​李帅 魏启宇|大数据时代下消费者隐私权的构建与保护

文章正文
发布时间:2024-10-28 04:01

李帅

华东师范大学法学院副教授,硕士生导师

魏启宇

华东师范大学企业合规研究中心研究员助理

要目

一、大数据时代消费者隐私权的界定二、大数据时代消费者隐私权保护存在的问题及成因三、加州消费者隐私权法的专门立法尝试
四、我国消费者隐私权的构建进路

大数据时代的到来给消费者提供许多便利,也给消费者隐私权带来一定的威胁。由于大数据的开放性和消费者隐私权之间存在着天然的矛盾,加之消费者隐私权与传统隐私权相比更具有人格权与财产权相结合的属性,使消费者隐私权的保护面临着一定的困难。当前我国立法对于消费者隐私权的保护力度不足,为契合大数据时代的要求,我国应当以个人信息保护法的出台和《消费者权益保护法实施条例》的修改为契机,扩张消费者的内涵,建立包含免于打扰权、被遗忘权等在内的消费者隐私权谱系,加大处罚力度,并建立集团诉讼形式的消费者权益公益诉讼机制。

科学技术日新月异的进步将人类带入了大数据时代,这给商业数据市场的建立和发展奠定了时代基础。消费者信息的商业利用一方面使经营者可以根据消费者的偏好调整自身的行为、提高运行效率,另一方面也可以使消费者更方便地检索接收到喜欢的信息,极大地提升了商业活动的效率。但与此同时,企业为了提高市场竞争力,纷纷投入了数据领域的军备竞争,而消费者的数据隐私经常成为大数据时代商业革命的成本。当前我国民法典、消费者权益保护法和个人信息保护法都加入了对公民个人信息保护的内容,但鉴于个人信息保护在消费者权利保护中的特殊性,以及消费者隐私权对于消费者个人信息的涵摄性,仍需要我们从理论上和实务上对消费者隐私权加以明确和廓清。

一、大数据时代消费者隐私权的界定

何为大数据

“大数据”概念自2008年由世界著名科学杂志《Nature》提出之后,已被越来越多的人所认可,但是何为“大数据”,不同学者给出的定义却不尽相同。例如,有学者从数据的数量上来界定,认为随着科技的发展,许多原本在历史上无法被记录的信息现在可以被存储下来了,造成了数据爆炸,而海量数据的存储和利用便是大数据。Manyika等人在其报告中,将大数据定义为海量的、无法使用传统方法或普通软件进行收集、存储、整理、分析的数据集合。Boyd和Crawford认为,大数据是一个术语,用来描述一系列存储和分析大型或复杂数据集的一系列技术,因此大数据与其说是数据集合,不如说是关于收集、聚合数据的能力。本文认为,数据的多寡这一单一变量对消费者隐私权的影响甚微,但经营者掌握了收集、聚合数据的能力并将之用于市场竞争时,消费者隐私权面临一定威胁。因此,下文对于“大数据”的这一概念的使用采用Boyd和Crawford的界定。

当前的个人信息保护法中笼统地规定了已识别或可识别的自然人的有关信息都属于个人信息 (第4条),并规定了对个人信息处理的规制办法(第二章),但对于个人信息的内容并没有列举,相对于使用,其对个人信息处理的规制也更加侧重于收集和存储。但数据的价值不在于存储,而在于利用,在于数据本身提供给人的信息或者给人带来的潜在价值。通过数据的分析可以得出可利用的结论,这种技术一旦和商业结合,便可以产生巨大的经济价值。但数据不是凭空产生的,而是通过一定的方式进行检索和收集的,这是存储、分析数据的前提和基础。当社会越来越意识到消费者个人信息的巨大市场价值时,现行的法律几乎难以控制个人信息的购买、交易和非法收集。易言之,大数据时代对于个体信息的收集是无处不在的,但这种影响并不是平等地加在每一个社会公众身上。数据的收集和利用极少是单纯为了公益事业的,消费者及其消费行为才是其最终的目标,因此许多企业意识到数据的力量之后,便开始有意识地收集消费者信息以策划谋取新的商机,其使用的主要武器,便是大数据时代下快速发展的“数据采矿”技术。这一切,对消费者隐私权造成了不可避免的危害。

