网购消费者个人信息受侵害的民法救济
网购消费者个人信息受侵害的民法救济 对于权利来说,没有救济就相当于没有权利,对个人信息受侵害的网 购消费者来说,民法救济的重要性已不言而喻。2014年3月19日,中国电子商务 研究中心发布的《2013年度中国电子商务市场数据检测报告》中指出电子商务的 网购用户规模:截止到2013年12月,中国网购用户规模达3.12亿人,同比增长 26.3%,而2012年用户规模为2.47亿人。我们可以从中得知,网购消费者的人数 已经达到了一定的规模。网络消费与现实生活消费不同,由于网络的虚拟性、第 三方交易平台、支付宝等付款机构的介人,使得消费者在网络中的每一次消费都 会留下个人信息的痕迹,让消费者与经营者之间有了更多的联系,而且消费者除 了与经营者有联系以外还与第三方交易平台、第三方支付平台有了关联。相对来 讲,网购消费者个人信息被非法收集和非法使用的可能性、危险性远远超过现实 生活中的消费者。2014年“3•15”期间,消费者纷纷热议网络信息安全问题。此外, 据中国电子商务投诉与维权公共服务平台透露,网络支付中有关支付数据被篡改、 遭遇异地盗刷的投诉不在少数,令网购消费者防不胜防。当网购消费者的个人信 息被侵害之后请求民法救济时,无论是在请求救济主体、救济对象还是侵害行为 等方面的确定都有一定的不同以及更为困难的地方。在网购消费者的个人信息受 侵害后,平等主体之间的纠纷诉诸于民法的保护居多,虽然在《新消法》中明确 了对于消费者个人信息的保护,但是在民法中却没有针对于个人信息的保护,这 造成了网购消费者个人信息受侵害后的民法救济问题在现实司法中的缺陷,不利 于对网购消费者权益的保护。基于救济的迫切性,厘清网购消费者在其个人信息 受侵害后的民法救济问题是很有必要的。一、请求救济的主体 (一)网购消费者 消费者是指为生活消费需要而购买、使用商品或接受服务的人。网购 消费者也是消费者的一种,但是与一般的消费者相比,网购消费者又有不同之处, 它是指利用网络为媒介为生活需要而购买、使用商品或接受服务的人。网购消费 者在网购过程中一般会与网络服务提供者、第三方交易平台、经营者、第三方支 付平台.或网上银行、快递服务商等发生联系。网购消费者在网购之前需要利用 网络服务提供者提供的网络在想要购买商品或接受服务的第三方交易平台登记 注册,因此而会留下如账号、密码、身份证号码等个人信息。网购通常伴随着快 递服务,网购消费者需要留下真实的联系方式、地址、收件人姓名等资料。网购消费者作为个人信息的所有者,在其个人信息遭受侵害之后,当然有权请求民法 救济。
(二)消费者协会 《新消法》第三十七条第七项的规定明确了在救济消费者的权益时, 消费者协会有其独立的诉讼地位。因此,消费者的个人信息作为《新消法》新的 保护对象,在其受到损害时,消费者协会当然可以提起诉讼。由于网购是通过网 络进行的,部分网购消费者都缺乏网络技术的知识,很可能在网购消费者毫不知 情的情形下使个人信息被侵害。而且对于需要通过第三方交易平台、第三方支付 平台来完成交易的网购消费者的个人信息的侵害往往是大面积的侵害,各个消费 者只是通过网络联系在一起,基于减少诉讼成本,网购消费者分散以及加大对侵 害人的打击力度的考虑,在网购消费者未提出异议时应由消费者协会作为直接请 求救济的主体。当然,如果只是个别网购消费者的个人信息受侵害,还是以网购 消费者作为第一请求救济主体,但是消费者协会应支持其提请诉讼;在其提起诉 讼存在困难时,在经其同意后,由消费者协会提起诉讼。
