段珊珊

（浙江省衢州市中级人民法院，浙江衢州324000）

一、网购消费者个人信息的相关概念

网购包括以下两种形式：B2C（Business to Customer）及 C2C（Customer to Customer）。B2C与C2C是电子商务中的概念，B2C中的B是Business，意思是企业；2则是to的谐音；C是Customer，意思是消费者。所以B2C是企业对消费者的电子商务模式。这种形式的电子商务一般以网络零售业居多，主要是利用互联网开展在线销售活动，即企业与个人进行交易，如天猫商城。在B2C模式下，个人信息的控制人便是企业。C2C即是消费者之间的电子商务交易，比如一个消费者有一台电脑，通过网络进行交易，把它出售给另外一个消费者，此种交易类型就称为C2C电子商务，如淘宝网。①

对于网购消费者个人信息来说，消费者的个人信息与隐私权又有所不同。一些网购消费者的个人信息实质上就是个人的隐私信息，但是它们各自的立法价值取向以及保护的范围有很大的不同，对于网购消费者个人信息的保护与隐私权保护的立法价值取向来说，网购消费者个人信息的保护不但涉及到人格尊严的保护，还涉及到信息的自由流转问题，而隐私权保护通常仅仅是涉及到对于人格尊严的保护。而且对于隐私信息来说，更注重保护个人不愿意对外透漏的信息或者是属于个人的敏感信息，网购消费者个人信息的保护则更侧重于保护对于个人的一种“识别”，以及信息的流转问题。

二、网购消费者个人信息侵权的民事救济

（一）网购消费者个人信息侵权的主体

1．网络个人信息控制人

网购消费者个人信息的侵权主体，主要指的是B2C与C2C模式下企业与零售商们针对个人的侵权责任。在B2C与C2C提供的网络交易平台中，企业与零售商们可以检查客户的注册信息，处理客户订单，完成客户选购产品的结算，处理客户付款等，在很多的环节都会接触到客户的个人信息。

2．物流信息的利用者

网购领域的蓬勃发展，网购用户的不断增多也极大地促进了物流行业的不断发展，货物投递的快速可靠程度以及快递的信用程度，直接与网上贸易息息相关。物流一旦出现问题，会直接制约网购领域的发展。而随着物流行业的快速发展，个人查询物流的简便化，也使得个人消费者的信息极易被泄露。

商品物流的配送，必须有物流单的存在，物流单上有消费者详细的个人信息，包括姓名、电话、详细的个人地址等信息。在现实生活中，很多网购消费者往往在拿到商品过后便直接将物流单完整地丢弃，极易造成个人信息的泄漏。而且，如果只是单纯的把物流单上的个人信息划掉，物流单上的条形码和快递单号也极易造成个人信息的泄漏。

3．网络用户

作为网络用户，相对于网络交易平台提供者而言，无论是从技术水平还是资金规模来看，网络用户都不具备优势。当然，这里所讨论的网络用户不包括黑客等特殊的网络用户。而且，作为网络用户，在网上进行消费的过程中，网络用户往往遵循的是网络交易平台提供者事先拟定或者通过程序设定的程序或者权限来进行网络购物，网络用户并无选择的余地，天然处于一种弱势的地位。但是，这仅仅只是相对于网络交易平台提供者而言的。网络用户作为侵权主体，侵犯的往往是其他网络用户的合法权益，但这也并不排除网络用户利用网络交易的特点通过恶意订货或者恶意诽谤等方式侵犯网上商城商家们的合法权利。但总的来说，网络用户基于其相对弱势地位，侵犯最多的还是其他网络用户的合法权益，如偷取他人信息出售赢利、无权处分他人财产、垃圾邮件、垃圾短信等。

（二）网购消费者个人信息侵权的行为表现

1．非法收集网购消费者的个人信息

非法收集网购消费者的个人信息主要包括以下三种：

（1）通过“cookies”②之类的追踪软件来追踪消费者在购物网站上的浏览、消费行为，并对这些信息进行收集，分析消费者的消费习惯，通过电子邮件、短信、电话等方式有针对性地向网购消费者发送广告，或者将这些收集到的信息出售给他人。“cookies”可以识别网络用户，可以用来追踪网络用户的习惯，在其诞生最初，是为了方便网络用户对于计算机的使用，充当一个类似网络身份证的功能。但是现在“cookies”已经被各种第三方网络广告公司所广泛利用，对网络用户造成个人数据泄露与病毒式广告侵袭的困扰，已经违背其诞生的初衷。我们在任何时间、任何地点登入任何一家购物网站，浏览、选择、购买任何一家商品，都会被详细地记录在案。