何为消费者隐私权

消费者隐私权,是指购买商品或接受服务的消费者私人安宁不受打扰并控制其个人资料的通讯隐私权,是保障消费者可以自行决定是否披露其个人资料及在何种范围内、何时、以何种方式使用这些信息的权利。在大数据时代下,消费者隐私权指向的消费者安宁及资讯隐私具有鲜明的经济价值,极易被经营者侵犯,需要我们予以特殊保护。当前我国学界对消费者隐私权探索较少,因为与其他法学概念相比,在我国法治语境下,“消费者”与“隐私权”都属于外缘概念较为模糊的术语。根据著名法学家哈特的理论,法律概念有核心和外缘之分,核心概念较容易得到大家的公认,争议较小,但越靠近外缘,其内涵越模糊。哈特以“公园禁止行车”举例,公园一定会禁止汽车通行,但是是否会禁止脚踏车(外缘概念)就会有争议了。而“消费者”和“隐私权”恰恰都存在着外缘概念上的争议。

我国现行消费者权益保护法仍将消费者限定在“以生活消费需要”的主观目标上,因此对于“从金融机构购买金融投资商品或接受服务”的金融消费者是否属于消费者,仍然存在一定的争议,对于教育、医疗、商品房买卖等领域也未有共识,全国人大在修法时仍未将其列入消费者范围。与之形成鲜明对比的是,外国学者在讨论消费者数据和消费者隐私权的时候,大多围绕保险购买人等金融消费者展开。根据我国学者的实证研究,目前我国对于消费者隐私的泄漏和买卖主要是在购房、购车、求职和就医的过程中,而涉及的内容包括消费者的身份信息、财产信息、健康信息等。如果完全依照消费者权益保护法对消费者的核心概念来界定,以上情况都不算对消费者利益的损害,消费者隐私权的保障也就无从谈起了。大数据时代下,信息的收集和处理以消费者为目标、以促进消费者消费为首要目的,其数据采矿行为并不区分某主体的消费是否是为了“生活消费需要”,同样是购买商品或接受服务,只因目的不同,或因商品、服务存在于特定领域而在法律上推定消费目的不同,进而进行区别性保护,不符合公平正义的法治理念。因此,本文中界定的消费者,采用广义解释或曰外缘解释,即购买商品或接受服务的、与经营者相对的一方当事人,包括金融消费者等在内。

“隐私权是一个在社会变迁中不断重新诠释的基本权。”沃伦和布兰迪斯在1890年发表的《隐私权》一文中,引用了Cooly法官的名言,将隐私权表述为“the right to be let alone”,亦可译为“不受打扰之权”。这主要是因为19世纪中后期美国印刷成本下降导致报业竞争,一切报道以满足读者猎奇心理为导向,对于名人的私人动向不断侵扰、曝光,方才有隐私权的兴起。当前,我国隐私权保护已被写入宪法,包括私人生活安宁和相关信息秘密受到保护。但大数据时代的来临,对于隐私权的冲击不亚于19世纪末,由此产生了资讯隐私,即对“自身信息的揭露和控制权”,体现在市场消费领域就是消费者隐私权。当然,根据哈兰法官所提出的隐私权预得合理性原则,隐私权的延伸需要满足两个要素:主观上当事人对所主张的隐私有真正的期待,客观上该期待的合理性要得到社会的承认。Westin在研究消费者隐私权时,根据对消费者隐私权的态度不同将消费者分为了三类:一是认为消费者隐私权存在与否无所谓的“漠不关心者”,二是认为在有效保护的前提下可以授权经营者使用的实用主义者,三是坚信消费者隐私权存在且要得到充分保护的原教旨主义者。而英国的一项调查表明,漠不关心者仅为16%,53%的实用主义者和31%的原教旨主义者均认为对消费者隐私权应给予不同程度的保护。这也说明了大数据时代社会对消费者隐私权的认可和权利谱系的发展趋势。当前的个人信息保护法只是针对个人信息的一般性保护规定,既没有把个人信息保护上升到隐私权的范畴,也没有完全满足消费者隐私权的特殊性要求,因此个人信息保护法和消费者权益保护法等相关规定仍需要在一定范围内作出调整,以适应大数据时代社会对消费者隐私权的保护需要。