二、请求救济的对象——个人信息 (一)个人信息的含义 《新消法》第十四条明确表示了消费者享有个人信息依法得到保护的 权利;第二十九条更为具体的规定了对消费者的个人信息的保护。但是,对于消费 者的个人信息的概念以及范围都没有明确规定,更别说是网购消费者的个人信息 概念与范围。2013年9月1日开始实施的《电信和互联网用户个人信息保护规定》 第四条规定了电信和互联网用户个人信息的范围。®个人信息的重要判断基准为 是否有助于识别个人特征,人们对其的定义大多采取列举加兜底性特征描述的方 法。在个人信息的定义中,“识别”是关键性的词汇。识别又可以分为直接识别和 间接识别。直接识别指的是通过可以直接确认本人身份的个人信息来确认,通常 是个人独一无二的信息,例如身份证号码、基因等。而间接识别指的是现有信息 无法直接确认当事人的身份,需要借助其他个人信息的比对进行综合分析才能确 定当事人的身份。[1]例如,我们无法通过姓名直接确定当事人的身份,因为可 能存在同名的情况,但是我们可以结合生日、地址、电话号码、性别等其他信息 进行核对从而确认出当事人的身份。在网购过程中,第三方购物平台都需要网购 消费者注册成自己的会员,并留下能识别他的信息。对于网购消费者的个人信息, 结合其他法律和学者的观点,笔者认为,可以定义为网购消费者的账号、密码、真实姓名、出生日期、身份证号码、住址和电话号码等能够单独或者与其他信息 结合识别用户的信息以及用户使用服务的时间、地点、网页浏览记录以及消费过 的商品或服务记录等信息。对于未列举的诸如户籍、遗传特征、指纹、婚姻、家 庭、教育、职业、健康、病历、财务情况、社会活动等个人信息在收集时就不在 “必要”之列。
(二)个人信息的请求权基础 有学者认为,个人信息应作为财产权加以保护,因为个人信息具有价 值,网络经营者利用收集到的消费者个人信息分析消费者的个人爱好、消费习惯 等从而寻找商机。而有的个人信息更是直接就具有财产性质,如支付宝账号。还 有学者认为,个人信息可以作为隐私权来加以保护,按照我国王利明教授的说法, 隐私是个人不愿意他人侵人或者是他人知晓的私人领域,隐私跟公共利益是无关 的。[2]这显然与个人信息不符,因为网络消费者的很多个人信息是消费者自愿 提供给网络经营者的。但大多数学者还是将其看作人格权来保护的,“个人信息 权”理论是顺应信息社会的发展需要而出现的。如王泽鉴先生所言,当某种法益 在现实生活中具有相当程度的重要性时,“或直接经由立法,或间接经由判例学 说被赋予法律效力,使其成为权利。[3]又如周汉华所说,“个人信息所体现的利 益是一种新型的利益,他是公民人格利益的一部分,对于这个新型的利益,我们 应该赋予它一个独立的权利。”[4]笔者也认为,应将个人信息作为单独的一种人 格权进行保护,虽然个人信息具有一定的财产属性,但更多的是体现一种人格利 益,其财产属性也是通过人身属性间接体现出来的,应当说是一种兼有财产属性 与人身属性的人格权。
三、侵害网购消费者个人信息的行为类型 (一)非法收集网购消费者个人信息 1.过度收集网购消费者的个人信息网购消费者若欲通过网络商家购 买商品或 提供服务,一般都要按照网络商家的要求登记注册一个独属于自己的 账号、密码,并在注册时留下消费者的个人信息,诸如真实姓名、出生曰期、身 份证号码、住址和电话号码等。由于网络的虚拟性,网络商家为了识别消费者以 及更好地管理,合理、必要地收集消费者的个人信息也是无可厚非。但是,有些 网络商家除了收集上述信息外还要收集诸如户籍、遗传特征、指纹、婚姻、家庭、教育、职业、健康、病历、财务情况、社会活动等与购物不慎相关的个人信息, 这明显侵害了网购消费者的个人信息。在这种侵害行为中,过度收集网购消费者 的个人信息的网络商家就是侵害人。
2.未经许可收集网购消费者的个人信息《新消法》明确规定经营者收 集消费者个人信息要经过消费者的同意。网络经营者在未经网购消费者许可或者 在消费者完全不知情的情况下,通过具有追踪功能的软件来追踪消费者的浏览踪 迹,进而收集消费者的网络活动信息,并用于其他商业目的,这严重侵害了消费 者的个人信息,属于侵权行为。在这种侵害个人信息的行为中,使用追踪软件未 经许可收集个人信息的网络商家就是侵害者。
3.通过买卖方式收集网购消费者个人信息在网购方式日益发达的时 代,大量的网购消费者的个人信息在网络经营中愈来愈起到举足轻重的作用。在 大多数情况下,网络商家追逐利润的关键是其所掌握的消费者的个人信息的多少。
