个人信息被誉为21世纪最富有价值的资源。具体而言,个人信息对自然人具有社会交往价值,对公权力主体具有管理价值,对企业等私主体具有商业价值。然而,在信息商业化过程中,信息失控已成为不争的事实。伴随着电子商务的普及,消费者成为个人信息泄露的主要受害群体。伴随信息泄露而至的垃圾短信、骚扰电话、精准诈骗日益威胁着人们的隐私、财产甚至生命安全;同时,消费者个人信息泄露还容易破坏市场秩序、制约经济发展,滋长各类犯罪、危害社会稳定,甚至引发公共安全及国家安全危机。因此,保护个人信息安全对于更好协调个人信息保护与信息自由流通,推动我国信息化进程,保护个人隐私,维护国家安全,促进和保障人权具有重大意义。
消费者个人信息保护的立法进展
目前,我国关于消费者个人信息保护的立法还较为零散,保护消费者个人信息安全的立法仍在不断推进。与消费者个人信息保护直接相关的是2013年修改的《中华人民共和国消费者权益保护法》,其中规定:消费者在购买、使用商品和接受服务时,享有个人信息依法得到保护的权利。同时,要求经营者收集、使用消费者个人信息应当遵循合法、正当、必要的原则,应当明示目的、方式和范围,并经消费者同意。经营者及其工作人员负有严格保密义务,应采取必要措施确保信息安全,信息泄露时负有补救义务,未经消费者同意不得发送商业性信息等。
网络消费的普及引发了互联网个人信息保护规制的强烈需求。将在今年6月1日施行的《中华人民共和国网络安全法》专章对个人信息安全做了规定,大量借鉴了已经实施的《中华人民共和国消费者权益保护法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《电信和互联网用户个人信息保护规定》《网络交易管理办法》中对个人信息保护的有关规定,包括网络运营者的信息安全义务(包括但不限于信息收集合法、正当及必要原则,知情同意要求,目的原则,个人查阅及更正权,数据泄露通知义务,对用户发布信息的监管义务等),增加了网络安全监督管理部门的保密义务,电子信息发送服务提供者和应用软件下载服务提供者的信息安全义务,网络诈骗等违法犯罪活动的惩处等内容。而有望在今年出台的《中华人民共和国电子商务法》目前公布的草案中规定了个人信息的概念,电子商务用户的个人信息自我决定权,信息收集、处理、使用的原则,用户查询、更正、补充个人信息的权利,保存期限届满后的删除、停止利用权及信息安全保障义务。
《中华人民共和国刑法》修正案(九)将修正案(七)中出售、非法提供个人信息罪的犯罪主体由特殊主体扩展为一般主体,因此自然适用于经营者主体,同时不再限定非法获取个人信息的途径或手段,另外,还增加了网络服务提供者拒不履行信息网络安全管理义务罪。《中华人民共和国侵权责任法》对公民隐私权、名誉权作出了相关规定,并且规定了网络用户、网络服务提供者的侵权责任,网络服务提供者的删除义务及连带责任。值得一提的是,2017年3月15日十二届全国人大第五次会议通过的《中华人民共和国民法总则》第一百一十条对保护自然人的个人信息作出明确规定:自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输个人信息,不得非法买卖、提供或者公开他人个人信息。
消费者个人信息保护的不足之处
综上可见,近几年我国明显加大了消费者个人信息保护的力度,但同当前个人信息保护的现实需求还存在一定差距。比如,法律规制缺乏体系化,保护范围模糊,重原则轻细则,自律规范多而监管规制少。消费者个人信息保护职责分散且呈现边缘化,侵害后救济渠道不畅通。执法依赖事后监管,缺少事前保护和监管。在电子商务中,网络消费的即时性与虚拟性、个人信息天然的无形及共享属性,使得网络消费者个人信息一旦泄露,存在举证困难、损失难以认定等问题。
进一步完善消费者个人信息保护制度
首先,在观念层面,加强消费者自我防范意识。消费者自我防范意识的提升是个人信息保护的首要一环。消费者个人信息的泄露在很大程度上与消费者缺乏个人信息保护意识及不良购物习惯有关,网络消费者尤其应当谨慎透露个人信息,并采用必要的技术防范手段。比如,采用匿名注册,网上消费应严格遵守网购交易流程,避免安装来历不明的软件和插件等。消费者自我防范意识的提高能在源头上有效避免个人信息泄露,进而减少个人信息的非法利用空间。因此,国家网络监管部门、消费者协会、电商协会等组织可以加大宣传、教育和引导力度,提升消费者尤其是未成年消费者的自我防范意识。
其次,在立法层面,明晰经营者信息安全义务。我国目前立法在经营者信息安全义务规制方面已有很大进步,但相对发达国家而言,仍显不足。首先,应当建立并完善消费者个人信息保护的实施细则,对于经营者在何种情况、多大程度、多长期限以及如何收集、使用消费者个人信息,立法应作出详细规定,确保消费者个人信息保护的可操作性。其次,经营者应加大技术开发投入,充分利用技术手段维护消费者个人信息安全,实现信息安全技术防护与互联网技术的运用同步发展。对于具备一定规模的经营者,应建立内部个人信息保护专员,建立完善的授权凭证与操作备案制度。最后,强化经营者侵权责任,加大经营者的举证责任。
再次,在执法层面,强化外部监管,重视源头管控。面对我国消费者举证困难、私力救济不济的现状,监管部门的外部监督成为消费者个人信息安全的有力保障。我国目前由公安、工商、网信、国务院电信主管部门等部门对公民个人信息实行多头监管,容易造成监管漏洞和盲区,难以形成执法合力。因此,我国可借鉴国外在相关部门下设个人信息保护机构,统筹规划,专司其职,或者建立符合消费者个人信息保护特点的协同管理体系,加强外部监管。同时,互联网的瞬时性决定了消费者个人信息一旦被泄露,便难以预料与把控其被非法使用所带来的危害程度。因此,保护消费者个人信息不能只立足于事后查处,更应着眼于事前预防,从根本上预防非法使用个人信息的行为。
最后,在救济层面,拓展救济渠道,有效化解纠纷。消费者个人信息保护的实质在于平衡消费者与经营机构间基于信息控制而带来的利益冲突。对于已经发生的消费者个人信息泄露问题,应完善和拓展救济渠道。除了保障司法救济渠道,还应当充分发挥消费者协会的作用,如积极搭建消费者群体与经营者、政府部门的沟通桥梁,及时有效传达诉求,调解纠纷;代表消费者受害群体提起公益诉讼。必要时,可考虑在监管部门下设个人信息调解委员会,负责受理消费者个人信息侵权的投诉,进行居中调解,有效保障消费者权利的救济途径。
(作者:程莹,单位:中国政法大学人权研究院)