孙佳灵 杨翩然 夏姝涵

摘 要 随着大数据技术应用的普及，经营者多选择运用大数据技术分析的方式来更加便利、集中地掌握消费者的个人信息。经营者基于對个人信息的分析而为消费者提供特定化的服务与推荐，从而提高交易成功的概率并引导消费者外化潜在的消费需求。消费者个人信息所承载的巨大商业价值也随之凸显。对于部分经营者出于利益因素而过度收集与使用消费者个人信息的现象，我国目前通过分散化的法律条文中的具体规定对消费者予以保护，但碎片化保护已经不能满足大数据时代发展的需要。因此应当通过出台专门立法，增加违法成本，提高消费者维权意识等方式有效地保护消费者的个人信息。

关键词 大数据时代 经营者 消费者 个人信息

基金项目：本文系国家级大学生创新训练项目“大数据时代消费者个人信息保护的现状及法律完善”（项目编号2018102 17129）的研究成果。

作者简介：孙佳灵，哈尔滨工程大学，本科，研究方向：民商法;杨翩然、夏姝涵，哈尔滨工程大学。

中图分类号：D923                                                            文献标识码：A                       DOI：10.19387/j.cnki.1009-0592.2019.05.240

中国消费者协会在2018年发布的《App个人信息泄露情况调查报告》中显示，超八成受访者曾遭遇个人信息泄露问题，其中居然存在34.4%的受访者选择“自认倒霉”。该调查报告表明，我国消费者个人信息受侵害现象普遍存在，且部分消费者维权意识有待提高。消费者个人信息泄露的普遍性已经严重影响消费者正常的生活秩序。因此明确我国消费者个人信息保护的现状并分析其中存在的问题，并针对问题进行法律完善对加强消费者个人信息的保护具有现实意义。

一、问题的提出

（一） 消费者个人信息的概念和特点

1.消费者个人信息的概念

由于在我国现有的法律法规中并没有关于消费者个人信息概念的明确性规定，因此在结合了《消费者权益保护法》第2条 中对消费者的界定和《个人信息保护法（草案）》第3条 中对个人信息概念的规定后，本文认为消费者个人信息是指在购买、使用商品或者接受服务的过程中所形成的能够识别出消费者个人身份的个人信息。

2.消费者个人信息的特点

消费者个人信息产生领域的特定性使得消费者个人信息具有流通范围广、易获取、商业价值高的特点。消费者的消费需求涉及多方领域，因此当消费者为了完成消费而提供个人信息后，其个人信息便会在多个消费领域进行流通。消费需求的普遍性与个人信息流通范围的广泛性，降低了经营者获取消费者个人信息难度。消费者个人信息的高商业价值主要体现在消费过程中，消费者为了完成消费而对自己的个人信息在先筛选，然后将自己有商业价值的个人信息提供给经营者，经营者则可以根据获取的个人信息为消费者提供进一步的推荐与服务，达到锁定消费群体，增加经济利益的目的。

（二）大数据时代保护消费者个人信息的必要性

在大数据时代到来前，经营者只能采取有限的手段收集一定范围内消费者的个人信息。然而随着大数据技术应用的普及，更多的经营者选择运用大数据技术分析和处理消费者个人信息，不仅降低了收集信息的成本，扩大了可收集信息的消费者的范围，还将消费者个人信息的商业价值扩展至预备消费中。例如，消费者在前期进行相关咨询或因浏览网页而被存储于服务器上的信息，在经过大数据的分析后就会成为经营者发现潜在消费群体的判断依据。实体消费中的经营者会通过获取的电话或短信的方式向消费者推荐相关商品或服务，网络消费中则主要体现为自动弹出的推荐界面来引导消费者潜在消费需求的实现。

大数据技术应用的普遍性，使得经营者可以低成本、高数量、大范围的收集消费者个人信息，从而增加获利。低成本的获得与高利润的驱使，如果不对经营者收集消费者个人信息的行为进行规制，一旦以数据形式存在的个人信息被过度的收集、使用或者泄露，将极大范围地侵害消费者的合法权益。因此，在大数据时代的背景下尽快寻求有效保护消费者个人信息的措施具有必要性。

二、大数据时代消费者个人信息保护的法律现状及评析

（一） 法律法规碎片化，尚未出台专门立法

我国目前对于消费者个人信息的保护散见于法律法规中。《消费者权益保护法》第14条 赋予了消费者保护个人信息的权利，但未对权利的具体内容进行说明;第29条 中虽然对经营者收集消费者个人信息的行为进行了应然性的规定，却并未明确侵权责任后果。原则性的规定与侵权责任后果的缺失大大降低了对经营者的规制力度。基本法层面，《民法总则》在第111条中提及了对公民个人信息的保护 ，但并未说明何为合法的“收集、使用、加工、传输”个人信息。《刑法修正案（七）》中规定的非法获取与提供个人信息罪也由于认定难度大的原因，在实践中并不常见。针对公民的个人信息保护问题，我国已于2017年公布了《个人信息保护法（草案）》，其中的第3条对个人信息的概念进行了明确规定，但关于消费者个人信息概念的规定仍处于空白状态。

