姜素紅,張 可

(中南林業(yè)科技大學(xué) 政法學(xué)院，湖南 長(zhǎng)沙 410004)

當(dāng)今信息時(shí)代，數(shù)據(jù)信息無(wú)疑是人類寶貴的資源。網(wǎng)絡(luò)購(gòu)物平臺(tái)作為一個(gè)數(shù)據(jù)寶庫(kù)，具有無(wú)與倫比的商業(yè)價(jià)值。在網(wǎng)購(gòu)諸多環(huán)節(jié)中，均涉及到消費(fèi)者個(gè)人信息保護(hù)問(wèn)題。對(duì)網(wǎng)購(gòu)消費(fèi)者個(gè)人信息進(jìn)行立法保護(hù)，對(duì)于保障消費(fèi)者權(quán)益、促進(jìn)網(wǎng)絡(luò)電商平臺(tái)的健康發(fā)展有著重要作用。然而，我國(guó)網(wǎng)購(gòu)個(gè)人信息保護(hù)立法還存在諸多缺陷，亟待完善。

一

個(gè)人信息不同于個(gè)人隱私。個(gè)人信息是指與自然人相關(guān)的任何信息，而個(gè)人隱私是指?jìng)€(gè)人不愿對(duì)外公開(kāi)的個(gè)人信息，是對(duì)個(gè)人信息內(nèi)容的進(jìn)一步限定，包含了強(qiáng)烈的主觀意志。個(gè)人信息則與個(gè)人主觀意愿無(wú)涉，個(gè)人信息既包括個(gè)人不愿公開(kāi)的信息、也包括個(gè)人愿意公開(kāi)的信息以及個(gè)人不知情卻已經(jīng)公開(kāi)的信息。對(duì)于個(gè)人信息保護(hù)來(lái)說(shuō)，出發(fā)點(diǎn)并不是主體之主觀意愿，而是信息的客觀價(jià)值。

網(wǎng)絡(luò)購(gòu)物消費(fèi)者個(gè)人信息是指在網(wǎng)絡(luò)購(gòu)物過(guò)程中收集和存儲(chǔ)的帶有消費(fèi)者個(gè)人特性或身份特性的信息。網(wǎng)絡(luò)購(gòu)物的程序要求和實(shí)際需要決定了網(wǎng)絡(luò)購(gòu)物消費(fèi)者個(gè)人信息相較于現(xiàn)實(shí)環(huán)境個(gè)人信息以及其他網(wǎng)絡(luò)個(gè)人信息，具有信息范圍的廣泛性、信息易獲得性和商品性三個(gè)特征。不能準(zhǔn)確把握這些特征，針對(duì)網(wǎng)絡(luò)購(gòu)物消費(fèi)者個(gè)人信息的保護(hù)措施便如同無(wú)的放矢。

(一)網(wǎng)絡(luò)購(gòu)物消費(fèi)者個(gè)人信息具有廣泛性。網(wǎng)絡(luò)購(gòu)物雖然體現(xiàn)了現(xiàn)實(shí)交易難以企及的便利性，但其內(nèi)在交易機(jī)制更加復(fù)雜(1)以交易主體為例，網(wǎng)絡(luò)購(gòu)物交易主體不僅限于買賣雙方，還包括網(wǎng)絡(luò)購(gòu)物第三方平臺(tái)、網(wǎng)絡(luò)支付平臺(tái)、信用平臺(tái)、快遞公司等等。。一般而言，網(wǎng)絡(luò)購(gòu)物至少需要對(duì)消費(fèi)者的身份、財(cái)產(chǎn)、地址等三方面信息進(jìn)行收集方能保證交易順暢。身份信息對(duì)應(yīng)收件人，財(cái)產(chǎn)信息對(duì)應(yīng)付款方式，地址信息對(duì)應(yīng)貨物運(yùn)輸，此三類信息的涵蓋范圍遠(yuǎn)遠(yuǎn)超出其他渠道對(duì)個(gè)人信息的收集內(nèi)容，且每一項(xiàng)都關(guān)乎消費(fèi)者人身、財(cái)產(chǎn)安全。更為重要的是，基于這三類信息以及消費(fèi)者在網(wǎng)購(gòu)過(guò)程中留下的瀏覽痕跡、購(gòu)買習(xí)慣等無(wú)意識(shí)信息，信息的收集者和利用者可以通過(guò)數(shù)據(jù)分析得到最重要的商業(yè)寶藏——推理信息。即根據(jù)消費(fèi)者的基礎(chǔ)信息和日常記錄，得出消費(fèi)者個(gè)人喜好、消費(fèi)習(xí)慣、生活習(xí)慣乃至職業(yè)、家庭、情感狀態(tài)等方方面面的信息，這些信息雜糅在一起足以拼湊出一個(gè)人的全貌，就商業(yè)而言，這將成為商業(yè)營(yíng)銷的終極手段(2)此種營(yíng)銷方式被稱為精準(zhǔn)營(yíng)銷，也就是信息收集者通過(guò)利用數(shù)據(jù)分析手段對(duì)消費(fèi)者信息的二次加工，挖掘出消費(fèi)者本人并未透露的商業(yè)信息。例如搜索網(wǎng)站、購(gòu)物網(wǎng)站通過(guò)分析用戶的搜索瀏覽歷史，得到用戶近期感興趣的頁(yè)面或商品，再通過(guò)首頁(yè)推送的方式向用戶推薦其可能感興趣的頁(yè)面、商品，引導(dǎo)其瀏覽或購(gòu)物。。

