消费者个人信息保护法律问题研究

张素丽

(河南警察学院 交通管理工程系，河南 郑州 450046)

一、消费者个人信息的含义、类型及其权利属性

1.网络消费者及个人信息的概念

网络消费者是指在电子商务平台中依靠互联网进行购物和消费的人群，目前国内中青年占绝对比重。最新颁布的《个人信息保护法》中个人信息是指以电子或其他方式记录的与已识别或可识别的自然人有关的各类信息，但不包括匿名化处理后的信息。[1]网络消费者与一般消费者的个人信息从性质上看几乎无差别，但一般消费者在消费时，商家为消费者留下商家店面信息，如商号名称、地址、联系方式等，消费者一般不会留下个人信息给商家，相反网络消费者为收取货物和接受服务方便，却要主动地为网络运营商和经营者输出个人信息，后台可以收集到网络消费者浏览网址记录、个人偏好等信息。

2.消费者个人信息的类型

(1)敏感个人信息与一般个人信息。依据信息是否具有敏感性可以将个人信息分为敏感个人信息与一般个人信息，2021年11月1日施行的《个人信息保护法》第二章第二节第二十八条明文规定，敏感个人信息遭非法使用和泄露，易侵害自然人人格尊严或危害其人身、财产安全，具体包括特定身份、医疗健康、宗教信仰、行踪轨迹、金融账户、生物识别等信息，以及未满十四周岁未成年人个人信息。[2]个人信息处理者处理敏感个人信息，首先要征得个人的同意并同时具有充分的必要性和特定的目的。应取得其父母或其他监护人的同意后，方可处理不满十四周岁未成年人个人信息，并要求制定出专门的个人信息处理规则。一般个人信息是指在使用信息时不会对消费者造成重大伤害的信息，例如仅使用消费者姓名、性别、民族、年龄等常规信息，就不具有现实性的危害作用，更不会对其生活产生多大影响，一般来说围绕其个人的基础的基本信息情况即为一般个人信息。所以处理一般个人信息除非法律有明文规定，正常情况下无须得到当事人单独同意；对于敏感个人信息的处理还是要审慎，以抑制和防止发生严重危害社会秩序事件的可能。

(2)直接个人信息与间接个人信息。根据信息识别的难易程度，可分为间接个人信息和直接个人信息，如依据其姓名、性别、年龄、住址、联系方式、身份证号码、肖像等直接判断出的个人信息就属于直接个人信息，在网络消费者在购买产品或享受服务时，输入的相关信息一般都是直接个人信息，通过这些信息平台或经营者可直接定位到消费者本人。作为间接信息则需要经过加工分析后才能定位到个人，中间存在一个过程，这也是间接个人信息与直接个人信息的最大区别[3]。相对来说间接信息不易识别，保护力较强，而直接信息若遭到泄露或非法利用，将会危及网络消费者的人身和财产安全，严重危害社会秩序造成恶劣后果。所以对直接个人信息的使用也要审慎，加工使用间接个人信息经过授权也是必要的。

3.网络消费者个人信息的权利属性

数年来学者们对网络消费者个人信息的权利属性一直存在争议，未能形成统一观点。事实上在保护网络消费者权益方面需要确定权利属性及本质，当前主要存在五种争议：一是人格权说，即个人隐私遭到泄露受到伤害，主张通过民法调整来保障民事权利并得到应有的法律救济；二是财产权肯定说，视个人信息为消费者私人财产，任何人未经授权不得随意使用和处置；三是复合权属说，主张从人格和财产的双重角度来考虑；四是财产否定说，主张碎片化的消费者个人信息不具有商业价值；五是公共权益说，认同网络消费者个人信息具有社会性、公益性和功能性。其中，第三种观点即复合权属说，网络消费者个人信息兼具人格权和财产权是绝大多数学者持有的观点，也是主流观点。网络消费者个人信息作为一种新生事物，需要从法律层面对其进行全方位保护，并对其进行合法及合理的利用，从而促进和保障社会经济的健康发展。[4]

