中国消费者协会:2022年个人信息保护领域消费者权益保护报告
一、消费者个人信息保护整体观察
(一)我国消费者个人信息保护法治的发展概况
个人信息是以电子或者其他方式记录的能够单独或者与其他信息相结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。在互联网时代,自然人要获得网络服务,不可避免地会向经营者提供个人信息。另外,侵犯个人信息权益的违法犯罪案件多有发生,亟需通过制定法律、强化执法加以震慑。进入21世纪后,我国高度重视个人信息保护。早在2006年,就有全国人大代表提出制定个人信息保护法的建议。其后,全国人大常委会法工委等机构一直开展个人信息保护立法的研究工作,全国人大通过多法域、多形式的立法,逐步完善个人信息保护法治。我国对个人信息保护的立法构建经历了由刑事规制到民事规制、由原则性规定到具体规则的发展过程,可以分为2013年之前、2013至2020年之前、2020年之后三个时间阶段,分别对应个人信息保护的发现期、探索期与发展期。
第一个阶段的个人信息保护立法主要包括:①2009年2月28日通过的《刑法修正案(七)》。该修正案明确规定窃取、非法获取、出售和非法提供公民个人信息的刑事责任。考虑到当时我国个人信息保护方面的基本法律还不是很完备,《刑法修正案(七)》对非法泄露公民个人信息的犯罪行为作了“违反国家规定”的限定。②2012年12月28日通过的《关于加强网络信息保护的决定》。该决定明确规定,国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息;任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。该决定虽然只有12个条文,但具有开创性,为我国未来立法奠定了基础,对保护个人信息发挥了重要作用。
第二个阶段的个人信息保护立法主要包括:①2013年10月25日修订的《消费者权益保护法》(以下简称《消法》)。此次修订的《消法》首次将“个人信息”列入应予保护的消费者权益范围,从而开创了消费者个人信息保护的新阶段。该法不仅在第14条明确规定消费者享有个人信息依法得到保护的权利,而且在第29条全面规定了经营者收集、使用消费者个人信息应当遵循的基本原则和具体规则。另外,该法第50条规定了侵犯消费者个人信息权益的法律责任。通过上述规定,《消法》从权利、义务、责任三个方面全面确立了消费者个人信息保护的法律规则。②2016年11月7日通过的《网络安全法》。该法将网络信息安全列为网络安全的重要组成部分,并在第四章全面规定了网络运营者在保护个人信息安全方面的法定义务。③2017年3月15日通过的《民法总则》。该法第111条明确规定自然人的个人信息受法律保护,在我国民事立法史上首次将个人信息确立为所有自然人享有的基本民事权利。④2018年8月31日通过的《电子商务法》。该法非常重视用户个人信息和消费者权益保护,在第23条就电子商务经营者收集、使用用户个人信息的法定义务作出了规定,并在第24条就用户信息查询、更正、删除的具体程序明确了要求。
第三个阶段的个人信息保护立法主要包括:①2020年5月28日通过的《民法典》。《民法典》第四编“人格权”的第六章章名为“隐私权和个人信息保护”,这标志着个人信息权成为了民事基本法所确立的重要民事权益。与《民法总则》相比,《民法典》对个人信息的规定更为全面、细致,具有更强的应用性。②2021年6月10日通过的《数据安全法》。该法明确了数据与信息的关系,强化数据安全保护,保障个人与数据有关的权益。③2021年8月20日通过的《个人信息保护法》。这是我国首部专门规范个人信息保护的法律,从而将全国人大代表早在2006年提出的立法建议转化为了现实,彰显了国家对个人信息保护的高度重视。该法全面规定了个人信息处理规则、个人信息跨境提供的规则、个人在信息处理活动中的权利、个人信息处理者的义务等内容,是一部保护个人信息的综合性法律。
目前,我国已经形成了以《民法典》为基础,以《个人信息保护法》为核心,以《消费者权益保护法》《网络安全法》《电子商务法》《数据安全法》为重要组成部分的个人信息保护法律体系。消费者个人信息受到上述法律的保护。
随着法律制度的完善,政府部门通过严格执法,打击各种侵害个人信息权益的违法行为,有力地维护了消费者权益。近年来,非法使用、收集、买卖个人信息的违法行为频发,严重侵害消费者的人身财产安全。市场监管部门多次开展打击侵害消费者个人信息权益违法行为的专项执法行动,查办了一批侵害消费者个人信息权益的违法案件,有力地震慑了违法犯罪分子,取得了良好的社会效果。网信、公安、文旅、工信等部门通过开展“净网行动”、“清朗行动”、国家网络安全宣传周、App安全认证等行动与活动,严厉打击侵害消费者个人信息权益的行为,为营造良好消费环境作出了贡献。
中国消费者协会和各地消协组织积极履行维护消费者权益的社会职责,通过调查监督、警示、约谈、揭露批评等方式保护消费者个人信息。特别是2014年以来,江苏、广东、重庆等地消协组织针对侵害消费者个人信息权益的行为提起公益诉讼,积极打造消费者个人信息保护有效手段。
广大媒体积极参与到维护消费者个人信息权益的行动中来,以南方都市报为例,其“隐私护卫队”课题组长期致力于关注并报道国内外消费者个人信息保护相关动态与社会事件,至今已发表相关新闻报道与评论2000余篇,为推动消费者个人信息保护宣传做出了积极贡献。
经营者是保护消费者个人信息权益的第一责任人。众多企业认真落实法律要求,践行社会责任,注重保障消费者个人信息。以360和奇安信为代表的数据安全公司,发挥技术优势,构建大数据防御体系机制。以奇安信为例,先后发布了《2022年度 App收集个人信息检测报告》《互联网行业网络安全行政执法案例集》等多份研究报告,其漏洞研究团队长期以来发现了大量严重安全漏洞,及时通报厂商修复,并积极开展2022北京网络安全大会等社会活动,为消费者个人信息权益提供了基础架构上的保障。
(二)2022年消费者个人信息保护的总体特征