因此,许多网络商业机构为谋取更大的商业利益,会直接购买消费者的个人信息。
通过买卖方式收集网购消费者的个人信息的网络商家就是侵害人。
(二法使用网购消费者个人信息 1.非法泄露个人信息 在网购过程中收集到网购消费者个人信息的所有经营者对于所收集 到的个人信息都有保密的义务,故意或者过失泄露个人信息的,是对该保密义务 的违反,导致网购消费者的个人信息非法泄露,是对个人信息的一种侵害行为。
由于网络的虚拟性,时常会发生或者可能发生信息泄露、丢失的情况,在这种情 况发生时,网络经营者应立即采取补救措施,醬如履行通知义务、采取技术手段 加强网络防御等。如果网络经营者未采取补救措施,则应当承当责任。
2.非法出售或向他人提供个人信息 如今,网购消费者的个人信息的商业价值越来越凸显,拥有消费者的 个人信息数量的多少决定着网络经营者竞争力的大小,这就引诱着手中掌握消费 者个人信息的网络经营者或其职员向他人出售或者提供消费者的个人信息。这种 未经消费者同意出售或非法提供个人信息的行为侵害了消费者的个人信息,出售 者或非法提供者是侵害人。
3.未经许可(明许/默许)向消费者发送商业信息网购消费者要在网络上购买商品或享受服务,首先要知道关于商品或 服务的商业信息。无论是否合法拥有消费者个人信息的经营者,如果为了销售自 己的商品或服务不顾消费者的个人意愿通过电子邮件、电话、短信等方式向其发 送商业信息,都是对消费者个人信息的滥用,侵害了消费者的个人信息,侵害人 就是滥发商业信息者。阅读以及删除商业信息占用了消费者的时间,接受过多扰 人的商业信息会给消费者的正常生活造成不良影响。所谓“不顾消费者意愿”,包 括消费者的明示不许可和默示不许可,明示不许可包括明确拒绝接收商业信息、 事先告知经营者不接收商业信息等;默示不许可包括对于接收到的商业信息无回 应等。
4.不当二次开发个人信息 个人信息的二次开发是网络经营者利用各种手段收集获取的个人信 息,构建个人信息库,通过对库中的个人信息的整理、分析、挖掘、提炼出对商 家的生产经营、营销战略有用的、有商业价值的、未透露的用户信息并为之利用。
[5]经营者对个人信息的合理的二次开发是允许的,然而在现实生活中,网络经 营者经常做的则是根据他们分析出来的消费者的消费偏好,不经消费者同意就强 制性向消费者的邮箱或手机里发送各类广告信息,直接影响了消费者的日常生活。
这就是不当利用二次开发的个人信息。
(三)第三方通过网络商家侵害消费者个人信息 对于侵害网购消费者的侵害人不局限于其相对人即经营者。对于经营 者尽到保密义务,但是非法获得者比如黑客、盗窃者等通过网络攻破、现实盗窃 等方式非法获得消费者的个人信息的行为也侵害了消费者的个人信息。消费者应 先向非法获得者请求救济,在找不到真正侵害人时,若经营者有过错,则由经营 者承担赔偿责任。若经营者无过错,根据公平原则,则由经营者根据实际情况, 给予消费者一定的补偿^ 四、民法救济的制度要素 (一)归责原则的确定 所谓归责原则,是确定侵权人承担侵权损害赔偿责任的一般准则,它 是在损害事实已经发生的情况下,为确定侵权人对自己的行为所造成的损害,以 及对自己所管领下的人或者物所造成的损害是否应当承担赔偿责任的原则。[6]我国的侵权责任法规定了三种归责原则:过错责任原则、过错推定原则、无过错 责任原则。针对侵害网购消费者个人信息的归责原则,有学者主张其属于一般侵 权行为,应当适用过错归责原则。[7]笔者也认为针对侵害网购消费者个人信息 的行为应当适用过错责任原则。民事侵权是在平等主体之间发生的,适用过错原 则符合自罗马法以来在平等主体之间追求的公平原则以及私法自治原理。而且纵 观侵害网购消费者个人信息的行为绝大部分的侵害人是网购经营者,其侵害了消 费者的个人信息是要受责难的,但过于苛责经营者也不利于网络交易的发展。