二、消费者个人信息特征

1.可识别性强

可识别性强是网络消费者个人信息最显著的特征。随着信息技术的快速发展，网络消费者在享受快捷的产品和服务，其个人信息安全也存在重大隐患，通过现在的大数据技术可以准确、迅速地识别消费者的身份及其个人参与的全部特定网络活动。识别个人信息会产生两大作用：一是能快速识别特定网络消费者的个人身份，不论个人信息是来源于网络消费者主动输出还是后台收集，也不论个人信息是否可以直接识别，以目前的技术水平均可精准定位到特定网络消费者，甚至通过反匿名化操作依旧可以识别特定网络消费者个人身份。二是能跟踪识别消费者特定网络活动，只要消费者在各网页浏览查询或购买产品及服务，后台就可以轻松监测和获取其浏览踪迹信息，并对其进行专业分析和处理，为网络运营商和经营者今后的产品和服务市场决策和部署提供重要的导向。

2.泄露危害大

在现代社会生活中，几乎我们每一个人都收到过骚扰短信和接听过诈骗电话，并不知晓自己的联系方式何时被谁泄露。一般来说可将网络消费者个人信息泄露方式分为横向和纵向两种。横向泄露涉及面较广，主要指网络消费者姓名、性别、年龄、职业、住址、联系电话、收入状况、隐私爱好等信息。纵向泄露主要是平台运营商、提供产品或服务的经营者、物流单位等。如购房后经常接听到装修公司的电话，极有可能是开发商或者售楼部将购房者的个人信息非法提供给了装修公司；刚出生的婴儿父母经常接听到儿童摄影馆、早教中心的电话，极有可能是医院或医生把医治服务对象的信息向外非法提供给了儿童摄影馆和早教中心。

3.商业价值高

当下网络消费者个人信息已经跃升为一种“数据资产”，成为最具使用价值和挖掘潜力的资产。个人信息处理者往往不惜铤而走险非法提供和贩卖获取商业利益，完全不顾网络消费者人身和财产安全。如2017年江苏宿迁市区一家幼儿园园长竟然将教职工的家庭和个人信息提供给当地一家房地产公司，自己从中牟取好处，把应该给予教职工的油、大米和纯净水悉数占为己有，后来东窗事发被总部劝退。

三、网络消费者个人信息法律保护存在的问题

网络消费是信息时代的产物，网络消费者个人信息法律保护是伴随着社会的发展而衍生的新课题，而当前我国在制定网络消费者个人信息法律保护措施上仍处于探索完善阶段，主要存在以下两个方面的问题：

1.对侵害个人信息行为惩罚较轻

作为网络平台运营者和提供产品或服务的经营者，经不住经济利益的诱惑，往往铤而走险，非法买卖、泄露网络消费者个人信息，对严重侵犯其人身和财产权益的本该上升到刑律处罚，但现实中大多数都仅作为普通民事案件处理了之，而且我国法律体系对侵害网络消费者个人信息的行为处理手段和程序相对简单，有些轻微的侵害行为根本不会做出处罚，导致泄露者无惧法律频繁泄露他人信息行为的结果，网络消费者的基础权利根本无法得到有效保护。[5]我国司法机关在处理个人信息侵权案件方面缺乏经验，未能充分分析和考虑对当事人的伤害类别和危害程度，很多案件已经涉及侵犯公民个人信息犯罪，但未能按此罪处罚。最新颁布的《个人信息保护法》在第七章法律责任中对于违法者罚款规定额度较高，但施行至今国内几乎没有一例案件依据此法判决。

2.相关保护主体责任不明确

针对相关网络消费者个人信息保护主体责任，现行法律规定并不明确。现行的《电子商务法》《网络安全法》《消费者权益保护法》仅对收集信息的主体要求保密，对个人信息的法律保护只是笼统地概括规定，并没有具体的内容。实际上对个人信息的保护需要多方主体一起努力，是不可能通过哪一部单行法律来完全实现的。近几年国家市场监管总局基于市场管理职能需要，查处了一些侵害个人信息的行为，但法律上并未规定其具体职责范畴。当前对于网络消费者个人信息保护总体缺乏具体、明确的硬性规定，尽管法律未规定以上主体的具体职责，但并不是它们就不承担保护责任，在法律完善保护性规定的同时，责任仍然由各方主体承担。作为网络平台和提供产品和服务的经营者，依然是网络消费者个人信息保护的重要责任主体。针对网络消费者个人信息安全问题，各方主体有义务、有责任合力保护，需要多部门联合排查信息监管漏洞，减少信息泄露造成的影响和社会危害后果。[6]

