王瑾卿

（甘肃政法大学，甘肃兰州，730070）

根据第42次《中国互联网络发展状况统计报告》显示：截至2018年6月30日，我国网民规模达8.02亿，互联网普及率为57.7%，其中网络购物用户和使用网上支付的用户占总体网民比例的71.0%①参见第42次《中国互联网络发展状况统计报告》，中国互联网络信息中心，http://www.cnnic.net.cn/hlwfzyj/hlwxzbg/hlwtjbg/201808/t20180820_70488.htm， 2018-9-22。。网购用户数量的上升，充分反映了当今世界互联网经济与传统产业的相互融合，共同创造出如淘宝、京东、苏宁等“平台经济”这一新生事物。但机遇与挑战并存，平台经济一方面带给了我们便捷与效益，另一方面它在个人信息保护、法律责任配置、市场监管等方面引发的一系列法律问题值得我们深思。因此如何应对平台经济给消费者领域带来的挑战，从而找到解决之策，是本文所要讨论的关键所在。本文从实践角度出发，以生活中广泛存在的侵犯消费者个人信息为例，通过比较域外国家个人信息保护方面的立法，结合目前我国相继出台的《电子商务法》、《消费者权益保护法》等法律，进一步探求如何有效规范我国平台经济的发展，从而为更好保护消费者个人信息提出可行性建议和对策。

一、平台经济下侵犯消费者个人信息案件屡见不鲜

当前，我国正步入一个信息技术高速发展的时代，当我们在享受技术所带来的便捷与利益时，社会总是忽略了技术进步所带来的风险以及控制风险所需支付的昂贵成本[1]。随着网络技术发展与功能的增强，个人信息通过储存与匹配，可以轻易地组合成一系列的信息群，而这个信息群很容易被控制，也可以瞬息之间向世界各国发送。其速度之快来不及检索，也来不及对下一步的发送进行验证，而这种网络技术下所引起的主要问题是基于隐私而产生，也即是基于消费者个人信息而产生。

（一）Facebook社交平台数据泄露事件

2018年3月，美国最大社交平台Facebook（脸书）被爆出有8700多万名用户的个人数据遭到泄露，这些涉及到千万用户隐私的数据被美国另一家“剑桥分析”公司非法利用，以盈利为目的发送政治广告。此次事件被视为 Facebook 有史以来遭遇的最大规模数据泄露事件，其中不为人知的是两家公司以牺牲用户个人信息为代价的“利益链”合作。作为一个掌握大量用户数据信息的社交平台，Facebook数据泄露事件的确为广大互联网消费者敲响了一个警钟，在当下信息时代，更要时刻提防维护好自己的个人信息。

（二）支付宝第三方支付平台默认选项事件

支付宝，作为一个拥有8.7亿活跃用户数量的我国最大的第三方支付平台，在2018年初推出的支付宝用户个性化年度账单事件中，便暴露出该平台在收集并使用消费者个人信息存在的巨大陷阱。这本是一项颇具平台特色且富有人性化的统计服务，在如今的互联网环境下并不稀奇，但是在每位用户账单下方最不起眼的地方，将“我同意《芝麻服务协议》”的选项进行了默认勾选，这实质上意味着支付宝可以在未经用户授权同意的情况下，将用户个人信息提供给第三方。而支付宝用户往往会忽略掉该选项，一旦支付宝滥用其用户的个人信息，这侵害的将是上亿人的合法权益[2]。

（三）亚马逊、小红书用户信息泄露助长电话诈骗

2017年6月，亚马逊和小红书网站的大量用户表示自己的个人信息遭受泄露危机，从而严重到导致用户的私人电话诈骗案件数量激增。据了解，亚马逊多位用户遭遇骗子假冒“亚马逊客服”的退款诈骗电话，其中一位用户被骗金额高达43万元，同样小红书50多位用户也因此造成80多万元的财产损失。

通过以上各类信息泄露案件我们可以看到，不论国内国外，如何有效防止消费者个人信息的泄露，保障消费者个人信息权都是当下亟待解决的热点问题，要解决这一问题，我们首先要从根源上找到该问题产生的原因。

