网络交易消费者的个人信息保护
2014-02-04何培育
何培育
(重庆理工大学知识产权学院,重庆市 400054)
我国2014年新修订的《消费者权益保护法》第29条规定了经营者收集消费者个人信息应当遵守的基本原则及具体条件,该规定对于保障消费者个人信息安全具有十分重要的意义。然而,该法律条文规定得相对比较原则,且针对的是一般消费行为,对电子商务环境下个人信息保护的特殊性并未加以特别关照,因而需要在借鉴国外立法成熟经验的基础上加以进一步细化,以增强法律的可操作性与针对性。
一、网络交易消费者个人信息法律保护立法的国际比较
1.美国个人信息保护立法考察
美国针对个人信息保护采取了法律保护与行业自律相结合的方式。目前,美国联邦层面尚未制定专门针对网络消费者隐私权保护的一般性立法,仅针对特定对象颁布了一些法令,如针对不满十三岁的儿童颁布了《儿童在线隐私保护法案》。美国政府较早就意识到了电子商务环境下个人信息保护的重要性,并于1997年发布了《全球电子商务政策框架》。该框架针对电子商务迅猛发展以及网络环境下消费者个人信息安全岌岌可危的态势,特别强化了私营企业在网络环境下对个人信息的保护力度。该框架提出了两项保护网络隐私权的重要基本原则:一是告知原则。网络经营者在收集公民个人信息时,应当向公民说明信息收集的相关情况。具体而言,网络经营者应当告知信息主体个人信息收集的动机、信息使用的范围与方式、保护个人信息安全的制度与技术措施、提供个人信息所得到的回报等内容,以供信息主体在充分考虑各方面因素基础上作出审慎的决定。二是选择权原则。公民对与自己相关的个人信息的使用目的、方式等具有完全的自主决定权。信息主体作为权利人,完全有权自主决定是否向网络经营者披露个人信息,其作出决定的原因并没有必要向网络经营者进行解释,即便信息主体允许网络经营者收集其个人信息,仍然有权就网络经营者使用其个人信息的范围、方式、期限等作出明确的要求。[1]
然而,《全球电子商务政策框架》对消费者个人信息保护的规定非常原则,难以满足现实需要,以至于有学者认为该法“错失了一次明确消费者网络隐私权保障的重要机会”。[2]2010年12月,美国联邦贸易委员会公布《急速改变时代中的消费者隐私保护报告》,制定了消费者隐私权保护制度框架,特别提出要为消费者和电子商务企业提供简单易行的保护机制,明确规定了消费者信息选择权的内容与行使方式,特别强调了消费者信息保护的透明度要求,并公布了“禁止追踪”(Do-not-Track)计划,以保护消费者网络信息不受侵犯。为弥补联邦层面立法的缺失,美国一些州纷纷开始制定网络交易中消费者个人信息保护的法律规范。2011年,宾夕法尼亚州众议院通过一项决议,指出美国联邦层面缺乏消费者隐私保护立法容易造成严重的社会后果,主张联邦应当尽快通过新的消费者隐私权保护法,并建议联邦立法应遵循“简单、灵活、有效执行和减少损害”的立法原则。同时,宾夕法尼亚州众议院认为,联邦贸易委员会长期从事网络民事纠纷处理,积累了丰富的经验,因此建议由联邦贸易委员会负责网络消费者隐私权保护实施工作,还建议对消费者隐私信息进行分类并对消费者因电子商务企业侵权行为遭受损失的救济方式进行统一。
为回应各州以及联邦贸易委员会的诉求,美国政府于2012年2月23日公布了《全球数字经济下隐私保护的创新推动的框架》,重点阐明了政府拟敦促国会通过消费者在线隐私保护法案并将大力推进电子商务环境下消费者个人信息保护制度实施的立场。虽然该框架并非最终立法,但可以预见美国有关消费者在线隐私保护法案的制定与颁布将不再遥远。[3]
除法律保护之外,美国针对网络交易中消费者个人信息保护的行业自律模式也一向为各国称道。具体而言,美国电子商务行业保护消费者个人数据主要采用三种方式:一是通过非强制性的商业指引为电子商务企业保护消费者个人信息提供示范性指导;二是利用技术保护,较有代表性的是互联网协会提出的个人隐私偏好性平台技术(P3P);三是网络隐私认证机制,比如TRUSTe、BBBONLine、Web Trust等。[4]
