孙哲明|电子商务中的个人信息财产利益保护——以消费者保护为视角
中国政法大学民商经济法学院硕士生
要目
一、电子商务消费者的个人信息及个人信息权二、消费者个人信息财产利益保护的困境三、电商消费者个人信息财产利益的保护路径结语随着个人信息越来越受到社会关注,如何对其进行充分、有效地保护成为热议话题。由于消费者个人信息具有重要的财产价值,因此个人信息的双重属性在电子商务领域体现得尤为明显。现行法律对消费者信息中的财产利益保护仍有不足、在方式上种类欠缺,消费者利益有较高受到侵害的风险。消费者信息财产利益保护应当立足于消费者保护的本质,充分考虑信息财产化的趋势和弊端,从主体、义务及责任等方面入手,构建较为完整的保护体系。
随着我国数字经济日益成为经济发展的新动力,作为其中重要组成部分的电子商务,更是在社会经济发展和人民生活中占据重要地位。然而,在电子商务蓬勃发展的同时,也暴露出消费者的个人信息保护不到位的问题。由于缺少法律以及行业规制,以及网络技术具有隐秘性和不可检测性等特点,针对电子商务消费者个人信息的违法行为屡禁不止。如2018年8月曝光的华住集团泄露住客个人信息一案,刘某某通过黑客手段窃取了华住集团系统中大量住客信息,并在暗网上售卖。这些行为严重侵害了消费者权利并影响到消费者的正常生活和安全。基于消费者信息保护的严峻现状,如何更加有效地对其进行针对性保护,仍有待相关制度的进一步完善。
一、电子商务消费者的个人信息及个人信息权
关于个人信息的地位,学界莫衷一是。从“个人信息保护”的属性这一角度出发,主要有法益保护和权利保护两种不同观点。
法益保护说认为,个人信息是受法律保护的利益,个人信息本身即作为法律保护的直接客体。支持此观点的学者主要从法律条文出发,认为“自然人的个人信息受法律保护”这一表述根据法律规范的文义解释应当理解为“个人信息”是一种受法律保护的客体。此外,支持法益保护说的学者还以个人信息的保护与利用之间的利益衡量为切入,认为随着网络使用规模日益庞大、数据处理在经济社会中的作用愈发重要,个人信息的公共属性将愈发凸显,因此对个人信息的态度应当由个人控制的单边保护思路转向社会控制的立场。
支持权利保护说的观点认为无论是从个人信息的特点、现实保护的需要还是法律解释的结果来看,“个人信息受保护”都应当被视为是法律赋予自然人的一项权利。一方面,个人信息具有经其所有者同意和允许而被收集、使用的特性,从这一特性出发,个人应当对其信息享有积极、主动施加影响的能力,而这种能力恒存在,不因个人是否与信息处理者发生法律关系而变化,因此应当将此种能力视为自然人所固有的一项权利。另一方面,在当今网络技术快速发展,对个人信息的侵害现象严重,如果能赋予自然人以相关权利,则其可在自己的个人信息遭到非法收集或利用时直接援引个人信息权维护自身合法权益,而通过法益保护的模式保护自然人的个人信息会使自然人在个人信息处理活动中居于弱势,从而导致在个人信息收集、利用活动中本就处于不利地位的个人更加处于被动。除此之外,虽然民法典第111条以及第1034条没有明确指出“个人信息权”这一概念,但从人格权编第六章的其他规定来看,法律已经承认信息处理者的各项义务以及自然人的权利,只有承认自然人对其信息享有权利,则上述权利义务的条款才能在逻辑上相互印合,因此个人信息受保护被认为是法律赋予自然人个人信息权这一观点具有解释的空间。
