論平臺經濟下對消費者個人信息的保護

王瑾卿

（甘肅政法大學，甘肅蘭州，730070）

根據第42次《中國互聯網絡發展狀況統計報告》顯示：截至2018年6月30日，我國網民規模達8.02億，互聯網普及率為57.7%，其中網絡購物用戶和使用網上支付的用戶占總體網民比例的71.0%①參見第42次《中國互聯網絡發展狀況統計報告》，中國互聯網絡信息中心，http://www.cnnic.net.cn/hlwfzyj/hlwxzbg/hlwtjbg/201808/t20180820_70488.htm， 2018-9-22。。網購用戶數量的上升，充分反映了當今世界互聯網經濟與傳統產業的相互融合，共同創造出如淘寶、京東、蘇寧等“平臺經濟”這一新生事物。但機遇與挑戰并存，平臺經濟一方面帶給了我們便捷與效益，另一方面它在個人信息保護、法律責任配置、市場監管等方面引發的一系列法律問題值得我們深思。因此如何應對平臺經濟給消費者領域帶來的挑戰，從而找到解決之策，是本文所要討論的關鍵所在。本文從實踐角度出發，以生活中廣泛存在的侵犯消費者個人信息為例，通過比較域外國家個人信息保護方面的立法，結合目前我國相繼出臺的《電子商務法》、《消費者權益保護法》等法律，進一步探求如何有效規范我國平臺經濟的發展，從而為更好保護消費者個人信息提出可行性建議和對策。

一、平臺經濟下侵犯消費者個人信息案件屢見不鮮

當前，我國正步入一個信息技術高速發展的時代，當我們在享受技術所帶來的便捷與利益時，社會總是忽略了技術進步所帶來的風險以及控制風險所需支付的昂貴成本[1]。隨著網絡技術發展與功能的增強，個人信息通過儲存與匹配，可以輕易地組合成一系列的信息群，而這個信息群很容易被控制，也可以瞬息之間向世界各國發送。其速度之快來不及檢索，也來不及對下一步的發送進行驗證，而這種網絡技術下所引起的主要問題是基于隱私而產生，也即是基于消費者個人信息而產生。

（一）Facebook社交平臺數據泄露事件

2018年3月，美國最大社交平臺Facebook（臉書）被爆出有8700多萬名用戶的個人數據遭到泄露，這些涉及到千萬用戶隱私的數據被美國另一家“劍橋分析”公司非法利用，以盈利為目的發送政治廣告。此次事件被視為 Facebook 有史以來遭遇的最大規模數據泄露事件，其中不為人知的是兩家公司以犧牲用戶個人信息為代價的“利益鏈”合作。作為一個掌握大量用戶數據信息的社交平臺，Facebook數據泄露事件的確為廣大互聯網消費者敲響了一個警鐘，在當下信息時代，更要時刻提防維護好自己的個人信息。

（二）支付寶第三方支付平臺默認選項事件

支付寶，作為一個擁有8.7億活躍用戶數量的我國最大的第三方支付平臺，在2018年初推出的支付寶用戶個性化年度賬單事件中，便暴露出該平臺在收集并使用消費者個人信息存在的巨大陷阱。這本是一項頗具平臺特色且富有人性化的統計服務，在如今的互聯網環境下并不稀奇，但是在每位用戶賬單下方最不起眼的地方，將“我同意《芝麻服務協議》”的選項進行了默認勾選，這實質上意味著支付寶可以在未經用戶授權同意的情況下，將用戶個人信息提供給第三方。而支付寶用戶往往會忽略掉該選項，一旦支付寶濫用其用戶的個人信息，這侵害的將是上億人的合法權益[2]。

（三）亞馬遜、小紅書用戶信息泄露助長電話詐騙

2017年6月，亞馬遜和小紅書網站的大量用戶表示自己的個人信息遭受泄露危機，從而嚴重到導致用戶的私人電話詐騙案件數量激增。據了解，亞馬遜多位用戶遭遇騙子假冒“亞馬遜客服”的退款詐騙電話，其中一位用戶被騙金額高達43萬元，同樣小紅書50多位用戶也因此造成80多萬元的財產損失。

通過以上各類信息泄露案件我們可以看到，不論國內國外，如何有效防止消費者個人信息的泄露，保障消費者個人信息權都是當下亟待解決的熱點問題，要解決這一問題，我們首先要從根源上找到該問題產生的原因。

