個人信息被譽為21世紀最富有價值的資源。具體而言,個人信息對自然人具有社會交往價值,對公權力主體具有管理價值,對企業等私主體具有商業價值。然而,在信息商業化過程中,信息失控已成為不爭的事實。伴隨着電子商務的普及,消費者成為個人信息泄露的主要受害羣體。伴隨信息泄露而至的垃圾短信、騷擾電話、精準詐騙日益威脅着人們的隱私、財產甚至生命安全;同時,消費者個人信息泄露還容易破壞市場秩序、制約經濟發展,滋長各類犯罪、危害社會穩定,甚至引發公共安全及國家安全危機。因此,保護個人信息安全對於更好協調個人信息保護與信息自由流通,推動我國信息化進程,保護個人隱私,維護國家安全,促進和保障人權具有重大意義。
消費者個人信息保護的立法進展
目前,我國關於消費者個人信息保護的立法還較為零散,保護消費者個人信息安全的立法仍在不斷推進。與消費者個人信息保護直接相關的是2013年修改的《中華人民共和國消費者權益保護法》,其中規定:消費者在購買、使用商品和接受服務時,享有個人信息依法得到保護的權利。同時,要求經營者收集、使用消費者個人信息應當遵循合法、正當、必要的原則,應當明示目的、方式和範圍,並經消費者同意。經營者及其工作人員負有嚴格保密義務,應採取必要措施確保信息安全,信息泄露時負有補救義務,未經消費者同意不得發送商業性信息等。
網絡消費的普及引發了互聯網個人信息保護規制的強烈需求。將在今年6月1日施行的《中華人民共和國網絡安全法》專章對個人信息安全做了規定,大量借鑑了已經實施的《中華人民共和國消費者權益保護法》《全國人民代表大會常務委員會關於加強網絡信息保護的決定》《電信和互聯網用户個人信息保護規定》《網絡交易管理辦法》中對個人信息保護的有關規定,包括網絡運營者的信息安全義務(包括但不限於信息收集合法、正當及必要原則,知情同意要求,目的原則,個人查閲及更正權,數據泄露通知義務,對用户發佈信息的監管義務等),增加了網絡安全監督管理部門的保密義務,電子信息發送服務提供者和應用軟件下載服務提供者的信息安全義務,網絡詐騙等違法犯罪活動的懲處等內容。而有望在今年出台的《中華人民共和國電子商務法》目前公佈的草案中規定了個人信息的概念,電子商務用户的個人信息自我決定權,信息收集、處理、使用的原則,用户查詢、更正、補充個人信息的權利,保存期限屆滿後的刪除、停止利用權及信息安全保障義務。
《中華人民共和國刑法》修正案(九)將修正案(七)中出售、非法提供個人信息罪的犯罪主體由特殊主體擴展為一般主體,因此自然適用於經營者主體,同時不再限定非法獲取個人信息的途徑或手段,另外,還增加了網絡服務提供者拒不履行信息網絡安全管理義務罪。《中華人民共和國侵權責任法》對公民隱私權、名譽權作出了相關規定,並且規定了網絡用户、網絡服務提供者的侵權責任,網絡服務提供者的刪除義務及連帶責任。值得一提的是,2017年3月15日十二屆全國人大第五次會議通過的《中華人民共和國民法總則》第一百一十條對保護自然人的個人信息作出明確規定:自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的,應當依法取得並確保信息安全,不得非法收集、使用、加工、傳輸個人信息,不得非法買賣、提供或者公開他人個人信息。
消費者個人信息保護的不足之處
綜上可見,近幾年我國明顯加大了消費者個人信息保護的力度,但同當前個人信息保護的現實需求還存在一定差距。比如,法律規制缺乏體系化,保護範圍模糊,重原則輕細則,自律規範多而監管規制少。消費者個人信息保護職責分散且呈現邊緣化,侵害後救濟渠道不暢通。執法依賴事後監管,缺少事前保護和監管。在電子商務中,網絡消費的即時性與虛擬性、個人信息天然的無形及共享屬性,使得網絡消費者個人信息一旦泄露,存在舉證困難、損失難以認定等問題。
進一步完善消費者個人信息保護制度
首先,在觀念層面,加強消費者自我防範意識。消費者自我防範意識的提升是個人信息保護的首要一環。消費者個人信息的泄露在很大程度上與消費者缺乏個人信息保護意識及不良購物習慣有關,網絡消費者尤其應當謹慎透露個人信息,並採用必要的技術防範手段。比如,採用匿名註冊,網上消費應嚴格遵守網購交易流程,避免安裝來歷不明的軟件和插件等。消費者自我防範意識的提高能在源頭上有效避免個人信息泄露,進而減少個人信息的非法利用空間。因此,國家網絡監管部門、消費者協會、電商協會等組織可以加大宣傳、教育和引導力度,提升消費者尤其是未成年消費者的自我防範意識。
其次,在立法層面,明晰經營者信息安全義務。我國目前立法在經營者信息安全義務規制方面已有很大進步,但相對發達國家而言,仍顯不足。首先,應當建立並完善消費者個人信息保護的實施細則,對於經營者在何種情況、多大程度、多長期限以及如何收集、使用消費者個人信息,立法應作出詳細規定,確保消費者個人信息保護的可操作性。其次,經營者應加大技術開發投入,充分利用技術手段維護消費者個人信息安全,實現信息安全技術防護與互聯網技術的運用同步發展。對於具備一定規模的經營者,應建立內部個人信息保護專員,建立完善的授權憑證與操作備案制度。最後,強化經營者侵權責任,加大經營者的舉證責任。
再次,在執法層面,強化外部監管,重視源頭管控。面對我國消費者舉證困難、私力救濟不濟的現狀,監管部門的外部監督成為消費者個人信息安全的有力保障。我國目前由公安、工商、網信、國務院電信主管部門等部門對公民個人信息實行多頭監管,容易造成監管漏洞和盲區,難以形成執法合力。因此,我國可借鑑國外在相關部門下設個人信息保護機構,統籌規劃,專司其職,或者建立符合消費者個人信息保護特點的協同管理體系,加強外部監管。同時,互聯網的瞬時性決定了消費者個人信息一旦被泄露,便難以預料與把控其被非法使用所帶來的危害程度。因此,保護消費者個人信息不能隻立足於事後查處,更應着眼於事前預防,從根本上預防非法使用個人信息的行為。
最後,在救濟層面,拓展救濟渠道,有效化解糾紛。消費者個人信息保護的實質在於平衡消費者與經營機構間基於信息控制而帶來的利益衝突。對於已經發生的消費者個人信息泄露問題,應完善和拓展救濟渠道。除了保障司法救濟渠道,還應當充分發揮消費者協會的作用,如積極搭建消費者羣體與經營者、政府部門的溝通橋樑,及時有效傳達訴求,調解糾紛;代表消費者受害羣體提起公益訴訟。必要時,可考慮在監管部門下設個人信息調解委員會,負責受理消費者個人信息侵權的投訴,進行居中調解,有效保障消費者權利的救濟途徑。
(作者:程瑩,單位:中國政法大學人權研究院)
