于伟赞

摘要 大数据时代消费者个人信息被滥用的情形非常严重，本文从消费者个人信息入手，提出统筹考虑、加快完善个人信息保护方面的法律。通过制定《个人信息保护法》，修订《侵权责任法》和《消费者权益保护法》，界定个人信息权，明确收集使用个人信息应坚持的原则、侵害消费者个人信息权民事责任的过错推定归责原则，进一步明确工商行政管理部门作为监管机构的职责。

关键词 大数据 消费者个人信息权 立法保护

当今社会，大数据的应用已深入到生活的各个领域，消费者的个人信息对于商家的经济价值及作用不言而喻，但个人信息的非法收集与使用却也给消费者造成了一些困扰。大数据时代如何保护个人信息，已成为立法者关注和学者热议的论题。近年来，我国在消费者个人信息保护方面加快了立法的步伐，旨在实现个人信息保护与利用之间的和谐，在完善个人信息保护的同时，促进个人信息的合理利用，为社会营造一个合理的安全的信息环境，防止个人信息被滥用。2014年新修订的《消费者权益保护法》（以下简称《消法》）、2017年实施的《网络安全法》和《民法总则》、2019年1月1日实施的《电子商务法》都在各自的调整范围内对个人信息的保护做出了相关规定，但缺少统一协调，并不能为消费者提供充分的保护。

目前全球范围内已有100多个国家或地区制定了专门的个人信息保护法，在互联网、大数据技术的影响下，国外的个人信息保护法又进入了新一轮的修改法律的高潮。在此环境下，我国亦应加快研究和制定个人信息保护法，一方面为自然人提供更加完善的个人信息权保护，另一方面为个人信息的正当利用以发挥经济效益、社会管理价值提供更合理的法律保障。我国法律体系中《刑法修正案（九）》和《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》对惩治侵犯公民个人信息方面的犯罪行为有比较完善的规定，但关于个人信息尤其是消费者个人信息的保护以及损害赔偿方面的法律规定还不尽完善。

一、在《个人信息保护法》中明确收集使用个人信息应坚持的原则

《消法》第29条和《网络安全法》第41条规定都指明，在数据的收集和使用阶段，须征得消费者的同意，未经其同意，不得收集和使用，这就是大家所熟知的知情-同意原则。采用这一原则的基本出发点是信息主体和信息业者在个人信息的收集使用过程中的信息不对称，通过强化信息业者的告知义务，强制其向用户披露收集个人信息的目的、用途、方式等法定事项，从而协调双方的利益冲突。

然而，大数据时代互联网技术和信息收集使用业务的快速发展，知情同意原则的适用环境发生了巨大变化。一方面，人们越来越依赖网络服务，各种网络购物、网上平台、网络支付方式已深深的融入我们的生活，为我们的日常生活提供了极大的便利的同时，也为大量个人信息的收集打开方便之门，信息业者以我们难以察觉的方式大量收集、使用个人信息。经营者、网络运营商在收集、使用个人信息的过程中是否告知或征得信息主体的同意很难界定，即使未征得信息主体的同意，信息主体可能也会被迫的接受对自己信息的处理活动。另一方面，大数据時代个人信息中包含着巨大的经济价值，每一个个体都是信息的提供者与需求者，有效利用个人信息，发掘其经济效用，是大数据时代的必然要求。如果个人信息数据不能流通、难以获取，大数据产业也将无法发展。因此，如果要求所有的个人信息收集、使用行为都必须取得信息主体的同意，将严重影响大数据技术的发展及应用。

基于此，信息的收集、处理过程一概要求征得信息主体的同意己不能现实。在我国的相关立法中应当限制知情同意原则的使用范围。很多学者也提议引入场景、风险规则（金耀，2017.范为，2016）。“规定‘合理使用的场景，且对信息处理行为进行风险评估，在信息处理行为构成‘合理或带来的风险在‘可预期的范围之内时，免予取得用户同意，减轻为机构及用户自身带来的负担;在‘不合理或引发的风险程度高时，规定应以显著的方式确保用户知悉引发高风险的要素，并主动采取降低风险的手段，或者取得用户明确、主动的同意作为继续处理的合法授权”。根据这一理论，在信息的收集和初次利用阶段，在场景一致的情形下，信息业者可以自由收集和使用个人信息，对这些信息的使用符合信息主体的预期，此时对信息主体的权利作出适当的限制，信息业者无需征得其的同意可收集使用个人信息，但须以适当的方式告知其个人信息获取的相关情况，使信息主体知悉其个人信息被收集、利用的目的;在超越了初始目的收集和使用目的之外使用个人信息则属于“场景不一致”，如未经信息主体同意向第三人提供个人数据，显然超越了信息主体的合理预期，应当要取得信息主体的同意。至于“同意”的形式，大多学者都主张不予以限定。如周汉华教授起草的《中华人民共和国个人信息保护法（专家建议稿）》第43条表述为“信息主体明确同意”，杨立新教授主持起草的《中华人民共和国人格权法建议稿及立法理由书》第39条第2款表述为“被收集者同意”。笔者也赞同无需规定特定的形式，不管是线下交易还是网络交易，但收集个人信息时要以通俗易懂、简单明了的方式展示个人信息收集使用规则，并经个人信息主体自主选择同意。当然，在涉及诉讼时，是否征得了信息主体的同意属于举证责任的范畴，下文详述。