二、平臺經濟下侵犯消費者個人信息案件高發的原因

（一）首要原因：網絡交易特征所導致

1.網絡交易主體的虛擬性、廣泛性以及不確定性

首先，互聯網世界，即是一個存在于現實生活中的虛擬空間世界。數字技術使網絡交易以數字化信息形式進行活動，這種虛擬的狀態又使得交易主體的身份得到屏蔽，以致難以辨識。互聯網的這一特性使得網絡交易主體天然的產生一種“去責任化”的態度，認為自己沒有義務對個人信息的真實性負責，這種態度極易產生網絡交易問題。其次，在一個完整的網絡交易環節中，涉及到商品的交易、認證、支付以及配送等各個具體流程，其中涉及到的網絡交易主體也是多種多樣，比如電商經營者、快遞公司、第三方支付平臺等等。這種主體的廣泛性以及各主體之間繁雜的交互聯系，對消費者個人信息的保護又多了幾分威脅。最后，當今互聯網經濟的快速發展，導致立法不可避免的存在滯后性，這表現在網絡交易主體中產生的一些“新生”主體，比如“電子代理人”，我國尚未制定出法律對其加以認定，這一主體不確定性可能會影響侵犯消費者個人信息的責任認定[3]。

2.網絡交易客體的易傳播性、易復制性以及易篡改性

首先，網絡消費者在網購平臺進行交易，雖然交易的標的物是商品，實質上最為重要的則是商品流轉背后所承載的大量交易信息，網絡的虛擬性特征使得這些信息可以通過網絡廣泛傳播到世界各地，信息的數字化使更多獲得授權的人可以隨意訪問、處理和傳播相應的信息，而這些信息中必然會攜帶著消費者的個人隱私，嚴重的話甚至可能危及消費者的人身安全。其次，網絡交易客體易復制性的特征也使得網絡交易市場魚龍混雜，會對消費者的消費選擇產生不利影響，進而影響正常的網絡交易秩序。最后，如果網絡交易主體利用信息數據的易篡改性特征，以盈利為目的惡意篡改信息后兜售給他人，而惡意購買信息的人利用這些信息進行犯罪，其后果不堪設想，會造成整個網絡交易秩序的混亂。

3.網絡交易信息的不對稱性

在當下的電子商務交易平臺法律關系中，網絡經營者相較于消費者而言，具備明顯的優勢。究其原因在于：首先，互聯網具有虛擬性，經營者往往不以真實姓名對外進行交易，對于網絡經營者以營利為目的未經授權使用消費者個人信息的行為，相關監管部門也由于無從得知商家的真實身份從而不能對其進行查處。其次，由于不能當面進行交易，網絡經營者往往比消費者掌握更多的信息，網上交易行為的瞬時性以及跨地域性等特征，也為某些經營者泄露消費者個人信息提供了便利。

（二）深層次原因：現有法律規定缺乏可操作性

當前，相關監管部門越來越重視對網絡交易安全的維護，尤其側重于網絡消費者的個人信息安全。從涉及消費者權益保護的下位法來看，各省市依據《消費者權益保護法》并結合各地實際情況制定出較為詳盡的《消費者權益保護條例》，如甘肅省、遼寧省、江蘇省等地。而從涉及消費者權益的上位法來看，雖然已經出臺了保護個人信息安全的相關法律法規，如《憲法》、《民法》、《消費者權益保護法》以及《電子商務法》等方面的法規，都對個人隱私、個人信息的保護作出了相關規定。但是，侵犯消費者個人信息的案件仍然頻發，其原因在于現有法律規定缺乏可操作性，其事前事中監管嚴重缺位。

以西北地區某省為例，首先從操作層面來看，相關規定仍過于籠統。《消費者權益保護條例》第二十條第一款規定：“經營者不得要求消費者提供與消費無關的個人信息。”哪些是商家必須掌握的消費者個人信息？沒有具體規定，也很難作出具體規定。客戶姓名、手機號碼、通訊地址等屬于商家必須掌握的信息，然而往往就是這些信息的泄露，侵犯了消費者的個人信息安全。其次從監管層面來看，《條例》第二十條第二款主要規定的是消費者個人信息遭受侵犯的事后補救措施，事后補救和懲治措施雖然能夠有效打擊該類行為，給予經營者威懾和警示作用，但維護市場秩序的核心在于監管，維護消費者個人信息安全也在于監管。相比于事后補救，加強事前和事中監管更有助于降低該類案件發生的可能性。因此，缺乏對經營者監管的法律規定，進而導致現有法律可操作性差，是造成平臺經濟下侵犯消費者個人信息案件高發的深層原因之所在。