2022年,我国数字经济和网络消费稳步发展,相关政策较2021年变化不大,仍体现为发展与监管并重。习近平总书记在党的二十大报告中指出,要加快建设网络强国、数字中国,加强个人信息保护。2022年,我国在立法、司法、行政执法上显著提升了消费者个人信息的保护力度。在立法上,为落实《网络安全法》《数据安全法》《个人信息保护法》等法律关于数据安全管理的规定,规范网络数据处理活动,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益,国务院及其相关部门着手制定相应的规章或规范性文件,包括但不限于《网络数据安全管理条例》《未成年人网络保护条例》《移动互联网应用程序信息服务管理规定》等,个人信息、数据安全的法律保护体系变得更加完善。在司法上,最高人民法院发布了有关消费者个人信息保护的指导案例,公布了数件涉及个人信息保护的典型案例,各级人民法院审理了大量相关的民、刑事案件,有力地维护了消费者合法权益。在行政执法上,各行政机关积极履职、严格执法,严厉整治了各种侵害消费者个人信息权益的违法行为,打击了围绕消费者个人信息形成的黑色产业链。2022年,全国公安机关深入推进“净网2022”专项行动,截至年底共侦办案件8.3万起;2022年6月,市场监管总局、国家网信办发布《关于开展数据安全管理认证工作的公告》,进一步推进网络数据安全保护认证工作;2022年间,工信部共发布《关于侵害用户权益行为的APP通报》5批,敦促相关企业按要求完成整改。除此之外,中国消费者协会和各地消协组织高度重视消费者个人信息保护工作,通过专项行动、公益诉讼、消费警示、约谈经营者等多种方式加以推进。
2022年,随着立法的完善和社会共治的实施,我国消费者个人信息保护水平已有显著提高。在整体上,2022年消费者个人信息保护体现出如下特点:
1.政策层面更重视。党的二十大胜利召开后,《中共中央、国务院关于构建数据基础制度更好发挥数据要素作用的意见》(下称《数据二十条》)公开发布,进一步从数据治理的角度对后续制度制定提出了明确要求。作为消费者个人信息主要表现形式的个人数据同样属于《数据二十条》关注重点。在文件中,涉及消费者个人数据的规定主要包含以下三个方面:其一,探索建立数据产权制度,推动数据产权结构性分置和有序流通,结合数据要素特性,强化高质量数据要素供给;在国家数据分类分级保护制度下,推进数据分类分级确权授权使用和市场化流通交易,健全数据要素权益保护制度,逐步形成具有中国特色的数据产权制度体系。在web3.0时代,主体的数据产权是构成数据市场的基本要素。无产权则无流通,该项规定主要对消费者个人数据确权以及数据持有者的数据安全保护义务构建提出了要求。其二,完善和规范数据流通规则,构建促进使用和流通、场内场外相结合的交易制度体系,规范引导场外交易,培育壮大场内交易;有序发展数据跨境流通和交易,建立数据来源可确认、使用范围可界定、流通过程可追溯、安全风险可防范的数据可信流通体系。无数字流通则无数字经济,确立数据产权后,同样应当对数据的流通规则进行构建,方能形成有序数据市场,为数字经济发展提供基础条件。其三,建立安全可控、弹性包容的数据要素治理制度,把安全贯穿数据治理全过程,构建政府、企业、社会多方协同的治理模式,创新政府治理方式,明确各方主体责任和义务,完善行业自律机制,规范市场发展秩序,形成有效市场和有为政府相结合的数据要素治理格局。基于数据处理的专业性、产权的合理性与市场的有序性要求,数据治理注定需要全社会各类型主体参与,方能有效进行。这也注定了数据治理不能仅依靠法律实现,还应当通过政策制定、行业自律机制构建等方式综合治理,方能构建有效的数据治理体系。较之2021年,2022年政策的制定层级更高,要求也更加具体。
2.法律体系更完善。在消费者个人信息的保护上,《个人信息保护法》《数据安全法》与《网络安全法》三部法律均以“告知-同意”原则为中心对个人信息保护框架进行了建构。其中《数据安全法》则更进一步地规定了数据处理者的数据安全保护义务。相较于2021年,2022年制定的、涉及消费者个人信息保护的行政法规、部门规章与其他规范性文件,更关注如何落实上述三部法律的要求。目前,《网络数据安全管理条例》《未成年人网络保护条例》《金融产品网络营销管理办法》等行政法规、部门规章和规范性文件已处于公开征求意见阶段。
尽管一些法律、法规与规范性文件尚未出台,但不难发现,无论是从消费者个人信息处理的各环节保护,还是消费者个人信息的类型化保护而言,消费者个人信息保护法律体系的建构在2022年取得了长足发展。
3.司法实践更关注。在消费者个人信息保护的司法实践中,具体的案件情形呈现出更加多元化、复杂化的趋势。与此相对的,因《消费者权益保护法》对消费者个人信息保护的相关条款规定较为笼统,且《民法典》对消费者个人信息的权益属性规定并不明确,司法实践中消费者常常无法通过法律获得直接救济,这也使得司法机关更加关注如何通过司法实践保护消费者个人信息,更加注重在涉及消费者个人信息的裁判文书中尽可能高质量地释法说理,并形成了大量有价值的司法经验。
4.社会共治更有效。随着我国对于消费者个人信息保护力度的加大,许多市场主体和行业协会提高了自律、自治的能力,使得大量的相关争议通过和解、调解等方式得到妥善解决。自《个人信息保护法》《数据安全法》出台后,各互联网平台明显加大了自身合规力度,同时对于平台内经营者的管理也更加规范化,从而大量地减少了平台内消费者个人信息侵权问题。
5.消费者自我保护意识增强。随着相关法律的完善,我国消费者自身的个人信息权利意识也已得到明显加强,消费者对自身个人信息的保护也更加注重。消费者自我保护意识的增强主要体现在两个方面:一是在提供个人信息时更加谨慎,对于来自不可信对象的个人信息收集行为更加警惕;二是对于已发生的个人信息泄露具有更强的自我保护意识,对于因个人信息泄露而引起的网络诈骗等违法行为的警惕性更高。究其原因,一方面在于我国法律体系的完善和行政执法力度的加大,另一方面也在于相关部门通过媒体、基层进行的个人信息相关普法宣传与反诈宣传起到了积极作用。
二、消费者个人信息保护的新进展
(一)消费者个人信息保护制度的新进展
1.《数据二十条》发布。近年来,数据产权概念在中央文件中逐步获得明确。2019年10月,党的十九届四中全会首次将数据列为新型生产要素。2020年4月,中共中央、国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》,强调要将“研究根据数据性质完善产权性质”作为数据要素市场建设的重要举措。2020年11月,《中共中央关于制定国民经济和社会发展第十四个五年规划和2035年远景目标的建议》明确:“建立数据资源产权、交易流通、跨境传输和安全保护等基础制度和标准规范,推动数据资源开发利用”。这对数据要素产权制度体系的相关工作作出了更加明确的战略性部署。2022年12月19日,中共中央、国务院印发《关于构建数据基础制度更好发挥数据要素作用的意见》(《数据二十条》),从中央制度层面为我国数据产权制度搭建了基本框架。
