消费者数据权益侵害现状调查及法律对策研究

王伟胜

（青海民族大学,青海 西宁 810007）

1 消费者数据权益概述及其双重价值

1.1 消费者数据权益概述

在数字经济推动社会发展的背景下，如何实现数据利用和数据保护的平衡，成为一个重要课题。而消费者作为数据信息的主要生产者之一，其数据权益时时刻刻都处于被侵害的风险中。因此，现行消费者数据权益保护的法律体系有待完善。

所谓消费者数据，目前在法律上还没有确切的定义。不同于传统的线下消费模式，笔者认为数字经济时代的消费者数据包含两个方面，即消费者个人数据和消费者行为数据。消费者个人数据主要是指《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）中所说的“个人信息”，即“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息”。比如在网购平台上记录的消费者姓名、身份证件号码、收货地址、电话号码等。消费者行为数据主要是指消费者在线上购物时所展现出来的行为偏好、浏览历史、价格敏感度等一系列由消费行为所产生的数据。对于消费者数据权益的保护而言，消费者个人数据与行为数据同等重要，都需要得到切实的保障。

1.2 消费者数据权益的双重价值

1.2.1 消费者数据的人格权价值

消费者数据的人格权价值与隐私权相类似但又有所区别，隐私权的内涵无法完全涵盖消费者数据中所具有的人格权价值。消费者数据来源于消费主体及其消费行为，消费主体的消费行为被编译成数据后，依旧与消费主体之间存在着密切联系，消费者数据也因此具有人格权的价值[1]，其内容主要表现为知情同意权、被遗忘权等。而消费者数据的人格权价值关键在于数据的可识别性，数字经济时代处处都流转着数据，而当消费者通过其消费行为而产生的、留存于平台企业的消费数据积累到一定程度时，便能勾勒出消费者的人格特征，容易导致其人格权益受到侵害[2]。

1.2.2 消费者数据的财产权价值

数字经济时代，数据资本化的势头愈演愈烈。消费者数据的财产权价值主要表现为数据采集权、数据使用权、数据收益权、数据可携权等。消费者数据的存续来自平台企业的资金、技术等投入，其财产权价值不容忽视。一方面，平台企业的数据转卖行为能为其带来不菲的经济收益，这无疑会促使企业加大数据收集的力度，甚至会出现违法收集、违规处置的行为，消费者可能在毫不知情的情况下其数据就被收集转卖，对消费者数据权益造成极大的威胁。另一方面，一些不法分子利用收集到的消费者数据进行诈骗活动。他们通过企业的转卖行为或者平台的数据漏洞来获取消费者的数据，再冒充相关人员引诱消费者上当受骗。现实中常见的例子有冒充商家客服人员进行所谓的返现活动，由于不法分子能够提供正确的信息，消费者容易信以为真，导致其财产权益受到侵害。

1.2.3 数据双重价值的实现要兼顾利用与保护

当然，数据的价值在于利用，我们不能一味地强调消费者数据的双重价值而不去考虑数据利用的问题，只有更好地利用数据才能产生更多的价值。反过来也是如此，若是一味地强调数据利用而忽视对数据的保护，那么便会极大地妨碍大数据技术的发展。换句话说，如果消费者数据权益得不到必要的保护，消费者失去对平台企业的信任，也不敢随意授权平台企业收集使用他们的数据，这样一来数据难以流通，其价值也就无法兑现。

2 消费者数据权益侵害现状调查与相关法律规制现状

2.1 消费者数据权益侵害现状分析

现阶段我国在数据权益保护方面的立法仍不够完善，消费者数据权益受到侵害的现象时有发生，其中最典型的例子就是利用大数据来“杀熟”的行为，即价格歧视。平台经营者通过平台经营过程中收集到的消费者消费习惯等数据，利用大数据技术进行分析，为不同的消费者设定不同的价格，进而追求利润最大化。

根据全国消协组织受理投诉情况统计，2022年上半年，全国消协组织共受理消费者投诉551 780件，同比增长5.71%，消费者投诉总体呈上升态势。根据投诉性质分析，售后服务问题占33.84%，合同问题占26.67%，质量问题占20.28%，价格问题占4.17%，虚假宣传问题占4.12%，安全问题占2.65%，假冒问题占1.40%，人格尊严问题占1.06%，计量问题占0.73%，其他问题占5.08%。同时，笔者也进行了问卷调查，有超八成的消费者表示自己曾遭受过数据侵权且认为数据侵权行为很常见，主要包括网络交易平台的杀熟行为、刷销量刷好评等虚假宣传以及商务广告的精准推送，然而绝大多数消费者只是默默承受，或者仅仅发个朋友圈吐槽一下。这说明消费者在意识到自己的数据权益受到侵害时，仅有极少数消费者会主动寻求消协等有关组织的帮助，或者采取法律途径来维护自己的合法权益。另外，维权的成本过高、证据收集难度大，消费者大多不愿意主动维权。