（三）其他原因：消費者、經營者權責意識不強

首先，消費者缺乏權利意識。依據《消費者權益保護法》（下簡稱消保法）第十四條規定：“消費者在購買、使用商品和接受服務時，享有人格尊嚴、民族風俗習慣得到尊重的權利，享有個人信息依法得到保護的權利。”從法律規定來看，《消保法》中明確賦予消費者個人信息安全權，但是在面對權益受侵害時，消費者往往缺乏權利意識。而實踐中個人信息的泄露在很大程度上與消費者缺乏個人信息保護意識及不良購物習慣有關。其次，經營者缺乏責任意識。依據《消保法》第二十九條第二款規定：“經營者及其工作人員對收集的消費者個人信息必須嚴格保密，不得泄露、出售或者非法向他人提供。”法律明確規定了經營者應承擔的義務和責任，但實踐中我們仍然經常收到廣告推銷短信和電話，還時常會收到一些不法信息，并且感覺個人信息被嚴重泄漏。以上問題說明，經營者在消費者個人信息保護方面，重視程度不夠，缺乏責任意識。以上原因共同導致了平臺經濟下消費者個人信息容易受到侵犯的問題。

三、國內外消費者個人信息保護立法比較

（一）以歐盟和美國為例的兩種立法模式

1.以歐盟為代表的統一立法模式

統一立法模式又稱綜合立法模式，是指國家制定一部專門的個人信息保護基本法，將公共部門和私營機構的個人信息處理行為統一調整，其實質是“政府管制為主、行業自律為輔”。其優勢在于保證了法律適用的統一性。在個人信息保護方面，歐盟是走在世界前列的。早在1995年，歐盟就發布了針對個人數據保護的相關規定，即《個人數據保護指令》，確立了個人數據保護的基本原則[4]。后隨著互聯網技術的飛速發展，該《指令》已不能滿足實踐的需要，歐盟又于2002年重新修訂了《隱私與電子通信指令》，該規定在保障互聯網服務的安全性方面發揮了重要作用。縱觀歷史，歐盟的立法一直以來都是參照《95指令》制定的，直到2016年面對云計算和大數據帶來的巨大挑戰，歐盟開始了數據保護立法的改革，制定出《一般數據保護條例》②該條例全稱為《關于在個人數據處理方面對自然人保護和此類數據自由流動的第2016/679號條例》（General Data Protection Regulation,GDPR）,該條例由11章共99條組成。參見賀瓊瓊主編：《電子商務法》，武漢大學出版社，2016年版，第134頁。。該條例直接對歐盟所有的成員國生效，除了在國家安全、新聞及表達自由以及勞動法等領域外，無須再通過各國制定國內法，由此使得歐盟境內的個人信息保護立法得到統一，而且該條例對侵犯個人信息的行為設定了最為嚴厲的處罰，故在歐盟立法進程中具有里程碑的意義。

2.以美國為代表的分散立法模式

分散立法模式又稱部門立法模式，是指對不同領域的個人信息分別立法，尤其是區分公領域和私領域分別立法，沒有關于個人信息保護的基本法，換言之，采取單項立法模式，其優勢在于充分結合了各領域的特點。美國也早在1997年就意識到電子商務環境下個人信息保護的重要性，制定出《全球電子商務政策框架》并提出兩項基本原則：告知原則和選擇權原則。總體來講，美國采取分散和寬松的立法模式，除了對某些領域如金融、兒童、醫療等敏感信息有專門的立法規制外，美國對個人信息的保護長期以來一直以行業自律為主。除了法律保護之外，美國在保護個人信息的實踐中，還逐步探索出一套頗具特色的行業自律模式，分別是非強制性的商業指引、個人隱私偏好性平臺技術以及網絡隱私認證機制，這三種模式與與其他立法共同構成了美國富有特色的個人信息保護制度體系。

