作者简介：邱祥宾（1991-），男，汉族，四川省。研究生在读，四川大学，经济法方向。

摘 要：法律视角下的个人信息保护主要涉及到规范公权机构和规制私人部门两个方面的内容。《消费者权益保护法》新增的消费者个人信息保护的规定属于后一方面，并且是其中最主要的内容。从这些规定的具体性和可操作性来看，《消保法》框架下的个人信息保护规定仅具备消费者“权利宣誓”以及对经营者自律进行引导的的意义。然而具体到针对“直销”行为规定的所谓“下游控制”措施，《消保法》的规定则是可以在现有理论研究水平的支持下得到实施的。当然这需要相关实施细则的出台以及守法条件的具备。

关键词：个人信息；个人信息保护；《消费者权益保护法》

一、相关规定及其总评

新生效的《消费者权益保护法》增加了若干消费者个人信息保护的规定。该法第十四条规定，消费者享有个人信息依法得到保护的权利；第二十九条则确立了消费者个人信息保护的原则和部分规则；最后，在第五十条、第五十一条、第五十六条和第五十七条规定了经营者违反上述规定的法律责任。

在开始讨论之前，首先要明确一个基本的概念。个人信息是什么？作为一个法律概念，当然应当从实定法中去寻找其内涵。但《消保法》并未规定个人信息的范围。由于《个人信息保护法》或《公民信息保护法》在短时间内是不太可能出台的，因此只能参照其他规范性法律文件的规定。虽然“个人信息保护方面我国已有近40部法律、30多部法规、近200部规章”，但涉及个人信息定义的却不多，且都只是划定了其保护的某个领域内的个人信息的范围，并未作出统一的定义。其中《信息安全技术公共及商用服务信息系统个人信息保护指南》和《电信和互联网用户个人信息保护规定》作出的定义最为清晰。虽然前者将个人信息限定为“计算机数据”，后者则针对特定的经营领域，但其核心要素都是“识别性”。

有学者认为构成个人信息还需具备“可处理性”要素，但这实际上已经进入了讨论的下一步，即法律关心什么样的个人信息——或者更准确的说——什么样的个人信息处理活动。这是一个在立法目的的明确、法律规则的制定以及法律的实施上都十分重要的问题，其意义在于将日常的、零散的个人信息处理活动排除在法律的规制之外的同时防止对法律的故意规避。因此在具体的标准确立之前不进行立法也好过像《刑法修正案七》一样交由执法部门进行“打击欠准确”的“选择性执法”。虽然具体标准的确立是困难的，比较法上的各种经验也总有缺陷，但明白了制定标准的目的所在后，为了讨论的继续进行，我们假定这个问题得到了有效的处理。

从传统的公私法划分来看，个人信息保护主要涉及到规范公权机构和规制私人部门两个方面的内容。《消保法》的规定属于后一方面，并且是其中最主要的内容。作为一个社会影响并不太大的研究领域，个人信息保护借着《新消法》的庞大声势倒也小小地出了一把风头。但在学界一片“统一立法”的呼声中，再大的风头恐怕也难掩部分学者的失望。正如庞德所说，法律保护那些迫切要求获得保障的利益，同时也要考虑到其他的已被承认的利益以及通过司法和行政过程来有效地保障它们的可能性。这也许可以为我国个人信息保护立法“抓小放大”的现象提供一个解释。

无论如何，《消保法》对经营者的个人信息处理活动进行规范并赋予消费者“个人信息依法得到保护的权利”这种做法本身也体现了法律对迫切需要得到解决的问题的积极回应。而且，上述规定至少从形式上是符合“为确定、具体的事实状态规定一个确定、具体的法律后果”的内在逻辑的，简言之，是“长了牙齿”的。此外，法律还确定了“工商行政管理部门或者其他有关行政部门”作为个人信息保护的执法机关。可见，《消保法》的规定倒也具备“一干三枝”的完备轮廓，堪当个人信息保护法“先行军”的重任。