2.日本个人信息保护立法考察
日本对网络交易消费者个人信息保护主要通过以《个人信息保护法》为代表的相关立法进行调整,也取得了较好的法律及社会效果。日本关于消费者个人信息保护的立法早期主要体现为一系列的指导方针,如1988年颁布的《关于民间部门个人信息保护指导方针》以及1989年颁布的《关于民间部门电子计算机处理和保护个人信息的指导方针》。之后,日本政府又对上述两项指导方针进行了修订,逐渐完善了关于个人信息保护的行政法规。1999年11月,高度信息化通信社会推动战略本部通过了《个人信息保护体系的存在方式》的报告,具体提出了行政机关与市场主体保护个人信息的具体措施。2003年,联合执政党提出个人信息保护立法修正草案,同年3月《个人信息保护法》、《信息公开与个人信息保护审查会设置法》等五项法案终于在议会获得通过。至此,日本有关个人信息保护的立法体系基本完成。[5]
(1)个人信息的范围界定
日本学界有关隐私权保护理论的主流观点倾向于“个人信息控制权”论。按照该学说,隐私权的实质是个人有权自主决定在什么时间、以何种方式、以何种程度向他人传递与自己有关信息的民事权利,简而言之就是个人拥有对自身可识别信息的控制权。[6]对隐私权保护的对象也经历了一个发展的阶段,早期主要针对不为人所知、不愿或不便为人所知的个人“私事”,随着社会的发展以及人际交往的日益频繁,逐步扩展到了可以识别出的个人的所有信息方面,大大拓展了保护的范围。日本《个人信息保护法》第2条规定,个人信息是指能把在世的某一个人从其他人中识别出来的与之相关的各种信息,包括姓名、出生年月等内容。日本《个人信息保护法》对个人信息的描述主要采用了概括性的立法方式,与单纯列举式的立法模式相比其涵盖内容更加广泛,能够更加灵活地适应信息技术的飞速发展。
(2)网络交易经营者的个人信息保护义务
企业通过各种方式掌握的关于顾客的个人信息属于公司的商业秘密,具有很高的商业价值。日本《个人信息保护法》第4章在市场主体保证个人信息安全性方面提出了明确而严格的要求,具体包括:①个人信息收集、使用目的明确原则。市场主体在使用数据主体的个人信息时,必须遵从被授权的特定目的,不得超出数据主体授权使用范围使用个人信息。②个人信息利用限制原则。市场主体未经数据主体同意,不得以任何形式向第三人提供其掌握的个人信息。③个人信息收集限制原则。《个人信息保护法》严厉禁止市场主体以各种不正当手段获取个人信息。④个人资料内容完整正确原则。市场主体有义务保持信息内容的正确完整,数据主体个人信息发生变化时,市场主体应当及时对个人信息内容作出变更。⑤个人信息安全保护原则。市场主体必须采取必要的安全管理措施,防止个人信息泄露等风险的产生。⑥个人信息收集、使用公开原则。市场主体通过各种方式取得个人信息后,必须明确公布并告知数据主体其利用个人信息的目的。⑦个人参加原则。数据主体有权对其个人信息进行确认、修订并要求市场主体停止使用。⑧责任原则。市场主体违反应承担的个人信息安全保障与管理义务,需要承担相应的法律责任。这些原则与世界经济合作与发展组织(OECD)《对个人数据隐私和跨界流动保护准则》所规定的8项基本原则基本一致。
(3)侵害个人信息的法律责任
日本较早的有关个人信息保护的立法,针对侵犯他人隐私权的行为,仅仅规定了民事责任。随后,日本于2000年7月颁布的《信息安全政策指导方针》以及同年12月颁布的《重要基础设施网络袭击对策特别行动计划》,对侵害他人个人信息行为的法律责任类型另外增加了行政与刑事责任。日本《个人信息保护法》详细规定了处罚的原则与具体操作细则,凡违反政府和地方公共团体政策法规以及违反主管大臣改善、终止命令者,都要承担相应的法律责任。[7]
3.国外个人信息保护制度的比较与启示