（2）购物网站会要求消费者填写大量的关于消费者自身的详细信息。这些信息不但包括消费者的姓名、性别、出身年月、家庭住址、职业、个人电话、个人邮箱，甚至还包括个人的收入、银行账号等。这些个人信息被要求填写得相当详细，但是这些个人信息的收集是否超过必要限度、购物网站对这些个人信息的处理以及对这些个人信息有没有良好的保护措施，消费者往往都是一无所知。

（3）虽然在购物网站收集这些消费者个人信息时已经得到了消费者的同意，但是在消费者将信息上传后，购物网站却将这些信息用于网购消费者同意时不知道或者同意范围以外的目的上。一旦你在哪个网站填写过个人信息资料，那么便会经常收到关于这个网站的垃圾邮件、垃圾短信等。

2．个人信息财产化

在信息社会，个人信息的价值是极大的。对于企业来说，掌握的客户资料多，那么就能获得长足的发展。于是，对于需求信息的企业来说，他们千方百计的获取客户的个人信息；而另一方面，为了迎合这些企业的需求，产生了一些信息收集者，他们收集了大量的个人信息，然后贩卖给有需求的企业。对消费者个人数据的无限制自由流通极易导致个人信息处于泄漏的危险之中。个人信息一旦被财产化，那么其在自由流通的过程中必然给个人信息主体造成严重的影响。但现实中，个人信息财产化已经成为不可逆的趋势。

3．垃圾短信、邮件层出不穷

垃圾短信、垃圾邮件对于消费者的困扰在于它的不请自来性。垃圾短信、垃圾邮件不仅浪费了大量的资源，也给消费者造成了无穷的困扰。但是对于发送这些垃圾短信、邮件的商家来说，他们可以轻而易举大量发送短信、邮件，且成本低廉，花的钱连电视广告的1%都不到。在网购过程中，由于网购消费者留下了详细的个人信息，所以几乎所有的网购消费者都有收到过垃圾短信、垃圾邮件的经历，包括商品广告、网站信息、推送通知等。

4．快递成泄露个人信息“重灾区”

在网络搜索引擎中搜索“快递单号购买”几个字，便可以发现有很多完整的个人信息快递单购买信息广告。对于很多企业来说，客户信息是企业的资源命脉，企业对个人信息的需求量非常大。往往别的行业要辛辛苦苦累积多年的客户信息，出于快递行业的特殊性，其一个月就能获取到更多、更全面的个人信息。企业通过对快递单的购买，不仅免除了其自身跑客户的环节，还大大降低了企业的成本。

三、我国现行法律对网购消费者个人信息保护存在的问题

（一）缺乏有机的法律保护体系

由于缺乏有机的法律保护体系，导致我国对于网购消费者个人信息保护的法律法规虽然存在，但是数量却极其有限，范围也非常狭窄。我国并没有专门的个人信息保护立法，对网购消费者个人信息的保护分散于各类法律之中，缺乏体系上的呼应，并不符合我们大陆法系的法律思维，而且具体法律法规在实践操作上也比较困难。对于法律保护个人信息的手段而言，我国的法律比较注重刑事方面的处罚和行政上的管理，而对于民事上的保护与归责内容较少，这样就使得网购消费者的个人信息一旦被侵害，侵权人承担的往往是刑事上或者行政上的处罚，而对于被害人民事方面的弥补较少，忽视了对于被害人民事上的补偿。从根本上来说，造成这些法律上的不足都是因为我国缺乏有机的法律保护体系。

（二）对垃圾短信、垃圾电子邮件、快递行业缺乏有效的管理

在实践中，行政机关与司法机关大多是利用现有法律对垃圾短信、垃圾电子邮件进行规制，虽然起到了一定的治理效果，但是不能从根本上治理垃圾短信、垃圾电子邮件，其主要原因便是因为我国法律并没有对垃圾短信、垃圾电子邮件形成有效的管理。首先，我国法律并没有对垃圾短信、垃圾电子邮件做一个权威性的界定，从而导致我国的行政机关与司法部门在处理案件时要么对垃圾短信、垃圾电子邮件做出扩大的法律解释，要么直接不管垃圾短信、垃圾电子邮件的泛滥，无论何种情形实际上都不利于垃圾短信、垃圾电子邮件的治理；其次，我国可以通过现行法律的间接适用来对垃圾短信、垃圾电子邮件进行规制，但是这些间接适用的法律往往会在现实中面临法律解释的困难；最后，手机号码、电子邮箱作为个人的重要信息确有保护的必要，而我国目前并没有对个人信息进行专门的立法保护，法律的缺失是造成垃圾短信、垃圾电子邮件难以得到有效治理的根本原因。