法益保护说虽然能够从文理上解释,但加以分析则会产生诸多问题,而这些问题则可能给实践中对自然人的个人信息给予切实保护带来一系列法律适用的困境。首先,从法律条文的内容上来看,若将个人信息视为一项利益,则民法典一千零三十七条中赋予自然人各项与个人信息有关的权利就难以与个人信息的法益本质构成逻辑上的一致。在民法对自然人合法权益的保护中,权利保护相较于法益保护属于一种更高层级的保护,这就导致了以保护法益为内容的1034条难以统领以保护权利为内容的1037条的逻辑困境。其次,从法律实践来看,若采取法益保护的模式,则自然人很难在自身利益受到损害之前采取充分、必要且积极的预防措施,而多数情况下只能以事后救济的形式获得相应的填补;在事后救济环节,也受到该利益是否具有正当性以及保护必要性等多重因素的制约。在当今个人信息快速流动的时代,这样的保护模式显然使作为个人信息所有者的自然人处于被动的地位。
根据以上讨论可以看出,两种保护路径的分歧主要在于个人信息保护的程度、范围以及信息保护与信息利用之间的价值取向和利益平衡等方面。虽然民法典并未直接采用个人信息权的表述,但在当下信息时代的大背景之下,考虑到个人信息的大量使用以及信息保护面临的严峻形势,确认个人信息权对于保护个人信息、促进个人信息的合理利用具有重要的实践意义。
有关个人信息权的性质,当前最主要的讨论集中于其应为财产权抑或人格权。支持个人信息权是财产权的学者大多从个人信息商品化的现状出发,即以个人信息交易现实需要来阐明其作为财产权的合理性。随着个人信息的价值得到越来越多的重视,个人对其信息的控制明显不足而有被侵权之虞。基于这一现状,应将个人信息权视为一项财产权,允许个人对其信息交易和有偿使用享有适度的支配。出于利益平衡的考虑,将个人信息权界定为一项财产权,使个人对其信息利用享有更多的自主控制,以避免由于在信息处理中处于弱势地位而完全丧失对其个人信息处理活动的掌控。而将个人信息权视为人格权的学者则主张,从个人信息的内容来看,其包含大量与个人密切相关的要素,它们直接关系到权利人的人格利益和人格尊严且专属于特定主体,而人的尊严是一项权利所要保护的首要对象,因此个人信息权应为人格权;从比较法上来看,欧盟GDPR以及美国、德国等国都将个人信息权归入人格权加以保护,可见个人信息权属于人格权已得到广泛承认。但是在这一前提下则面临其财产利益难以得到有效保护的问题,特别是在电子商务领域,保护财产利益的需要甚至重于人格利益保护,因此在民法典将个人信息置于人格权编的现实情况下,如何妥善平衡人格利益和财产利益的保护,成为亟待解决的重要问题。
消费者的个人信息在电商交易、数字经济发展以及社会生活中具有重要作用,其不仅与消费者的人格密切相关,更能够通过庞大数量的积累产生巨大的财产价值,因此个人信息权被认为兼具人格属性和财产属性。财产利益保护的宗旨在于加强信息主体对其信息的控制,强化个人在处分其信息时的地位,这也是个人信息权各项权能的核心,信息自决是对信息商业化、财产化这一时代背景的回应,当然这并不会改变个人信息所固有的人格属性,也不会动摇个人信息权中人格权部分的地位。因此,可以将个人信息权的财产属性看作完整的复合性权利中的财产权部分,并有针对性地在个人信息保护制度中考虑个人信息财产化的特点。
消费者个人信息这一概念来源于一般个人信息,是消费者购买、使用商品或接受服务时所提供或产生的能够指向其特定身份的信息,其核心在于能够识别到特定的消费者,即个人信息具有“可识别性”。但考虑到消费者往往在消费、交易过程中提供或产生个人信息,因此消费者个人信息的概念应与一般个人信息有所区别。根据社会生活的实践经验,消费者在进行消费活动时,通常会产生或被电商经营者捕获到一些难以直接识别特定消费者、但对于消费活动有重要意义的信息,如交易记录等,因此若仅以可识别性作为确定消费者个人信息的要件,难免范围不周延、界定不全面的情况。考虑到消费活动的特殊性,应当对消费者个人信息的内容进行一定扩张,适当地突破“可识别性”这一特征的限制。