(二)举证责任的确定 网购消费者在受侵害之后,请求民法救济需要相关的证据来支持其请 求。法律规定在一般情况下,谁主张,谁举证。可是在现实中,同一网购消费者 往往在不同的网络商家处登记注册时提供过自己的个人信息,这会导致在同一时 段会有多家经营者掌握消费者的个人信息。在这样的情况下,要网购消费者提供 证据证明有哪些经营者侵害了其个人信息是非常困难的,也是不公平的。因为网 购消费者一般都不是网络精通人员,不太了解网络技术、网络运营等,要其承担 举证责任有失公平。网购消费者相当于网络经营者来说,处于弱者的地位,为了 消费者能更有利地保护个人信息,笔者认为应采取举证责任倒置,由侵权人承担 证明其没有侵害消费者的个人信息的责任,如其无法提供,就由侵权人承担不利 后果。当然,这并不是说网购消费者对于自己的请求就不承担任何的举证责任, 即在其提出请求时应该承担证明侵害人侵害个人信息的行为是真实存在着的举 证责任。法律的一项重要职能就是保护弱者,倘若要网购消费者在其个人信息受 侵害中承担举证责任,那么后果就只会是强者更强,弱者更弱,这与法律的正义 目标是背道而驰的,所以采取举证责任倒置才是符合正义的。
(三)损害赔偿问题分析 《侵权责任法》第三十六条规定的制定,对网购中消费者个人信息的 保护也具有重要的指导意义。[8]所谓没有救济就没有权利,而受侵害人所求救 济的结果往往是损害赔偿。对于侵害个人信息的损害后果,可能是物质上的损害、 人身上的损害、还可能是精神上的损害,对于责任的承担则涉及到物质上的赔偿 以及精神损害赔偿。网购消费者被侵权后,侵权责任承担问题也往往是其最关心 的问题。
1.一般侵权责任的承担《新消法》第五十六条第一款规定,经营者侵害消费者个人信息依法 得到保护的权利的,除承担行政责任外,还要承担相应的民事责任。网络消费者 的个人信息受到他人侵害后,侵害人应当承担侵权责任。而《侵权责任法》第十 五条规定了承担侵权责任的方式,这些承担侵权责任的方式可以单独适用,也可 以合并适用。但是由于网购消费者个人信息一旦泄露并为他人所知是不可逆转的 特殊性,所以在当发生侵害请求侵害人承担侵权责任时应采取的方式有:停止侵 害,排除妨碍,消除影响,恢复名誉,赔偿损失,赔礼道歉。而《新消法》第五 十条恰恰也是这样规定的,只是它限定了侵害主体——经营者。也许侵害网购消 费者个人信息的主体不只是经营者,在可以找到具体侵权人时,不应限定承担责 任主体于经营者。网购消费者的个人信息无论是作为隐私权或人格权的一部分来 保护,或是作为法律单独保护的对象,虽然它本身日益具有商业价值但是都不能 作为财产权的一部分,而应属于人身权益部分,当网购消费者的个人信息一旦被 非法泄露或使用后,很可能造成被侵害人严重的精神损害,这时被侵权人就可根 据《侵权责任法》第二十二条的规定请求精神损害赔偿。
2.惩罚性赔偿的适用 《新消法》对于惩罚性赔偿的规定有一定的修改,但是它还只是针对 经营者的欺诈行为以及明知商品或服务有缺陷仍向消费者提供而造成严重损害 的。人大代表朱海燕建议,对擅自公开、出售或不当使用网购客户个人信息,造 成客户权益受到损害的,有关部门要加大惩罚力度,可考虑实行惩罚性赔偿金制 度,明确精神损害赔偿范围,以此增加泄露个人信息的企业违法侵权成本。[9] 惩罚性赔偿对于经营者来说有一定震慑作用。但近几年来,网络经营者凭借其自 身强势地位侵害网购消费者个人信息事件有增无减,可见刑法以及其他法律、规 章等对个人信息的保护是远远不够的。网购消费者向网络经营者提供的个人信息 足以威胁到其个人隐私、安全等权利,非法使用或泄露严重损害了其利益。当前, 为了在根源上遏制网购消费者个人信息被侵害,借鉴《新消法》上的惩罚性赔偿 不失为一种良策。一旦发生网购消费者的个人信息被网络经营者或第三人非法收 集、非法使用,网络经营者或第三人都应受到惩罚性赔偿责任的追究。这样有助 于在源头上遏制侵害行为,能更好地维护网购消费者的个人信息权益。
在网购消费者的个人信息受到侵害之后,消费者有权请求民法上的救 济。由于网络的虚拟性、传播性,网购消费者的个人信息受侵害之后的危害性较 大,救济也更为迫切,所以追求更强有力的救济。希望本文的分析对网购消费者 的个人信息受侵害后请求民法上的救济有所帮助。