论网络购物消费者个人信息的立法保护*

姜素红,张 可

(中南林业科技大学 政法学院，湖南 长沙 410004)

当今信息时代，数据信息无疑是人类宝贵的资源。网络购物平台作为一个数据宝库，具有无与伦比的商业价值。在网购诸多环节中，均涉及到消费者个人信息保护问题。对网购消费者个人信息进行立法保护，对于保障消费者权益、促进网络电商平台的健康发展有着重要作用。然而，我国网购个人信息保护立法还存在诸多缺陷，亟待完善。

一

个人信息不同于个人隐私。个人信息是指与自然人相关的任何信息，而个人隐私是指个人不愿对外公开的个人信息，是对个人信息内容的进一步限定，包含了强烈的主观意志。个人信息则与个人主观意愿无涉，个人信息既包括个人不愿公开的信息、也包括个人愿意公开的信息以及个人不知情却已经公开的信息。对于个人信息保护来说，出发点并不是主体之主观意愿，而是信息的客观价值。

网络购物消费者个人信息是指在网络购物过程中收集和存储的带有消费者个人特性或身份特性的信息。网络购物的程序要求和实际需要决定了网络购物消费者个人信息相较于现实环境个人信息以及其他网络个人信息，具有信息范围的广泛性、信息易获得性和商品性三个特征。不能准确把握这些特征，针对网络购物消费者个人信息的保护措施便如同无的放矢。

(一)网络购物消费者个人信息具有广泛性。网络购物虽然体现了现实交易难以企及的便利性，但其内在交易机制更加复杂(1)以交易主体为例，网络购物交易主体不仅限于买卖双方，还包括网络购物第三方平台、网络支付平台、信用平台、快递公司等等。。一般而言，网络购物至少需要对消费者的身份、财产、地址等三方面信息进行收集方能保证交易顺畅。身份信息对应收件人，财产信息对应付款方式，地址信息对应货物运输，此三类信息的涵盖范围远远超出其他渠道对个人信息的收集内容，且每一项都关乎消费者人身、财产安全。更为重要的是，基于这三类信息以及消费者在网购过程中留下的浏览痕迹、购买习惯等无意识信息，信息的收集者和利用者可以通过数据分析得到最重要的商业宝藏——推理信息。即根据消费者的基础信息和日常记录，得出消费者个人喜好、消费习惯、生活习惯乃至职业、家庭、情感状态等方方面面的信息，这些信息杂糅在一起足以拼凑出一个人的全貌，就商业而言，这将成为商业营销的终极手段(2)此种营销方式被称为精准营销，也就是信息收集者通过利用数据分析手段对消费者信息的二次加工，挖掘出消费者本人并未透露的商业信息。例如搜索网站、购物网站通过分析用户的搜索浏览历史，得到用户近期感兴趣的页面或商品，再通过首页推送的方式向用户推荐其可能感兴趣的页面、商品，引导其浏览或购物。。

(二)网络购物消费者个人信息具有易获得性。网络购物消费者个人信息的易获得主要体现在三个方面：首先，就进行网络购物所必须提供的信息而言，消费者没有选择，只能在系统上如实填写个人信息，如个人身份、支付方式、收件地址等，信息收集者(一般是网络购物平台经营者或网络经营者)无需亲自讨要，也无需与消费者商定信息范围，自然就能将消费者个人信息收录进系统；其次，就非必要收集的个人信息，消费者一般处于无意识状态，也即不知道自己的某些行为成为了信息收集之对象，如商品搜索记录、浏览记录等。收集此类信息，对于网络后台的操作者而言轻而易举，系统会自动地完整记录下消费者在网购平台的任何“踪迹”，并形成海量有价值信息，呈现在平台经营者或网络经营者眼前；再次，网络购物过程中产生的消费者个人信息传播流动性大，这意味着除了平台经营者和网络经营者能够获得这些信息外，信息还将流向网络的其他各个角落。例如网络支付平台、快递公司甚至被网络信息中介或网络黑客所窃[1]35。因为在开放的网络世界中，信息流动比以往任何时候都要自由和快速。