事实上,即使在电子商务领域之外,随着以“可识别性”为标准的信息范围不断扩大,许多学者也主张以“可识别性”与“关联性”将个人信息分为“直接识别”与“间接识别”两类,标准为是否能通过某一信息单独识别出特定个人。所谓“关联性”是指信息本身并不具有能识别出特定人的特殊性,但其能够增加对该特定人的描述、丰富对特定人的认知。
根据“识别”与“关联”的二分,消费者在电子商务交易中的个人信息应当包括以下两类。一类是消费者的身份信息。顾名思义,消费者的身份信息即与其特定身份有关的个人信息,一般意义上的姓名、住址、身份号码等。其与一般意义上的个人信息相同,都以明显的可识别性为特征。身份信息与消费者的人格密切相关,因此应当完全处于消费者的控制之下,而其所蕴含的财产利益及商业价值,和其人身属性相比居于从属地位,因此身份信息的财产利益应当完全归消费者所有。另一类是消费者的行为信息,即消费者在电子商务交易时以及使用或接受服务的过程中所产生的个人信息,具体内容包括浏览历史、交易记录、与电商经营者的沟通记录等。这类信息与身份信息相比并不具有强烈的可识别性,但其能够准确反映消费者在电商活动中的轨迹,通过技术手段深入挖掘和分析即可得知其消费偏好和习惯、生活需求甚至是财产状况等。与身份信息相比,消费者行为信息的人格属性减弱,而财产属性增强,特别是随着经营者的产品营销模式向精准定向营销转变,分析消费者行为信息能够极大地提高营销效率、节约成本。因此有必要将这类信息纳入消费者个人信息保护的范围,并将行为信息中的财产利益归属于消费者。
有学者认为,还应当将消费者在个人网络空间中存储的信息纳入消费者个人信息的保护范畴,如电子邮箱内的信息等。但本文认为,由于跨服务商类别提供个人信息在电子商务交易中仍不普遍,此类信息在电子商务领域、特别是在消费者的交易活动中通常不直接使用,相较于以上两类信息,存储信息在电子商务活动中受侵害的风险相对较小,因此不必将其纳入消费者的个人信息。
此外,消费者的个人信息在被收集后经过加工和整合,还会产生一类来源于消费者的个人信息身份或行为、但已与消费者个体失去关联的衍生信息(如统计数据、群体画像等)。衍生信息是否应当被纳入消费者个人信息的范畴,学界观点不一。本文认为,首先,衍生信息具有匿名化、去关联化的特点,难以与消费者产生直接联系,已经失去了个人信息所必需的人格特征,若将其纳入消费者个人信息予以保护,则保护范围将过于宽泛并将导致保护的有效性和针对性不足,实无必要;其次,衍生信息虽来源于消费者信息,但经过经营者整合、分析、加工和挖掘等技术手段,其所蕴含的财产价值主要来源于经营者付出的劳动,因此若将衍生信息归入消费者个人信息,会打击企业创新的积极性、阻碍数字经济的发展,因此应将衍生信息归入企业的数据财产为宜。
二、消费者个人信息财产利益保护的困境
消费者权益保护法第14条、第29条及第50条以及电子商务法第23条对消费者的个人信息保护作出规定,虽是强制性规范,但都只对如何保护消费者的个人信息作出原则性的规定,而并未进一步明确如何具体适用。其中,电子商务法第23条更是直接准用其他法律、行政法规中有关个人信息保护义务的规定。但我国个人信息保护法尚未出台,而其他法律法规有关条款均未体现电子商务领域的特殊性以及消费者保护的必要性。消费者与一般意义上的民事主体的一个重要区别在于在一般的法律行为中,双方当事人处于平等的地位,故仅凭当事人意思自治即可调整绝大多数的民事法律关系;但在消费活动中,消费者相较于经营者或生产者处于更加弱势的地位,因此需要法律着重关注这一特点。在电子商务活动中,消费者同时具有信息主体和消费者的双重身份,因此一般的保护模式既不能充分顾及电子商务的特点,也不符合消费者保护的宗旨,若不加以选择和修正直接将其他法律条文中有关个人信息保护的规定移植到电子商务领域,显然不符合作为信息主体的消费者的利益诉求。
