倪 明，王 咏，孔秋芳

(1.2.3.铜陵学院 法学院，安徽 铜陵 244000)

一、网购消费者个人信息权保护概述

(一)网购消费者个人信息

互联网技术和信息技术发展迅速，个人信息日益成为公众关心的焦点。当前各个国家和地区关于个人信息的定义各不相同。追根溯源，早在1968年国际人权会议就开始探索资料保护，可以说是个人信息保护的前身[1]。欧盟于1995年就制定了《数据保护指令》，并且于2018年5月修订通过了《通用数据保护条例》。该条例为欧盟国家保护个人信息设立了最低的标准。美国较多地使用个人隐私概念代替个人信息权。然而，隐私保护、用户数据的保护与过度利用消费者个人信息往往是一对天然矛盾。个人信息的收集与整理使得互联网企业公司对广告的投放更加精准和个性化，由此达到的经济效果更加明显[2]。

2018年5月25日生效的欧盟《通用数据保护条例》(以下简称《数据条例》)是个人信息保护方面的最新立法成果。其关于个人信息的定义为“任何指向一个可识别或者已识别的自然人的信息”。《数据条例》扩展了个人信息的范围。除此之外，基因数据和生物识别数据也属于“敏感数据”范围。个人信息包含个人的种族和族裔出身、政治观点、宗教和哲学信仰、工会成员、基因数据、生物识别数据、健康数据、性生活或性取向信息以及犯罪记录信息。而医疗机构通常须满足更高标准的数据保护要求。

我们国家对于个人信息权的保护尚在起步阶段，其保护应该有一个循序渐进的过程，所以我们对个人信息的范围界定不宜完全采纳欧盟的标准。而且，欧盟《数据条例》中的有些个人信息在我国社会生活中的意义并不大，比如种族和族裔出身、哲学信仰，等等。综上，笔者认为，网购消费者个人信息定义应该界定为个人的姓名、身份证号码、联系电话、通讯地址等可以把个人和其他人区别开来的信息总和[3]。

(二)网购消费者个人信息权

界定个人信息的范围之后，应该进一步明确网购消费者个人信息权。个人信息权，即网购消费者对于自身的个人信息享有的占有、使用、收益和处分的权利。具体来说，包括以下权力。

1.被遗忘权

被遗忘权即电子商务活动中的消费者有权要求电子商务平台和商家在完成购物活动后彻底删除其个人信息并不再利用的权利。被遗忘权是欧盟《数据条例》的最新立法成果。

2.决定权

决定权即电子商务活动中的消费者能够掌握与使用其个人信息，并决定个人信息的使用范围、使用目的、使用方式、存储方式等权利[4]。

3.修改权

修改权即网购消费者对于自己编辑的个人信息，有权定期或者不定期进行新内容添加与更正的权利，而电子商务平台和网络卖家不得未经消费者个人同意擅自修改。

4.选择权

选择权即网购消费者对于自己的个人信息，有权决定电子商务平台或者网络卖家能否收集与利用以及涉及哪些范围的个人信息可以收集与利用。

5.获得救济的权利

获得救济的权利即网购消费者对于自己的个人信息被非法收集与利用时，请求相关行政机关以及法院给与救济的权利。

二、网购消费者个人信息权保护现状与不足

(一)我国网购消费者个人信息权保护的现状

目前，涉及网购消费者个人信息权保护方面的法律规范主要有《消费者权益保护法》《民法总则》《侵权责任法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《电信和互联网用户个人信息保护规定》《网络交易管理办法》等。笔者对以上法律文件进行初步梳理，并主要分析《消费者权益保护法》《民法总则》《侵权责任法》等立法层级较高的规范性法律文件。

1.《消费者权益保护法》关于消费者个人信息权的相关规定

2013年下半年通过的《消费者权益保护法》(以下简称《消法》)修正案是在2009年的基础上增加了许多对消费者权益保护方面的措施。十二届全国人大常委会五次会议之所以对《消法》进行修改，主要是为了适应目前的形势。伴随互联网技术和现在物流体系的逐步建立，网络购物、电子商务在日常生活中越来越普及。而2009年《消法》修正案具有严重的滞后性，缺乏针对电子商务的相关规定[5]。电子商务的蓬勃发展不仅仅给人们生活带来了便利，同时也产生了许多纠纷。这些纠纷能否得到有效解决很大程度上依赖于《消法》的最新措施。