二、平台经济下侵犯消费者个人信息案件高发的原因

（一）首要原因：网络交易特征所导致

1.网络交易主体的虚拟性、广泛性以及不确定性

首先，互联网世界，即是一个存在于现实生活中的虚拟空间世界。数字技术使网络交易以数字化信息形式进行活动，这种虚拟的状态又使得交易主体的身份得到屏蔽，以致难以辨识。互联网的这一特性使得网络交易主体天然的产生一种“去责任化”的态度，认为自己没有义务对个人信息的真实性负责，这种态度极易产生网络交易问题。其次，在一个完整的网络交易环节中，涉及到商品的交易、认证、支付以及配送等各个具体流程，其中涉及到的网络交易主体也是多种多样，比如电商经营者、快递公司、第三方支付平台等等。这种主体的广泛性以及各主体之间繁杂的交互联系，对消费者个人信息的保护又多了几分威胁。最后，当今互联网经济的快速发展，导致立法不可避免的存在滞后性，这表现在网络交易主体中产生的一些“新生”主体，比如“电子代理人”，我国尚未制定出法律对其加以认定，这一主体不确定性可能会影响侵犯消费者个人信息的责任认定[3]。

2.网络交易客体的易传播性、易复制性以及易篡改性

首先，网络消费者在网购平台进行交易，虽然交易的标的物是商品，实质上最为重要的则是商品流转背后所承载的大量交易信息，网络的虚拟性特征使得这些信息可以通过网络广泛传播到世界各地，信息的数字化使更多获得授权的人可以随意访问、处理和传播相应的信息，而这些信息中必然会携带着消费者的个人隐私，严重的话甚至可能危及消费者的人身安全。其次，网络交易客体易复制性的特征也使得网络交易市场鱼龙混杂，会对消费者的消费选择产生不利影响，进而影响正常的网络交易秩序。最后，如果网络交易主体利用信息数据的易篡改性特征，以盈利为目的恶意篡改信息后兜售给他人，而恶意购买信息的人利用这些信息进行犯罪，其后果不堪设想，会造成整个网络交易秩序的混乱。

3.网络交易信息的不对称性

在当下的电子商务交易平台法律关系中，网络经营者相较于消费者而言，具备明显的优势。究其原因在于：首先，互联网具有虚拟性，经营者往往不以真实姓名对外进行交易，对于网络经营者以营利为目的未经授权使用消费者个人信息的行为，相关监管部门也由于无从得知商家的真实身份从而不能对其进行查处。其次，由于不能当面进行交易，网络经营者往往比消费者掌握更多的信息，网上交易行为的瞬时性以及跨地域性等特征，也为某些经营者泄露消费者个人信息提供了便利。

（二）深层次原因：现有法律规定缺乏可操作性

当前，相关监管部门越来越重视对网络交易安全的维护，尤其侧重于网络消费者的个人信息安全。从涉及消费者权益保护的下位法来看，各省市依据《消费者权益保护法》并结合各地实际情况制定出较为详尽的《消费者权益保护条例》，如甘肃省、辽宁省、江苏省等地。而从涉及消费者权益的上位法来看，虽然已经出台了保护个人信息安全的相关法律法规，如《宪法》、《民法》、《消费者权益保护法》以及《电子商务法》等方面的法规，都对个人隐私、个人信息的保护作出了相关规定。但是，侵犯消费者个人信息的案件仍然频发，其原因在于现有法律规定缺乏可操作性，其事前事中监管严重缺位。

以西北地区某省为例，首先从操作层面来看，相关规定仍过于笼统。《消费者权益保护条例》第二十条第一款规定：“经营者不得要求消费者提供与消费无关的个人信息。”哪些是商家必须掌握的消费者个人信息？没有具体规定，也很难作出具体规定。客户姓名、手机号码、通讯地址等属于商家必须掌握的信息，然而往往就是这些信息的泄露，侵犯了消费者的个人信息安全。其次从监管层面来看，《条例》第二十条第二款主要规定的是消费者个人信息遭受侵犯的事后补救措施，事后补救和惩治措施虽然能够有效打击该类行为，给予经营者威慑和警示作用，但维护市场秩序的核心在于监管，维护消费者个人信息安全也在于监管。相比于事后补救，加强事前和事中监管更有助于降低该类案件发生的可能性。因此，缺乏对经营者监管的法律规定，进而导致现有法律可操作性差，是造成平台经济下侵犯消费者个人信息案件高发的深层原因之所在。