(二)網(wǎng)絡(luò)購(gòu)物消費(fèi)者個(gè)人信息具有易獲得性。網(wǎng)絡(luò)購(gòu)物消費(fèi)者個(gè)人信息的易獲得主要體現(xiàn)在三個(gè)方面：首先，就進(jìn)行網(wǎng)絡(luò)購(gòu)物所必須提供的信息而言，消費(fèi)者沒(méi)有選擇，只能在系統(tǒng)上如實(shí)填寫(xiě)個(gè)人信息，如個(gè)人身份、支付方式、收件地址等，信息收集者(一般是網(wǎng)絡(luò)購(gòu)物平臺(tái)經(jīng)營(yíng)者或網(wǎng)絡(luò)經(jīng)營(yíng)者)無(wú)需親自討要，也無(wú)需與消費(fèi)者商定信息范圍，自然就能將消費(fèi)者個(gè)人信息收錄進(jìn)系統(tǒng)；其次，就非必要收集的個(gè)人信息，消費(fèi)者一般處于無(wú)意識(shí)狀態(tài)，也即不知道自己的某些行為成為了信息收集之對(duì)象，如商品搜索記錄、瀏覽記錄等。收集此類信息，對(duì)于網(wǎng)絡(luò)后臺(tái)的操作者而言輕而易舉，系統(tǒng)會(huì)自動(dòng)地完整記錄下消費(fèi)者在網(wǎng)購(gòu)平臺(tái)的任何“蹤跡”，并形成海量有價(jià)值信息，呈現(xiàn)在平臺(tái)經(jīng)營(yíng)者或網(wǎng)絡(luò)經(jīng)營(yíng)者眼前；再次，網(wǎng)絡(luò)購(gòu)物過(guò)程中產(chǎn)生的消費(fèi)者個(gè)人信息傳播流動(dòng)性大，這意味著除了平臺(tái)經(jīng)營(yíng)者和網(wǎng)絡(luò)經(jīng)營(yíng)者能夠獲得這些信息外，信息還將流向網(wǎng)絡(luò)的其他各個(gè)角落。例如網(wǎng)絡(luò)支付平臺(tái)、快遞公司甚至被網(wǎng)絡(luò)信息中介或網(wǎng)絡(luò)黑客所竊[1]35。因?yàn)樵陂_(kāi)放的網(wǎng)絡(luò)世界中，信息流動(dòng)比以往任何時(shí)候都要自由和快速。

