個人資訊被譽為21世紀最富有價值的資源。具體而言,個人資訊對自然人具有社會交往價值,對公權力主體具有管理價值,對企業等私主體具有商業價值。然而,在資訊商業化過程中,資訊失控已成為不爭的事實。伴隨著電子商務的普及,消費者成為個人資訊洩露的主要受害群體。伴隨資訊洩露而至的垃圾簡訊、騷擾電話、精準詐騙日益威脅著人們的隱私、財產甚至生命安全;同時,消費者個人資訊洩露還容易破壞市場秩序、制約經濟發展,滋長各類犯罪、危害社會穩定,甚至引發公共安全及國家安全危機。因此,保護個人資訊保安對於更好協調個人資訊保護與資訊自由流通,推動我國資訊化程序,保護個人隱私,維護國家安全,促進和保障人權具有重大意義。
消費者個人資訊保護的立法進展
目前,我國關於消費者個人資訊保護的立法還較為零散,保護消費者個人資訊保安的立法仍在不斷推進。與消費者個人資訊保護直接相關的是2013年修改的《中華人民共和國消費者權益保護法》,其中規定:消費者在購買、使用商品和接受服務時,享有個人資訊依法得到保護的權利。同時,要求經營者收集、使用消費者個人資訊應當遵循合法、正當、必要的原則,應當明示目的、方式和範圍,並經消費者同意。經營者及其工作人員負有嚴格保密義務,應採取必要措施確保資訊保安,資訊洩露時負有補救義務,未經消費者同意不得傳送商業性資訊等。
網路消費的普及引發了網際網路個人資訊保護規制的強烈需求。將在今年6月1日施行的《中華人民共和國網路安全法》專章對個人資訊保安做了規定,大量借鑑了已經實施的《中華人民共和國消費者權益保護法》《全國人民代表大會常務委員會關於加強網路資訊保護的決定》《電信和網際網路使用者個人資訊保護規定》《網路交易管理辦法》中對個人資訊保護的有關規定,包括網路運營者的資訊保安義務(包括但不限於資訊收集合法、正當及必要原則,知情同意要求,目的原則,個人查閱及更正權,資料洩露通知義務,對使用者釋出資訊的監管義務等),增加了網路安全監督管理部門的保密義務,電子資訊傳送服務提供者和應用軟體下載服務提供者的資訊保安義務,網路詐騙等違法犯罪活動的懲處等內容。而有望在今年出臺的《中華人民共和國電子商務法》目前公佈的草案中規定了個人資訊的概念,電子商務使用者的個人資訊自我決定權,資訊收集、處理、使用的原則,使用者查詢、更正、補充個人資訊的權利,儲存期限屆滿後的刪除、停止利用權及資訊保安保障義務。
《中華人民共和國刑法》修正案(九)將修正案(七)中出售、非法提供個人資訊罪的犯罪主體由特殊主體擴充套件為一般主體,因此自然適用於經營者主體,同時不再限定非法獲取個人資訊的途徑或手段,另外,還增加了網路服務提供者拒不履行資訊網路安全管理義務罪。《中華人民共和國侵權責任法》對公民隱私權、名譽權作出了相關規定,並且規定了網路使用者、網路服務提供者的侵權責任,網路服務提供者的刪除義務及連帶責任。值得一提的是,2017年3月15日十二屆全國人大第五次會議通過的《中華人民共和國民法總則》第一百一十條對保護自然人的個人資訊作出明確規定:自然人的個人資訊受法律保護。任何組織和個人需要獲取他人個人資訊的,應當依法取得並確保資訊保安,不得非法收集、使用、加工、傳輸個人資訊,不得非法買賣、提供或者公開他人個人資訊。
消費者個人資訊保護的不足之處
綜上可見,近幾年我國明顯加大了消費者個人資訊保護的力度,但同當前個人資訊保護的現實需求還存在一定差距。比如,法律規制缺乏體系化,保護範圍模糊,重原則輕細則,自律規範多而監管規制少。消費者個人資訊保護職責分散且呈現邊緣化,侵害後救濟渠道不暢通。執法依賴事後監管,缺少事前保護和監管。在電子商務中,網路消費的即時性與虛擬性、個人資訊天然的無形及共享屬性,使得網路消費者個人資訊一旦洩露,存在舉證困難、損失難以認定等問題。
進一步完善消費者個人資訊保護制度
首先,在觀念層面,加強消費者自我防範意識。消費者自我防範意識的提升是個人資訊保護的首要一環。消費者個人資訊的洩露在很大程度上與消費者缺乏個人資訊保護意識及不良購物習慣有關,網路消費者尤其應當謹慎透露個人資訊,並採用必要的技術防範手段。比如,採用匿名註冊,網上消費應嚴格遵守網購交易流程,避免安裝來歷不明的軟體和外掛等。消費者自我防範意識的提高能在源頭上有效避免個人資訊洩露,進而減少個人資訊的非法利用空間。因此,國家網路監管部門、消費者協會、電商協會等組織可以加大宣傳、教育和引導力度,提升消費者尤其是未成年消費者的自我防範意識。
其次,在立法層面,明晰經營者資訊保安義務。我國目前立法在經營者資訊保安義務規制方面已有很大進步,但相對已開發國家而言,仍顯不足。首先,應當建立並完善消費者個人資訊保護的實施細則,對於經營者在何種情況、多大程度、多長期限以及如何收集、使用消費者個人資訊,立法應作出詳細規定,確保消費者個人資訊保護的可操作性。其次,經營者應加大技術開發投入,充分利用技術手段維護消費者個人資訊保安,實現資訊保安技術防護與網際網路技術的運用同步發展。對於具備一定規模的經營者,應建立內部個人資訊保護專員,建立完善的授權憑證與操作備案制度。最後,強化經營者侵權責任,加大經營者的舉證責任。
再次,在執法層面,強化外部監管,重視源頭管控。面對我國消費者舉證困難、私力救濟不濟的現狀,監管部門的外部監督成為消費者個人資訊保安的有力保障。我國目前由公安、工商、網信、國務院電信主管部門等部門對公民個人資訊實行多頭監管,容易造成監管漏洞和盲區,難以形成執法合力。因此,我國可借鑑國外在相關部門下設個人資訊保護機構,統籌規劃,專司其職,或者建立符合消費者個人資訊保護特點的協同管理體系,加強外部監管。同時,網際網路的瞬時性決定了消費者個人資訊一旦被洩露,便難以預料與把控其被非法使用所帶來的危害程度。因此,保護消費者個人資訊不能隻立足於事後查處,更應著眼於事前預防,從根本上預防非法使用個人資訊的行為。
最後,在救濟層面,拓展救濟渠道,有效化解糾紛。消費者個人資訊保護的實質在於平衡消費者與經營機構間基於資訊控制而帶來的利益衝突。對於已經發生的消費者個人資訊洩露問題,應完善和拓展救濟渠道。除了保障司法救濟渠道,還應當充分發揮消費者協會的作用,如積極搭建消費者群體與經營者、政府部門的溝通橋樑,及時有效傳達訴求,調解糾紛;代表消費者受害群體提起公益訴訟。必要時,可考慮在監管部門下設個人資訊調解委員會,負責受理消費者個人資訊侵權的投訴,進行居中調解,有效保障消費者權利的救濟途徑。
(作者:程瑩,單位:中國政法大學人權研究院)