电子商务发展对消费者个人信息保护带来的挑战主要表现在网络环境下消费者信息的频繁泄露、垃圾短信和垃圾邮件的泛滥。而2013《消法》修正案正是针对以上几种情况规定了一些针对性措施。

2013年《消法》修正案通过之前，网络卖家非法利用其掌握的个人信息侵犯消费者个人信息权事件常有发生。更有甚者，部分卖家利用消费者个人信息从事与商品销售完全无关的违法犯罪活动。由此可见，2009年《消法》修正案并未重视消费者个人信息权的保护。2013年《消法》修正案“第十四条”明确规定个人信息权为消费者权利的重要组成部分，“消费者在购买、使用商品和接受服务时，享有个人信息依法得到保护的权利”。违反“第十四条”规定，网络卖家将会承担法律责任。这是《消法》第一次在法律条文中明确表述个人信息权，是针对目前电子商务蓬勃发展的回应。

2013年《消法》修正案通过之前，网络平台对于电子商务过程中产生的纠纷主要是居中调解，并不承担直接责任。而2013年《消法》修正案“第四十四条”新增了电子商务平台承担责任的多种情形。“第四十四条”强调电子商务平台应该尽到履行承诺义务，当卖家侵犯消费者权利时，电子商务平台将不能置身事外，必须直接对消费者承担责任。当然，电子商务平台可以在赔偿后向直接责任人进行追偿，此举极大地方便了消费者权利的保护。该措施可以反向督促电子商务平台做好事前审查、事中监督和事后赔偿与整改[6]。

2013年《消法》修正案通过之前，民事责任调解是电子商务纠纷中的常见手段。2013年《消法》修正案“第五十六条”“第(九)款”明确规定了侵犯消费者个人信息权行为的行政处罚原则。该条还规定侵犯消费者个人信息权不仅仅应该受到处罚，还要做好信用档案记录工作。倘若情形严重，卖家营业执照都有可能被吊销，由此可见2013年《消法》修正案对消费者个人信息保护的重视程度。

2.《民法总则》关于消费者个人信息权的相关规定

2017年通过的《民法总则》(以下简称《总则》)是我国法治进程的一个里程碑，其亮点也包含网络消费过程中个人信息权的保护相关规定。《总则》“第一百一十一条”明确规定了民事主体自然人的个人信息权，任何组织和个人均不得非法收集、使用、提供、买卖他人个人信息。民法是市民社会的自治之法，其对社会实务中热点问题回应是应然之举。

3.《侵权责任法》关于消费者个人信息权的相关规定

《侵权责任法》因为出台时间较早(2010年)，并未直接规定消费者个人信息权。但是，《侵权责任法》“第二条”明确表述本法保护的对象是所有的人身和财产权益。尤其是互联网和电子商务的兴起，使得网购消费者个人信息的获取、整理和传播更加容易。《侵权责任法》“第三十六条”特别规定：“网络用户、网络服务提供者利用网络侵害他人民事权益的，应当承担侵权责任”。电子商务平台和平台入住卖家在收集和处理消费者个人信息不当导致侵权时则可以适用该条。卖家就是“第三十六条”所称的“网络用户”，而电子商务平台则是“网络服务提供者”。《侵权责任法》还明确了平台和卖家的连带责任情形。

(二)我国网购消费者个人信息权保护的不足

1.《消费者权益保护法》关于消费者个人信息权的规定不足

2013年《消法》修正案确实新增了关于消费者个人信息权方面的规定，但很多还仅仅是停留在概念上，还需要进一步细化保护措施。2013年《消法》修正案的进步性体现在第一次在《消法》中提出了消费者个人信息权。2013年《消法》修正案对卖家提出了相应的约束性规定，同时也存在一些不足：个人信息权的具体内容是否应进一步明确、个人信息权的保护是否可以采取行业自律的方式、该如何认定电子商务平台的责任、是否可以采取举证责任倒置的方式保护个人信息权，等等。

2.《民法总则》关于消费者个人信息权的规定不足

总的来说，《总则》对于网购消费者个人信息权的规定比较笼统，实务中很难操作。《总则》关于个人信息权的规定更多是一个原则性的宣誓。

3.《侵权责任法》关于消费者个人信息权的规定不足

由于《侵权责任法》出台时间是2010年，而如今的社会经济发展变化巨大。我们只能从《侵权责任法》相关兜底性规定中寻求网购消费者个人信息权保护的影子。而网购消费者个人信息权的侵权案件本身又和一般的侵权案件有诸多不同之处。