在数据产权结构上,《数据二十条》将数据分为公共数据、企业数据、个人信息数据三种基本类型。其中,公共数据确权授权机制的重点在于坚持开放开发;企业数据确权授权机制的核心在于保障企业基于数据的合法持有、使用与获取收益的权利;个人信息数据确权授权机制的关键则在于保障信息数据安全、规范个人信息处理活动。在数据权利配置上,《数据二十条》提出探索数据产权结构性分置制度,建立数据资源的持有权、数据加工使用权、数据产品经营权等具体权利构成的权利体系。需要注意的是,《数据二十条》对权利类型的设置是开放的,结合具体的授权场景,基本可以细化为法律中财产性权益的占有、使用、收益、处分以及人身权益中的署名权等具体权能。同时,《数据二十条》也提出要审慎对待原始数据的流转交易行为。当前我国数据产业主要聚焦于挖掘个人数据的商业分析价值,但原始数据的流转涉及个人信息安全与数据安全,也需要谨慎对待。
总体而言,《数据二十条》的公布充分体现了数据要素权利配置在数据经济中的重要性。2021年,《民法典》《个人信息保护法》《数据安全法》等基本法律制度已经颁行,并在2022年积累了宝贵的立法、司法、行政执法经验,公民的信息、数据权益意识也有明显提升。之后的信息、数据权益立法,应当遵循《数据二十条》精神,充分尊重消费者个人信息、数据权益,基于数字经济实践,逐步探索完善数据的产权化保护方案。
2.《个人信息保护法》与《数据安全法》实施逾一周年。《个人信息保护法》的颁行是一次贯彻落实习近平法治思想、坚持以人民为中心的立法实践,是《民法典》中“个人信息受法律保护”的具体内容,构成了我国个人信息保护的法律规则基础。《个人信息保护法》实施以来,最高人民法院、国务院及其相关部门制定的行政法规、部门规章及规范性文件作为法律实施的细则在法律实施方面发挥了主导作用;人民法院充分发挥审判职能,正确理解与适用法律,积极推动《个人信息保护法》在司法实践中落地生根;履行个人信息保护职责的部门在行政执法中依据《个人信息保护法》及相关法律法规对违法处理个人信息的个人信息处理者及相关责任人作出行政处罚,为整治与威慑违法行为、强化个人信息保护提供必要法治保障。[1]《数据安全法》的施行,极大地增强了数据处理者在数据处理服务中的合规意识,从源头上最大限度地减少了数据处理者强制收集个人信息以及未经用户授权向第三方提供用户数据的现象,有效保障了消费者的个人信息、数据安全。
随着《个人信息保护法》及《网络安全法》《数据安全法》《民法典》等法律的持续深入实施,我国网络社会和数字经济的法治体系将在实践中不断发展和完善。
3.多部法规、规章、规范性文件正在制定之中。《个人信息保护法》与《数据安全法》施行前后,国务院及其相关部门颁布了一系列与个人信息、数据保护相关的行政法规、部门规章及规范性文件。在行政法规层面,国务院于2021年7月30日颁布了《关键信息基础设施安全保护条例》。此外,《网络数据安全管理条例》《未成年人网络保护条例》等行政法规的草案已处于公开征求意见阶段。在部门规章和规范性文件层面,国务院及其相关部门制定的与个人信息保护相关的部门规章和规范性文件包括《数据出境安全评估办法》《互联网用户账号信息管理规定》《互联网信息服务算法推荐管理规定》《征信业务管理办法》《网络安全审查办法》《汽车数据安全管理若干规定(试行)》《医疗卫生机构网络安全管理办法》《移动互联网应用程序信息服务管理规定》《银行保险机构信息科技外包风险监管办法》《互联网信息服务深度合成管理规定》《个人信息出境标准合同规定》《电力行业网络安全管理办法》等。此外,《网信部门行政执法程序规定》《金融产品网络营销管理办法》等部门规章和规范性文件已处于公开征求意见阶段。
(二)消费者个人信息司法保护的新进展
2022年3月8日,在第十三届全国人民代表大会第五次会议上,最高人民法院所做工作报告指出,认真贯彻《个人信息保护法》,严惩窃取倒卖身份证、通讯录、快递单、微信账号、患者信息等各类侵犯公民个人信息权益的违法犯罪行为。2022年消费者个人信息的司法保护体现出如下特点:
1.强化源头治理,依法惩治行业“内鬼”。在2022年办理的侵害公民个人信息权益的案件中,侵权人以自身职务便利直接(利用自身工作人员身份获取消费者信任直接采集)或间接(利用职务便利,从供职单位取得)获取消费者个人信息的行为明显占有很高比重。在2022年提起的侵害公民个人信息罪刑事附带民事诉讼中,“内鬼”窃取公民个人信息是数量最多的违法情形。
2.强化司法认定,为新技术规范应用划定边界。随着技术的发展,人脸识别等各种新技术的应用也同样对司法提出了挑战。针对实践中反映较为突出的问题,2021年7月28日,最高人民法院发布《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,对相关侵权行为、侵权责任、合同规则以及诉讼程序等方面作出规定,指导各级人民法院正确审理相关案件,统一裁判标准,维护司法公正权威。
3.公益诉讼成为保护消费者个人信息的有效路径。2022年,检察机关充分发挥自身职能,提起多件涉及个人信息保护的公益诉讼,其中以刑事案由(附带民事诉讼)为主。除检察机关外,消费者协会也在公益诉讼中起到了积极作用。2022年重庆市消委会对经营者侵害消费者个人信息行为提起公益诉讼,并以诉前调解的方式结案。值得注意的是,重庆市消委会在诉前调解中开创性地引入了公开听证。公开听证不仅有益于消费者权益保护宣传,也有利于人民法院对案件的公开公平公正审理,对消费民事公益诉讼的发展产生了积极的作用。
(三)消费者个人信息行政保护的新进展
1.市场监管总局、国家网信办实施个人信息保护认证。2022年11月8日,市场监管总局、国家网信办发布《个人信息保护认证实施规则》(以下简称《规则》),鼓励个人信息处理者通过认证方式提升个人信息保护能力。《规则》共计7条,规定了对个人信息处理者开展个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动进行认证的基本原则和要求。其中,认证机构需要依照GB/T 35273《信息安全技术个人信息安全规范》与TC260-PG-20222A《个人信息跨境处理活动安全认证规范》对委托认证的主体进行认证,认证方式采用“技术验证+现场审核+获证后监督”的方式进行。认证机构对获证后监督结论和其他相关资料信息进行综合评价,评价通过的,可继续保持认证证书;不通过的,认证机构应当根据相应情形作出暂停直至撤销认证证书的处理。