二、 消费者享有什么权利？

从个人权利的角度来解读法律应该是西方法治发展到比较成熟的阶段的事情，也可以看做是法律治下的个人特别是法学家们主观努力的结果，简单来说即“权利是从威胁的效果里推论出来的”。比如，我们很难说人类从懵懂中醒来后不久就制定的“不得杀人”的法律的目的在于赋予个人权利，因为那时是无所谓个人的。其目的大概如庞德所说，在于“保持和平”。不管上面这种观点在价值上是多么的有害，或者能在事实上能被多少的反证推翻，但它至少在思维上给予我们一些指引。如果暂时认同这一观点，那么我们就说它除了适用于整个法律的发展史外，是否也适用于那些新型的单个法律呢？如有学者就认为“个人数据保护法有点儿像是在制定个人数据流动的交通规则”并认为个人信息的“流转”重于“归属”，而马上就有人指出对行为规则问题的研究“对既有私法制度的衔接并无独到见解，可能尚未超过我国台湾地区一本专著或一篇博士论文的研究水平”。一个可能的解释是：权利的发展路径就是如此，它有赖于规则的确定与成熟以及个人和法学家们的努力，虽然在现代社会这二者往往并不体现先后顺序而是交织在一起同时进行的。

不管如何，《消保法》的规定确实赋予了消费者若干的权利，下面我们将一一来解读。这些条文中，正面赋予权利的条文只有第十四条。但“个人信息依法得到保护”的权利只是一个程序性权利或者说救济权，其存在与行使依赖于原权利的存在——这应当从经营者对消费者的义务或者说行为规则中去寻找。总结起来，消费者享有知情权、同意权和安全权三项权利。知情权及同意权存在于整个信息收集、利用阶段，安全权则主要存在于信息被收集后的阶段。这里需要注意的是，不同于《保护指南》，《消保法》将个人信息的处理分为收集和利用两个阶段。应当说，这是一种便利的做法。因为“利用”的不确定的内涵足以涵盖“加工”“转移”“删除”等行为。虽然这导致了行为规则的原则化和操作性的降低，但这些规定的全部意义就在于“权利宣誓”，《消保法》无意于制定详细的行为规则。上述这些权利都是法定权利，不得通过约定加以限制或排除。经营者侵犯这些权利可能导致其承担“停止损害、恢复名誉、消除影响、赔礼道歉，并赔偿损失”的民事责任。

从个人信息保护在消费者权利体系中的位置来看，虽然法律单列了第二十九条专门规定消费者个人信息保护的原则，但消费者“个人信息权”的救济则是与一般人格权规定在一起的。这在认识消费者个人信息权（以致普遍的个人信息权）的法律属性的时候，至少给予我们一种立法上的指引。而且从保护的方式来看，《消保法》确是将“个人信息权”作为人格权来保护的，赔偿损失只不过是对人格利益的一种替代性的补偿方式。我们在上述法条中找不到学者们所谓的“个人信息收益权”“资料报酬请求权”或“享益权”等财产权的身影。其原因除了个人信息的财产利益配置问题本身所具有的争议外，大概还在于个人对个人信息财产利益实现方式上的困难。仅从人格权的范围来看，《保护指南》中体现出来的并为广大学者所呼吁的消费者的“查询权”、“修改权”、“封存权”、“删除权”等权利也并未得到位阶更高的《消保法》的确认。这样做的目的除了考虑到对可能存在的非计算机数据进行查询、修改、删除等处理在操作上的困难外，主要在于对利益的平衡。因为，消费者享有上述权利会大大增加经营者收集、利用消费者个人信息的成本，从而抑制所谓“信息经济”、“数据库营销”等的发展。