我国民法典将自然人的个人信息视为一项法益而非权利,因此从法律体系的构造上来看,此种模式对于个人信息的保护力度明显不足,在我国民法典中规定的如停止侵害、消除危险、排除妨害等人格权请求权在免单及电子商务经营者所具备的强大技术优势和市场地位优势时难以为消费者提供有力的保护;自然人不仅在事前难以获得与个人信息的巨大利益相匹配的自主权利,在发生侵犯个人信息的行为之后,也难以直接适用侵权法获得足够的救济。且民法典将个人信息保护的内容置于人格权编中,虽符合个人信息的基本属性,但未能对大数据时代信息财产化的趋势作出有效回应。因此,针对个人信息的财产利益保护仍有补充和完善的空间。
消费者作为经济生活的重要主体,一直是经济活动及相关制度构建重点关注的对象。但我国消费者权益保护法并未对消费者的概念给出明确定义,而电子商务法也未注意到这一重要概念的缺失而直接沿用了“消费者”的称呼,默认了电子商务领域消费者与消费者权益保护法中的消费者具有范围上的一致性。“消费者”概念难以明晰,导致消费者保护制度在适用上与其他法律界限不清、存在交叉或空白等问题,而这也给消费者权益保护的完善和发展带来了困难。
在我国现行法律对电子商务经营者或信息处理者的个人信息保护义务多停留在宣示义务的层面,并未对电子商务经营者在保护消费者信息的过程中应当承担何种类型的义务进行具体规定,且一旦发生侵犯个人信息的行为,法律责任如何承担的问题,现行法律的规定也并不全面。特别电子商务法以及消费者权益保护法侧重于通过行政手段处罚违法电子商务经营者,如电子商务法第18条第一款规定禁止电子商务经营者实行“算法价格歧视”,违反该规定将面临该法第77条规定的行政处罚,但对于如何救济受害消费者却并无明确规定。此种模式的确能有力惩治涉事企业或个人,维护市场运行稳定,但对于个人信息受侵害的消费者而言,此种规定明显不足。
首先,电子商务领域的个人信息权纠纷难以通过违约责任得到妥善解决。第一,多数电子商务平台经营者都会在消费者使用其产品或服务之前向消费者展示服务条款或隐私政策等,此类条款可被视为平台经营者与消费者订立的有关个人信息处理的合同。因此当平台经营者违反相关条款收集或处理消费者信息时,消费者应可以通过追究其违约责任获得救济。但通过阅读此类条款可以发现,几乎没有平台经营者将违约责任写入隐私政策,因此消费者很难寄希望于主张电子商务平台经营者的违约责任获得救济。第二,在电子商务活动中,除平台经营者外,还存在其他多种经营者(如平台内经营者),但平台经营者拟定的隐私政策并不适用于消费者与其他电子商务经营者之间的交易。因此,若消费者与其他电子商务经营者发生有关个人信息的纠纷,将更难以追究经营者的违约责任。
其次,在侵权法上,举证责任分配的角度观察,在我国法律实践中,对于个人信息的侵权纠纷,大多根据一般侵权的裁判思路,采用过错责任原则,遵循“谁主张谁举证”的证明责任规则。然而在电子商务交易中,作为个人信息处理方的电子商务经营者掌握相关技术和数据,且其处理过程不公开,相较于消费者处于明显的优势地位。根据证明责任分配的距离理论,消费者既不掌握技术,又不控制流程,相关证据多被电子商务经营者所保有,因此其在诉讼中属于“离证据较远的一方”。因此当发生电商领域的个人信息侵权纠纷时,仍遵循由消费者证明侵权者责任的原则会导致消费者举证困难、维权无路。