2.严格行政执法,扼制经营者侵害消费者个人信息的违法行为。《个人信息保护法》与《数据安全法》均为综合性法律,法律规定不仅涉及民事法律关系,也涉及行政法律关系,行政执法与监管自然也是保障消费者个人信息权益的重要渠道。除人民法院提供的司法保护外,2022年网信、市场监管部门同样通过行政执法的方式对个人信息、数据处理者进行了有效监管。2022年我国个人信息行政保护延续了《网络安全法》等确立的统一管理、分工负责体制,即国家网信部门统管、各行业主管部门在各自职责范围内负责个人信息保护和监督管理工作。从行政处罚文书网的检索结果来看,在2022年已公开的行政处罚文书中,绝大部分来自市场监管部门,其次来自网信部门、央行等;绝大部分执法对象为法人或其他组织,仅少数处罚文书的执法对象为自然人;涉及的违法行为包括违法收集、违法使用、未履行数据安全保护义务等。与2021年相同,从已公开的行政处罚文书的数量上来看,市场监管部门依然是监管的主要部门,呈现出以市场监管为主的特征;但从罚款金额上来看,网信部门与金融管理部门的处罚力度更强,最典型的就是2022年7月国家网信办对滴滴全球股份有限公司作出80.26亿元罚款,[2]与2022年1月中国人民银行上海分行对东亚银行(中国)有限公司作出的1674万元罚款。[3]
3.2022年国家网络安全宣传周关注消费者个人信息保护。国家网络安全宣传周活动于2022年9月举行,由中央宣传部、中央网信办、教育部、工业和信息化部、公安部等十部门联合举办,主题为“网络安全为人民,网络安全靠人民”。网络安全宣传周广泛深入宣传习近平总书记关于网络强国的重要思想,聚焦新一代信息技术、数据安全、网络安全等领域的热点问题,将消费者个人信息保护列为重要的宣传内容。
(四)消费者个人信息社会保护的新进展
2022年的消费者个人信息社会保护发展可以从消费者协会、媒体与经营者自律三个方面进行观察。
2022年中消协及各地消协组织依然高度重视消费者个人信息的社会保护。1月24日,中消协发布《2021年十大消费维权舆情热点》,针对消费者个人信息“裸奔”问题及消费者维权难等进行话题梳理与热点解读,通过引起社会各界对消费者个人信息保护问题的关注。随着《个人信息保护法》的施行,中消协及各地消协组织积极展开消费者个人信息保护的宣传工作,通过梳理侵害消费者个人信息的主要场景以案释法,提醒广大消费者学法懂法用法、谨慎网络授权,切实提高保护个人信息的意识和能力。
个人信息安全长期以来都是媒体关注的热点。2022年,央视315晚会重磅曝光了如“免费WiFi”、软件下载平台高速下载等多个窃取消费者个人信息的行业乱象。除央视外,其他媒体、自媒体也对个人信息、数据安全格外关注。
不可否认,对于绝大部分经营者而言,盈利始终是其第一目的,这也造成了收集消费者个人信息的经营者往往怠于履行对消费者个人信息的保护义务。但随着2021年《个人信息保护法》《数据安全法》的出台,处罚怠于履行义务的经营者的法律依据数量明显增加;行政执法力度的加大,倒逼经营者加强自律从而避免损失。以京东金融为例,其于2022年3月发布的《消费者权益保护年度报告》显示,2021年京东金融App不仅上线了消费者权益保护专题频道进行消费者权益保护宣传,还同时推出和升级了包括隐私保护、双重加验等多项安全性功能,并通过客服提示等方式向消费者发出风险预警,尽可能地保护消费者权益。对于经营者而言,与其不尽到保护消费者个人信息的义务接受行政处罚,不如积极履行义务,及时自查整改,从而避免更多风险。
三、侵害消费者个人信息的典型表现
虽然2022年针对侵害消费者个人信息权益的法律法规更加完善,但侵害消费者个人信息的情形仍然较为严重,主要表现在违反处理的必要性原则、违反个人信息处理质量原则、违反“告知-同意”规则、侵害个人信息权益的损害赔偿范围有待确定等方面。
(一)违反个人信息处理必要原则
《个人信息保护法》第5条、第6条分别规定了个人信息处理的必要性原则。虽然《个人信息保护法》已经颁行,但经营者违反必要性原则处理消费者个人信息的情况依然屡见不鲜。在实践中,具体表现为消费者基于出行、接受教育等必要需求而被迫接受捆绑服务,从而导致自身个人信息被不必要的服务提供者所获得。
(二)违反个人信息处理质量原则
《个人信息保护法》第8条规定,处理个人信息应当保证个人信息的质量,避免因不准确、不完整对个人权益造成不利影响。个人信息准确性、完整性和时效性是个人信息的价值所在,因此个人信息记录的质量保证同样是保护个人信息权益不受侵害的必然要求。在“梁某、广东某实业有限公司诉某科技有限公司网络侵权责任纠纷”[4]中,原告发现被告运营的企业信用信息查询平台将与原告无关的“失信”“限高”“终本执行”等信息错误关联至其以及某实业公司名下,遂诉至人民法院。法院认为,算法输出的结果,归根结底是运用者意志的体现。被告对算法这一技术的利用本身即创设了危险发生的可能性,故而应当对危险后果担责。信用报告记录了梁某担任法定代表人等的企业以及相关企业的司法案件信息,属于梁某的个人信息。被告通过算法技术对个人信息进行收集、加工、整合,并向平台用户提供其加工、整合后的信用报告,对梁某的个人信息存在处理行为。被告提供的有关原告的个人信息有误,原告有权要求被告对其个人信息予以核实,并及时更正、补充。鉴于被告的行为侵害了原告的个人信息权益并造成损害,故判决某科技公司向梁某、某实业公司赔礼道歉并赔偿经济损失。
大数据时代的个人信息保护与算法规制息息相关,但遗憾的是,许多个人信息处理者常常将算法作为自身不作为的“挡箭牌”,企图以此规避责任。算法被各类平台广泛用以处理数据,算法的运用在带来数据效率最大化的同时,也因其自身的模型漏洞、运行错误、算法歧视等引发侵害个人信息权益及其他人格权纠纷。上述判例表明,平台等各类经营者主体原则上可以利用算法技术在合理范围内处理已经合法公开的个人信息,但应保证个人信息的质量,因算法运行错误导致个人信息不准确、不完整的,个人有权要求算法运用者承担更正、补充等相关民事责任。