(三)网络购物消费者个人信息具有商品性。信息因具备极大的商业价值而被商品化，尤其在信息时代，互联网得以收集和存储海量个人信息并有效利用，更使得网络信息成为炙手可热的新财富。网购消费者个人信息的商品性源于其四个特点，即数量大、易存储、易传播和可利用。首先，对于一般信息而言，数量大小是决定其能否成为商品的关键因素，单个的消费者信息不足以形成价值从而吸引市场注意。其次，数量庞大的信息存储一直是困扰传统信息市场的难题，纸质的信息档案耗费的成本高，不便于存放与转移，这在一定程度上制约了信息服务的发展，网络存储技术则恰好解决了这一难题。再次，网络信息的易传播虽不利于信息保密，但却为信息利用创造了便利条件。最后，网络购物消费者个人信息可被用于市场营销、市场分析、市场预测、信息中介、信息交易等方面[2]36，商业价值不言而喻。

二

网络购物消费者个人信息因其具有的价值和特征，在收集和应用过程中极易被侵犯[2]105，消费者的个人权利面临风险。但是，自互联网在我国普遍适用以来，人们对网络个人信息保护没有予以足够重视[3]105。目前我国网络购物消费者个人信息保护的立法存在缺陷，主要体现为缺乏一部专门的法律进行规范，内容上则未确立个人信息的权利、义务及责任制度，最终导致实践中法律保护的不力。

(一)缺乏系统、专门的法律

立法是对消费者个人信息保护的前提，只有确立相应的网络购物消费者个人信息保护法，才能严格实施法律从而保障消费者信息权利。但是从目前关于个人信息保护立法情况来看，不容乐观。《民法总则》第111条规定：“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”此为我国个人信息直接保护的基础性条款，但并未赋予个人信息权利。在法律未明确规定个人信息权利时，个人信息遭受侵害便无法通过权利救济得到补偿，而只能以违反禁止性规定为由对侵害者实施惩罚。

此外，在其他一些规范性法律文件中亦可寻找到个人信息保护的零星规定。如《网络安全法》第40条、41条、42条、44条均提到个人信息保护，如“任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息”。但是，此类宣言式的条款内容能使网络经营者尽到多少义务，违法者能有多大程度的收敛，都不能不让人打上问号。

在新近通过的《电子商务法》中，也有涉及个人信息保护的相关条款，如第23条规定：“电子商务经营者收集、使用其用户的个人信息，应当遵守法律、行政法规有关个人信息保护的规定。”第24条对电子商务经营者的义务作了详细规定，第76条设置了电子商务经营者“未明示用户信息查询、更正、删除以及用户注销的方式、程序，或者对用户信息查询、更正、删除以及用户注销设置不合理”的罚则，第79条则是准用性条款，规定电子商务经营者不履行个人信息保障义务时依据《网络安全法》等法律、行政法规进行处罚。《网络安全法》只在第64条设置了针对个人信息侵害的处罚措施，而其中执法主体表述为“有关部门”，处罚方式有警告、没收违法所得、罚款、责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证、吊销营业执照。但该条的执法主体与处罚标准含糊不清，由此可能导致《网络安全法》和《电子商务法》中个人信息保护的失效。

再如《消费者权益保护法》第二章“消费者的权利”对消费者传统的知情权、安全权、公平交易权、求偿权等权利作出了规定，同样没有将信息权利考虑进消费者法定权利体系之中。该法第三章“经营者的义务”第29条增加了消费者个人信息保护条款，但在前文没有相应权利对应的情况下，这里的义务性规定显得格外突兀。而在“法律责任”一章中，仅通过第56条下第(九)款“侵害消费者人格尊严、侵犯消费者人身自由或者侵害消费者个人信息依法得到保护的权利的”应承担民事责任并予以相应处罚，顺带设置了对侵犯消费者个人信息之处罚措施。

