理規定》，對實名認證、平臺責任、行政機關管理執法等進行了規范。公安部要求公安機關對互聯網安全監督檢查，對平臺提供者和聯網使用單位督導督查執法。

五、完善網絡營銷中個人信息保護立法的思考

第一，借鑒西方經驗，選擇恰當的立法模式。為避免個人信息隱私權或信息利益權遭遇不法侵害，不同國家紛紛結合本國實際情況制定了個人信息保護制度，形成了以美國、德國、日本為代表的個人信息保護制度。在立法模式的選擇上，我們可以借鑒發達國家的有益經驗，立足于本國國情，在國家利益、公民個人隱私、個人信息權保護和行業利益之間尋求一個平衡點，采用立法規制和行業自律相結合的綜合模式。立法保護不是網絡營銷個人信息權保護的唯一選擇，單純的立法難以勝任對網絡營銷個人信息權的保護，反而會妨礙網絡經濟的發展和繁榮。而單純的行業自律模式更不可能對網絡個人信息權進行有效保護，因為行業自律沒有強制力，畢竟法律才是權利救濟的最后手段，它可以克服行業自律的缺陷。

第二，在《民法典》中專章規定網絡營銷個人信息權保護。未來在《民法典》中設專章規定網絡營銷個人信息權保護，其主要內容包括：一是翔定網絡營銷中消費者個人的網絡信息知情權、個人信息安全保護權等權利;二是明確規定網絡營銷合同雙方，就買受人信息權權利保護，以及出賣人對掌握的消費者個人信息保護的附隨義務;三是規定侵害網絡營銷個人信息權行為的種類以及侵權行為的認定;四是規定網絡營銷個人信息權侵權責任的承擔以及各種救濟措施等。

第三，適時出臺個人信息保護法或網絡營銷個人信息權保護條例。鑒于我國《民法典》的正式出臺或制定專門的《隱私權保護法》都還需要一個漫長的等待過程，因此在目前上述立法的條件還不成熟，而網絡營銷個人信息權的保護又迫在眉睫的情況下，修法及出臺司法解釋不失為應急之策，特別期待《中華人民共和國個人信息保護法》或者《網絡營銷個人信息權保護條例》的早日出臺。

第四，加大法律和行政法規對企業泄露消費者個人信息的處罰力度。重罰可以起到規范電商企業消費者信息保護的作用。目前，我國法律法規對網絡營銷中企業違規侵犯消費者個人信息處罰數額太少，隔靴搔癢難使企業牢記教訓。建議修改相關法律法規，學習歐盟重罰谷歌的經驗，巨額罰款可以體現行政監管的震懾力，也能使消費者重拾對我國個人信息保護的信心。

參考文獻：

[1]? 王秀哲.信息社會個人隱私權的公法保護研究[M].北京：中國民主法制出版社，2017.

[2]? 謝遠揚.個人信息的私法保護[M].北京：中國法制出版社，2016.

[3]? 郭明龍.個人信息權利的侵權法保護[M].北京：中國法制出版社，2012.

[4]? 劉品新.網絡法學：第2版[M].北京：中國人民大學出版社，2015.

[5]? 孫占利.信息網絡法學[M].廈門：廈門大學出版社，2012.

[6]? 張平.網絡法律評論：第19卷[M].北京：北京大學出版社，2017.

[7]? 李艷.網絡法：第2版[M].北京：中國政法大學出版社，2017.

[8]? 孫凡，宋瑜婧.個人信息對企業發展的影響機制研究——基于網絡營銷平臺的視角[J].中央財經大學學報，2018，（3）.

[9]? 謝利坤.互聯網時代市場營銷的機遇和挑戰[J].人民論壇，2019，（3）.

[10]? 2018年中國互聯網安全報告（個人安全篇）[EB/OL].360互聯網安全中心，2019-04-18.

[11]? 盤點·2018年國內網絡信息安全大事件[EB/OL].搜狐網，2018-12-21.

[12]? 謝永江，李欲曉.網絡安全法學[M].北京：北京郵電大學出版社，2017.

[13]? 劉斌斌，蔡秉坤.網絡交易主要法律問題研究[M].北京：中國社會科學出版社，2013.

[14]? 馬民虎.網絡安全法律遵從[M].北京：電子工業出版社，2018.

[15]? 張楚.信息網絡法教程[M].北京：高等教育出版社，2017.