作为贯彻我国个人信息立法始终的基本规则,“告知-同意”规则在《网络安全法》《个人信息保护法》《数据安全法》等法律法规中均处于核心地位。“告知-同意”规则要求以在案件所处的具体场景中是否得到个人信息权益人同意作为判断个人信息处理是否合法的关键因素。虽然这一规则在立法中早已得到确定,但在丰富的商业实践中,常常因为获取同意的方式与手段存在瑕疵而导致争议。在“王某、深圳市腾讯计算机系统有限公司个人信息保护纠纷”一案中,即出现了个人信息权益主体撤销授权而个人信息处理者未停止收集与使用的情形。[5]在该案的一审与二审中,两审人民法院最大的分歧在于微视App(腾讯公司产品)的行为是否构成对个人信息权益的侵害。最终二审人民法院认定案涉个人信息并非微视App提供服务所必须,未满足收集、处理个人信息的必要性原则。同时,微视App在王某撤回同意后继续使用其个人信息的行为并未获得用户知情同意,不符合正当性要求。最终,二审人民法院改判腾讯支付王某参与诉讼的合理支出一万元。
“被默认”是近年来消费者个人信息保护面临的典型问题,消费者面临的“被默认”已经由订立格式合同时的“被默认”深化到了每次合同变更都需要留意“被默认”。允许平台采用格式合同方式修改用户协议是立法中公平公正兼顾市场效率的安排,但当前各平台经营者存在利用自身优势地位滥用这一权利的趋势,甚至于利用自身可以修改用户协议的有利条件,反复使用“默认”的方式撤回不利于其进行个人信息收集的意思表示。对于经营者的这一行为,尚需从司法角度进行规制,将裁判得当的司法经验积极推广。
(四)侵害个人信息权益的损害赔偿范围有待确定
《个人信息保护法》第69条规定了处理个人信息侵权中“按照个人因此受到的损失”或者“个人信息处理者因此获得的利益”两种损害赔偿计算方式。侵害个人信息权益的损害赔偿如何确定一直是法律适用的难点问题。在司法实践中,侵害消费者个人信息的损害赔偿案件大致可以分为两种类型,一种是可以确定违法所得的案件,一种是无法确定违法所得的案件。可以确定违法所得的案件,其损害赔偿确定较为简单,案件类型以检察院提起的公益诉讼为主。2021年11月1日,杭州互联网法院公开开庭审理公益起诉人拱墅区人民检察院诉被告刘某个人信息保护纠纷民事公益诉讼案,[6]并当庭宣判,判令被告刘某承担损害赔偿金1.4万余元。同一天,江苏省常州市中级人民法院公开宣判了公益诉讼起诉人常州市人民检察院与被告田某个人信息保护民事公益诉讼一案,[7]依据《个人信息保护法》的规定,判决田某在国家级媒体上向社会公众赔礼道歉,并赔偿9512.7元。无法确定违法所得的案件,其损害赔偿确定则主要以被侵权人受到的损害为主。这一类型的案件,主要以自然人提起的民事诉讼为主。从2022年北京市各级人民法院审理的个人信息权益纠纷案件来看,因侵害个人信息权益所造成的损害往往难以判断且难以主张,当事人往往仅能够主张其维权所花费的律师费与取证费。除实际损害外,亦有当事人在诉讼中提起精神损害赔偿。在杭州市互联网法院审理的个人信息权益纠纷案件“吴某某诉上海某信息服务有限公司等违规提供用户个人信息保护纠纷案”[8]中,当事人因其敏感个人信息遭受侵害而主张精神损害赔偿,获得了人民法院的支持。同样的,在山东省平度市人民法院审理的“贾友宝、青岛远海教育服务有限公司等个人信息保护纠纷”中,[9]被告工作人员未经原告同意根据导出的号码拨打原告手机进行学历营销,原告主张的精神损害赔偿亦获得支持,并将金额酌定为3000元。
通过对2021至2022年个人信息权益纠纷案件的观察不难发现,在特定主体具有较强举证能力或有国家机关作为后盾时,其受到的损害往往能依照侵权人违法所得确定。但对于不具有较强举证能力的一般自然人主体而言,依靠自身能够举证的往往仅包含自身维权产生的费用,其权益并未得到全面、有效保障。
(五)其他个人信息侵权行为
除上述个人信息侵权行为外,长期存在的个人信息违法收集依旧是十分典型的行为。其中最典型的体现就是前述的“内鬼”倒卖个人信息。除此之外,还有通过欺诈手段使得消费者上当受骗等情形。对此,消费者也应该提高警惕。
四、消费者个人信息保护的不足及完善建议
《个人信息保护法》《数据安全法》等实施以来,在个人信息保护的实践中,一些亟待解决的具体问题得以凸显。在立法上,个人信息的相关概念有待进一步厘清;实践中暴露出的维权成本与损害赔偿不平衡的问题也尚待解决。在司法上,《个人信息保护法》部分条文尚待进一步解释。在执法上,也暴露出行政监管不足、惩罚力度不够等问题。
(一)立法保护的不足
在立法上,《消费者权益保护法》对消费者个人信息的保护规则主要体现在第29条与第50条,对于经营者处理个人信息的行为规制暂时还处于原则层面。虽然《个人信息保护法》与《数据安全法》可以覆盖保护消费者的个人信息权益,但在当前消费者个人信息处理日趋复杂、广泛的背景下,仅通过以上两条法律进行规制则略显不足。对于消费者个人信息的保护,立法尚存在以下未得到有效解决问题。
1.个人信息权益的法律属性尚待进一步明确。对于自然人的个人信息权益,我国《民法典》将其规定在人格权编第1034条:“自然人的个人信息受法律保护……个人信息中的私密信息,适用隐私权的规定;没有规定的,适用有关个人信息保护的规定。”就《民法典》的规定而言,个人信息显然是属于人格权的一部分。但与此同时,个人信息也并非仅属于类似于生命权的纯粹人格权,而是与肖像权相同的可财产化人格权。就法理而言,个人信息权益与肖像权高度类似。在《民法典》肖像权的规定中,对于财产化使用肖像、姓名、声音赋予了自然人任意解除权,并要求对合同产生争议时做出有利于肖像权人的解释。但与此相对的,个人信息权益并未对此做出规定。因此,对于法律中未明确给出商业化使用场景的个人信息,其法律属性究竟是属于不可商业化使用的人格权(如生命权)还是可以商业化使用的人格权(如肖像权、名称权等),在法律中尚不明确。就消费场景而言,消费者个人信息权益在实践中应当具有的权能与特别规定,尚需立法进一步确定。
2.个人信息权益与企业数据权益的概念不明确。随着《数据安全法》与《个人信息保护法》的颁布,有关“数据”与“信息”的概念在前期立法中的混用问题已得到了一定程度的解决。但值得注意的是,企业通过格式合同获得用户(消费者)授权的企业数据权益与个人信息权益的外延碍于信息、数据客体的复杂性与格式合同效力不确定的影响,二者的关系依然没有得到有效梳理。虽然在数据产业的商业实践中常常将个人信息授权作为特定数据由“个人信息数据”转化成“企业数据”的分界点,并将“脱敏”视为自身可完全支配、使用特定数据的节点。但在法律上,简单的“脱敏”并不能使个人信息转变为可由企业支配的数据权益,具体包含以下两方面原因:
一是企业获得个人信息处理授权的行为不能构成企业对特定个人信息数据的完全支配。企业处理个人信息的合法性来源在于用户对其进行的个人信息处理授权,但在实践中,这一授权往往通过格式合同取得。而在当前用户(或说消费者)所处的时代背景中,在保持社会基本活动的前提下想要摆脱数据被收集,几乎是不可能完成的任务。同时,个人信息权益规定于《民法典》人格权编。因人格权带有人身属性,故依照《民法典》第992条,除非法律有明确规定,否则不应当允许转让。而带有人格权属性的个人信息权益是否可以通过格式合同的一般方式使得个人信息处理者取得合法授权,以及什么程度的授权,均是有待讨论的问题。
二是“脱敏”是否代表企业获得对特定数据的支配权能尚有待商榷。《个人信息保护法》中规定了去标识化、匿名化两种脱敏方式。其中,“去标识化”是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程;“匿名化”是指个人信息经过处理无法识别特定自然人且不能复原的过程。“去标识化”的个人信息可以使用,但需要数据处理者尽到安全保护义务;“匿名化”后的个人信息不再属于《个人信息保护法》的保护范围。对于“去标识化”的个人信息而言,虽然去掉了与自然人相关的明显标识,但其本身依旧具有部分人身属性,与特定信息结合后同样能够将个人信息还原,因此不应当允许处理者无限使用。
综上所述,个人信息权益属于用户的人格权属性权益,企业数据权益是用户(消费者)对其进行授权后享有的占有、使用、收益权。基于人格权本身的不可让与性,企业无法拥有对用户个人信息的处分权。也正因如此,就算用户对数据处理者进行数据处理的授权,其个人信息权益也并未因授权行为而全部丧失。
3.消费者个人信息维权成本与损害赔偿尚待平衡。从目前已生效的相关判决来看,一般仅能够支持消费者主张律师费、路费等可提供单据证明的维权成本,对于消费者为维权而产生的时间成本等无法提供证据证明的成本并不能得到有效救济。同时,在损害赔偿的范围上,已生效的判决中支持消费者精神损害赔偿的案件并不多见。在这种情形下,对于消费者而言维权更像是一种负担,极大地打击了消费者的维权积极性,亟待通过立法的方式进行解决。
(二)司法保护的不足
在司法方面,虽然截至目前依照《个人信息保护法》进行裁判的样本数量有限,但通过对已有的案例进行观察不难发现,司法中依旧存在对部分法条的适用、解释与救济不及时的问题。
1.“合理使用”的认定缺少明确标准。《民法典》第1036条第3款规定,为维护公共利益或者该自然人合法权益,合理实施的个人信息处理行为,行为人不承担民事责任;《个人信息保护法》第5条规定:“处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。”但如前文所述,消费者个人信息的合理使用标准无论是在商业实践还是司法实践中都难以把握,尤其是在“为公共利益合理使用”的理解上,依然存在对公共利益理解不正确、对个人信息权益位阶理解不到位的情形。如前文所述的“黄某某诉某信用管理有限公司个人信息保护纠纷”一案中,将公交卡捆绑信用服务理解为“为公共利益合理使用个人信息”,也就是将消费者名誉权(信用)的位阶置于第三方信用公司的商业利益之下,且认为信用服务有助于公交公司提供公众服务的观点,就是有待商榷的。
2.“告知-同意”规则的适用方式有待进一步明确。《个人信息保护法》第13条第1款规定,取得特定个人的同意是个人信息处理者合法处理特定个人信息的首要前提。虽然《个人信息保护法》第5条规定了个人信息处理者不得通过误导、欺诈、胁迫等方式处理个人信息,但立法的规定依旧不能覆盖实践中的各种复杂情形。其中最为典型的,就是前文所述“王某、深圳市腾讯计算机系统有限公司个人信息保护纠纷”中个人信息处理者所经常采用的默认同意方式。在当前互联网平台的商业实践中,随着消费者自愿或不自愿接受的服务的增加,合同文本信息负担已经越来越重,消费者往往无法逐条阅读文本,或在无提示的情形下盲目查阅与自身相关的网络平台相关文本说明。网络平台也在这一背景下故意或无意地利用更新用户服务格式合同的便利,在消费者信息负担过重的情形下,利用消费者追求便利、账户沉没成本较大的特点,采用默认的方式撤回消费者的意思表示或附加对其自身有利的条款。而对于通过这种方式获取消费者同意的法律效力如何,仍有待解释。此外,就个人信息授权本身而言,在当前数据产业的商业实践中用户授权期限与授权撤回的设置往往也并不便利。在《个人信息保护法》中,立法对个人信息的存储期限进行了规定,但并未对用户授权期限或撤回的具体方式做出规定。对于经营者而言,只要法律无明文规定,在经营者与消费者利益产生冲突时,经营者往往不会选择投入额外精力保证消费者权益,这也是导致消费者“注册时同意等于永远同意”的根本原因所在。对此,同样需要通过司法解释的方式,对“告知-同意”应包含的具体内容与形式进行进一步解释。
3.“算法”在特定法律关系中的定位有待进一步明确。《个人信息保护法》第8条规定:“处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。”与贯彻个人信息保护始终的“告知-同意”规则一道,个人信息的质量问题在《个人信息保护法》颁布之后同样得到重视。在前文所述“梁某、广东某实业有限公司诉某科技有限公司网络侵权责任纠纷案”中,某科技公司因算法有误而误将无关的失信被执行信息关联至梁某公司名下,导致梁某的人格权益遭受损失。人民法院认为,虽然本案是因某科技公司的算法自动化处理而导致的侵权,但算法的使用归根结底取决于某科技公司的意志,不应依此免责。某科技公司的行为违反了个人信息处理的质量要求,属于侵权行为。在当前的数据产业商业实践中,如AI算法、自动驾驶等自动化决策与人工智能获得了广泛使用。但在因算法的适用而导致的侵权行为中,实际侵权人的认定不应当受到“算法”产品的影响。应用算法属于数据处理的具体行为,个人信息处理者同样应当为应用算法的行为承担责任。
4.消费者个人信息侵权救济不及时、损害赔偿范围不确定。结合裁判文书网中的检索结果来看,涉及个人信息的案件从立案到裁判普遍需要3个月以上的时间。个人信息侵权具有继续性,在等待案件裁判的同时,侵权行为仍然在继续,这也扩大了消费者个人信息救济不及时的负面影响。此外,在人民法院的裁判结果中,是否支持当事人依照个人信息侵权提出的精神损害赔偿,各人民法院的观点并不一致。虽然在裁判中人民法院需要对实际侵权时间是否在《民法典》生效之后进行考量,但依照我国《民法典》的体系安排,自然人的个人信息权益具有人格属性,同时因个人信息侵权的继续性,故对于当事人提出的精神损害赔偿,人民法院应当予以支持。
(三)行政保护的不足