我国2009年新《邮政法》对快递行业中知悉的客户信息做出了相关规定，要求快递从业者对客户的基本信息进行保护。在2012年施行的《快递服务》邮政行业标准中规定快递行业人员不应泄漏和挪用客户的相关信息。这些法律法规都是对快递行业所进行的相关管理规定，但是其在实践中并未起到很大的作用，反而随着快递行业的发展，个人信息被泄露的情况越来越多，这也说明了现行法律并没有形成对快递行业的有效规制。

（三）缺乏事后救济与保障制度

我国法律对于网购消费者个人信息被泄露并没有一个有效的事后救济与保障制度。网购消费者们在个人信息被泄露后往往求助无门，只能要求相关的网站删除其个人信息，防止个人信息被泄露的损害结果扩大，而且网购消费者们对于自身的个人信息被泄露往往不能够获得合理的赔偿，甚至很多的网购消费者在个人信息被泄漏后，根本查不到泄漏个人信息的源头在哪里，以及在个人信息被泄露后如何进行相关的保护，只能放任自己的个人信息被泄漏。缺乏有效的事后救济制度与保障制度使得网购消费者们不能够很好地维护自己的权益，也会造成泄漏、买卖消费者个人信息违法活动的猖獗。

四、完善我国网购消费者个人信息民法保护的建议

（一）构建有机的法律体系

我国刑法修正案（七）确定了对于个人信息的刑法保护，但是对于复杂的消费者个人信息保护来说，仅仅一条刑法修正案是不能保障消费者的个人信息安全的。消费者个人信息安全是涉及到宪法、民法、行政法等多个部门法的综合体系。所以，侵犯消费者的个人信息安全当然包括违宪责任、刑事责任、民事责任、行政责任。我国宪法已经将个人信息权作为人的一项基本权利来加以保护，各部门法也可以根据其不同的调整对象来对消费者个人信息的安全进行保护。

我国消费者个人信息保护的法律体系构建，应做到以下几点：

1．立足本国现实，借鉴国外先进立法技术，构建完备的个人信息保护法律体系。美国、德国、英国、日本等国家在构建其个人信息保护立法时，非常注重结合本国的具体情况，运用先进的立法技术，构建适宜本国的个人信息保护立法。

2．对于消费者个人信息保护而言，基本原则极其重要。我国可以参照其他国家及国际组织的做法，确立适合自己国家的保护原则。一般来说，对网购消费者个人信息的保护一般遵循以下原则：

（1）目的限制原则，即只有经过本人的同意才可以合法、公正地收集并利用消费者的个人信息，而且其对于消费者个人信息的使用范围限制为最初确立的目的。

（2）目的明确公开原则，指信息收集人收集个人信息的目的，在收集前便要确定并公开告知消费者，目的一旦更换，也要迅速地对消费者予以明确。

（3）安全保护原则，指信息收集人对收集到的个人信息必须采取合理的安全保护措施，防止消费者个人信息丢失、毁损、非法利用等危险的发生。

（4）个人参与原则，指消费者对于其被收集的个人信息有权利向信息收集者了解信息内容，请求改正删除等。

（5）保存时限原则，指信息收集人以任何目的收集的消费者个人信息都不得超过该目的所需要的时间而保存。

（二）对垃圾短信、垃圾电子邮件进行有效的管理

对于垃圾短信的治理，主要靠短信运营商对垃圾短信的过滤以及法律对其的严格控制。运营商对于垃圾短信可以采取信息过滤的方式，防止垃圾短信的泛滥，且消费者也可以采取手机过滤软件过滤垃圾短信。

实际中，消费者接收垃圾邮件比接收垃圾短信多的多，且由于网络的开放性与复杂性，治理垃圾邮件更是个难题。治理垃圾邮件可以从以下几个方面考虑：

1．同意的方式。向消费者发送广告电子邮件必须以消费者的明示同意为前提。即邮件收件人必须事先同意接收某一类产品、服务的广告邮件或者收件人事先同意接收某一商家的广告电子邮件，或者收件人事后同意接收某一类产品、服务和某一商家的电子邮件。