此外，一些行政法规、部门规章包含有网络个人信息保护的零散内容。例如国务院颁布的《互联网信息服务管理办法》、工信部出台的《互联网电子公告服务管理规定》、《电信和互联网用户个人信息保护规定》、商务部《关于促进电子商务规范发展的决定》等。总的看来，此类法规、规章层级低、效力低，没有上升为法律的保障，其措施面临两个困境，其一是缺乏足够权威指引人们遵守，其二是低位阶法的处罚力度相对较轻，难以产生预防和惩处所需之威慑力[4]21。

(二)个人信息权利体系未建立

我国还没有建立起网络购物消费者个人信息权利制度。我国现行法律文本中没有规定消费者对自身信息的知情权、拒绝被收集权、拒绝被分析权等权利制度。这就使得保护的对象不明确，究竟哪些信息可以被收集利用，哪些信息不可以，缺乏界定的依据。再以消费者对信息的控制为例，在消费者发现自己的信息需要改正、删除的情况下，由于没有个人信息控制权、被遗忘权等权利制度，信息收集、使用者很可能不遵照执行。最后以消费者个人信息被侵犯时的救济为例，由于没有规定网络纠纷消费者的救济权制度，该类个人信息纠纷难以得到妥善解决。

(三)信息掌控者的法律义务规定不明确

我国现行法律尚未建立信息收集者、信息使用者对于网络购物消费者个人信息的义务体系。信息收集者和使用者作为个人信息的掌控方，其行为直接关系到个人信息安全。然而，在缺乏具体义务的指引下，信息掌控方则有可能忽视其本应尽到的职责。虽然《民法总则》、《网络安全法》、《电子商务法》、《消费者权益保护法》中都有关于合法收集、使用个人信息的表述，但在复杂的网络技术面前，信息收集和使用存在诸多灰色地带，仅“合法”与“非法”作为衡量是否尽到义务的标准已然失去了意义。另一方面，信息掌控者还负有应对外来威胁，保障消费者信息安全的义务。我国现有法律对此并没有指出信息掌控者应在哪些方面对个人信息进行何种程度之保障。现实中大量出现因信息掌控者疏忽，使得个人信息泄露的案例，如2017年暗网市场知名供应商双旗对外抛售10亿条从多家中国互联网巨头公司盗取的用户数据。荒诞的是，被盗取的信息有的竟然是以明文形式呈现。

(四)法律责任设置不合理

我国法律还没有针对侵犯网络购物消费者个人信息的行为制定完备的法律责任制度。完整的法律责任体系应当包括民事、行政、刑事三方面处罚措施[3]106，对个人信息保护而言，其中起主要作用的是民事责任制度。因为网络购物消费者个人信息纠纷在多数情况下属于民事纠纷，需要通过经济利益补偿来解决。我国现有法律对侵犯个人信息的民事责任规定体现在《消费者权益保护法》第50条、56条，但此两条规定用词含糊不详细，而《民法总则》又未明确个人信息的权利地位，这将使得《侵权责任法》在个人信息被侵犯之情形下适用遭遇困难。行政责任方面，我国却设置了大量罚则，这就使原本是民事纠纷的案件具备浓厚的行政色彩。如《网络安全法》、《消费者权益保护法》、《电子商务法》规定了责令改正、警告、没收违法所得、罚款、停业整顿、吊销营业执照、记入信用档案等行政处罚措施，种类齐全权限范围大，这与我国历来行政主导的惯例有关。然而在民事责任未得到确认的前提下，设置这么多行政处罚权限，其结果很可能是行政部门占据了很大话语权，但受侵犯者却没得到足够补偿。因而这种责任制度设计难免有主次不分之嫌。刑事责任方面，2015年《刑法修正案(九)》第253条确立了侵犯公民个人信息罪，该罪名犯罪主体从原来的特殊主体变为一般主体，犯罪行为包括“违法向他人出售、提供个人信息”“窃取或以其他方法非法获取公民个人信息”且要求情节严重，虽然情节严重的定罪标准不甚明确，在司法适用中容易裁量失误，但相较于《刑法》原有规定，已有长足进步。