通過以上對歐盟和美國立法模式的比較，我們會發現兩種模式各自的優勢與弊端。統一立法模式的全面性與統一性是分散模式所達不到的，它對個人信息保護提出了較為全面明確的標準。但統一模式仍有其弊端：一是對于特殊行業適法性欠缺，某些行業可能并不適用該法；二是公法領域與私法領域權利保護界限模糊，不利于理論上的研究[5]。分散立法模式中的行業自律模式很有借鑒意義，既能很好地實現規制目標，又給電子商務行業留下了自由發揮的空間。但其弊端也很明顯，立法過于分散，缺乏一個完整統一的基本法。

（二）我國關于個人信息保護方面的立法

我國尚未出臺專門的個人信息保護基本法，但是相關立法實踐卻早已展開，2003年國務院信息辦就開始組織學者起草《個人信息保護法（專家建議稿）》。除此以外，我國還制定了若干直接針對個人信息和隱私保護的條款，這些條款散見于憲法、民法、刑法以及各種部門規章、條例和司法解釋中。可見，我國在個人信息保護方面借鑒采納了以美國為代表的分散立法模式。

首先，憲法保護[6]。在憲法中，個人信息權利是我國人權的基本內容。根據《中華人民共和國憲法》第四十條規定：“中華人民共和國公民的通信自由和通信秘密受法律的保護。”該條中對通信秘密的保護即是對公民個人信息的保護。其次，民法保護。2017年3月15日通過的《中華人民共和國民法總則》特別對公民個人信息保護作出規定，依據總則第一百一十一條：“自然人的個人信息受法律保護。”由此可見，立法層面對個人信息的保護愈加重視。第三，刑法保護。《刑法修正案（七）》中明確規定了“非法提供公民個人信息罪”③《刑法修正案（七）》增加第二百五十三條之一：“國家機關或者金融、電信、交通、教育、醫療等單位的工作人員，違反國家規定，將本單位在履行職責或者提供服務過程中獲得的公民個人信息，出售或者非法提供給他人，情節嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金。”，將嚴重侵犯公民個人信息的行為入罪，是我國在個人信息保護方面的重大突破。此外，由于近年來實踐中電信網絡詐騙案件頻發，如“徐玉玉電信詐騙案”，最高法、最高檢于2017年特別出臺了《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》的司法解釋，其中對刑法中的“公民個人信息”做出具體定義，從而加大了對公民個人信息的保護力度④最高人民法院、最高人民檢察院《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》法釋〔2017〕10號第一條:刑法第二百五十三條之一規定的“公民個人信息”,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等。。最后，其他法律法規保護。2012年通過了《全國人民代表大會常務委員會關于加強網絡信息保護的決定》，從若干方面對公民的信息權進行保護。此外，2013年對《消保法》同樣進行了修改，在第十四條中增加對消費者個人信息方面的保護。隨著互聯網經濟和電子商務的蓬勃發展，立法同樣也緊跟時代潮流。就在前不久全國人大常委會以高票表決通過了《電子商務法》，這是我國電子商務發展史上的重大事件，標志著我國電子商務逐步邁向法治時代。從電商經營者到電商平臺經營者再到法律責任設定，《電子商務法》對消費者個人信息保護是相對比較完善的。

總體而言，我國雖出臺了一些具有針對性的規范性文件，但普遍效力不高，立法主體太過分散，消費者缺乏權利保護意識，監管主體的管制色彩強烈。當前分散立法的模式難以滿足個人信息保護的現實需要，從個人信息權利的保護和產業發展的實際需求來看，許多規定還需要進一步細化，我國個人信息保護法律體系仍有很大的提升空間。

四、平臺經濟下消費者個人信息保護的完善途徑

（一）確立以“消費者”為本的立法理念

消費，作為拉動經濟增長的“三駕馬車”之一，對于整個社會發展而言，無疑起到巨大的推動作用，對作為消費主體的消費者權益的保護也間接影響著整個經濟的發展。對于消費者來說，《消保法》正是消費者維護自身權益的“神圣寶典”，修改后的《消保法》對消費者權利的保護規定了更為廣泛和切實有效的內容，比如增加了在交易中對消費者個人信息保護，也對經營者在交易中的行為設定了更為嚴格的義務。以上修改內容充分體現出立法開始逐步重視對消費者權益的保護⑤《消費者權益保護法》第十四條：“消費者在購買、使用商品和接受服務時，享有人格尊嚴、民族風俗習慣得到尊重的權利，享有個人信息依法得到保護的權利。”。修改后的《消費者權益保護法》一方面針對消費領域出現的新情況新問題，著重解決消費者關注的突出問題，并盡量把保護消費者權益的制度落到實處；另一方面，該修改適應了轉變經濟發展方式的要求，營造了良好的法治環境，增強了廣大消費者的消費信心。對處于不同法律時代消費者身份的認定、權利和義務的設定以及相應的責任體系的構建，均應遵循以“消費者”為本的立法理念。