（三）其他原因：消费者、经营者权责意识不强

首先，消费者缺乏权利意识。依据《消费者权益保护法》（下简称消保法）第十四条规定：“消费者在购买、使用商品和接受服务时，享有人格尊严、民族风俗习惯得到尊重的权利，享有个人信息依法得到保护的权利。”从法律规定来看，《消保法》中明确赋予消费者个人信息安全权，但是在面对权益受侵害时，消费者往往缺乏权利意识。而实践中个人信息的泄露在很大程度上与消费者缺乏个人信息保护意识及不良购物习惯有关。其次，经营者缺乏责任意识。依据《消保法》第二十九条第二款规定：“经营者及其工作人员对收集的消费者个人信息必须严格保密，不得泄露、出售或者非法向他人提供。”法律明确规定了经营者应承担的义务和责任，但实践中我们仍然经常收到广告推销短信和电话，还时常会收到一些不法信息，并且感觉个人信息被严重泄漏。以上问题说明，经营者在消费者个人信息保护方面，重视程度不够，缺乏责任意识。以上原因共同导致了平台经济下消费者个人信息容易受到侵犯的问题。

三、国内外消费者个人信息保护立法比较

（一）以欧盟和美国为例的两种立法模式

1.以欧盟为代表的统一立法模式

统一立法模式又称综合立法模式，是指国家制定一部专门的个人信息保护基本法，将公共部门和私营机构的个人信息处理行为统一调整，其实质是“政府管制为主、行业自律为辅”。其优势在于保证了法律适用的统一性。在个人信息保护方面，欧盟是走在世界前列的。早在1995年，欧盟就发布了针对个人数据保护的相关规定，即《个人数据保护指令》，确立了个人数据保护的基本原则[4]。后随着互联网技术的飞速发展，该《指令》已不能满足实践的需要，欧盟又于2002年重新修订了《隐私与电子通信指令》，该规定在保障互联网服务的安全性方面发挥了重要作用。纵观历史，欧盟的立法一直以来都是参照《95指令》制定的，直到2016年面对云计算和大数据带来的巨大挑战，欧盟开始了数据保护立法的改革，制定出《一般数据保护条例》②该条例全称为《关于在个人数据处理方面对自然人保护和此类数据自由流动的第2016/679号条例》（General Data Protection Regulation,GDPR）,该条例由11章共99条组成。参见贺琼琼主编：《电子商务法》，武汉大学出版社，2016年版，第134页。。该条例直接对欧盟所有的成员国生效，除了在国家安全、新闻及表达自由以及劳动法等领域外，无须再通过各国制定国内法，由此使得欧盟境内的个人信息保护立法得到统一，而且该条例对侵犯个人信息的行为设定了最为严厉的处罚，故在欧盟立法进程中具有里程碑的意义。

2.以美国为代表的分散立法模式

分散立法模式又称部门立法模式，是指对不同领域的个人信息分别立法，尤其是区分公领域和私领域分别立法，没有关于个人信息保护的基本法，换言之，采取单项立法模式，其优势在于充分结合了各领域的特点。美国也早在1997年就意识到电子商务环境下个人信息保护的重要性，制定出《全球电子商务政策框架》并提出两项基本原则：告知原则和选择权原则。总体来讲，美国采取分散和宽松的立法模式，除了对某些领域如金融、儿童、医疗等敏感信息有专门的立法规制外，美国对个人信息的保护长期以来一直以行业自律为主。除了法律保护之外，美国在保护个人信息的实践中，还逐步探索出一套颇具特色的行业自律模式，分别是非强制性的商业指引、个人隐私偏好性平台技术以及网络隐私认证机制，这三种模式与与其他立法共同构成了美国富有特色的个人信息保护制度体系。