通过对美国和日本个人信息保护制度进行梳理,不难发现两者之间存在的显著区别:美国除制定了保护个人信息的相关立法外,还重点通过电子商务企业的行业自律来规范网络经营者对消费者个人信息的收集与使用行为;而作为具有大陆法系传统的日本,则针对消费者个人信息保护制定了严密的权利、义务、责任体系,并建立了相应的司法与行政救济措施,有力保障消费者个人信息不受侵犯。相比较而言,美国的个人信息保护制度更多兼顾了电子商务企业的利益,为企业经营提供了更加宽松的政策环境;而日本的立法机制则更加倾向于消费者权益保护,提升了电子商务经营者的注意义务与经营成本。
相比较而言,笔者认为,日本的个人信息保护制度更值得我国吸收和借鉴。首先,我国与日本具有共同的大陆法系传统,日本通过立法详细规定消费者个人信息权、市场主体收集与使用个人信息义务以及违反相关义务需要承担法律责任的做法,更符合当前我国法律制度的现状,相关法律原则与具体规范更便于我国进行法律移植。其次,美国重点依靠网络经营者行业自律方式保护消费者个人信息的模式需要一个特定的前提,即电子商务行业发展比较成熟且行业协会具有重要的影响力,能够对行业内部企业起到有力的约束作用。当前,我国电子商务产业的发展仍然处于不断探索阶段,相关制度和规范尚不健全,特别是电子商务行业协会的作用与美国相比仍然存在较大差距,当前环境下借鉴美国依赖行业自律进行规范的条件尚不成熟。
二、网络交易消费者个人信息保护立法现状与问题剖析
我国网络交易中的个人信息收集与使用过程存在大量的安全风险,随着网络技术的不断发展,团购等新型网络交易形式也将引发更多的个人信息交易安全风险,[8]亟需对我国现行立法进行审视并不断完善。
1.我国个人信息保护立法现状
当前,我国针对网络交易消费者个人信息保护尚缺乏一部专门的法律进行规范,相关条文散见于一些法律、法规、规章及司法解释中。较早规定网络用户个人信息保护的法律规范包括2000年信息产业部颁布的《互联网电子公告服务管理规定》以及2007年商务部印发的《商务部关于促进电子商务规范发展的意见》。前者原则性地规定了电子公告服务者进行个人信息保护的义务,后者也仅仅倡导性地规定了电子商务企业应当建立信息安全保障制度,重点防范通过互联网交易个人信息牟利的违法行为等内容。新修订的《消费者权益保护法》2014年3月15日生效,其第29条对经营者收集与使用消费者个人信息专门作出了规定。国家工商行政管理总局2014年制定的《网络交易管理办法》第18条有关网络交易中个人信息保护的条文与《消费者权益保护法》第29条相比,除明确针对网络商品经营者、有关服务经营者外,其他内容基本一致。
2.我国网络交易消费者个人信息保护制度问题剖析
第一,个人信息权利内容体系不清晰。当前,我国立法中关于个人信息保护的内容散见于一些部门法,特别是有关个人信息权利的内容较为散乱,不利于个人信息侵权法律纠纷的解决与对信息主体的权利保护。
第二,电子商务经营者的消费者个人信息义务不明确。《消费者权益保护法》及《网络交易管理办法》规定了电子商务经营者保护消费者个人信息的相关义务,但法律条文较为抽象且缺乏体系,需要进一步细化以增强可操作性。
第三,电子商务环境下个人信息保护侵权责任体系尚不完善。《消费者权益保护法》第50条规定了经营者侵犯消费者个人信息需要承担的民事责任,除民事责任外,还应进一步加强网络经营者侵犯消费者个人信息的行政与刑事责任,提高网络经营者侵权行为的违法成本,增强法律的威慑力以及教育和预防作用。
三、我国网络交易消费者个人信息保护的立法对策
1.构建个人信息权利内容体系
构建科学、合理的个人信息权利内容体系是保障消费者个人信息安全的前提与基础。个人信息权是一种新类型的具体人格权,其目的在于使个人能够以自己的积极行为支配其个人信息,保护其精神人格利益。笔者赞同一些学者的建议,将个人信息权确定为公民的基本权利,并以法律形式固定下来,由全国人大制定统一的法典。[9]笔者认为,个人信息权应当包括信息收集知情权、信息收集选择权、信息控制权、信息安全请求权等内容。
(1)信息收集知情权