在消费者个人信息权益的行政保护上,虽然2022年度对于违法行为可以做出行政处罚的法律依据有所增加,但依旧存在监管不足、惩戒力度不够等问题。
1.对消费者个人信息的侵权行为监管不足。2022年个人信息泄露问题依旧屡见不鲜,先后被爆蔚来汽车用户信息、学习通数据等多起个人信息泄露事件。《个人信息保护法》已颁行一年有余,违法行为中存在侵害消费者个人信息权益的,应当援引《个人信息保护法》作为处罚依据。但截至2023年1月8日,行政处罚文书网仅能检索到两份依照《个人信息保护法》做出的已公开行政处罚文书,相较于其他类型违法行为做出的文书依然较少,反映出了对消费者个人信息侵权行为的监管不足。
2.行政监管效率有待进一步提升。2022年7月,国家互联网信息办公室依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规,对滴滴处人民币80.26亿元罚款,对滴滴董事长兼CEO、总裁各处人民币100万元罚款。除开出的天价罚单外,同样应当注意的是滴滴实施的个人信息侵权行为最早开始于2015年6月,截至行政处罚作出时,违法时间长达7年,持续违反2017年6月实施的《网络安全法》、2021年9月实施的《数据安全法》和2021年11月实施的《个人信息保护法》中有关个人信息保护的相关规定。虽然对于滴滴这种大型企业的违法行为进行调查确实存在隐蔽性较强、取证需要大量时间、人力等客观因素,但从侵权行为开始至行政处罚做出时共花费七年时间,也一定程度的反映出了行政监管效率有待进一步提高的事实。除此之外,在政府有关部门做出的行政处罚文书中,从侵权之日起至行政处罚作出之日往往间隔在1个月以上,[10]而期间相关经营者的侵权行为并未终止,这对于消费者个人信息的及时保护当然是不利的。
(四)社会共治的不足
在社会共治方面,除行政执法外,还包含行业自治与消费者协会的监督两个方面。就2022年的整体情况来看,依然存在部分平台责任意识不强、消费者协会监督未得到充分重视的情况。
1.部分平台的责任意识不强,平台内救济与申诉机制未发挥显著作用。《个人信息保护法》规定个人信息处理者应当提供便捷的撤回同意的方式。在前述“王某、深圳市腾讯计算机系统有限公司个人信息保护纠纷”案中,腾讯公司对王某使用微视App时提供的撤回授权路径就被认定为“非便捷途径”。具体在案件中,包括上诉人王某在内的用户若要撤回授权微视App使用微信好友关系,只能回到微信进行撤销授权,不能在包括微视在内的其他任何界面进行操作。该事实表明,腾讯公司对用户微信好友关系的授权取得和授权撤回提供了不对等的设置路径。虽然微视App可以通过微信用户接口进入和登录,但两者系两个独立的App。
法律无法事无巨细地规定所有情形,对于明显违反法律的个人信息收集行为,企业自身守法同样是重中之重。结合当前产生的纠纷来看,《个人信息保护法》《数据安全法》颁布后企业自身合规虽然有一定程度的发展,但对于明显违反法律规定的行为,更应当注重发挥平台内救济与申诉机制的功能。结合当前各平台提供的平台内救济机制来看,依然广泛存在着智能语音接管、无应答或等待时间过长的问题,相关平台企业应予以纠正。
2.消费者协会的监督未得到足够重视。与行政执法部门不同,消费者协会并非国家机关,并没有对经营者实施行政处罚的权能。因此,消费者协会进行的调解最终是否落实,依然需要以当事双方遵守诚信原则为基础。而对于业务上需要进行数据处理的经营者而言,消费者协会的劝解往往不能引起其足够重视。造成这一现象的浅层原因一方面在于此类经营者往往主要从事技术工作,对于消费者协会的职责与社会作用并不了解,另一方面也在于此类经营者常常是具有合规部门的网络平台,对消费者协会的调解行为消极对待。而深层原因则在于,部分处理个人信息的经营者不认为消费者协会的社会监督会对其本身造成实质影响。解决这一问题的主要方法是省级以上消协组织积极行使法律赋予的提起公益诉讼职责,使侵害消费者个人信息权益的经营者承担其应当承担的法律责任。
(五)相关政策建议
通过上述分析,2023年消费者个人信息保护尚有待从立法、司法、执法与社会共治等方面进一步完善:
1.再次启动《消费者权益保护法》修订,完善消费者个人信息保护法律制度。2013年《消费者权益保护法》进行了第2次修订,至今已近10年。随着近年来数字经济的兴起,《个人信息保护法》《数据安全法》的颁行为未来数据市场发展提出了新的发展方向。其中,作为规制个人信息集中收集与大数据产品集中应用的消费市场的《消费者权益保护法》也应当及时做出修订,使消费者在主张自身权益时拥有最直接的法律依据,以回应党的二十大对“加快建设网络强国、数字中国,加强个人信息保护”的要求。综上所述,《消费者权益保护法》的修订应当着重于在“消费中”与“消费后”两个方面对消费者个人信息权益进行保障,具体应当考虑以下两个方面内容:首先,在“消费中”应当制度化保障消费者个人信息不受不法侵害,包括但不限于在《消费者权益保护法》第7条第2款增加“消费者个人信息受法律保护,经营者在处理消费者个人信息时应当保障消费者的个人信息安全”的表述、重述个人信息权益的类型、规定经营者获取个人信息使用授权后的权能等内容。其次,在“消费后”为了平衡消费者个人信息维权成本与损害赔偿,应当立法设置最低赔偿金额。
随着对个人信息立法讨论的不断深入,有学者针对个人信息侵权中个体损失数额较小、受害群体巨大的特点,主张在个人信息立法中设置最低损害赔偿金额,[11]但这一观点在《个人信息保护法》中因可能对个人信息处理者产生过大损害赔偿责任并未被采用。但从法律规制范围上来讲,《个人信息保护法》的立法目的是在所有可能的场景下对个人信息这一权利客体进行保护,因此并不会特别考虑消费者维权的问题。但在未来《消费者权益保护法》的完善中,仍需借助设置最低赔偿金额的方式保障消费者权益。