(三)網(wǎng)絡(luò)購(gòu)物消費(fèi)者個(gè)人信息具有商品性。信息因具備極大的商業(yè)價(jià)值而被商品化，尤其在信息時(shí)代，互聯(lián)網(wǎng)得以收集和存儲(chǔ)海量個(gè)人信息并有效利用，更使得網(wǎng)絡(luò)信息成為炙手可熱的新財(cái)富。網(wǎng)購(gòu)消費(fèi)者個(gè)人信息的商品性源于其四個(gè)特點(diǎn)，即數(shù)量大、易存儲(chǔ)、易傳播和可利用。首先，對(duì)于一般信息而言，數(shù)量大小是決定其能否成為商品的關(guān)鍵因素，單個(gè)的消費(fèi)者信息不足以形成價(jià)值從而吸引市場(chǎng)注意。其次，數(shù)量龐大的信息存儲(chǔ)一直是困擾傳統(tǒng)信息市場(chǎng)的難題，紙質(zhì)的信息檔案耗費(fèi)的成本高，不便于存放與轉(zhuǎn)移，這在一定程度上制約了信息服務(wù)的發(fā)展，網(wǎng)絡(luò)存儲(chǔ)技術(shù)則恰好解決了這一難題。再次，網(wǎng)絡(luò)信息的易傳播雖不利于信息保密，但卻為信息利用創(chuàng)造了便利條件。最后，網(wǎng)絡(luò)購(gòu)物消費(fèi)者個(gè)人信息可被用于市場(chǎng)營(yíng)銷、市場(chǎng)分析、市場(chǎng)預(yù)測(cè)、信息中介、信息交易等方面[2]36，商業(yè)價(jià)值不言而喻。

二

網(wǎng)絡(luò)購(gòu)物消費(fèi)者個(gè)人信息因其具有的價(jià)值和特征，在收集和應(yīng)用過(guò)程中極易被侵犯[2]105，消費(fèi)者的個(gè)人權(quán)利面臨風(fēng)險(xiǎn)。但是，自互聯(lián)網(wǎng)在我國(guó)普遍適用以來(lái)，人們對(duì)網(wǎng)絡(luò)個(gè)人信息保護(hù)沒(méi)有予以足夠重視[3]105。目前我國(guó)網(wǎng)絡(luò)購(gòu)物消費(fèi)者個(gè)人信息保護(hù)的立法存在缺陷，主要體現(xiàn)為缺乏一部專門的法律進(jìn)行規(guī)范，內(nèi)容上則未確立個(gè)人信息的權(quán)利、義務(wù)及責(zé)任制度，最終導(dǎo)致實(shí)踐中法律保護(hù)的不力。

(一)缺乏系統(tǒng)、專門的法律

立法是對(duì)消費(fèi)者個(gè)人信息保護(hù)的前提，只有確立相應(yīng)的網(wǎng)絡(luò)購(gòu)物消費(fèi)者個(gè)人信息保護(hù)法，才能嚴(yán)格實(shí)施法律從而保障消費(fèi)者信息權(quán)利。但是從目前關(guān)于個(gè)人信息保護(hù)立法情況來(lái)看，不容樂(lè)觀?！睹穹倓t》第111條規(guī)定：“自然人的個(gè)人信息受法律保護(hù)。任何組織和個(gè)人需要獲取他人個(gè)人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個(gè)人信息，不得非法買賣、提供或者公開(kāi)他人個(gè)人信息。”此為我國(guó)個(gè)人信息直接保護(hù)的基礎(chǔ)性條款，但并未賦予個(gè)人信息權(quán)利。在法律未明確規(guī)定個(gè)人信息權(quán)利時(shí)，個(gè)人信息遭受侵害便無(wú)法通過(guò)權(quán)利救濟(jì)得到補(bǔ)償，而只能以違反禁止性規(guī)定為由對(duì)侵害者實(shí)施懲罰。

此外，在其他一些規(guī)范性法律文件中亦可尋找到個(gè)人信息保護(hù)的零星規(guī)定。如《網(wǎng)絡(luò)安全法》第40條、41條、42條、44條均提到個(gè)人信息保護(hù)，如“任何個(gè)人和組織不得竊取或者以其他非法方式獲取個(gè)人信息，不得非法出售或者非法向他人提供個(gè)人信息”。但是，此類宣言式的條款內(nèi)容能使網(wǎng)絡(luò)經(jīng)營(yíng)者盡到多少義務(wù)，違法者能有多大程度的收斂，都不能不讓人打上問(wèn)號(hào)。