最后,在消费者损失如何证明的问题上,当电子商务经营者在交易中侵犯消费者的个人信息权时,往往采用各种技术手段进行过度收集或利用,这种隐藏在技术手段之下的侵权行为难以被普通消费者察觉,因此侵权行为常常在消费者无意识的情况下进行。即使其侵权行为被消费者发现,由于个人信息具有一定的公共性,消费者很难证明自己遭受的实际损失。而无论是违约责任还是侵权责任,赔偿损失均以实际损失为限,如消费者不能证明自己遭受实际损失,则难以通过诉讼等方式获得财产上的救济。
从个人信息财产利益的本质来看,对其使用财产权保护模式应是应有之义,但个人信息具有复合性质,若将其人格属性和财产属性分割看待而完全忽视其人格属性,则此种纯粹的财产权保护会造成一系列严重后果。
首先,根据财产权的保护宗旨,权利人应当对其财产享有完全的支配,并在处分、使用等环节完全遵从意思自治原则。从这一原则出发,个人信息将难以避免地陷入完全商业化、市场化的境地,届时信息买卖成为自由,各种不公平的现象将披上“意思自治”的外衣大行其道、逃避监管和制裁。如不同个体因职业、财产、社会地位等不同,经过市场化评估其个人信息的价值也会产生差异,而这种价值差异化现象显然与个人信息的人格属性存在难以调和的矛盾,是对其人格性质的彻底颠覆。虽然个人信息既有人格价值又有财产价值,但对于任何一项具体的个人信息而言,这二重属性并不能割裂开来。因此,采取绝对的财产权保护会极大冲击个人信息中的人格权部分,这不仅不符合个人信息权复合属性的保护宗旨,也与社会一般观念对个人信息保护的期望不符,更不利于促进数字产业的发展。
综上所述,在现行法律框架下,难以就个人信息的财产利益实现有力的保护。因此本文认为,应当考虑在电子商务信息保护领域贯彻消费者保护的理念,使消费者的信息权利能够得到全面保护和充分救济。首先,在电子商务个人信息领域采用消费者保护模式能保证消费者与电子商务经营者地位的实质公平。消费者权益保护的一大特点在于充分考虑消费者在交易活动中的弱势地位,因此针对消费者这一特征在多个方面对其实施倾斜保护,而给经营者规定了更多的义务并课以更重的责任。相比于传统民法中坚持当事人地位平等、以自己意思为主导的思想,此种倾斜保护的理念更加适应消费活动的现实情况。而在电子商务中,由于消费者与经营者通过信息网络进行交易,双方订立的合同也多为经营者预先拟定的格式条款(如隐私权政策等),相较于传统的消费活动,消费者失去了与经营者充分磋商的现实条件;在个人信息处理过程中,经营者掌握大量的资源和技术,消费者一方则难以通过有效途径达到与电子商务经营者平等的地位,双方交易地位的差距愈发悬殊。因此在电子商务活动中,将个人信息置于消费者保护框架下,是能够充分保护消费者权益、保证交易活动实质公平的可行路径。
三、电商消费者个人信息财产利益的保护路径
鉴于我国消费者权益保护法和电子商务法中并无消费者的明确概念,因此有必要对这一权利主体进行分析。
首先,消费者权益保护的目的是补正消费者的弱势地位以平衡交易双方的关系。但法人等主体在交易中往往与相对方地位平等甚至处于优势地位,因此无须作特殊保护。着重保护消费活动中的弱者,也是消费关系区别于合同关系的体现之一。其次,个人信息指向特定自然人,因此自然人是个人信息权的主体;而由于企业具有掌握信息数量大、处理能力强等特点,其所收集并处理的信息能够给其创造巨大的经济利益,且通过技术手段处理所得的结果往往比信息本身具有更重要的价值,因此对于企业所掌握的信息,其价值虽然来源于消费者的个人信息,但由于企业掌握信息量大、处理能力强,应当认为其已经成为企业享有的利益,因此应以商业秘密、交易数据等形态受到保护,若将其归入“个人信息”,既不能与“个人信息权”这一名词的一般含义形成逻辑自洽,也超越了一般人格权的保护范畴。