电子商务中消费者个人信息权的救济过程往往面临诸多困难，其中最主要的两点就是举证责任的分配和责任主体的认定。网络消费和传统消费有诸多不同，其中有一个明显的区别就是电子商务具有技术性和隐蔽性。网络消费者常常不能轻易发现其个人信息侵权事实。即使是有所发现，但是为了达到证明标准，为了保护自己的权益，网络消费者只能寻求专业的机构与从业人员进行调查。此举看似解决了问题，实则不然。因为网购过程中个人信息权受害人并不能明确评估损害赔偿的数额和胜诉的成功率。网络活动具有虚拟性特征，普通人很难发现和掌握相应的数据。掌握相应数据的往往是侵权的电子商务平台和卖家。

在实务过程中，即使是电子商务平台协助受害人提供相关的证据，也很难证明因果关系。因为在电子商务平台的协助下，我们相对容易就能证明卖家通过有偿提供商品和服务能够获得消费者的哪些类型的个人信息，但是要想进一步证明这些信息是被卖家违法利用却很难。因为电子商务平台自身也没有能力去识别与监督卖家的信息使用行为。很多案件就是因为不能证明因侵权人的侵权行为直接导致被害人的信息被泄露，并导致相应的经济损失发生，从而由原告承担举证不能的责任。更何况更多的时候网购消费者并不能得到电子商务平台的支持。一般的侵权案件均是采取“谁主张，谁举证”的原则。但网购消费者个人信息侵权案件具有诸多个性，是否能够归入特殊侵权案件范围，对于有些事项的证明采取举证责任倒置原则。

如何确定网购消费者个人信息侵权案件的责任主体则是另一个棘手的难题。互联网技术的成熟与现代物流体系的建立，直接导致互联网购物的普遍性。由于市场体量巨大，所以消费者通常进行电子商务的平台不仅仅是一家，常常有五六家之多。当发生网购消费者个人信息侵权事实时，消费者通常很难确定个人信息的泄露与哪个平台有关联。即使是已经认定了相关平台，但是具体的网络购物过程中存在诸多关联主体，每个环节均存在泄露的可能性。网络消费环节很复杂，往往包含宣传、注册、下单、电子支付、物流运输和统计数据，等等。以淘宝为例，关联主体包含淘宝网、天猫网、美淘网，等等。这些主体虽有相应关联，但在法律上却具备独立的法人人格。而且，很多时候电子商务平台往往和QQ、微信等社交软件进行合作绑定之后，建立信息共享机制。互联网的开放性特征也使得侵权主体的确定更加困难。网络黑客等一些侵权人完全可以使用技术手段去窃取用户的个人信息，而很多时候这些案件的发生并不能归责于电子商务平台，而是用户自身操作不当导致的泄露。比如，51信用卡管家就能轻易获得消费者的信用卡等个人信息，而这恰恰是基于用户自身的授权。如果用户基于错误的判断，信任并授权了一个违法的信息网站或者APP，那将导致网购消费者的个人信息整体性泄露。

三、网购消费者个人信息权保护的建议

(一)完善网购消费者个人信息权保护立法

目前，我国尚未出台专门的法律规范针对网购消费者个人信息权的保护。2018年5月1日正式实施的一部关于我国个人隐私安全保护技术标准《信息安全技术个人信息安全规范》。该规范是由国家质监总局和标准化管理委员会联合制定与发布，其正式实施为我国网购消费者个人信息权的保护提供了必要的基础。但是网购消费者个人信息权的法律保护不能仅仅止步于此。开展制定专门的法律规范网购消费者个人信息权的保护工作是大势所趋[7]。我们可以借鉴欧盟《通用数据保护条例》(以下简称《数据条例》)的一些先进立法经验。2015年欧盟成员司法和内政事务部长会议就个人信息的保护初步达成五项原则，这些原则构成了《数据条例》的一些基本框架。其中，一些有益原则完全可以借鉴到我国的专门法律中，主要有：强化“被遗忘权”原则、“强化各国数据保护机构权利”原则、“一站式服务”原则等。“强化‘被遗忘权’”原则，即如果无法律豁免，网购消费者可以要求电子商务平台以及其他企业从网络搜索数据库结果中移除消费者的个人信息；“强化专门数据保护机构权力”原则，即逐步建立专门的网购消费者个人信息保护机构，或者整合目前的机构权能，确定一个主导机构，并授权该个人信息保护机构对违法者处以高额罚款的权力；“一站式服务”原则，即网购消费者个人信息保护所涉及的企业和网络用户都只需与一个国家的监管机构打交道。