在新近通過(guò)的《電子商務(wù)法》中，也有涉及個(gè)人信息保護(hù)的相關(guān)條款，如第23條規(guī)定：“電子商務(wù)經(jīng)營(yíng)者收集、使用其用戶的個(gè)人信息，應(yīng)當(dāng)遵守法律、行政法規(guī)有關(guān)個(gè)人信息保護(hù)的規(guī)定?！钡?4條對(duì)電子商務(wù)經(jīng)營(yíng)者的義務(wù)作了詳細(xì)規(guī)定，第76條設(shè)置了電子商務(wù)經(jīng)營(yíng)者“未明示用戶信息查詢、更正、刪除以及用戶注銷的方式、程序，或者對(duì)用戶信息查詢、更正、刪除以及用戶注銷設(shè)置不合理”的罰則，第79條則是準(zhǔn)用性條款，規(guī)定電子商務(wù)經(jīng)營(yíng)者不履行個(gè)人信息保障義務(wù)時(shí)依據(jù)《網(wǎng)絡(luò)安全法》等法律、行政法規(guī)進(jìn)行處罰。《網(wǎng)絡(luò)安全法》只在第64條設(shè)置了針對(duì)個(gè)人信息侵害的處罰措施，而其中執(zhí)法主體表述為“有關(guān)部門”，處罰方式有警告、沒(méi)收違法所得、罰款、責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證、吊銷營(yíng)業(yè)執(zhí)照。但該條的執(zhí)法主體與處罰標(biāo)準(zhǔn)含糊不清，由此可能導(dǎo)致《網(wǎng)絡(luò)安全法》和《電子商務(wù)法》中個(gè)人信息保護(hù)的失效。

再如《消費(fèi)者權(quán)益保護(hù)法》第二章“消費(fèi)者的權(quán)利”對(duì)消費(fèi)者傳統(tǒng)的知情權(quán)、安全權(quán)、公平交易權(quán)、求償權(quán)等權(quán)利作出了規(guī)定，同樣沒(méi)有將信息權(quán)利考慮進(jìn)消費(fèi)者法定權(quán)利體系之中。該法第三章“經(jīng)營(yíng)者的義務(wù)”第29條增加了消費(fèi)者個(gè)人信息保護(hù)條款，但在前文沒(méi)有相應(yīng)權(quán)利對(duì)應(yīng)的情況下，這里的義務(wù)性規(guī)定顯得格外突兀。而在“法律責(zé)任”一章中，僅通過(guò)第56條下第(九)款“侵害消費(fèi)者人格尊嚴(yán)、侵犯消費(fèi)者人身自由或者侵害消費(fèi)者個(gè)人信息依法得到保護(hù)的權(quán)利的”應(yīng)承擔(dān)民事責(zé)任并予以相應(yīng)處罰，順帶設(shè)置了對(duì)侵犯消費(fèi)者個(gè)人信息之處罰措施。

此外，一些行政法規(guī)、部門規(guī)章包含有網(wǎng)絡(luò)個(gè)人信息保護(hù)的零散內(nèi)容。例如國(guó)務(wù)院頒布的《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、工信部出臺(tái)的《互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定》、《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》、商務(wù)部《關(guān)于促進(jìn)電子商務(wù)規(guī)范發(fā)展的決定》等?？偟目磥?lái)，此類法規(guī)、規(guī)章層級(jí)低、效力低，沒(méi)有上升為法律的保障，其措施面臨兩個(gè)困境，其一是缺乏足夠權(quán)威指引人們遵守，其二是低位階法的處罰力度相對(duì)較輕，難以產(chǎn)生預(yù)防和懲處所需之威懾力[4]21。

(二)個(gè)人信息權(quán)利體系未建立

我國(guó)還沒(méi)有建立起網(wǎng)絡(luò)購(gòu)物消費(fèi)者個(gè)人信息權(quán)利制度。我國(guó)現(xiàn)行法律文本中沒(méi)有規(guī)定消費(fèi)者對(duì)自身信息的知情權(quán)、拒絕被收集權(quán)、拒絕被分析權(quán)等權(quán)利制度。這就使得保護(hù)的對(duì)象不明確，究竟哪些信息可以被收集利用，哪些信息不可以，缺乏界定的依據(jù)。再以消費(fèi)者對(duì)信息的控制為例，在消費(fèi)者發(fā)現(xiàn)自己的信息需要改正、刪除的情況下，由于沒(méi)有個(gè)人信息控制權(quán)、被遺忘權(quán)等權(quán)利制度，信息收集、使用者很可能不遵照?qǐng)?zhí)行。最后以消費(fèi)者個(gè)人信息被侵犯時(shí)的救濟(jì)為例，由于沒(méi)有規(guī)定網(wǎng)絡(luò)糾紛消費(fèi)者的救濟(jì)權(quán)制度，該類個(gè)人信息糾紛難以得到妥善解決。