2．邮件发送者必须披露正确的信息。发送者必须提供正确、真实的联络信息，包括来源、主题、回复地址等内容，在邮件的主题上写明是否广告类电子邮件，以便于过滤软件进行过滤，不得故意隐藏邮件的回复地址等，并且应在邮件中明确告知收件人有权拒收该发件人继续发送的广告电子邮件。

3．在邮件遭到收件人拒绝后，不得继续发送广告电子邮件。如果收件人提出不再接受该发件人发送的邮件，那么发件人无论如何都不能再向收件人发送拒收范围内的广告电子邮件。

（三）对快递行业进行有效管理

治理快递行业导致的消费者信息泄露，可以从以下几个方面进行规定：

1．加强技术管理措施。快递单的联网性，给消费者带来便利的同时，也给消费者个人信息被泄漏带来巨大的风险。所以对于快递的联网性，快递公司必须加强安全管理措施，防止消费者个人信息的丢失、篡改。

2．加强对快递员的管理。事实上，贩卖快递单的很多都是快递员，所以对于快递员的管理显得极其重要。快递公司在加强对快递单管理的同时也要防止快递员利用所得到的消费者个人信息进行贩卖营利。

3．完善快递行业的法律法规。针对快递行业大规模泄漏消费者个人信息的问题，我国法律不仅要进行事后制裁，更要注重事前的防范，因为消费者个人信息一旦被泄漏很难恢复到原状，对于消费者的个人信息安全来说影响巨大。

4．消费者自身加强对快递单的管理。很多网购消费者在拿到快递后，直接将快递包装盒或包装袋一扔，并没有对上面的快递单进行任何的处理。很多不法分子可以直接对快递单进行简单的收集，获取消费者的个人信息。所以消费者在拿到快递以后必须要对快递单进行处理，而不是简单丢弃，从而避免个人信息的泄漏。

（四）完善事后救济和保障制度

我国的网购消费者个人信息保护一直处在一个比较危险的状态，而消费者的信息一旦被泄露，很少有人进行投诉或者诉讼，放任其个人信息一直处在被侵权的状态。网购消费者信息被泄露后很少有人投诉或诉讼的原因在于：无法确定以谁为起诉对象甚至连到底是谁泄露的个人信息都不知道；无法确定哪些网站或商家要承担责任；基于网络的开放性与复杂性，消费者个人信息一旦被侵权很难获得有力的证据；没有明显的法律依据；诉讼的成本过于高昂。网络用户的侵权行为、信息控制人的侵权行为、快递信息的收集者和利用者的行为，侵权方式多种多样，而且难以查明到底是哪个环节泄漏了消费者个人信息。消费者往往只知道自己的个人信息被泄露了，个人的合法权益受到侵害，但是对于被泄露之后查明是谁泄漏、怎么获得证据、怎么进行事后保护、怎样进行事后的维权都是无从下手。

我国的个人信息成文法方面尚存在许多问题，而且在消费者信息被泄露后用法律来解决问题，无疑会拉长解决问题的时间，增加消费者的负担，给消费者的个人信息安全带来更大的风险，因此法律只能作为最终的手段来使用。所以笔者认为对于消费者的个人信息安全，可以设立一个网上的投诉和在线争端解决机制。在B2C与C2C的交易模式下，消费者成千上万，而在商城交易的商家也是成千上万，所以对于这些人数众多、各有特点的消费者个人信息被泄漏事件来说，设立网上的投诉机制和在线争端机制无疑是将消费者个人信息被泄露后的救济简单化、有效化。只需要在网络上进行简单操作就可以在网上的投诉机制和争端在线解决机制下进行个人的维权。但是在这样的解决机制下，如何确立网上的投诉部门和争端解决部门是一个大问题。在B2C与C2C的交易模式下，由于商家都是在电子商务的网站平台上进行交易，所以提供交易平台的购物网站完全可以自己设立一个投诉和争端解决部门，这样可以极大减少消费者的费用支出和时间成本，而交易平台的提供者因为其自身技术、资金、人员方面的优势完全可以更好地在消费者的个人信息被泄露后提供良好的救济措施。网上商城的商家们依赖于网络购物交易平台，交易平台的提供者也可以根据他的主导地位，对侵犯消费者个人信息的商家进行一定的处罚，并要求侵权人赔偿消费者的损失。这样才能更好、更简单、更快速地给消费者信息泄露提供事后的救济，保障消费者的个人信息安全。但是在线投诉和争端解决机制也有其局限性，只能惩罚依赖于网络交易平台的商家们，对其它用户则起不到实质作用。