（二）现有同意规则滞后，不适应时代需要

现有法律对消费者个人信息的保护主要通过同意规则来保护消费者个人信息。即涉及到对消费者个人信息的收集和使用时，需要对消费者进行告知，只有在消费者作出同意的意思表示之后，才能进行下一步的操作。然而随着大数据技术应用对个人信息进行收集与处理需要的日益增多，若对于所有的信息收集与处理都要取得消费者的同意授权，在给消费者造成沉重负担的同时也会降低大数据技术应用的效率。目前实践中网络消费的告知形式是发布隐私声明，实体消费中采用签订格式合同的方式，但无论是隐私声明还是格式合同，二者的内容均冗杂且不易理解，消费者倾向于选择直接点击同意或签字，使同意规则的适用流于形式。不仅如此，当部分个人信息是为了完成网络消费而必须提供时，消费者也只得选择同意。基于以上情形，现有的同意规则已经不能予以消费者有效的保护。

（三）举证难度大，消费者维权困难

目前消费者局限于通过诉讼方式解决此类纠纷。依照现行的诉讼规则，消费者需自行举证证明侵權主体实施了侵权行为且造成损害结果。然而大数据技术的应用使得消费过程中的多个主体均有掌握消费者个人信息的可能，且一旦消费者的个人信息开始流通，消费者就无法控制个人信息的流通范围，因而消费者难以自行举证证明何者为侵权主体。除此之外，侵权行为的隐蔽性与损害结果的难量化性都会增加消费者的举证难度，使得多数消费者最终因举证不能而难以维权。

三、大数据时代消费者个人信息保护的法律完善

（一）细化草案内容，尽快出台专门立法

在2017年公布的《个人信息保护法（草案）》中已经对个人信息的概念进行了明确，基于前文消费者个人信息的特点，笔者建议应参考《草案》中规定的个人信息的概念，同时界定消费者个人信息的概念，在对公民个人信息进行体系化保护的同时为消费者个人信息的保护提供法律依据。

《草案》第7条 规定了限制利用原则，笔者认为可以对限制利用原则进行细化规定，将现有的同意规则改为限度原则。即信息收集者在收集个人信息之前应当对其收集行为进行预先评估，如果收集行为是必要的，则可以直接收集而无需信息所有者同意，但仅限于规定范围的使用。细化《草案》内容，尽快出台《个人信息保护法》，不仅可以体系化的对公民的个人信息予以有效保护，还可以为保护消费者个人信息提供借鉴，进而更有效地消费者个人信息。

（二）各法律部门配合，增加违法成本

实践中可能侵犯到消费者个人信息安全主体主要是经营者、第三方平台或是个别情况下存在的平台工作人员。可以通过各法律部门配合规制的方式，规范信息收集者的行为。民事责任方面，对于经营者，如果消费者的个人信息是由于经营者的过错而受到侵害，经营者当然承担责任，但如果是由于经营者未尽到监督义务，应当预见而没有预见使得第三方平台侵犯了消费者的个人信息的，经营者应当与第三方平台承担连带责任。如果是出于经营者监督能力范围外不能预见的原因对消费者造成损害的，则由相应的过错方承担责任。如果由于平台内部管理疏忽使得工作人员非法使用、泄露消费者个人信息的，平台与工作成员承担连带责任。对于消费者在诉讼过程举证困难的问题，可以通过举证责任倒置的特殊规定，降低消费者的维权难度。刑事责任方面，非法使用、泄露消费者个人信息用于故意犯罪的，应承担刑事责任。必要时可介入行政部门对经营者或平台的资格予以行政处罚。

（三）提高消费者维权意识，拓宽维权渠道

对消费者个人信息的保护不应局限于立法领域，而应同时提高消费维权意识，为消费者提供举报平台拓宽维权渠道。同时可以将侵权主体纳入失信名单，定期通过媒体平台、纸质媒介等方式向社会予以公示，通过提高消费者维权意识并有效利用维权渠道的方式，强化对消费者个人信息的保护。

注释：

《消费者权益保护法》第2条 消费者为生活消费需要购买、使用商品或者接受服务，其权益受本法保护;本法未作规定的，受其他有关法律、法规保护。

《个人信息保护法（草案）》第3条 个人信息 是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

《消费者权益保护法》第14条 消费者在购买、使用商品和接受服务时，享有人格尊严、民族风俗习惯得到尊重的权利，享有个人信息依法得到保护的权利。

《消费者权益保护法》第29条 经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经消费者同意。经营者收集、使用消费者个人信息，应当公开其收集、使用规则，不得违反法律、法规的规定和双方的约定收集、使用信息。经营者及其工作人员对收集的消费者个人信息必须严格保密，不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施，确保信息安全，防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时，应当立即采取补救措施。经营者未经消费者同意或者请求，或者消费者明确表示拒绝的，不得向其发送商业性信息。

《民法总则》第111条 自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。

《个人信息保护法（草案）》第7条 限制利用原则 个人信息的处理和利用，必须与收集目的一致，必要情况下的目的变更应当有法律规定或取得信息主体的同意或其他正当理由。

参考文献：

[1]王秀哲.大数据时代个人信息法律保护制度之重构[J].社会科学文摘，2019（1）：73-75.

[2]舒湘惠.消费者个人信息保护的困境与应对[D].广西大学，2018.

[3]金耀.消费者个人信息保护规则之检讨与重塑——以隐私控制理论为基础[J].浙江社会科学，2017（11）：61-69+157.