強化個人信息保護、避免被違規收集和盜取，應從兩個方面着手

2022-03-02

案件背景：

互聯網時代，數據已經越來越成為最重要的生產要素和戰略資源，消費者的個人信息保護問題也日益凸顯。各種商家、平台都會廣泛收集消費者的個人信息，如性別、地域、電話、網上瀏覽記錄等，並通過算法推薦、個性化廣告等機制反過來影響消費者的消費行為。與此同時，用户數據被泄露、竊取的情況也時有發生。這些行為使得每個消費者都曾或多或少受到個人信息被濫用或泄漏的困擾，比如無孔不入的廣告推銷、令人不勝其煩的垃圾信息、防不勝防的電信詐騙等。消費者的隱私、財產安全都因此受到威脅。但對於單一消費者而言，維權程序複雜且成本高昂。在此背景下，增強個人信息保護意識，充分了解個人信息主體的權利範圍和救濟方法，對消費者權益保護來説顯然具有重要價值。

剛剛過去的2021年，我國出台了有可能是中國進入信息時代以來最重要的幾部法律文件，包括《民法典》、《數據安全法》、《個人信息保護法》等，構建了個人信息保護的法律框架，同時建立了行政、民事、刑事、公益訴訟四位一體的立體保護模式，以期將個人信息保護落到實處。本文將結合實踐中的典型案件，介紹消費者個人信息面臨的風險及其應對。

案例分析：

根據2021年11月1日生效的《個人信息保護法》，個人信息指“以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息”。參考國家市場監督管理總局、國家標準化管理委員會共同發佈並於2020年10月1日實施的《信息安全技術個人信息安全規範》，日常生活中與個人相關的大多數信息，如姓名、性別、身份證號碼、職業、學歷、通訊記錄、網站瀏覽記錄等，都可能被認定為屬於個人信息。

同樣根據《個人信息保護法》《民法典》等相關法律，信息處理者在處理個人信息的過程中，即收集、存儲、使用、加工、傳輸、提供、公開、刪除等各個環節中，都應該按照“告知-同意”的基本邏輯，遵循合法、正當、必要的基本原則。實踐中，消費者的個人信息面臨的風險主要有以下幾種：

第一，個人信息被違規收集的風險

違規收集個人信息包括擅自收集個人信息和超範圍收集個人信息兩種。擅自收集個人信息，指商家、平台在收集消費者的個人信息時，未獲得消費者的明確同意，未告知收集信息的目的、用途等。例如，2021年，小鵬汽車銷售服務有限公司在未取得消費者同意，也無明示、告知消費者收集、使用目的的情況下，在旗下門店安裝攝像設備，違規採集上傳人臉照片40餘萬張。最終該企業被上海徐彙區市場監督管理局的罰款10萬元。

超範圍收集個人信息常見於線上商家或平台，一般指強制、頻繁、過度索取權限，強行收集非必要信息。例如，居然之家開發的洞窩App近日就因為超範圍收集個人信息，被工信部公開通報（《關於侵害用户權益行為的APP通報（2022年第1批，總第21批）》）。其《隱私政策》要求用户提供“真實姓名、性別、生日、配送地址、聯繫方式、通訊錄、相冊、日曆、定位信息等”，但是並未告知用户獲取上述個人信息的用途，也未告知用户有權拒絕或關閉對上述信息的授權。若不同意上述《隱私政策》，消費者將無法正常使用該app。

收集是信息處理的第一步，違規收集個人信息增加了後續信息濫用或泄露等風險，將極大影響消費者個人信息安全。

第二，個人信息被濫用於大數據分析的風險

濫用個人信息進行大數據分析，主要指商家、平台將收集的個人信息過度用於用户畫像、個性化廣告推薦、自動化決策等。在給消費者帶來便利的同時，也產生差別定價、誘導性消費等問題。