二、在《侵权责任法》中明确侵害消费者个人信息权民事责任的归责原则

《刑法修正案九》中规定了侵犯公民个人信息罪，《电子商务法》规定对违反法律法规规定的电子商务经营者依照《网络安全法》等法律、行政法规的规定处罚。《网络安全法》规定了网络运营者、网络产品或者服务的提供者侵害个人信息所应承担的行政责任。《消法》规定了经营者有侵害消费者个人信息依法得到保护的权利的行为的，应当停止侵害、恢复名誉、消除影响、赔礼道歉，并赔偿损失。从以上规定可以看出，对于侵害消费者个人信息的行为，法律规定重刑事责任、行政责任，轻民事责任，这必然是导致漠视公民个人信息权、侵害公民个人信息民事案件频发的原因之一。

个人信息权作为民事权利的一种，在侵权责任的承担方面要遵循侵权责任法的制度设计，但是对于个人信息侵权行为适用何种归责原则存在争议，笔者认为应适用过错推定责任原则，设置举证责任的倒置。具体到消费者个人信息权受侵害的民事责任，在归责原则的选择上采用过错推定原则的理由在于：经营者对消费者个人信息的处理和利用的手段，不管是线上还是线下，都不易被消费者所知晓，尤其在通过网络平台的交易中，消费者个人信息的收集、处理和利用大都依靠对普通消费者来说可以称之为“高科技”的技术，行为人大多受过专门训练，普通消费者较难掌握和理解，证明经营者具有过错很难。相反对于收集和利用消费者个人信息的经营者来说，对个人信息的处理和使用都会遵循一定的程序，尤其在电脑相关程序中会留下记录，由其证明自身没有过错较为容易，成本较低。因此在坚持过错责任原则的前提下，由经营者举证证明没有过错，否则即推定为有过错，可以更好的督促经营者采取技术措施或其他安全措施，确保信息安全，防止消费者个人信息泄露、丢失。

在2018年8月16日最高人民法院发布的第一批涉互联网典型案例中，庞理鹏诉东方航空公司、北京趣拿信息技术有限公司隐私权纠纷案也体现了过错推定原则的适用。北京市第一中级人民法院二审认为，“从收集证据的资金、技术等成本上看，作为普通人的庞理鹏根本不具备对东航、趣拿公司内部数据信息管理是否存在漏洞等情况进行举证证明的能力。因此，客观上，法律不能也不应要求庞理鹏证明必定是东航或趣拿公司泄露了其隐私信息。旧由于东航和趣拿公司未能证明涉案信息泄漏是由于其他人或庞理鹏本人，或受到黑客攻击，也未能证明在被媒体多次报道涉嫌泄露乘客隐私后迅速采取了专门的、有针对性的有效措施，法院认定上述两公司存在过错，判决两公司分别在其官方网站首页以公告形式连续三天向庞理鹏赔礼道歉。

三、在《消费者权益保护法》中进一步明确监管机构及其职责

大数据时代消费者个人信息权受侵害的情形主要发生在网络交易中，常见的有经营者非法收集信息、消费者和网络经营者之外的第三方非法窃取信息、涉及个人信息的非法交易、侵扰式推送等，侵权情形有的轻微，消费者并不关注或者睁一只眼闭一只眼;有的造成严重的财产损失或精神损害，消费者想维权却难以入手;司法机关苦于案件多人手少，法律规定又不完善，如何发挥各部门的作用，使侵害消费者个人信息权的案件能够顺利的解决是我们需要借鉴和探讨的问题。

《欧盟数据保护基本条例》第六章的规定，欧盟每个成员国应当设立至少一个独立的监督机关，该机关的任务是监督基本条例在本国内的实施情况并为欧盟范围内的统一实施服务。借鉴国外先进经验，完善消费者个人信息权安全保障的监管措施，对监管机构的职责进行补充，使其发挥防患于未然的作用。如，首先明确监管机构受理、查处消费者投诉的职责，包含对于经营者违法收集、使用、泄露个人信息的投诉;其次，赋予监管机构调查取证的权利，对经营者收集、使用消费者个人信息的情况随时跟踪调查，有权要求经营者进行解释说明并采取相关措施;再次，赋予监管机构对查证属实的侵害消费者个人信息权的经营者进行处罚的权利。职责的明确有利于监管机构及时处罚侵害消费者个人信息权的违法行为，同时监管机构对经营者的威慑作用，也有利于对消费者个人信息权的维护。在我国，各级人民政府工商行政管理部门一直承担着保护消费者合法权益的职责，应当进一步明确其职责范围，在查明事实后，对经营者作出相应的处罚，对消费者作出合理保护，并可根据实际情况对民事责任进行调解。消费者除了可以向监管机构申请救济之外，还可以向司法机关提起诉讼。当然，大数据时代还要考虑与网络安全监管部门职责协调的问题。《个人信息保护法》专家建议稿起草人、中国人民大学法学院张新宝教授曾提到：《个人信息保护法》的立法，还有一些难点问题，比如个人信息的领导监管体制问题。我们之前的专家建议稿规定了以网信办为主、各行业监管为辅的统筹协调机制，但从历次研讨会的情况来看，大家对这种监管机制的落地情况存在疑虑。不管个人信息保护法如何设置监管部门，但在消费领域，由工商行政管理部门履行相关职责、必要时下设专门处理网络交易纠纷的职能部门是可以实现的。

四、结语

面對当下个人信息安全的严峻形势，以往的零散法律法规对个人信息很难给予全面充分的保护，推动立法完善，构建个人信息多元保护体系，是大势所趋。从民法的角度保护个人信息权，是多元体系中不可缺少的组成部分。2018年9月7日，十三届全国人大常委会立法规划公布，其中条件比较成熟、任期内拟提请审议的69件立法法律草案中就包含了《个人信息保护法》。我们期待《个人信息保护法》的早日出台，在此基础上，修改完善《侵权责任法》和《消费者权益保护法》，为消费者编织一张便利安全的法律网。