通过以上对欧盟和美国立法模式的比较，我们会发现两种模式各自的优势与弊端。统一立法模式的全面性与统一性是分散模式所达不到的，它对个人信息保护提出了较为全面明确的标准。但统一模式仍有其弊端：一是对于特殊行业适法性欠缺，某些行业可能并不适用该法；二是公法领域与私法领域权利保护界限模糊，不利于理论上的研究[5]。分散立法模式中的行业自律模式很有借鉴意义，既能很好地实现规制目标，又给电子商务行业留下了自由发挥的空间。但其弊端也很明显，立法过于分散，缺乏一个完整统一的基本法。

（二）我国关于个人信息保护方面的立法

我国尚未出台专门的个人信息保护基本法，但是相关立法实践却早已展开，2003年国务院信息办就开始组织学者起草《个人信息保护法（专家建议稿）》。除此以外，我国还制定了若干直接针对个人信息和隐私保护的条款，这些条款散见于宪法、民法、刑法以及各种部门规章、条例和司法解释中。可见，我国在个人信息保护方面借鉴采纳了以美国为代表的分散立法模式。

首先，宪法保护[6]。在宪法中，个人信息权利是我国人权的基本内容。根据《中华人民共和国宪法》第四十条规定：“中华人民共和国公民的通信自由和通信秘密受法律的保护。”该条中对通信秘密的保护即是对公民个人信息的保护。其次，民法保护。2017年3月15日通过的《中华人民共和国民法总则》特别对公民个人信息保护作出规定，依据总则第一百一十一条：“自然人的个人信息受法律保护。”由此可见，立法层面对个人信息的保护愈加重视。第三，刑法保护。《刑法修正案（七）》中明确规定了“非法提供公民个人信息罪”③《刑法修正案（七）》增加第二百五十三条之一：“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。”，将严重侵犯公民个人信息的行为入罪，是我国在个人信息保护方面的重大突破。此外，由于近年来实践中电信网络诈骗案件频发，如“徐玉玉电信诈骗案”，最高法、最高检于2017年特别出台了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》的司法解释，其中对刑法中的“公民个人信息”做出具体定义，从而加大了对公民个人信息的保护力度④最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》法释〔2017〕10号第一条:刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。。最后，其他法律法规保护。2012年通过了《全国人民代表大会常务委员会关于加强网络信息保护的决定》，从若干方面对公民的信息权进行保护。此外，2013年对《消保法》同样进行了修改，在第十四条中增加对消费者个人信息方面的保护。随着互联网经济和电子商务的蓬勃发展，立法同样也紧跟时代潮流。就在前不久全国人大常委会以高票表决通过了《电子商务法》，这是我国电子商务发展史上的重大事件，标志着我国电子商务逐步迈向法治时代。从电商经营者到电商平台经营者再到法律责任设定，《电子商务法》对消费者个人信息保护是相对比较完善的。

总体而言，我国虽出台了一些具有针对性的规范性文件，但普遍效力不高，立法主体太过分散，消费者缺乏权利保护意识，监管主体的管制色彩强烈。当前分散立法的模式难以满足个人信息保护的现实需要，从个人信息权利的保护和产业发展的实际需求来看，许多规定还需要进一步细化，我国个人信息保护法律体系仍有很大的提升空间。

四、平台经济下消费者个人信息保护的完善途径

（一）确立以“消费者”为本的立法理念

消费，作为拉动经济增长的“三驾马车”之一，对于整个社会发展而言，无疑起到巨大的推动作用，对作为消费主体的消费者权益的保护也间接影响着整个经济的发展。对于消费者来说，《消保法》正是消费者维护自身权益的“神圣宝典”，修改后的《消保法》对消费者权利的保护规定了更为广泛和切实有效的内容，比如增加了在交易中对消费者个人信息保护，也对经营者在交易中的行为设定了更为严格的义务。以上修改内容充分体现出立法开始逐步重视对消费者权益的保护⑤《消费者权益保护法》第十四条：“消费者在购买、使用商品和接受服务时，享有人格尊严、民族风俗习惯得到尊重的权利，享有个人信息依法得到保护的权利。”。修改后的《消费者权益保护法》一方面针对消费领域出现的新情况新问题，着重解决消费者关注的突出问题，并尽量把保护消费者权益的制度落到实处；另一方面，该修改适应了转变经济发展方式的要求，营造了良好的法治环境，增强了广大消费者的消费信心。对处于不同法律时代消费者身份的认定、权利和义务的设定以及相应的责任体系的构建，均应遵循以“消费者”为本的立法理念。