二、大数据时代消费者隐私权保护存在的问题及成因

消费者隐私权被侵犯的表现

当前,我国对于消费者隐私权的重视程度不够,只在消费者权益保护法中笼统地规定了消费者信息的保护,且保护力度有限,导致实践中存在着以下侵犯消费者隐私权的情况。

第一,对消费者信息的过度收集。对于经营者而言,并非所有的消费者信息都是具有商业价值的,但不同的消费者或者同一消费者的不同信息往往具有潜在价值。因此在大数据时代之前,在商家们所掌握的技术不足以支撑海量数据的处理时,消费者隐私权保护并没有面临当今这样严峻的形势。但大数据技术使得商家可以在信息的低效性和数据的海量性前提下有效处理信息,这就使经营者更倾向于过度收集消费者的数据。例如,许多服务或App注册时,都会收集消费者的许多信息,而很多信息与该产品或服务并无关联。在这个过程中,商家往往并没有告知消费者收集这些信息的真实目的。

第二,定向广告轰炸。大数据时代商家收集消费者信息,主要目的在于通过对这些信息的分析,得知不同消费者的兴趣和偏好,从而实现广告投放的精准定位。特别是在互联网+消费的时代,网页cookie的存在使得这种广告侵扰更加容易。早期cookie主要是用于让服务器记住一个使用者的个人设定,以免每次登录或访问时都需要重新设定。商家在收集到消费者的cookie信息后,更容易对其加以利用,许多人在上网搜索了某关键词后,后续广告便纷至沓来,有些广告甚至无法屏蔽,严重侵犯了消费者的安宁权。个人信息保护法中对于个人信息的处理也没有提及安宁权的问题,这也是在消费者隐私权构建过程中需要重点完善的内容。

第三,对消费者信息的倒卖。特定商家收集的消费者信息也许利用效率并不高,但可以将之出售给需要这些信息的其他经营者,从而催生了消费者信息倒卖市场,甚至有专门从事相关数据信息收集并出售的主体。我国多次发生过银行工作人员非法出售信用卡用户信息的案例,但由于信用卡持有人信息不属于消费者权益保护法规定的信息保护范围,导致对于这些金融消费者的保护不到位,此类案件也屡禁不止。此外,消费者信息倒卖的隐蔽性也使得对此类违法行为的查处存在一定的难度。个人信息保护法虽然禁止未经个人授权的信息倒卖,但是并没有对该违法行为规定对应的责任,只是在责任部分概括性地规定了统一的责任(第66条),在查处案件时仍需要由职责部门进行裁量。

第四,对消费者的区别对待。许多商家通过数据分析,将消费者进行分类进而进行歧视性对待,严重影响了交易的公平性。例如,保险公司将大数据分析、预测分析集成到他们的索赔管理系统中,假设成本随着时间的推移而持续下降,公司便能够有效地收集和挖掘越来越大的数据集,并将越来越多的因素纳入其承保和费率设置算法中,最终数据革命将导致保险公司可以通过几乎无限的数据和分析来预测风险和区别定价。这将使他们能够更多地了解哪些消费者信息与风险相关,并增强他们收集数据、监控投保人和影响消费者行为的能力。当保险公司获得这些能力时,竞争的驱动将导致其以损害功利、隐私为代价使用数据权力,最终将潜在的消费者分为不同类型,在投保时不适当的拒绝要约或提升保金,造成歧视。值得注意的是,根据个人信息保护法的规定,这种对消费者的区别对待虽属于对消费者个人信息处理的结果,但只要在信息处理的过程中符合其程序性要求就不违背该草案的规定,可见对于消费者隐私权的保护,单纯依靠个人信息保护法调整力有不逮,仍旧需要消费者权益保护法等相关法规进行配套规定。

问题的成因分析

1.大数据时代的开放性与消费者隐私权的天然矛盾

大数据时代是以信息化技术和网络技术的发展为前提的,而网络技术就是以“端对端”为主要构架的,即让网络的中心可以尽可能地开放,以便其他各端点可以尽量发挥创意,开发新的应用或产品,这使得整个网络技术都具有开放性,各主体也更容易地获取其需要的信息。在这个过程中,消费者并非完全没有好处,他们享受了更精准的推荐和更个性化的服务,甚至这些便利都是免费的,但消费者隐私权就有了被侵犯之虞。因此,大数据时代的开放性与消费者隐私权之间存在着天然的矛盾,我们需要找到二者之间的平衡,在对消费者隐私权取得最大公约数的前提下,确保消费者可以享受到大数据带来的便利。