四、网络消费者个人信息保护措施完善及路径研究

1.严格司法加大惩罚力度

当前我国司法实践中还是以信息泄露直接对当事人造成的伤害程度来定罪量刑，对民事侵权案件遵循“不告不理”的原则，几乎不会主动介入，且惩罚力度一直偏弱，需要不断完备法律措施保障和增强受害人安全感。

一是需要强制消除因侵害网络消费者个人信息所带来的负面影响。虽在此类案件判决中很少提及，但确有必要。在一般案件中受害者除要求侵权人停止侵害、赔礼道歉、赔偿损失外，还需要消除影响。强制消除影响是受害人(网络消费者)追求的最终结果，是侵权人(网络平台和经营者)应履行的弥补义务，同时更需要法律这种国家强制力来保障实施消除影响。[7]

二是提高罚金和赔偿金额。虽然当前我国涉及网络消费者个人信息泄漏案件基本上都是对当事人给予罚金处罚，赔偿受害人损失几乎没有，因此对于网络消费者个人信息侵权案件还应结合侵犯公民个人信息罪案例进行分析。当前司法机关对绝大多数网络消费者个人信息侵权案件都是以认定侵权人收集并泄露信息的行为是否造成实质性影响和是否对受害人形成严重伤害为标准，一般都是罚金处理，很少涉及对侵权人实施惩罚性赔偿和罚款措施。相反支持对侵权人实施惩罚赔偿措施，特别是依据《个人信息保护法》实施罚款将会起到很好的预防作用，可以有效减少侵犯公民个人信息案件的发生，因此，严格司法加大惩罚力度极为必要。

三是将泄露个人信息事件纳入征信体系。《个人信息保护法》第六十七条明文规定，对违反本法的行为记入信用档案并公示。目前国家仅对相关处罚记入信用档案，还应将事件暴露情况一并记入信用档案并长久保存，将会对侵权人起到震慑作用。通过征信公示效应，在一定程度上将缩减和遏制滥用、泄露网络消费者个人信息行为，迫使有关主体为维护自身的商誉而主动去采取积极措施规避类似事件的发生。借助于法律手段，针对单位纳入“经营异常名录信息”，对于个人列入中国人民银行个人征信报告，将故意泄露个人信息的行为列入征信报告无疑是一种有效可行的措施。[8]

2.明确信息保护主体法律措施

一是明确信息使用者保护措施，严格落实隐私保密政策。信息使用者与消费者个人平时接触最为密切，相比其他主体其承担的保护责任也最为直接。作为信息使用者有义务对自己掌握的消费者个人信息和隐私采取积极有效的保护措施，如设置密码保护防止信息外泄、签订协议约定赔偿条款以及设置使用权限等。

二是健全政府的公共保障措施。因为我国的公共保障措施一直围绕宏观制度研究并制定，对于如电话诈骗和短信骚扰等具细微观现象很难顾及，一旦出现大规模信息泄漏事件，仅凭信息使用者是无法解决和处理的。所以国家应借鉴欧盟和日本的经验和做法，结合国情自上而下设立专门保护个人信息的部门，设置到省市一级，促进政府高效履行公共保障职责，阻止大规模网络消费者个人信息对外传播，限制和根除恶性侵犯网络消费者个人信息事件的发生。

三是强化行业协会定期监测。将网络平台运营商纳入网络安全行业协会监管，是逐步解决网络消费者信息问题的关键。虽然现行法律并未将网络安全行业协会纳入法律体系，但不能忽视行业协会的地位和作用，将网络安全行业协会纳入法律体系尤显重要和紧迫。所以当前行业定期监测不可或缺，民政部门作为登记管理部门可依法制定本地互联网协会对个人信息监测条例，提出具体的标准要求，让协会发挥职能作用监督会员行为。[9]

五、结语

网络消费者个人信息作为当今信息化、大数据时代的新生产物，与其他个人信息相比具有自己的独特商业属性。为保障和维护网络消费者个人信息安全，构建综合治理体系是当前及今后应着手研究的重大课题。当前，在法律措施和制度建设上仍需进一步加以完善，如制定个人信息保护具体规则标准、建立网络信息安全监管机制、完善信息收集阶段的告知同意规则、健全信息存储阶段的防泄露标准、重新调整法律责任归责方式、科学合理地分配举证责任、改革创新损害赔偿制度和建立政府、社会与个人“三位一体”监督体系。