(三)信息掌控者的法律義務(wù)規(guī)定不明確

我國(guó)現(xiàn)行法律尚未建立信息收集者、信息使用者對(duì)于網(wǎng)絡(luò)購(gòu)物消費(fèi)者個(gè)人信息的義務(wù)體系。信息收集者和使用者作為個(gè)人信息的掌控方，其行為直接關(guān)系到個(gè)人信息安全。然而，在缺乏具體義務(wù)的指引下，信息掌控方則有可能忽視其本應(yīng)盡到的職責(zé)。雖然《民法總則》、《網(wǎng)絡(luò)安全法》、《電子商務(wù)法》、《消費(fèi)者權(quán)益保護(hù)法》中都有關(guān)于合法收集、使用個(gè)人信息的表述，但在復(fù)雜的網(wǎng)絡(luò)技術(shù)面前，信息收集和使用存在諸多灰色地帶，僅“合法”與“非法”作為衡量是否盡到義務(wù)的標(biāo)準(zhǔn)已然失去了意義。另一方面，信息掌控者還負(fù)有應(yīng)對(duì)外來(lái)威脅，保障消費(fèi)者信息安全的義務(wù)。我國(guó)現(xiàn)有法律對(duì)此并沒(méi)有指出信息掌控者應(yīng)在哪些方面對(duì)個(gè)人信息進(jìn)行何種程度之保障?，F(xiàn)實(shí)中大量出現(xiàn)因信息掌控者疏忽，使得個(gè)人信息泄露的案例，如2017年暗網(wǎng)市場(chǎng)知名供應(yīng)商雙旗對(duì)外拋售10億條從多家中國(guó)互聯(lián)網(wǎng)巨頭公司盜取的用戶數(shù)據(jù)?；恼Q的是，被盜取的信息有的竟然是以明文形式呈現(xiàn)。

(四)法律責(zé)任設(shè)置不合理

我國(guó)法律還沒(méi)有針對(duì)侵犯網(wǎng)絡(luò)購(gòu)物消費(fèi)者個(gè)人信息的行為制定完備的法律責(zé)任制度。完整的法律責(zé)任體系應(yīng)當(dāng)包括民事、行政、刑事三方面處罰措施[3]106，對(duì)個(gè)人信息保護(hù)而言，其中起主要作用的是民事責(zé)任制度。因?yàn)榫W(wǎng)絡(luò)購(gòu)物消費(fèi)者個(gè)人信息糾紛在多數(shù)情況下屬于民事糾紛，需要通過(guò)經(jīng)濟(jì)利益補(bǔ)償來(lái)解決。我國(guó)現(xiàn)有法律對(duì)侵犯?jìng)€(gè)人信息的民事責(zé)任規(guī)定體現(xiàn)在《消費(fèi)者權(quán)益保護(hù)法》第50條、56條，但此兩條規(guī)定用詞含糊不詳細(xì)，而《民法總則》又未明確個(gè)人信息的權(quán)利地位，這將使得《侵權(quán)責(zé)任法》在個(gè)人信息被侵犯之情形下適用遭遇困難。行政責(zé)任方面，我國(guó)卻設(shè)置了大量罰則，這就使原本是民事糾紛的案件具備濃厚的行政色彩。如《網(wǎng)絡(luò)安全法》、《消費(fèi)者權(quán)益保護(hù)法》、《電子商務(wù)法》規(guī)定了責(zé)令改正、警告、沒(méi)收違法所得、罰款、停業(yè)整頓、吊銷營(yíng)業(yè)執(zhí)照、記入信用檔案等行政處罰措施，種類齊全權(quán)限范圍大，這與我國(guó)歷來(lái)行政主導(dǎo)的慣例有關(guān)。然而在民事責(zé)任未得到確認(rèn)的前提下，設(shè)置這么多行政處罰權(quán)限，其結(jié)果很可能是行政部門占據(jù)了很大話語(yǔ)權(quán)，但受侵犯者卻沒(méi)得到足夠補(bǔ)償。因而這種責(zé)任制度設(shè)計(jì)難免有主次不分之嫌。刑事責(zé)任方面，2015年《刑法修正案(九)》第253條確立了侵犯公民個(gè)人信息罪，該罪名犯罪主體從原來(lái)的特殊主體變?yōu)橐话阒黧w，犯罪行為包括“違法向他人出售、提供個(gè)人信息”“竊取或以其他方法非法獲取公民個(gè)人信息”且要求情節(jié)嚴(yán)重，雖然情節(jié)嚴(yán)重的定罪標(biāo)準(zhǔn)不甚明確，在司法適用中容易裁量失誤，但相較于《刑法》原有規(guī)定，已有長(zhǎng)足進(jìn)步。