可见，我国网络购物消费者个人信息保护在立法上存在法律规定零散、可操作性不强、效力层次低等缺陷。

三

解决我国网络购物消费者个人信息保护立法之缺陷问题，一是借鉴国外发达国家成熟经验，二是应从我国现实国情出发，在具体分析实际状况的基础上设计出有针对性的解决方案。

(一)尽快出台《个人信息保护法》

综合各国关于网络个人信息保护的立法趋势，大致呈现出专门化、具体化、实务化的方向。也就是说目前发达国家针对网络个人信息保护的立法多偏向于出台专门、具体、有可操作性的法律规定，就网络个人信息保护问题提出总体的规范措施。较为典型的立法例有日本于2003年颁布的《个人信息保护法》，该法构成了日本个人信息保护法律规范体系的主体[5]153，并在2015年为适应时代变化作了大幅修改。较早开始制定网络个人信息保护专门规范的则是欧盟，1995年便出台了《关于涉及个人数据处理的个人保护及此类数据自由流动的指令》，随后为了适应信息技术的发展，又相继在2013年和2018年发布了《欧盟数据保护基本条例》、《通用数据保护条例》(GDPR)。美国的网络个人信息保护虽以行业自律模式为主导，但为了满足社会治理的需求，联邦政府在2012年公布《全球数字经济隐私保护的创新推动框架》，表明美国开始采取对网络个人信息保护立法的积极态度，预料正式法案的制定亦将加快速度。此外，美国还有一部《儿童在线隐私保护法案》，面向不满13岁的未成年人，以保障该特殊群体的网络个人信息被合法收集、使用。

我国过去在立法原理上没有对个人信息保护予以足够重视，在立法制度上亦迟迟未将其提上全国人大正式的立法程序，在立法技术上则没有充分考虑将《个人信息保护法》纳入立法预测和立法规划，从而导致有关个人信息保护的法律分散化、层级低。因此，急待出台《个人信息保护法》。《个人信息保护法》作为一部专门、统一的法律，有利于顶层设计，统筹现有法律资源，囊括并融合法律体系内的可用规定达成统一适用。

《个人信息保护法》的制定犹应注意三点：第一，要注意立法技术的良好运用，避免出现以往个人信息保护条文中存在的体例不合理、结构不严谨、阐述不清晰、适用不准确的情形，在用语、体例安排、逻辑思辨等方面要下足功夫；第二，要在法律条文中明确个人信息的定义和权利地位，为下一步的制度设计提供依准；第三，确定立法目的及宗旨，妥善处理好信息产业发展和个人信息保护这一要点问题，达致个人利益、产业利益与国家利益的平衡[6]45。