电子商务环境下,大量的消费者个人信息是在消费者本人并不知情的情况下被收集的,而且对于被收集的个人信息将用于何种用途,消费者本人也并不知情,这种行为侵犯了消费者个人信息收集知情权。消费者不仅有权知道个人信息收集主体的准确信息,并且有权明确个人信息收集的范围、表现形式,还有权知道被收集的个人信息将用于何种用途。
(2)信息收集选择权
消费者个人信息收集选择权是指,消费者个人有权选择是否允许经营者收集其个人信息、选择收集个人信息的范围以及信息被收集后的使用方式。为获得网络服务,消费者通常需要提供相关的个人信息。这里有必要对经营者要求提交的个人信息予以分类,一般来讲与消费者购买行为密切相关的信息才属于消费者应当提交的范围,而与购买行为不是密切相关的信息,消费者有权拒绝提供,经营者不得以此为由拒绝为消费者提供网络服务。
(3)信息控制权
针对经营者向消费者收集的个人信息,消费者有权访问、查阅、要求经营者提供复制本,有权针对错误的个人信息要求经营者予以更改,有权要求经营者删除那些不再必要的个人信息。总之,尽管消费者向经营者提供了个人信息,但并不丧失对个人信息的控制权,可以通过合理的方式要求经营者保存的个人信息准确、完整,且有权在交易结束或消费者认为必要且不影响经营者合法利益的情况下要求经营者删除消费者个人信息。
(4)信息安全妨害排除请求权
电子商务经营者作为个人信息的收集者,同时负有保障消费者个人信息安全的义务,一旦经营者违法使用消费者个人信息或由于外部原因导致信息泄露的,消费者有权要求经营者采取必要、合理的措施保障其个人信息安全。如经营者拒绝采取必要措施或技术手段保障消费者个人信息安全,消费者有权向经营者主张其承担损害赔偿责任。
2.明确电子商务经营者的个人信息保护义务
电子商务经营者是个人信息保护法律关系中的义务主体,有义务保障消费者实现个人信息权。具体而言,电子商务经营者主要应当承担三个方面的法律义务:
第一,信息收集合法义务。该义务又包含目的合法、程序合法、方式合法三项内容。经营者通常都是以特定目的来收集个人信息的,该目的必须限于合法的商业用途,不得以非法目的收集个人信息。经营者收集个人信息必须符合法律要求的合法程序,必须对消费者进行明确的提醒并在确认征得消费者同意的情况下进行收集,如未经消费者许可收集消费者个人信息则构成侵权。另外,经营者收集消费者个人信息的方式也应当符合法律规定,不得使用木马程序、蠕虫病毒等威胁网络安全的方式收集。
第二,信息使用合法义务。经营者在使用消费者个人信息的过程中也应当符合法律规定,应当在信息主体授权的范围之内用于合法的商业目的。除法律另有规定外,任何未经消费者许可的使用行为、超出消费者授权范围的使用行为以及出售、转让、传输个人信息等行为,均有可能构成侵权行为并承担法律责任。
第三,信息安全保障义务。经营者应当采取适当的技术措施,防止网络系统遭受攻击而造成个人信息泄露。具体而言,应当做到以下几个方面:电子商务系统研发人员在设计网络系统的过程中应当尽力避免出现程序“漏洞”,一旦发现“漏洞”,应当及时安装“补丁”;在电子商务经营者内部网与外部网之间、网络与储存介质之间采取物理隔离等安全手段,防范通过外部网入侵内部网的行为;避免存储涉密信息的储存介质在外部网计算机上使用;为网络系统安装有效的防火墙程序,进行过滤设置与控件屏蔽设置,避免非法入侵者绕过防火墙进行窃密;采取积极的入侵检测、鉴别、取证等安全防御措施,检测与屏蔽各种网络欺骗与入侵行为。
3.完善个人信息侵权法律责任制度
当前导致电子商务环境下个人信息保护危机凸显的一个重要原因在于,个人信息侵权行为难以受到法律追究,这在一定程度上纵容了个人信息侵权现象的泛滥。个人信息保护法是着眼于问题和目的的部门法,同时也是公私混合的领域法,[10]为了使个人信息能够获得全面保护,需要从民事、行政、刑事等三个方面入手来完善个人信息保护法律责任制度。