上述三项权利中，安全权对应的经营者义务除了防止个人信息的泄露与丢失外，还包括“不得泄露、出售或者非法向他人提供”。信息的流通往往会涉及到或者说就是为了“二次使用”，而这正是个人信息的丰富价值所在。绝对禁止信息流通的做法显然是反信息化并且与现实生活不符的。这应当是出于法律行文的简洁的目的而造成的结果，省略了“未经消费者同意”等适用条件。从同意权和知情权的内容来看，经营者收集、使用个人信息的任何行为都必须通知消费者并得到其同意。这在信息收集阶段是比较容易实现的，但需要进一步对不同类型的信息规定不同的同意方式以及若干同意的例外情形。而在信息的使用阶段，消费者知情权和同意权的实现则需要花费巨大的成本。因此，除了设置不同的同意方式和规定例外情形外，通过“匿名处理”或“化名处理”以规避个人信息保护法的适用、降低信息使用的成本似乎是“守法经营者”的一个不错的选择。

三、 新增的规定能做什么？

从我们上面的分析看来，消费者“个人信息权”的真正落实还有许多理论上以及实际操作上的问题需要解决。尤其是执法机构等程序性要素及规则的建立上，我们很难想象传统的“工商行政管理部门”在履行传统的职能之外还能应付个人信息保护这一涉及面广、技术含量高的工作。这大概也是为什么个人信息保护实施细则迟迟不能出台的原因。那么，《消保法》的上述规定除了“权利宣誓”的意义外，就真的没有可落实之处了吗？有学者将个人信息保护的各种措施分为“上游保护”和“下游保护”两个范畴。前者是对个人信息的流动制定交通规则，后者则是当个人信息的处理实际地侵害到个人的传统权利比如名誉权、隐私权的时候，对个人施以的保护。从这个角度来看，《消保法》的规定虽然在“上游保护”方面不尽人意，但“下游保护”的措施还是可以很好地实施的。

《消保法》第二十九条第三款规定：经营者未经消费者同意或者请求，或者消费者明确表示拒绝的，不得向其发送商业性信息。这款是针对“直销”行为规定的、属于能够被实施的所谓“下游保护”措施的。从法条内容的可操作性来看，经营者的定义可以借鉴《反不正当竞争法》的规定；消费者的外延虽然有争议，但个人信息保护中的个人则是被广泛地认为是指向“自然人”的，而且也不存在“知假买假”的理论争议，因而可以被认为包括所有“自然人”；商业性信息则可以参照广告法的理论与实务从信息本身的内容及效果等方面加以认定。比较难以确定的是“发送”这一范畴。比如说，我们安装的“某手机助手”时不时就弹出一个推荐软件的对话框，这算不算“发送”呢？或者网络交易平台根据我们的偏好在网页上推荐商品，这算不算“发送”呢？但法学并不是自然科学，法律从来不会将自己陷入概念或概念反映的事务本身里面，而是将注意力集中在解决那些具有“现实紧迫性”的问题之上。直销采用的“发送”方式虽然很多，但尤其另中国人感到厌烦的不外乎就是语音电话、短信、电子邮件、信件等方式，因此执法部门可以集中精力解决这些“具有现实紧迫性”的问题。

在规则的适用条件上，有“未经消费者同意”、“未经消费者请求”和“消费者明确表示拒绝”三个选择适用的要素。三者应当是分别针对不同的发送方式适用的，因此需要相关实施细则加以解释和明确。从守法的成本上来看，同意、请求或拒绝的方式可以模仿美国式的邮件选择系统（MPS）和电话选择系统（TPS）。据说中国移动也在办理相关业务，但笔者通过人工服务功能对中国移动和中国电信进行了咨询，得到的结果却是没有这个业务，并且抱怨说即使有这个业务也不能阻止商业信息的恶意发送。这当然从一个很小的侧面反映了“行业自律”在中国实施的困难，但我们却不能就此否认它的价值。这个系统存在的目的不在于直接阻止商业信息的恶意发送，而在于为守法经营者提供守法条件。从另一个方面来说，可被遵守的法律规则的存在是承担法律责任的前提。守法条件具备后才能正当地对违法经营者施以法律责任。

（作者单位：四川大学）