第二,权利主体有消费,即购买、使用商品或接受服务的行为。值得注意的是,使用他人购买的商品的自然人也是消费者,可见,其不以与经营者有交易关系为必要。
考虑到电子商务交易的特点,有必要对电商活动中的“消费者”的概念作出一定的扩张。在消费者权益保护法中,“消费者”应当基于生活消费需要,而出于生产或经营目的实施消费行为的主体不能认定为消费者。但是在电子商务交易中,存在非因生活需要而直接参与交易的自然人,如其权益在一般的消费活动中遭受侵害,由于其并非基于生活需要,可以认定其与经营者的地位基本平等,故而单独通过合同法即可得到救济无须倾斜保护;然而从个人信息保护角度观察,其在面对具备强大处理能力的电商经营者时同样处于弱势,其在交易活动中提供或暴露的个人信息都可能面临安全或利益的风险,在与这一点与基于生活消费需要的消费者并无不同。为平衡当事人利益,应当对此类消费者的个人信息权进行保护。因此不应当将主体局限于“为生活消费需要”的自然人,而应当将在电子商务交易中为各种目的而消费的自然人都纳入消费者个人信息权保护的范围。
电子商务法和消费者权益保护法中均规定了处理信息的电子商务经营者应当负有对消费者个人信息予以保护的义务。从法律条文可以看出,上述两部法律都将电商交易中的信息保护义务主体限定为电商经营者。在电子商务交易的全部过程中,消费者与多方主体之间都存在法律关系。但其他主体的义务接续自电子商务经营者,且义务内容大同小异并多被经营者义务所包含,故而此处仅对经营者的信息保护义务进行讨论。
个人信息权的财产属性主要体现在支持个人对其信息享有一定程度的支配和控制,而个人信息权的各项权能中最核心的自主决定权正是个人信息权财产属性的高度体现,因为决定权是指消费者对个人信息处理的决定和控制,体现了对消费者自由意志的尊重。可以说,个人信息决定权是意思自治原则在信息保护领域的体现。消费者只有享有自主决定权,才能真正增强其对个人信息处理过程的控制。由信息决定权出发,在个人信息的收集过程中,个人信息权应当具备知情、同意的权能;在信息使用阶段,个人信息权应当具备更正和删除的权能。此外,由于消费者个人信息在电子商务领域具有重要的商业价值,其在信息交换和处理活动中常常被视为一种特殊的商品,并由此产生了使用价值和交换价值,不同的电子商务平台经营者之间通过数据交换和数据共享,同时对消费者进行精准推送和个性化服务并从中获利,此时被交换的消费者信息以商品的形式在不同平台之间流通。因此,作为此种特殊商品保有者的消费者应当具有允许他人使用且有偿使用的权利,这同样是消费者对自己的个人信息进行自主决定的体现。
因此从权利义务相对应的角度观察,个人信息保护义务应当包括以下内容:
出于对消费者知情权的保护,电子商务经营者应当在处理信息前以清晰明确的方式告知消费者有关情况,以使消费者充分知晓并能自主决定和选择;当处理信息的范围或目的等要素变更时,应当就变更事项告知并再次取得同意;义务主体还应当告知消费者查阅、复制有关情况的方式以及联系经营者等义务主体更正、删除信息的渠道。告知义务的适当履行与否,应综合告知的方式、社会普遍观念和行业习惯等多个要素判定。