可見(jiàn)，我國(guó)網(wǎng)絡(luò)購(gòu)物消費(fèi)者個(gè)人信息保護(hù)在立法上存在法律規(guī)定零散、可操作性不強(qiáng)、效力層次低等缺陷。

三

解決我國(guó)網(wǎng)絡(luò)購(gòu)物消費(fèi)者個(gè)人信息保護(hù)立法之缺陷問(wèn)題，一是借鑒國(guó)外發(fā)達(dá)國(guó)家成熟經(jīng)驗(yàn)，二是應(yīng)從我國(guó)現(xiàn)實(shí)國(guó)情出發(fā)，在具體分析實(shí)際狀況的基礎(chǔ)上設(shè)計(jì)出有針對(duì)性的解決方案。

(一)盡快出臺(tái)《個(gè)人信息保護(hù)法》

綜合各國(guó)關(guān)于網(wǎng)絡(luò)個(gè)人信息保護(hù)的立法趨勢(shì)，大致呈現(xiàn)出專門化、具體化、實(shí)務(wù)化的方向。也就是說(shuō)目前發(fā)達(dá)國(guó)家針對(duì)網(wǎng)絡(luò)個(gè)人信息保護(hù)的立法多偏向于出臺(tái)專門、具體、有可操作性的法律規(guī)定，就網(wǎng)絡(luò)個(gè)人信息保護(hù)問(wèn)題提出總體的規(guī)范措施。較為典型的立法例有日本于2003年頒布的《個(gè)人信息保護(hù)法》，該法構(gòu)成了日本個(gè)人信息保護(hù)法律規(guī)范體系的主體[5]153，并在2015年為適應(yīng)時(shí)代變化作了大幅修改。較早開(kāi)始制定網(wǎng)絡(luò)個(gè)人信息保護(hù)專門規(guī)范的則是歐盟，1995年便出臺(tái)了《關(guān)于涉及個(gè)人數(shù)據(jù)處理的個(gè)人保護(hù)及此類數(shù)據(jù)自由流動(dòng)的指令》，隨后為了適應(yīng)信息技術(shù)的發(fā)展，又相繼在2013年和2018年發(fā)布了《歐盟數(shù)據(jù)保護(hù)基本條例》、《通用數(shù)據(jù)保護(hù)條例》(GDPR)。美國(guó)的網(wǎng)絡(luò)個(gè)人信息保護(hù)雖以行業(yè)自律模式為主導(dǎo)，但為了滿足社會(huì)治理的需求，聯(lián)邦政府在2012年公布《全球數(shù)字經(jīng)濟(jì)隱私保護(hù)的創(chuàng)新推動(dòng)框架》，表明美國(guó)開(kāi)始采取對(duì)網(wǎng)絡(luò)個(gè)人信息保護(hù)立法的積極態(tài)度，預(yù)料正式法案的制定亦將加快速度。此外，美國(guó)還有一部《兒童在線隱私保護(hù)法案》，面向不滿13歲的未成年人，以保障該特殊群體的網(wǎng)絡(luò)個(gè)人信息被合法收集、使用。

我國(guó)過(guò)去在立法原理上沒(méi)有對(duì)個(gè)人信息保護(hù)予以足夠重視，在立法制度上亦遲遲未將其提上全國(guó)人大正式的立法程序，在立法技術(shù)上則沒(méi)有充分考慮將《個(gè)人信息保護(hù)法》納入立法預(yù)測(cè)和立法規(guī)劃，從而導(dǎo)致有關(guān)個(gè)人信息保護(hù)的法律分散化、層級(jí)低。因此，急待出臺(tái)《個(gè)人信息保護(hù)法》。《個(gè)人信息保護(hù)法》作為一部專門、統(tǒng)一的法律，有利于頂層設(shè)計(jì)，統(tǒng)籌現(xiàn)有法律資源，囊括并融合法律體系內(nèi)的可用規(guī)定達(dá)成統(tǒng)一適用。