综上，网购消费者个人信息权保护立法既要符合我国电子商务发展的国情，同时也需要借鉴欧盟等国际组织和国家的先进立法经验。

(二)完善网购消费者个人信息保护的监管

近年，互联网+经济发展迅速，除了传统的电子商务平台，互联网+经济甚至蔓延至很多行业，如互联网金融。而网购消费者个人信息权保护问题同样也存在于其他的互联网领域。而加强电子商务消费者信息保护的监管可以为其他互联网领域提供有益借鉴。首先，明确网购消费者个人信息保护的主导监管机构。目前，与网购消费者个人信息保护相关的监管机构有市场监督管理局、税务局以及消费者协会等。以上机构都涉及网购消费者个人信息的保护，但是并无详细的职权分工。网购消费者并不是专业的人士，往往在受到损失之后，对于应该找哪个机构不能做出准确的判断。其次，强化全过程监管。正如上文所述，网购消费者个人信息的违法收集和利用在整个网购过程中都有可能发生。因此，关于网购消费者个人信息的监管应该是全过程监管，应该综合地采取事前、事中以及事后手段进行监管[8]。监管机构应该有日常的监督检查手段，督促所有的电子商务平台建立相应的网购消费者个人信息保障体系，并且确保其有效性。在网购消费者与电子商务平台进行网购交易的过程中，可以通过普法宣传和免费的知识培训，提高网购消费者的认识。事中监管环节还要求电子商务平台对于其利用网购消费者个人信息的任何可能方式进行提前告知，并获得授权。事后监管环节要求监管机构能够密切关注消费者的权益保护，特别是个人信息保护。当发生相关事件时，应及时引导并采取权益保护措施。

(三)提高网购消费者的维权意识

在线下购物中消费者的个人信息被侵犯事件也时有发生。传统的侵权主要表现在不正当获取地址之后上门推销产品，而这些信息往往是非常细化、具有针对性的客户信息。或者是不正当获取联系方式之后，长期拨打潜在客户的联系电话。当然网络购物中个人信息权的侵犯形式更加丰富，而且后果往往更加严重。比如通过大数据分析客户的网络搜索信息，进行分类，之后定向推广各项广告。或者是在百度、新浪等等门户网站上定向推广商品信息。或者是只要你已经连接互联网，打开电脑上常见的一些办公软件，你也会发现会有一些针对性的商业广告。需要强调的是，更多时候是由于网购消费者自身的权利意识淡薄导致的。正如前文所述，有的时候网购消费者自身由于判断失误，在一些不知名的网站或者APP(此种类型主要有一些假冒移动、联通等通信运营商的数据赠送推广、一些假冒主流平台的红包推广、一些假冒主流平台的有奖问卷推广，等等)中主动泄露了自己的信息。而这部分的信息泄露完全是可以通过注意避免的。因此，网络消费者应该提高警惕，增强防范意识。

除了一些假冒的违法网购个人信息收集网站或者APP之外，仍然广泛存在正规的网购平台对网购消费者个人信息的违法收集与利用。毕竟此种情形的侵权主体一般是正规的商家，所以在注册等环节会有授权文件的签署，当然他们往往做的比较隐蔽，而网购消费者一般为了简便或者省时间，往往在未完全阅读的情况下就点击同意。此种看似得到了合法的授权，但实际上也在打擦边球。告知文件几页甚至是十几页，而关键信息并没有在显著位置进行标明，结果网购消费者稀里糊涂地就签署了授权。一旦出了问题，网购消费者要想维护自己的个人信息权往往很难。而这一类型的个人信息侵权实际上可以通过提高网购消费者的权利和维权意识加以避免。

综上所述，网购消费者个人信息权的法律保护任重而道远，应该考虑的问题还有很多。网购消费者个人信息权侵权案件呈现高度的专业性和技术性，我们应加强网购消费者个人信息权保护的技术手段更新，注意和大型信息安全维护企业密切合作，必要的时候请求其提供协助，等等。