2.2 消费者数据权益的法律规制现状

在《个人信息保护法》出台以前，我国有关数据权益保护的规章制度呈现出碎片化的态势，主要集中在《中华人民共和国民法典》（以下简称《民法典》）《中华人民共和国电子商务法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国消费者权益保护法》（以下简称《消费者权益保护法》）等部门法，以及个别法律规范性文件（如《深圳经济特区数据条例》）。此前我国并没有建立起相对完整的消费者数据权益保障体系，相关法律条文比较分散且相互独立，导致政府有关部门对平台企业的管控缺乏强有力的法律支撑，在司法层面法官于法律适用中陷入了难以抉择的困境。

2021年11月1日起施行的《个人信息保护法》是我国对数据权益保护初步探索的结果，适应了数字经济时代的需要，为政府的监管行为和法官的审判活动提供了更为完整细化的法律依据，但目前仍存在一些问题。

第一，《个人信息保护法》的法律定位不明确，当该法与其他法律法规都对个人信息作出规定时，在司法和执法过程中容易出现如何适用的选择问题。第二，知情同意依旧是消费者数据权益保护的难题。《个人信息保护法》第十四条只是间接表达了知情同意原则，并没有直接详述，使得平台企业对该原则的理解适用比较模糊，很难真正做到符合知情同意原则的要求。第三，对于消费者数据权益的实现也存在困难。消费者在察觉到其数据权益遭到侵害而向有关部门寻求帮助时，消费者个人缺乏专业的技术手段难以分辨出自己的数据权益在哪一个阶段受到侵害，即便其掌握了确切的侵权点，在平台企业侵权者接受行政处罚后，消费者个人也很难得到实质性的补偿。

3 消费者数据权益侵害的原因分析

3.1 知情同意原则的虚置

当我们注册使用一款App时，总能发现在页面最下方有个“同意隐私政策”的选项，如果不点击“同意”，则无法使用该款App，即便有不需要点击“同意”的游客模式，在浏览App时也会遭到诸多限制，还一直提示用户进行同意。这份“隐私政策”实则是企业制定的格式合同，目的在于收集、使用用户的数据。

一方面，这些平台企业往往拥有专业人员来拟定格式合同，利用这种优势将可能存在的风险和不利影响都转嫁给消费者。消费者为了正常使用该软件，被迫同意该格式条款，而对于格式条款中的内容，由于时间和精力有限，消费者基本不会仔细阅读，更何况合同术语过于专业晦涩，普通的消费者很难吃透这些条款，进而导致知情同意原则虚置。对于消费者这类弱势群体，实在是难言公平。

另一方面，消费者数据的收集是企业维持其商业运作的需要，而知情同意原则的难操作性使得企业在收集消费者数据时所花费的成本大大提高，这个成本不仅体现在消费者数据的体量上，还体现在获取消费者同意的难度上，对收集而来的消费者数据加以处理时，不可避免地可能会超出隐私政策中消费者原始同意的范围，而要想获得消费者的进一步同意，所花费的时间成本以及操作难度都是不可估量的。对于企业而言，一边是数据收集的必要性，一边是数据处理的高成本，企业处在进退两难的境地[3]。

3.2 大数据技术的商业化滥用

大数据技术的利用是数字经济时代最重要的特征，也是消费者数据权益遭受侵害的重要原因之一。同时，平台经济的出现为扩大生产力提供了一种新的组织形式，也是数字经济发展的核心。在平台经济下，平台企业为消费者搭建了便捷的交易平台，这种平台看似是给消费者免费使用，实际上是以消费者“出卖”其数据为代价的，消费者数据成了一种货币得以在平台企业与消费者之间相互流通，而平台企业也将消费者数据看作赢得竞争的优势资源，谁能最先拿下消费者数据，谁就能掌握市场先机。平台企业基于消费者的授权同意，对消费行为进行实时追踪，根据大量的数据分析得出其行为偏好和潜在的消费需求，从而进行精准营销[4]。大数据技术本身是具有中立性的，而在数字经济时代下，这种技术利用的边界看似在不断拓宽，显然已经威胁到数据安全，让消费者感觉自己时刻被“监控”。