（二）現有立法與新立法相結合，增強立法可操作性

域外統一立法模式與分散立法模式各有利弊，我國在未來的立法模式選擇上應當借鑒其優勢，從而制定出具有中國特色的個人信息保護法律體系。首先，我國有必要制定一部統一的保護個人信息的基本法律，即《個人信息保護法》。歐盟的統一立法模式具有法律適用的統一性的優點，它使得國家在個人信息保護方面擁有一個統一的標準和要求。因此，這部專門法應當在突出權利保護的同時，強調信息的交流與利用。其次，完善現有立法，增強立法可操作性。美國的分散立法模式是我國相關立法一直所采取的，其優點在于針對性、靈活性強，具體結合了各領域的特點。從我國目前的情況來看，如果一味地主張統一立法，將會使問題更為復雜化并擾亂現有的法律框架。因此，在現有的有關消費者個人信息保護規定的基礎上，針對當前實踐中出現的事前事中監管缺位問題，應當建立并完善消費者個人信息保護的實施細則，通過法律規定經營者在何種情況、多大程度、多長期限以及如何收集、使用消費者個人信息，進而提高現有法律的可操作性。從長期來看，這種以修訂與補充現行法律與制定新法律法規相結合的方式，是適應我國平臺經濟良好發展的立法模式選擇。

（三）將行業自律與法律規制相結合

行業自律，是指由多數企業公認的，在特定行業領域具有廣泛權威性的組織制定行業的行為規章或者引用以保護個人信息的一種方式。縱觀世界各國對于個人信息保護的方式，美國有著自己的特色，他們特別強調行業自律在個人信息保護中的主導地位。我國早在《個人信息保護法（專家建議稿）》中，就有學者提議建立行業自律組織[8]。我國在近年來也逐漸發展起來少量具有世界影響力的行業自律組織，比如中國互聯網協會、中國電子商務協會、數據中心聯盟等等。但是我們應當看到我國現階段的行業自律組織存在數量少、規模小、監管低能等弊端，我國的電子商務在行業自律方面，并未形成真正的自律機制。因此，就我國目前的環境下，僅靠行業自律監督個人信息保護是遠遠不夠的，應將行業自律與法律規制相結合，發揮出各自的優勢。

（四）增強消費者、經營者的權責意識

為進一步完善消費者個人信息保護制度，一方面，消費者應增強自我防范意識。實踐中絕大部分消費者在網絡交易中都缺乏個人信息保護意識，網絡消費者尤其應當謹慎透露個人信息，并采取必要的技術防范手段。比如在網上輸入個人信息前，一定要仔細判斷該網址的安全性以及對方網絡經營者的資質；此外網絡消費應嚴格遵守網購交易流程，避免安裝來歷不明的軟件和插件等。消費者自我防范意識的提高能在源頭上有效避免個人信息泄露，進而減少個人信息被非法利用的空間。

另一方面，經營者應切實履行保護消費者信息安全的義務。《消保法》第二十九條對經營者義務作出明確規定，新出臺的《電子商務法》同樣對各類網絡經營者主體的行為作出詳盡規定，網絡經營者作為電子商務行業主體，不僅要嚴格遵守法律規定的義務，更要做到嚴格自律，規范自身的經營行為。此外，有條件的網絡經營者應加大技術開發投入，充分利用技術手段維護消費者個人信息安全，實現信息安全技術防護與互聯網技術的運用同步發展。

五、結語

事物是不斷變化發展的，新興的平臺經濟給我國經濟發展不斷帶來新的機遇，但機遇與挑戰并存，平臺經濟在實踐過程中產生的法律問題引發著人們深思。不論是本文提到的Facebook社交平臺數據泄露事件還是支付寶默認選項事件，這些都只是侵犯消費者個人信息的典型案件之一，實踐中還存在著大量或重或輕的個人信息泄露事件。如何從國家、社會、消費者角度出發探求更好完善消費者個人信息的保護制度，成為今后應對平臺經濟挑戰的重要發展方向。