(1)在民事责任方面,笔者认为,首先个人信息侵权适用过错责任原则。其次,个人信息侵权责任认定应当具备以下四个要件:一是侵害行为。电子商务环境下的个人信息侵害行为具体表现为个人信息违法收集、个人信息违法使用以及违反安全保障义务的侵害行为。个人信息收集方面的侵害行为包括欺骗性地收集消费者个人信息、未经许可收集消费者个人信息以及通过购买方式收集个人信息。个人信息使用方面的侵害行为包括非法二次开发利用个人信息、非法出售或转让个人信息、非法泄露个人信息等。网络经营者未采取适当技术与管理措施造成消费者个人信息泄露的同样构成侵害行为。二是损害后果。电子商务环境下的个人信息侵权损害后果包括财产损害与精神损害两种。财产损害包括直接损害(如因消费者银行卡等财务信息泄露而造成的金钱损失)与间接损害(如消费者可期待经济利益遭受的损失)两种。精神损害指由于消费者个人信息被泄露或非法使用而造成的消费者的精神创伤或精神痛苦。三是因果关系。从平衡信息权人与行业发展的角度分析,笔者认为应适用相当因果关系规则,即行为人针对信息主体实施了加害行为,其危害程度足以导致消费者个人信息权受损时,即可认定行为与损害后果之间具有因果关系。四是主观过错。行为人的故意主要体现为,未经消费者许可以赢利为目的收集、出售个人信息;过失主要体现为,对网站疏于管理,造成他人轻易入侵网站导致个人信息泄露后果等。其三,在侵权责任承担方面,新修订的《消费者权益保护法》第50条明确规定,经营者侵害消费者个人信息权应当承担停止侵害、恢复名誉、消除影响、赔礼道歉并赔偿损失等责任。特别需要关注的是,个人信息权属于人格权的内容之一,因此消费者个人信息权受到侵害时,有权要求加害人承担精神损害赔偿责任。
(2)在行政责任方面,我国《消费者权益保护法》第56条规定了侵犯消费者个人信息的行政责任,并通过记入信用档案、向社会公布等方式增强对不法经营者的震慑力,有助于个人信息得到更好的保护。但由于网络经营者侵犯消费者个人信息的行为往往比较隐蔽,笔者建议我国设立专职部门负责查办此类案件,同时增强调查取证的水平,加大对违法行为的打击力度,保障相关制度措施取得实效。
(3)我国现行《刑法》第253条规定,出售或非法提供公民个人信息情节严重者要承担刑事责任。该条规定自纳入《刑法》以来在现实中较少适用,其主要原因在于,《刑法》第253条约束的重点是国家机关或金融、电信、交通、教育、医疗等单位及其工作人员等特殊主体,而对于一般主体是否适用该条规定则比较模糊。另外,只有在符合“情节严重”的条件下,才能追究行为人的刑事责任,而“情节严重”的标准在司法适用中不甚明确。笔者建议,将第253条针对特殊主体与普通主体的刑事责任法律适用加以区分,同时对“情节严重”作出进一步的解释,以便司法适用并打击犯罪行为。
*本文系国家社科基金重大项目课题“国家网络空间安全法律保障机制研究”(项目编号:13&ZD181)的阶段性研究成果。
[1]郎庆斌.国外个人信息保护模式研究[J].信息技术与标准化,2012(1):22-24.
[2]See Joel R.Reidenberg.Restoring Americans'Privacy in Electronic Commerce[M].Berkeley Tech.L.J.,1999:771-772.
[3]牟凡.中美电子商务消费者隐私权保护制度比较研究[D].南京:南京大学,2012:17.
[4]华劼.网络时代的隐私权——兼论美国和欧盟网络隐私权保护规则及对我国的启示[J].河北法学,2008(6):10.
[5]、[7]谢青.日本的个人信息保护法制及启示[J].政治与法律,2006(6):152-153.
[6]奥平康宏.知情权[M].岩波书店,1981:384.
[8]王芳云,张炳发.我国网络团购风险的成因与对策建议[J].中国流通经济,2013(2):62.
[9]米铁男.中国电子商务领域隐私数据保护研究[J].学术交流,2013(7):41.
[10]齐爱民.论个人信息保护法的地位与性质[J].中国流通经济,2009(1):65.