2.消费者隐私权的人格权与财产权的交叉属性

传统意义上的隐私权属于一般人格权的范畴。根据拉伦茨的理论,人格权是一种受尊重权,他认为人拥有固有的“尊严”,以及人的身体和精神、人的存在和应然的存在。虽然隐私权内容中也有私人信息的内容,但在大数据时代之前,单个个体的个人信息之经济价值有限,对其信息的非法使用多是以侵犯人格权的方式进行。科技的发展使消费者隐私权具有了财产权的属性,这一属性是以往的人格权理论无法涵摄的,这导致传统隐私权理论对于消费者隐私权的经济价值欠缺保护。美国Scalia法官亦曾指出,要防范技术的发展侵蚀隐私权的领域。但是科技有能力侵犯隐私,并不意味着法治社会会对此袖手旁观,随着消费者越来越意识到自己的个人数据被利用于商业用途,他们也开始变得更加谨慎,并提出了用财产权的方式保护其个人数据的要求。例如,有学者认为,个人信息属于个人商品,个人信息的处理要依赖于利益相关者的合同约定;Lessig也提出,通过财产权保护个人数据,可以刺激期望使用个人数据财产的人主动寻求同意。但无论如何,人格权与财产权的交叉属性使消费者隐私权的保护不同于传统隐私权,相关规章制度亦尚在探索中。

3.维权的集体性

消费者隐私权与传统隐私权相比,更加具有同侪性的特点。对于商家而言,单一个体消费者(名人除外)的个人资料通常没有太大的商业价值,只有这些消费者的信息累积到一定的数量之后,其价值才会彰显。鉴于此,现今许多广告商只对族群性信息有兴趣,而非针对某一消费者。这一方面意味着对消费者个人隐私的威胁没有那么直接,另一方面使经营者进入了规模化收集、利用消费者信息的竞争中。许多企业都在收集、购买、分析和销售大数据,并通过记录消费者个人信息建立了庞大的数据库,这些数据通常包括消费者的交易信息、电子邮件、视频、图像、点击流、日志、搜索查询记录、健康记录和网络社交信息等,也包括由线下信息来源收集的公共记录(如犯罪记录、合同、公司档案)、零售商销售记录、信贷记录等。但在真正利用这些信息时,由于消费者隐私权并非一个明确的“物”,个人的信息很难存在公允价值,因此企业大规模利用消费者数据时,虽然在整体上侵犯了消费者隐私权的法益,但具体消费者的权利到底受了多少侵害,并没有可靠的计量方法,单一消费者提起的隐私权侵权之诉就难以得到支持。

三、加州消费者隐私权法的专门立法尝试

我国目前没有对消费者隐私权进行单独的立法,个人信息保护法是我国消费者隐私权保护的重要依据之一。但是,正如民法在规定了商品交易的一般情况之后,国家又以消费者权益保护法的形式对于商品交易活动中的消费者权益进行了单独保护,许多国家在进行了个人信息保护立法之后,又会以专门立法的形式对消费者隐私权进行单独的规定。以美国为例,为了让消费者更有效地控制其个人信息、促进本州人的隐私权保护,2018年6月28日,加州州长Jerry Brown签署了加州消费者隐私法(CCPA)。CCPA是世界上第一部专门针对消费者隐私权进行立法的文件,也被誉为美国历史上内涵最为广泛的隐私权立法,其中很多的立法内容对我国消费者隐私权的保护都有着十分重要的镜鉴意义。

首先,CCPA对消费者“个人信息”的定义非常宽泛。一般而言,对于消费者个人信息的定义可以采用概括或者列举的方式进行,但是概括的表述很容易给商家免责的理由,列举的方式则容易产生遗漏。美国其他州或者以往的立法对个人信息的列举往往较少,例如,佛蒙特州数据经纪人法例举的个人信息包括与个人身份直接相关的信息(如姓名、地址、社会保险号),但没有明确包括个人的网络浏览历史或个人偏好等信息。而CCPA规定“任何识别、涉及、描述、能够与某一特定消费者或家庭相关联或可以合理地直接或间接与该消费者或家庭相关联”的信息都属于个人信息,并进行了非常详尽的列举,包括诸如实名、别名等标识符,唯一的个人标识符合联机标识符、Internet协议地址;互联网或其他电子网络活动信息,包括浏览历史、搜索历史和有关消费者与Internet网站、应用程序或广告的交互的信息;以及为创建关于消费者的个人资料,反映消费者的偏好、特征、心理趋势、倾向、行为、态度、智力、能力和才能等,从该列举分类中确定的任何其他信息中提取的信息。