（二）现有立法与新立法相结合，增强立法可操作性

域外统一立法模式与分散立法模式各有利弊，我国在未来的立法模式选择上应当借鉴其优势，从而制定出具有中国特色的个人信息保护法律体系。首先，我国有必要制定一部统一的保护个人信息的基本法律，即《个人信息保护法》。欧盟的统一立法模式具有法律适用的统一性的优点，它使得国家在个人信息保护方面拥有一个统一的标准和要求。因此，这部专门法应当在突出权利保护的同时，强调信息的交流与利用。其次，完善现有立法，增强立法可操作性。美国的分散立法模式是我国相关立法一直所采取的，其优点在于针对性、灵活性强，具体结合了各领域的特点。从我国目前的情况来看，如果一味地主张统一立法，将会使问题更为复杂化并扰乱现有的法律框架。因此，在现有的有关消费者个人信息保护规定的基础上，针对当前实践中出现的事前事中监管缺位问题，应当建立并完善消费者个人信息保护的实施细则，通过法律规定经营者在何种情况、多大程度、多长期限以及如何收集、使用消费者个人信息，进而提高现有法律的可操作性。从长期来看，这种以修订与补充现行法律与制定新法律法规相结合的方式，是适应我国平台经济良好发展的立法模式选择。

（三）将行业自律与法律规制相结合

行业自律，是指由多数企业公认的，在特定行业领域具有广泛权威性的组织制定行业的行为规章或者引用以保护个人信息的一种方式。纵观世界各国对于个人信息保护的方式，美国有着自己的特色，他们特别强调行业自律在个人信息保护中的主导地位。我国早在《个人信息保护法（专家建议稿）》中，就有学者提议建立行业自律组织[8]。我国在近年来也逐渐发展起来少量具有世界影响力的行业自律组织，比如中国互联网协会、中国电子商务协会、数据中心联盟等等。但是我们应当看到我国现阶段的行业自律组织存在数量少、规模小、监管低能等弊端，我国的电子商务在行业自律方面，并未形成真正的自律机制。因此，就我国目前的环境下，仅靠行业自律监督个人信息保护是远远不够的，应将行业自律与法律规制相结合，发挥出各自的优势。

（四）增强消费者、经营者的权责意识

为进一步完善消费者个人信息保护制度，一方面，消费者应增强自我防范意识。实践中绝大部分消费者在网络交易中都缺乏个人信息保护意识，网络消费者尤其应当谨慎透露个人信息，并采取必要的技术防范手段。比如在网上输入个人信息前，一定要仔细判断该网址的安全性以及对方网络经营者的资质；此外网络消费应严格遵守网购交易流程，避免安装来历不明的软件和插件等。消费者自我防范意识的提高能在源头上有效避免个人信息泄露，进而减少个人信息被非法利用的空间。

另一方面，经营者应切实履行保护消费者信息安全的义务。《消保法》第二十九条对经营者义务作出明确规定，新出台的《电子商务法》同样对各类网络经营者主体的行为作出详尽规定，网络经营者作为电子商务行业主体，不仅要严格遵守法律规定的义务，更要做到严格自律，规范自身的经营行为。此外，有条件的网络经营者应加大技术开发投入，充分利用技术手段维护消费者个人信息安全，实现信息安全技术防护与互联网技术的运用同步发展。

五、结语

事物是不断变化发展的，新兴的平台经济给我国经济发展不断带来新的机遇，但机遇与挑战并存，平台经济在实践过程中产生的法律问题引发着人们深思。不论是本文提到的Facebook社交平台数据泄露事件还是支付宝默认选项事件，这些都只是侵犯消费者个人信息的典型案件之一，实践中还存在着大量或重或轻的个人信息泄露事件。如何从国家、社会、消费者角度出发探求更好完善消费者个人信息的保护制度，成为今后应对平台经济挑战的重要发展方向。