合理使用的基础是合法使用,在使用消费者信息时首先应当遵守法律、行政法规的规定,不得将消费者信息用于非法用途;其次,在与消费者的权利义务关系中,该义务不仅包括在消费者“知情——同意”范围内的合理使用的义务,还包括消费者许可使用后在许可使用合同的范围内合理使用的义务。民法典第1038条第一款明确了处理者的不作为义务,为电子商务经营者充分适当履行义务划定了范围。
根据民法典第1038条第二款的规定,义务主体应以必要技术措施防止消费者个人信息权被侵犯,如采取物理隔离、防火墙、有效的监测防范机制等。
个人信息买卖无疑是应当禁止并谴责的行为,但消费者作为个人信息主体,应当允许其通过其个人信息的财产价值获得利益。因此在禁止先于信息处理进行对价交易的前提下,应当合理设计有关制度,肯定消费者获得信息利益的权利。有学者提出,电子商务经营者应当设立相关基金,将其通过处理消费者个人信息所获得的利益进行分配,让消费者切实享有其信息的财产利益。本文认为,设立基金的形式能够妥善解决消费者享有信息财产利益和单个消费者获利数额少、分配困难大之间的矛盾,是一种能够充分顾及大多数消费者合法权益的机制。
如前所述,若要矫正消费者与电子商务经营者之间的悬殊地位,降低消费者的维权成本,应以过错推定作为消费者个人信息侵权诉讼的归责原则。过错推定虽仍以过错为要件,但作为过错责任的特殊情况,此时证明是否存在过错的责任已转移至相对方。电子商务经营者等相关责任主体作为离证据较近的一方,应证明在其处理活动中不存在过错,否则应当负侵权责任,因此可以在争议解决的过程中将证明责任转移至电子商务经营者或其他相关责任主体。从法律回应社会发展的角度观察,传统人格权侵权纠纷中所采用的过错责任原则在网络技术十分发达的当今社会已出现适用的困难,难以适应技术时代的背景,个人信息侵权问题频发就是十分有力的例证。因此适当加重电商经营者的举证负担是法律主动适应社会发展的一种表现。从当事人双方地位平衡的角度观察,过错推定原则在构成上以过错为标准,这保障了电子商务经营者进行经营活动的自由,但其将过错的证明责任转移至电商经营者,加重了其举证的负担,对其经营活动也实现了有效的规制,从而能够保障保证消费者合法权益与维护经营自由之间的平衡,也能够实现消费者人格权利与信息流通之间的平衡。值得肯定的是,个人信息保护法(草案)第68条中的表述可以看作是过错推定原则的类似表述,而这也妥善地解决了过错推定只能由法律明确规定才能适用的困境。
根据过错推定的归责原则,在发生纠纷时应当由个人信息处理者证明其在处理活动中不存在过错。应当注意的是,在举证过程中消费者应当就处理者过错承担初步的举证责任,包括就消费者自身的个人信息权受到的侵害、处理者在交易活动中存在不当行为以及因果关系等要素进行举证,并应当达到可以推定处理者有过错的程度;随后应当由电子商务经营者承担证明“自己行为没有过错”的责任,如第三人过错、符合社会公共利益等,以反驳消费者之主张,否则应承担相应不利后果。
作为消费者权益保护的一项重要制度,有别于一般损害赔偿以填平损失为原则的模式,它突破了消费者遭受的实际损失对确定侵权责任的限制,而由经营者承担高于受害人实际损失的赔偿责任。作为消费者权益保护的一项重要制度,惩罚性赔偿在经营、消费活动中具有重要功能。首先,惩罚性赔偿能够充分救济消费者权利,当消费者遭受了实际损失却又难以证明时,适用惩罚性赔偿能够最大限度地填补消费者的损害。其次,惩罚性赔偿又称“报复性赔偿”,其制度目的在于通过较高甚至远超受害人实际损失的赔偿数额来惩治、制裁恶意的不法行为,这也是惩罚性赔偿的主要功能。
最后,惩罚性赔偿还能够通过其责任的严厉性对社会中的其他主体产生威慑作用,从而遏制其他类似行为的发生,维护市场秩序以及经济生活的稳定。