(二)建立个人信息权利体系

个人信息权利体系包含四项基本权利：知情权、选择权、控制权、救济权。其中，知情权的实现有赖于信息收集、使用者履行告知义务，此项义务从属于义务体系的合法收集、使用义务，知情权是其他三项权利的前提，所以也是最根本的权利；选择权也即网络购物消费者有权选择个人信息是否被收集以及如何被使用，其成立的基础是对个人信息的范围和种类进行区分。结合网购实际经验，消费者信息一般可分为必须收集的信息、可收集的信息、不得收集的信息，区分标准是与完成网络购物的密切相关性。例如个人身份、联系方式、收件地址、支付账户是完成网购所必须的信息，此类信息消费者不得拒绝填写，某些特定商品如衣物，个人的身高体重也属于必要信息。而至于邮箱地址、性别、爱好、特长等无关紧要的信息，消费者在完善个人资料时可以选择填写，这就是选择权在信息收集中发挥的作用。涉及个人隐私且与网购无关的信息，要严格禁止收集；控制权指消费者有要求信息掌控者对其信息进行修改、更新或删除的权利，关键是把握好删除信息的条件，这也是实现信息利用与个人信息保护平衡的节点。信息删除权又称被遗忘权，来源于欧盟规定，2013年《欧盟数据保护基本条例》更新了被遗忘权，也即要求删除信息的权利，该权利旨在赋予信息主体对其个人信息更强的控制力，当信息主体要求删除其个人信息时，在不损害公共利益和言论自由的条件下，信息收集者、使用者必须彻底删除[7]4。结合欧盟行使被遗忘权的标准，我国信息删除的条件可设定为：(1)非必须收集的信息，(2)信息主体提出删除要求，(3)删除数据不损害公共利益。救济权指个人信息受侵犯后，网络购物消费者要求停止侵犯并索要赔偿的权利。救济权的实现有赖于法律责任制度的完备。另外为解决网络购物纠纷处理难题，还应引入在线纠纷解决机制[8]127。

(三)明确信息掌控者的义务

我国网络购物消费者个人信息保护的义务设置可以分为合法收集、合法使用、安全保障三项义务。合法收集义务首先要求信息收集者基于正当目的收集个人信息，不得因非法牟利而进行信息收集行为。其次，合法收集须经过正当程序，其收集的手段和方式应符合法律规定，不得采取技术手段非法簒取个人信息。再次，个人信息的收集应当公开透明，也即收集者要履行告知义务，要确保信息主体充分了解其信息被收集和预计使用的情况。个人信息的种类区分也是合法收集的前置判定，在违背信息主体选择权(针对可收集信息)与不得收集的信息范围时，信息收集必然是不合法的。合法使用义务包括利用目的限制、确保个人参与及适当管理。利用目的限制要求信息使用者在信息主体允许范围内使用信息，且不得擅自向他人提供信息。确保个人参与对应信息主体的控制权，让其得以确认、修改或要求停止使用个人信息。适当管理则指信息使用者在保有信息时应注意信息更新及其正确性，适时进行更正。安全保障义务由两部分组成，其一是信息收集、使用过程中的安全保护，信息掌控者应采取必要技术手段防止非法入侵者对个人信息的窃取，其二是信息遭到侵犯后应为信息主体提供高效便捷的救济渠道，此项对应信息主体享有的救济权。

(四)调整法律责任的比重

我国现有个人信息保护法律责任制度的既存问题是民事责任偏弱、行政责任过多、刑事责任适用困难。在已经确立民事、行政、刑事责任体系的基础上，需要增强民事责任、精简行政责任和完善刑事责任。增强民事责任的必要条件是确认个人信息权利的法律地位。民事责任的承担方式主要是侵权责任，而侵权责任的客体便是信息权利。另外，要加大民事赔偿的额度和范围，除直接经济损失外，还应评估可预期的间接经济损失和精神损失[3]106，保护信息主体获得救济的权利。精简行政责任首要在于精简行政责任的实施主体和种类，以避免职责混乱及适用困难。欧盟2018年《通用数据保护条例》规定信息企业违法的罚金最高可达2000万欧元或全球营业额的4%，以高者为准[9]101，处罚力度的提升意味着罚则威慑力亦将放大。参考此条规定，在减少处罚种类后可以加重处罚力度，极大提升违法成本。完善刑事责任指对《刑法》第253条之“情节严重”的定义进一步明确，出台法律解释何为“情节严重”，使刑事责任适用得到规范。

现代社会的信息安全不仅与个人的人身财产安全紧密相关，更与公共安全、国家安全产生直接关联。在市场经济环境下，庞大的信息存量也得以成为一种富含极大价值的特殊商品。但目前我国对个人信息立法保护重视不够，我们希望尽快出台《个人信息保护法》，以完善对个人信息的切实、有效保护。