此外，囿于法律法规及有关政策的空缺与滞后性，有关部门对大数据技术商业化滥用行为的管控似乎有些力不从心，很难发挥出应有的控制力。在此基础上，一些平台企业的社会责任感弱、法律意识淡薄，在资本的驱使下片面追求利润最大化，导致这种新兴技术沦为侵害消费者数据权益的帮凶。

当然，技术的发展终归是好事，只要把技术运用到正轨上，一定能产生良好的社会效益和经济效益。因此，我们要做的并不是去限制大数据技术的利用，而应当加强对数据使用行为的监管。

3.3 消费者主动维权成本高

如果维权成本过高，消费者便不愿意主动维权，以至于平台企业继续滥用消费者数据。

消费者主动维权成本高集中体现在举证维权的难度上。通常，消费者并非不愿意维权，而是因为维权的难度太大，仅凭个人能力很难达到维权目的，只能被迫放弃维权。我国对于消费者维权在证据证明方面适用过错责任原则和“谁主张谁举证”的规则，而在现实生活中，消费者与平台企业经营者存在数据信息差，消费者在这种情形下几乎不可能直接挖掘到平台企业的侵权证据，即便消费者求助于消协组织也难寻证据，因为消费者权益保护协会也只是一个普通的社会组织，并没有相应的执法权，能发挥的作用有限。另外，虽然我国有相关法律规定，消费者可以申请由公检法机关调查收集证据，但是由于大数据技术的复杂性与隐秘性，公检法必须深入平台企业内部，在调取证据时也是困难重重，使得消费者面临着举证不能的败诉风险。

4 消费者数据权益保护的对策思考

4.1 明晰知情同意原则的适用

虽然《个人信息保护法》对知情同意原则有相应的描述，但是在实施层面仍有难度，因此需要对知情同意原则做进一步明晰，使该原则落到实处。

第一，企业要履行充分告知的义务[5]。所谓的“充分告知”不仅要体现在“告知”上，还要给消费者选择的权利，也就是“告知后同意”和“告知后选择”。“告知后同意”要求企业向消费者明确表明收集数据的目的、范围、用途、使用方法等，同时告知也应通俗易懂，避免出现消费者想读却读不懂的窘境。“告知后选择”要求企业给消费者选择提供数据的范围以及使用的场景，企业可以在告知中区分不同的数据使用场景，并给出对应的图文示例，以便达到充分告知的要求。

第二，可以引入实质同意模式。《个人信息保护法》规定了“处理个人信息应当取得个人同意”，然而，如前所述的知情同意原则虚置问题，导致消费者个人同意陷入形式主义。因此，笔者认为将“同意”做进一步细化，有利于提高知情同意原则的可操作性，比如引入“推定同意”“概括同意”“开放同意”等不同标准的同意模式[6]，并为此设置特殊的同意规则，这样才能促进数据处理与数据保护的平衡，既可以提高企业处理消费者数据的效率，又能保障消费者的数据权益。

第三，探索区块链技术的运用。区块链是一个结合密码学技术和共识算法技术的数据库，利用数据编码分析使其具备去中心化、防篡改的特性。笔者认为，可以构建数据开放的公众参与模式[7]，在消费者授权同意的过程中嵌入区块链技术，平台企业可以从公链中获取消费者数据，简化知情同意环节，避免重复授权，这样既能提高平台企业的数据处理效率、减轻数据存储压力，也能加强消费者的数据隐私保护、防止数据遭到篡改。当然，区块链技术的运用还需要通过进一步的探索，保证技术利用的合规性与实用性，强化运用数据技术保护数据权益的实现路径。

4.2 构建数据保护体系

国外对于数据保护的研究发展较早，欧盟早在1995年颁布了《数据保护指令》，其中规定了各成员方需要设置相应的数据监管机构，比如荷兰的数据保护局、英国的信息专员办公室等。此外，欧盟于2016年通过的《一般数据保护条例》进一步细化了数据监管机构的职责分配，从而完善了数据保护体系。而我国对于数据保护的研究起步较晚，欧盟的数据保护体系值得我国借鉴，特别是在具体操作层面，以保障《个人信息保护法》的充分实施。笔者认为，数据监管机构可以在数据收集、数据使用和消费者维权三个阶段发挥重要作用。