其次,CCPA赋予了消费者相关隐私知情权,即知道商家到底收集了自己什么样的个人信息,以及知道他们的个人信息是出售或披露给谁的权利。此外,它一方面还要求企业允许消费者访问企业拥有的有关他们的个人信息,另一方面还授权个人阻止公司出售其个人信息,并保证那些行使其隐私权的人将获得与那些不行使其隐私权的人同等的服务和价格。该法赋予消费者这些权利的两个主要机制,是对收集消费者数据的商业实体实施披露和访问要求,以及承认消费者在其个人数据中拥有产权。CCPA的披露和访问要求与《公平信用报告法案》(FCRA)的要求类似,任何收集消费者个人信息的企业必须在收集前或收集时披露其正在收集的数据类型以及将如何使用这些信息。此外,企业必须向消费者提供一种“可验证的消费者请求”机制,并在收到此类请求时,必须提供其拥有的消费者数据信息。

再次,CCPA允许消费者控制他人如何使用及不使用其个人信息。(1)CCPA授权消费者可以要求公司删除他们拥有的任何关于自己的个人信息。虽然CCPA授予消费者让企业删除其拥有的任何消费者个人信息的权利,但这项权利的可选性意味着其影响将在很大程度上取决于行使的频率。此外,CCPA允许公司保留消费者数据,即在“企业或服务提供商有必要维护消费者的个人信息以便……防止恶意、欺骗、欺诈或非法活动……仅允许根据消费者与企业的关系,与消费者的期望保持一致的、合理的内部使用。”(2)CCPA要求出售消费者个人信息的企业为个人提供一个有效的保障,让他们可以选择不出售自己的信息,并要求企业立即遵守他们收到的消费者请求。(3)该法禁止购买消费者数据的公司将该数据出售给其他方,除非向消费者提供拟出售的通知并获得同意。(4)CCPA禁止公司歧视行使该法案所规定权利的消费者。

最后,CCPA规定了严格的处罚制度。CCPA主要由加州总检察长执行,该法赋予州检察长执法权,并授权其对违反该法的企业处以2500美元至7500美元每次的民事处罚。同时,该法还授权消费者对不遵从该法特定规定的企业提起诉讼,当然这种私人诉讼权相当有限,因为消费者只能提出数据泄露索赔请求,其中包括公司未能实施“合理的安全程序和措施”的指控,以及这种不作为导致未经授权的访问和过滤、盗窃,或披露消费者的个人信息。法院仅限于裁定每次违规行为实际损害赔偿金在100美元至750美元的消费者诉讼。

大数据时代已经来临,无论我们愿不愿意,它都在极大程度上改变了我们的生活。学者们已经断言,企业使用个人数据会对消费者福利造成极大的威胁,如何应对大数据时代带来的消费者隐私权保护需求,是我们不得不面临的问题。CCPA是大数据时代对于消费者隐私权保护的专门立法,其中对于消费者个人信息的界定、消费者隐私权的赋权及保障措施,都对于我国消费者隐私权的保护起到了他山之石的作用。我国在进行消费者隐私权的构建过程中,应当扬弃地借鉴相关规定,相关制度设计既要满足大数据时代下权利保护的客观要求,也要符合我国的客观国情,进而推进社会主义法治体系的完善。

四、我国消费者隐私权的构建进路

促进个人信息保护法与消费者权益保护法的耦合

个人信息保护法刚出台时间不长,仍在完善过程中,该规范也必然会成为消费者隐私权保护的重要依据,但如前所述,由于大数据时代消费者隐私权的特殊性,个人信息保护法不会是消费者隐私权保障的唯一依据。从现阶段来看,我国没有必要像美国加州那样对消费者隐私权进行单独性的立法,但仍需要在消费者权益保护法及其实施条例中增加消费者隐私权的配套内容,使个人信息保护法与消费者权益保护法之间形成相互配合的局面。具体而言,在消费者隐私权保护领域,个人信息保护法将起到原则性和引领性的作用,对于消费者的消费数据和个人信息之保护,原则上适用个人信息保护法之规定;在细节规定上,消费者权益保护法及其实施条例应当对消费者隐私权的内涵、外延、保护手段等进一步细化。二者是一般性规定和特殊性规定的关系,共同耦合于消费者隐私权的保护过程中。