《個(gè)人信息保護(hù)法》的制定猶應(yīng)注意三點(diǎn)：第一，要注意立法技術(shù)的良好運(yùn)用，避免出現(xiàn)以往個(gè)人信息保護(hù)條文中存在的體例不合理、結(jié)構(gòu)不嚴(yán)謹(jǐn)、闡述不清晰、適用不準(zhǔn)確的情形，在用語(yǔ)、體例安排、邏輯思辨等方面要下足功夫；第二，要在法律條文中明確個(gè)人信息的定義和權(quán)利地位，為下一步的制度設(shè)計(jì)提供依準(zhǔn)；第三，確定立法目的及宗旨，妥善處理好信息產(chǎn)業(yè)發(fā)展和個(gè)人信息保護(hù)這一要點(diǎn)問(wèn)題，達(dá)致個(gè)人利益、產(chǎn)業(yè)利益與國(guó)家利益的平衡[6]45。

(二)建立個(gè)人信息權(quán)利體系

個(gè)人信息權(quán)利體系包含四項(xiàng)基本權(quán)利：知情權(quán)、選擇權(quán)、控制權(quán)、救濟(jì)權(quán)。其中，知情權(quán)的實(shí)現(xiàn)有賴于信息收集、使用者履行告知義務(wù)，此項(xiàng)義務(wù)從屬于義務(wù)體系的合法收集、使用義務(wù)，知情權(quán)是其他三項(xiàng)權(quán)利的前提，所以也是最根本的權(quán)利；選擇權(quán)也即網(wǎng)絡(luò)購(gòu)物消費(fèi)者有權(quán)選擇個(gè)人信息是否被收集以及如何被使用，其成立的基礎(chǔ)是對(duì)個(gè)人信息的范圍和種類進(jìn)行區(qū)分。結(jié)合網(wǎng)購(gòu)實(shí)際經(jīng)驗(yàn)，消費(fèi)者信息一般可分為必須收集的信息、可收集的信息、不得收集的信息，區(qū)分標(biāo)準(zhǔn)是與完成網(wǎng)絡(luò)購(gòu)物的密切相關(guān)性。例如個(gè)人身份、聯(lián)系方式、收件地址、支付賬戶是完成網(wǎng)購(gòu)所必須的信息，此類信息消費(fèi)者不得拒絕填寫(xiě)，某些特定商品如衣物，個(gè)人的身高體重也屬于必要信息。而至于郵箱地址、性別、愛(ài)好、特長(zhǎng)等無(wú)關(guān)緊要的信息，消費(fèi)者在完善個(gè)人資料時(shí)可以選擇填寫(xiě)，這就是選擇權(quán)在信息收集中發(fā)揮的作用。涉及個(gè)人隱私且與網(wǎng)購(gòu)無(wú)關(guān)的信息，要嚴(yán)格禁止收集；控制權(quán)指消費(fèi)者有要求信息掌控者對(duì)其信息進(jìn)行修改、更新或刪除的權(quán)利，關(guān)鍵是把握好刪除信息的條件，這也是實(shí)現(xiàn)信息利用與個(gè)人信息保護(hù)平衡的節(jié)點(diǎn)。信息刪除權(quán)又稱被遺忘權(quán)，來(lái)源于歐盟規(guī)定，2013年《歐盟數(shù)據(jù)保護(hù)基本條例》更新了被遺忘權(quán)，也即要求刪除信息的權(quán)利，該權(quán)利旨在賦予信息主體對(duì)其個(gè)人信息更強(qiáng)的控制力，當(dāng)信息主體要求刪除其個(gè)人信息時(shí)，在不損害公共利益和言論自由的條件下，信息收集者、使用者必須徹底刪除[7]4。結(jié)合歐盟行使被遺忘權(quán)的標(biāo)準(zhǔn)，我國(guó)信息刪除的條件可設(shè)定為：(1)非必須收集的信息，(2)信息主體提出刪除要求，(3)刪除數(shù)據(jù)不損害公共利益。救濟(jì)權(quán)指?jìng)€(gè)人信息受侵犯后，網(wǎng)絡(luò)購(gòu)物消費(fèi)者要求停止侵犯并索要賠償?shù)臋?quán)利。救濟(jì)權(quán)的實(shí)現(xiàn)有賴于法律責(zé)任制度的完備。另外為解決網(wǎng)絡(luò)購(gòu)物糾紛處理難題，還應(yīng)引入在線糾紛解決機(jī)制[8]127。

(三)明確信息掌控者的義務(wù)