第一，在数据收集阶段，监管机构可以要求平台企业在对消费者数据进行收集时做到合法合规，保障数据收集过程的公开透明，实时接受监督。据此，监管机构可以对平台企业的数据收集行为进行风险评估，对其发生的扩大数据收集范围、告知不充分等情形，及时提出相应的建议，以纠偏企业的风险行为。同时在必要的时候，消费者群体可以实现社会监督，这样也有助于探索全社会多元共治的数据保护体系。

第二，在数据使用阶段，平台企业不仅要确定合理合法的数据使用方式，还要维护数据安全，避免消费者数据泄露事件的发生，杜绝非法转卖行为，而监管机构一旦发现这类涉嫌违法的行为或者有数据泄露的风险，可以立即通知平台企业进行整改，必要时可以通知公检机关介入。

第三，在消费者维权阶段，监管机构可以在消费者遭受数据侵权时提供相应的帮助，包括但不限于使消费者知悉数据侵权导致的人格损害、财产损失等风险、为消费者提供平台企业数据侵权的有关证据，同时与消费者协会等有关组织协作，利用消费者特有的争议解决路径来为维护消费者的数据权益。

4.3 完善举证责任分配与赔偿机制

按照目前的民事诉讼规定，消费者维权适用过错责任原则，其举证责任是由消费者来承担，即“谁主张谁举证”。然而，在数字经济时代，平台企业在资金和技术的加持下进一步扩大了其与消费者之间的实力差距，如果在这种实力悬殊的诉讼中继续适用该原则，那么消费者数据权益将很难得到有效保障。因此，需要基于公平原则考虑完善举证责任的分配机制，即在消费者数据侵权案件中适用举证责任倒置规则,让弱势的消费者享有一定程度上倾斜保护政策的优待，以对抗处于强势地位的平台企业。

由于消费者数据侵权涉及人格权利益和财产权利益，因此在赔偿机制上需要分情况处理。针对平台企业不当抓取消费者个人敏感信息等侵害人格权利益的行为，消费者有权依据《民法典》等相关规定，行使消除影响、赔礼道歉等人格权请求权。而针对平台企业侵害财产权利益的行为，消费者有权依据《个人信息保护法》等相关规定，按照其实际损失或者平台企业侵权人所获得的利益进行赔偿[8]。从消费者数据的人格权价值和财产权价值两个角度出发，厘清消费者数据利益保护的价值目标，让消费者的维权救济更有针对性。

4.4 营造行业自律和数据合规利用的良好环境

区别于欧盟的数据保护体系，美国则更注重数据平台的行业自律。对于数据规制而言，仅依靠消费者个人的努力很难实现，不仅要加强有关部门的监管，还要坚持营造行业自律和数据合规利用的良好环境。行业自律是促使平台企业履行消费者数据保障义务的重要基石，也是消费者得以守护自身数据权益的关键。

就目前而言，我国对于数据监管体系的建设仍处于探索开发阶段，相关法律规制的配套设施尚不完善，急需通过数据平台行业自律组织进行外部辅助。自律组织可以带头制定成员普遍认可的行业自律章程，为企业的数据处置行为提供制度指引，密切关注大数据产业的发展动态，引导平台企业内部设立一个专门职位，以此来检测数据使用的安全性与合规性，并预警可能发生的数据风险。自律组织还可以列明数据处置行为的负面清单，并督促企业采取有效手段来保障消费者的数据安全，在发现其成员实施违反章程规定的行为后，要及时予以纠偏，并采取相应的惩治措施，进而稳定消费者数据流通秩序。与此同时，平台企业也要不断增强社会责任感，全心全意加入行业自律的队列，转变观念，提高数据处置行为的透明度，切实保障消费者的数据权益，为数字经济时代商业文明建设助力添彩。

5 结语

在数字经济时代，消费者数据权益侵害的案件时有发生，加强消费者数据权益保护是世界各国法律规制的大势所趋，也是消费者群体的人心所向。而我国的数据保护正遭遇知情同意原则虚置、大数据技术商业化滥用和消费者主动维权成本高等多方面的治理困境，要想切实保障消费者数据权益，必须在立法层面优化知情同意原则，在监管层面构建数据保护体系，在自律层面营造行业自律和数据合规利用的良好环境，同时结合《个人信息保护法》《消费者权益保护法》等有关法律法规进行综合治理。笔者希望能够通过本文的一些法律思考，在现有的法律框架下推动我国尽快形成立法规制、政府监管、行业自律等多元共治的消费者数据权益保障体系，促进数据利用与数据保护之间的平衡。