扩大“消费者”的外缘概念

当前消费者权益保护领域存在着一个突出的矛盾:一方面消费者由于滥用法律上的偏颇性保护地位,导致过度保护、过度维权的现象时有发生,许多学者因此提出对消费者权益的保护应具有谦抑性;另一方面大数据时代拉大了消费者与经营者之间信息力和谈判力的差距,消费者的弱势地位进一步被强化,许多原本应当受到保护的权益未得到应有的保护。由于我国建国以来,住房、医疗、金融、公共服务等都不属于市场交易领域,因此在消费者权益保护法立法、修法过程中一直未明确这些领域中消费主体的消费者地位。虽然全国人大法工委通过记者招待会的形式提出对“生活消费需要”要从消费性质上认定,部分金融、教育、医疗消费也可以适用消费者权益保护法调整,但是具体标准并不明确。在2016年的《消费者权益保护法实施条例》(征求意见稿)(以下简称《实施意见稿》)第2条中,仍将营利性的“消费”排除在外。这些都给司法实践中对消费者的认定造成了不便,不同地域的裁判标准不统一,大数据时代下的经营者完全可以利用不同地域的不同标准实现监管套利。其实,消费分为生存型消费、享受型消费、奢侈型消费和发展型消费,不能因为个别消费者的消费行为符合马斯洛的更高需求层次而剥夺其消费者的权利。对此,建议以《实施意见稿》的修改和出台为契机,对消费者概念的外缘作扩大解释,将其定义为与经营者相对应的另一方法律关系主体,只要购买商品或者接受服务的主体,均应认定为消费者。

建立消费者隐私权的权利谱系

构建符合大数据时代要求的消费者隐私权保护机制,除了要扩大消费者的内涵,还要建立消费者隐私权的权利谱系,具体而言分为以下六项权利:第一,免受打扰权。虽然精准的广告推送在一定程度上可以为消费者提供便利,但是无休止的垃圾邮件、广告弹窗、推销电话也让消费者不堪其扰。因此,应当让经营者采取一定的手段,对于不想被打扰的消费者禁止向其推送相关广告。第二,信息收集知情权。也有一些学者直接将该权利称为“知情权”。但为了与消费者权益保护法第8条规定的消费者知情权相区别,本文将消费者隐私权中的相关权利定义为“信息收集知情权”,即告知消费者要收集的信息及使用的范围和方式,现行消费者权益保护法第29条及个人信息保护法第44条即规定了相关内容。第三,访问与更正权,即授权消费者可以访问涉及自身的数据,当发现数据与自身不符时,有权要求经营者予以纠正。个人信息保护法第46条规定了相关内容,但如何查阅、经营者是否会以消费者可理解的方式供其查阅、无法查阅或者修改信息被拒绝后如何维权,仍需要《实施意见稿》加以明确。第四,限制处理权,即当消费者发现经营者超出约定的范围和方式使用其信息时,可以提出限制使用、禁止使用或反对处理的要求,经营者必须遵从。第五,数据财产权。消费者可以向经营者提出将其获取的自身信息或数据进行转移,转移对象可以是消费者自身也可以是其他数据控制者,这样不但可以完善消费者对其数据信息的处分权,也可以实现消费者信息作为大数据时代下的特殊商品的属性,促进数据流通,激发更大的价值。第六,被遗忘权。自从被遗忘权被提出以来,数据保护领域是绕不开的话题。

被遗忘权可以使消费者被允许摆脱自己的过去,平衡数据权利主体和义务主体之间的差距,无论是欧盟的通用数据保护条例还是加州的CCPA都有相关的规定。个人信息保护法虽然规定了被遗忘权,但内容仍需进一步完善,例如该条规定数据保存期限未届满或技术难以达到时,可以不删除相关信息,只停止处理即可,仍旧给经营者提供了较大的可操作空间。建议在《实施意见稿》中增加消费者隐私权内容的规定,保护消费者隐私权的人格属性和财产属性,并删除本条第二款,将实现可删除相关信息的技术作为经营者收集消费者信息的前置性条件,即当经营者无法删除相关信息或技术上难以实现时,禁止其收集消费者信息;同时,在法定或约定的信息存储期限届满之前,消费者可以通过撤回同意的方式要求经营者删除其相关信息。