2.总结司法经验,出台配套司法解释,推广公益诉讼保护方式,提高司法保护水平。如前文所述,在当前司法实践中依然存在对于经营者“捆绑销售”、消费者的意思表示“被默认”、以“算法规制”逃避责任的认定问题。在损害赔偿方面,消费者个人信息权益受到侵害能否主张精神损害赔偿在实践中也同样存在争议。对于以上内容,尚存在各人民法院认定不一致的情形,有待司法解释对法律的适用进行统一指导。同时,在公益诉讼方面也存在需要解决的问题。就目前而言,已提起的公益诉讼以刑事附带民事为主,独立提起的民事公益诉讼较少。诚然,提起刑事附带民事诉讼具有事实清楚、证据充分的特点,极大地降低了提起独立民事诉讼取证困难的问题,但提起刑事附带民事诉讼仅能对触犯刑法的侵权行为规制。对于消费者个人信息权益保护而言,所要面对的侵权行为不仅仅包含犯罪行为,也包含未上升至犯罪的民事侵权行为。对于这一部分行为导致的权益损害并不能通过刑事附带民事诉讼的方式进行有效救济。因此,应当增加提起公益诉讼的总量,尤其是独立民事公益诉讼的数量,鼓励可以提起消费者个人信息保护诉讼的主体积极提起公益诉讼,从而在更大的规模上规范消费者个人信息处理行为。但在另一方面,结合当前单独提起的公益诉讼来看,前述2022年重庆市消委会在实践中创新采用的诉前调解公开听证的方式既有助于案件审理,也符合公益诉讼的目的,应当将其作为典型案例,将这一积极的司法经验进行推广。
此外,司法实践中应当统一裁判标准,对于具体侵害消费者权益的行为实现统一认定,对于损害赔偿尽可能实现同信息同价,使消费者相信救济必然、公平、充分。
3.加强行政治理,惩治侵害消费者个人信息权益的违法行为。要发挥监管部门的指导管理作用,督促处理消费者个人信息的主体尽快取得相关认证,并对违反法律、法规、规定的相关企业与个人进行及时、有力、准确、高效的执法,对企业违法与不当行为及时纠偏,促进消费者与经营者相互信任。结合2022年消费者个人信息保护的社会实践来看,行政执法方面上需要从以下三个方面进行改善:首先,执法部门要处理好消费者个人信息保护与合理利用的关系。个人信息的合理利用是充分挖掘个人信息社会价值与经济价值的主要方式之一,但对于合理利用的界限尚需准确把握。对于因公共利益未经消费者同意使用消费者个人信息的,需要准确识别使消费者个人信息权益让位的法益是否属于公共利益、特定公共利益是否需要具有人格权属性的消费者个人信息权益进行妥协等问题。其次,应当提高执法能力,利用科技手段创新监管方式、加大监管力度、提高执法效率。通过对2022年涉及消费者个人信息权益保护的行政执法行为的观察不难发现,监管的效率难以提升的主要原因即在于传统的举报、监督检查的监管方式在人力上难以负担大量的个人信息处理行为。解决这一矛盾的方式,则在于利用科技手段创新监管方式,从而提高执法能力。具体采用的方式包括但不限于对举报内容进行自动识别、提高执法机关信息化水平等。第三,应当注重执法协调。目前,我国个人信息安全执法部门包括网信、工信、市场监管、公安、金融等多个部门,呈现出“九龙治水”的局面。造成这一现象的原因主要在于我国各行政部门立法中均对自身职责范围内的个人信息保护职能进行了规定。《个人信息保护法》是一项专门性立法,其对于相关部门的执法要求不可避免地与部门立法有所交叠,一方面“传统行业”向互联网延伸,一方面互联网监管也不可避免地向“传统行业”渗透。在这种情形下,各执法部门之间的职能划分与协调沟通就成为了不得不解决的问题。加快构建绿色沟通渠道,加强部门之间的协同配合,也是解决这一问题的必要选项。
4.强化社会共治,共建消费者个人信息保护社会共治体系。要积极发挥消费者协会等社会组织作用,持续加强消费教育,提升消费者的自我保护能力。消费者的自我保护能力是防止个人信息侵权的第一道屏障。近年来,随着媒体对个人信息权益保护宣传的增加,消费者对于个人信息侵权行为的警惕性日益上升,对自身个人信息权益的价值也逐渐了解,自我保护能力逐渐提高。但与此同时,个人信息侵权的方式也随着社会的发展变得多种多样。此消彼长之间,消费者自我保护的相对能力并没有显著提高。消费者自我保护能力的提升不仅在于提高消费者对个人信息侵权行为的警惕性,还需要使消费者具有识别个人信息风险的能力。而消费者识别个人信息风险的能力,则在于及时获取风险预警信息的能力。因此,应当积极发挥各级消协组织与基层群众自治组织的作用,通过信息推送与社区宣传等方式,使消费者可以了解最新的个人信息侵权行为方式,打通消费者获取风险预警信息的渠道。同时,积极发挥各级消协组织调解消费纠纷的独特作用,使消费者相信有侵害必有救济,进一步激发消费者的维权意识,增强消费者的维权信心。
此外,经营者和行业协会也要自律自治。消费者提高自我保护能力和纠纷调解固然可以抵御一定风险、挽回一定损失,行业从业者也应当加强自律自治,创造经济价值的同时履行社会责任。就个人信息处理而言,要发挥平台企业的“重要节点”功能,尽到数据安全保护义务,构建消费者个人信息权益的“防火墙”,为消费者提供安全的网络消费环境;提倡相关行业协会尽早制定行业规范,实现源头治理,共同构建消费者个人信息保护社会共治体系。
[1]张新宝:“《中华人民共和国个人信息保护法》实施一周年观察”,https://article.xuexi.cn/articles/index.html?art_id=8556094097720238459&item_id=8556094097720238459&study_style_id=feeds_default&pid=&ptype=-1&source=share&share_to=wx_single,访问日期2023年1月1日。
[2]国家互联网信息办公室:“国家互联网信息办公室对滴滴全球股份有限公司依法作出网络安全审查相关行政处罚的决定”,中国网信网,http://www.cac.gov.cn/2022-07/21/c_1660021534306352.htm,访问日期2023年1月1日。
[3]上海银罚字〔2022〕3号行政处罚决定书。
[4]广州互联网法院:“广州互联网法院发布个人信息保护典型案例”,微信公众号,https://mp.weixin.qq.com/s/er1LUk8VNQoOHscISCWA2Q,访问日期:2022年12月30日。
[5](2021)粤03民终9583号民事判决书。
[6]杭州司法:“非法出售3万余条身份证信息,这起公益诉讼案今日宣判!”,微信公众号,https://mp.weixin.qq.com/s/n7qA6Zwk61wSXUuNQuGpkA,访问日期2023年1月1日。
[7]常州检察在线:“侵犯公民个人信息检察公益诉讼来了!”,微信公众号,https://mp.weixin.qq.com/s/3Pnc0uphzaCeAgUHJeWkzQ,访问日期2023年1月1日。
[8](2021)浙01民终12780号民事判决书。
[9](2022)鲁0283民初1447号
[10]湖浔市监处罚〔2022〕287号行政处罚决定书;射市监处罚〔2022〕00061号行政处罚决定书。
[11]参见杨立新:《私法保护个人信息存在的问题及对策》,载《社会科学战线》2021年第1期。