鉴于惩罚性赔偿具有以上功能,其在个人信息领域也有巨大的实用价值。惩罚性赔偿的主要制度价值在于其“报复性”和“制裁性”,而不在于实际填补受害人的损失,在这一点上惩罚性赔偿与精神损害赔偿具有相似性,因其都在证明具体损失、确定赔偿数额这一点上存在困难。所以在不涉及财产利益的案件中,受害人的惩罚性赔偿请求不应得到支持。在电子商务个人信息保护这一领域引入惩罚性赔偿制度,将改变一般的补偿性赔偿这一责任模式在大数据时代的固有缺陷,为保护消费者个人信息权提供财产化角度的支持。
现行消费者权益保护法中规定的惩罚性赔偿制度在个人信息保护领域仍然有相当的适用空间。在消费者权益保护法中,惩罚性赔偿适用于经营者存在商品欺诈、服务欺诈或提供缺陷产品、服务致消费者死亡或健康严重损害的情形,除产品致害的惩罚性赔偿之外,无论是商品欺诈还是服务欺诈行为,均是经营者在消费环节中违反其与消费者的消费合同约定,属于违约行为。因此,当电商消费者与平台经营者(或其他与消费者订立类似条款的经营者)之间发生纠纷时,消费者当然可以主张基于违约行为的惩罚性赔偿责任。然而电子商务交易包含多种交易模式,消费者可能与多种类型的电子商务经营者存在交易关系,但并非所有交易行为都伴有服务协议,因此惩罚性赔偿的适用范围应当扩大至个人信息侵权领域,即当经营者违法处理侵犯消费者个人信息权、且没有追究违约责任的合同基础时,消费者同样能够主张惩罚性赔偿。
惩罚性赔偿本质在于对经营者不法行为的惩戒和制裁,而填补受害者损失则居于惩罚性赔偿制度宗旨的次要地位,甚至可以看作是一种独立于补偿性赔偿责任的、可单独适用的责任制度。因此对经营者课以惩罚性赔偿,不必以消费者实际发生损失为要件,这也能有效规避消费者难以举证其实际损失的有无及大小的困境。换言之,即使消费者并未因其个人信息遭经营者侵犯而造成损失,出于惩罚经营者违法处理信息的目的,也应当使其承担一定的赔偿责任。
结语
在网络高度发达的当下,消费者的个人信息在电商交易中扮演着越来越重要的角色,其产生的巨大财产价值对于促进消费便捷、提高交易效率具有重要作用,然而同时也面临更高的侵权风险。电子商务消费者信息保护领域相关概念及性质仍较为模糊、法律规定不明确以及由此导致的司法适用困难等问题也给现实中消费者权益的全面、充分保护带来了操作上的困境。出于有效、有力保护消费者个人信息财产利益的目的,有必要对电商领域的消费者个人信息作进一步明晰、划定个人信息的外延,确定信息财产利益的保护范围;此外,应当对个人信息权的性质作出阐明,承认其复合利益的属性,确认个人信息权是消费者享有的一项独立的并具有多重利益的权利,同时充分利用其财产属性、以财产权保护模式应对信息商品化的现状。在保护消费者个人信息财产利益的制度构建方面,首先应当明确消费者个人信息权的权利主体,完善对各类消费者个人信息财产利益的保护;其次,应当根据信息财产利益的特征,进一步明确电子商务经营者应当负担的各项义务,完善消费者——电子商务经营者之间信息处理法律关系的内容;再次,在消费者信息财产利益的侵权救济方面,应确认符合电子商务交易特点的适用规则,充分考虑消费者与电子商务经营者在技术水平、交易地位上的差异,确定过错推定为消费者信息侵权领域主要的归责原则;最后,应当引入惩罚性赔偿制度这一与财产利益直接相关的责任形式,形成完整的消费者信息财产利益的救济制度。
往期精彩回顾
纪欣桐|论破产法上代偿取回权的意义及其制度完善——基于我国代偿取回权的破产立法现状与问题
朱燕燕|营业转让中的债权人保护——以东方红水泥有限责任公司重组案为例
上海市法学会官网
http://www.sls.org.cn