增加对侵犯消费者隐私权行为的处罚力度

当前,我国消费者权益保护法第56条规定,对于侵犯消费者信息的经营者,可以单处或并处警告、没收违法所得或罚款,罚款的限额限于违法所得的1至10倍或50万元(无违法所得的情况下)。个人信息保护法第62条规定,对于违反本法规定的行为,首先要责令改正,没收违法所得,给予警告,拒不改正的才处以罚款,并规定了不同的罚款幅度,但这样的处罚力度对于侵犯消费者隐私权的经营者的震慑力有限。第一,这些处罚可以单处也可以并处,意味着对于经营者的财产罚并不是必然的。第二,违法所得难以计量。除了直接销售消费者数据的收入有明确依据之外,其他利用消费者数据的方式往往难以计算违法所得。例如利用消费者信息进行广告轰炸而取得的营业收入中,消费者信息到底在多大程度上发挥了作用,司法实践中难以认定。第三,罚款数额限定不高,在实际执行中处罚更少。例如常熟市市场监管局公布的案例中,某设计公司未经消费者同意便收集了952户住户的信息资料供员工使用,而某房产中介分别收集了12个楼盘的15778条业主信息和72个小区住户的80423条信息加以利用,但对于上述两个经营者仅处以5万元的罚款。对比CCPA中单个消费者100至750美元的诉讼裁定规定,我国经营者的违法成本显然是偏低的,甚至这些罚款可能成为经营者认可的、愿意接受的成本。对此,建议立法机关将罚款列为必罚项,同时会同市场监管部门制定新的处罚标准,具体标准可以设定物价指数联动机制,处罚限额随着经济发展水平的提高而提高。

设立集团诉讼形式的公益诉讼机制

2016年最高人民法院《关于审理消费民事公益诉讼案件适用法律若干问题的解释》(以下称《解释》),正式确立了消费者权益公益诉讼制度,但该制度对于大数据时代消费者隐私权的保障却力有不逮。其一,目前有权提起消费公益诉讼的主体只有省级以上的消费者协会或法律、全国人大及其常委会授权的组织,消费者本人作为权益受侵害的主体无权起诉,而诉讼费、律师费用等成本会让有权起诉的组织缺乏动力。其二,《解释》中规定的可以提起公益诉讼的情况中,并没有消费者权益保护法第29条规定的侵犯消费者信息的情况,易言之,前文所述的消协等组织亦无权对侵犯消费者隐私权的行为提起诉讼。

由于单个消费者信息的经济价值并不明显,因此侵犯消费者隐私权的行为往往都涉及人数众多的消费者,让这些消费者单独起诉,一方面因为经济价值不大,甚至构不成对经营者的处罚,另一方面也会浪费司法资源。因此,公益诉讼就成为最优解。对此,我们可以在保留现有消费者公益诉讼模式的同时,扩大该公益诉讼的适用范围,使侵犯消费者隐私的行为也可以被纳入其中。此外可以引入美国的集团主义公益诉讼模式,美国的消费者公益诉讼中,权益受损害的消费者被视为一个群体,该群体的部分人之诉的结果及于其他人,法院对其中一人的判决可以扩展至其他受损的消费者。建议我国尽快以司法解释的方式,将侵犯消费者隐私权的行为纳入消费者公益诉讼的范围,并允许消费者个人以集团诉讼的形式提起公益诉讼。同时,为了激励消协等相关组织提起公益诉讼,可以建立必要的激励制度,成立公益诉讼基金,基金来源可由胜诉后的公益赔偿金按比例提取或由消费者公募,对于符合条件的消费者隐私权公益诉讼案件可以纳入法律援助的范围。

往期精彩回顾

张树兵|穿透式审判思维下如何准确定性明股实债法律关系

王梦静  王青艳|建立私募股权基金二级市场拓宽私募基金退出路径研究报告

莫翊凯|请求权竞合形态下的客观预备合并之诉制度建构

徐微徨|我国法律帮助制度建设的路径探索

桂芳芳|职业遗产管理人的职责与行权监督——以律所参与遗产管理人为视角

宋普文 杨雯 蓝亭亭|个人信息保护视角下病假管理的合规建议



上海市法学会官网

首页
评论
分享
Top