（五）加大网络法庭的建设、完善网络法庭的服务功能

网络法庭的建设不仅能够发挥专业化的审判优势，而且借助于网络平台能够高效率地促进纠纷的解决。网络法庭是以网络为平台，将诉讼中起诉、举证质证、开庭等流程全部搬到网络上去，依托先进的电子科技直接进行网上视频开庭。网络法庭的出现对于消费者们来说是极具意义的。网络法庭简化了诉讼程序，避免了文书送达的时间，极大地提高了审判的效率。这与上文所说的争端在线解决机制有所不同，虽然二者同属争端解决方式之一，但网络法庭的存在可以弥补争端在线解决机制的不足，而且作为争端的最终解决机构，网络法庭有国家的强制执行力保证执行。

《中华人民共和国民事诉讼法》第二十八条规定：因侵权行为提起的诉讼，由侵权行为地或者被告住所地人民法院管辖。新《民事诉讼法解释》第二十四规定：侵权行为地包括侵权行为实施地、侵权结果发生地；第二十五规定：信息网络侵权行为实施地包括实施被诉侵权行为的计算机等信息设备所在地，侵权结果发生地包括被侵权人住所地。这些条款意味着当网购消费者个人信息被侵权时，消费者可以选择自己的住所地法院起诉，也可以去被告住所地人民法院起诉。网络全球化的现在，个人信息很可能都是异地侵权，双方当事人很可能不是同一个地区，这也导致了异地诉讼的出现，异地诉讼极易造成当事人不去应诉致使法庭不得不缺席审理。然而网络法庭的出现可以极大的避免这方面的问题，双方当事人完全可以自由选择自身所在地，只需有网有电脑就行，极大地便利了当事人进行诉讼，提高了当事人对诉讼的参与度，节省了司法资源。

但是任何的新生事物都需不断的尝试才能得到完善，网络法庭的建设对网购交易的安全有极大的促进作用，但是对于消费者个人信息的保护领域，一开始的试点内容可能并不会囊括消费者个人信息保护方面，但随着网购消费者们对个人信息的重视，这方面的纠纷也会越来越多，这一领域也迟早会被纳入到网络法庭的功能里去。

注释：

① 电子商务交易形式主要包括以下三种：企业与企业之间的交易、企业与消费者之间的交易、企业与政府之间的交易。本文论述的是企业与消费者之间的电子商务交易，为了与其他两种形式进行区分，本文将在电子商务上从事交易的个人称为网购消费者。

② Cookies用在程序设计中是一种能够让网站服务器把少量数据储存到客户端的硬盘或内存，或是从客户端的硬盘读取数据的一种技术。当你浏览某网站时，由Web服务器置于你硬盘上的一个非常小的文本文件，它可以记录你的用户ID、密码、浏览过的网页、停留的时间等信息。当你再次来到该网站时，网站通过读取Cookies，得知你的相关信息，就可以做出相应的动作，如在页面显示欢迎你的标语，或者让你不用输入ID、密码就直接登录等等。

［1］［美］Daniel Amor著，爱玲，熊志辉等译．电子商务基础教程［M］．北京：北京希望电子出版社，2000．

［2］齐爱民．个人资料保护法原理及其跨国流通法律问题研究［M］．武汉：武汉大学出版社，2004．

［3］张新宝．互联网的侵权行为研究［M］．北京：中国人民大学出版社，2003．

［4］张新宝．隐私权的法律保护［M］．北京：群众出版社，2004．

［5］王利明．人格权法新论［M］．吉林：吉林人民出版社，1994．

［6］周汉华．个人信息保护法（专家建议稿）及立法研究报告［M］．北京：法律出版社，2006．

［7］董瑞丰．多管齐下加强个人信息保护——在个人信息保护法进入立法程序前，开展个人信息保护行业自律成为当然选择［J］．瞭望，2012，（13）

［8］张涛．保护个人信息立标更要立法［J］．瞭望，2012，（15）．

［9］杨佶．域外个人信息保护立法模式比较研究——以美、德为例［J］．图书馆理论与实践，2012，（6）．

［10］李朝晖．个人信息主体权利保护的核心——从隐私权到对本人信息的控制［J］．南方论坛，2009，（3）．

［11］郎庆斌．国外个人信息保护模式研究［J］．技术热点，2012，（1）．

［12］田桂兰．网络环境下个人信息安全问题及保护［J］．安全视窗，2007，（6）．