我國(guó)網(wǎng)絡(luò)購(gòu)物消費(fèi)者個(gè)人信息保護(hù)的義務(wù)設(shè)置可以分為合法收集、合法使用、安全保障三項(xiàng)義務(wù)。合法收集義務(wù)首先要求信息收集者基于正當(dāng)目的收集個(gè)人信息，不得因非法牟利而進(jìn)行信息收集行為。其次，合法收集須經(jīng)過(guò)正當(dāng)程序，其收集的手段和方式應(yīng)符合法律規(guī)定，不得采取技術(shù)手段非法簒取個(gè)人信息。再次，個(gè)人信息的收集應(yīng)當(dāng)公開(kāi)透明，也即收集者要履行告知義務(wù)，要確保信息主體充分了解其信息被收集和預(yù)計(jì)使用的情況。個(gè)人信息的種類區(qū)分也是合法收集的前置判定，在違背信息主體選擇權(quán)(針對(duì)可收集信息)與不得收集的信息范圍時(shí)，信息收集必然是不合法的。合法使用義務(wù)包括利用目的限制、確保個(gè)人參與及適當(dāng)管理。利用目的限制要求信息使用者在信息主體允許范圍內(nèi)使用信息，且不得擅自向他人提供信息。確保個(gè)人參與對(duì)應(yīng)信息主體的控制權(quán)，讓其得以確認(rèn)、修改或要求停止使用個(gè)人信息。適當(dāng)管理則指信息使用者在保有信息時(shí)應(yīng)注意信息更新及其正確性，適時(shí)進(jìn)行更正。安全保障義務(wù)由兩部分組成，其一是信息收集、使用過(guò)程中的安全保護(hù)，信息掌控者應(yīng)采取必要技術(shù)手段防止非法入侵者對(duì)個(gè)人信息的竊取，其二是信息遭到侵犯后應(yīng)為信息主體提供高效便捷的救濟(jì)渠道，此項(xiàng)對(duì)應(yīng)信息主體享有的救濟(jì)權(quán)。

(四)調(diào)整法律責(zé)任的比重

我國(guó)現(xiàn)有個(gè)人信息保護(hù)法律責(zé)任制度的既存問(wèn)題是民事責(zé)任偏弱、行政責(zé)任過(guò)多、刑事責(zé)任適用困難。在已經(jīng)確立民事、行政、刑事責(zé)任體系的基礎(chǔ)上，需要增強(qiáng)民事責(zé)任、精簡(jiǎn)行政責(zé)任和完善刑事責(zé)任。增強(qiáng)民事責(zé)任的必要條件是確認(rèn)個(gè)人信息權(quán)利的法律地位。民事責(zé)任的承擔(dān)方式主要是侵權(quán)責(zé)任，而侵權(quán)責(zé)任的客體便是信息權(quán)利。另外，要加大民事賠償?shù)念~度和范圍，除直接經(jīng)濟(jì)損失外，還應(yīng)評(píng)估可預(yù)期的間接經(jīng)濟(jì)損失和精神損失[3]106，保護(hù)信息主體獲得救濟(jì)的權(quán)利。精簡(jiǎn)行政責(zé)任首要在于精簡(jiǎn)行政責(zé)任的實(shí)施主體和種類，以避免職責(zé)混亂及適用困難。歐盟2018年《通用數(shù)據(jù)保護(hù)條例》規(guī)定信息企業(yè)違法的罰金最高可達(dá)2000萬(wàn)歐元或全球營(yíng)業(yè)額的4%，以高者為準(zhǔn)[9]101，處罰力度的提升意味著罰則威懾力亦將放大。參考此條規(guī)定，在減少處罰種類后可以加重處罰力度，極大提升違法成本。完善刑事責(zé)任指對(duì)《刑法》第253條之“情節(jié)嚴(yán)重”的定義進(jìn)一步明確，出臺(tái)法律解釋何為“情節(jié)嚴(yán)重”，使刑事責(zé)任適用得到規(guī)范。

現(xiàn)代社會(huì)的信息安全不僅與個(gè)人的人身財(cái)產(chǎn)安全緊密相關(guān)，更與公共安全、國(guó)家安全產(chǎn)生直接關(guān)聯(lián)。在市場(chǎng)經(jīng)濟(jì)環(huán)境下，龐大的信息存量也得以成為一種富含極大價(jià)值的特殊商品。但目前我國(guó)對(duì)個(gè)人信息立法保護(hù)重視不夠，我們希望盡快出臺(tái)《個(gè)人信息保護(hù)法》，以完善對(duì)個(gè)人信息的切實(shí)、有效保護(hù)。