據中國消費者協會的相關報告，網絡領域涉及消費者權益的算法應用問題主要有6種：推薦算法、價格算法、評價算法、排名算法、概率算法和流量算法。其中，價格算法就是飽受消費者詬病的“大數據殺熟”。例如，2020年12月，某零售平台用户“漂移神父”發現配送地點相同的外賣，使用會員賬號登錄的配送費是6元，而使用非會員賬號僅用2元。究其原因，很可能是認為會員作為老用户消費頻率通常較高，對平台依賴度也相對較高，價格敏感度相對較低。

推薦算法的違規情形也比較常見，如App運營者通過分析用户瀏覽過的頁面、廣告、商品、話題等有針對性地進行商業營銷，如果未能充分告知並獲取用户同意，則也是侵害用户合法權益的行為。在工信部通報的款App中，存在“強制用户使用定向推送功能”的違規App佔比為，在所有被關注的違規問題中排名前列。

濫用個人信息進行大數據分析，不僅給消費者的權利帶來直接影響，長時間來看，還危害國家安全和社會公共利益、擾亂經濟秩序和社會秩序。目前已經引發社會廣泛關注。

第三，個人信息被出售、泄漏與盜取的風險

一方面，商家、平台本身可能會非法出售用户的個人信息用於牟利。例如2021年檢察院公佈一起個人信息保護公益訴訟典型案例2016年至2018年期間，温州某兒童攝影公司員工張某某、某兒童培訓公司員工盧某某等人，為公司商業營銷需要，採用購買、交換等方式從温州多家醫院非法獲取1萬餘條孕產婦個人信息。期間張某某等人還向他人出售、提供孕產婦個人信息。

另一方面，商家和平台收集的大量個人數據，也存在較大被人為泄漏、惡意盜取的風險。例如，2021年6月公開的一份刑事判決書【案號（2021）豫1403刑初78號】顯示，一名住在河南商丘市的本科畢業的大學生逯某自2019年11月起，對某電商平台實施了長達八個月的數據爬取並盜走大量用户數據；另一名住在湖南省瀏陽市的初中畢業的黎某利用這些信息，建了1100個微信羣，每個羣90-200人不等，每天用機器人在羣裏發該電商平台的優惠券，賺取返利，並在短短的8個月內獲利34萬餘元。在該電商平台注意到這一問題前，已經有超過11億8千多萬條用户信息泄露。

相較於其他財產，個人信息的價值往往不體現在對個別主體、個別信息的直接使用或交易上，而是體現在對大量數據的分析、篩選以及後續的深度使用過程中。這些過程對消費者權利的侵害是的隱晦的，導致儘管上述侵權現象已廣泛存在，但消費者維權卻非常困難。

《個人信息保護法》第七章也專門規定了違規處理個人信息的法律責任，包括行政處罰、民事賠償、刑事追責、公益訴訟等。結合其他具體部門法的規定，在個人信息法律保護領域，我國已經建立起了包括行政、民事、刑事、公益訴訟在內的全方位的個人信息保護救濟體系。這也意味着，消費者可以通過行政、民事、刑事及公益訴訟四個方面進行維權。

在行政監管方面：由行政部門直接對違規處理個人信息的企業進行監管，是目前消費者保護個人信息權利最快捷的方式。個人信息保護方面並沒有統一、專門的監管機構。實踐中，在國家網信部門統籌協調下，電信主管部門、公安部門、市場監管部門以及金融、教育、交通、醫療、衞生等相關領域的主管部門，都可以對其行業內侵犯消費者個人信息權益的行為進行監督、查處。

根據《個人信息保護法》，消費者有權對違法個人信息處理活動向履行個人信息保護職責的部門進行投訴、舉報。履行個人信息保護職責的部門，可以採取詢問當事人，查閲、複製相關文件、實施現場檢查等措施。並在發現個人信息處理活動存在較大風險或者發生個人信息安全事件的，直接對該個人信息處理者的法定代表人或者主要負責人進行約談，或者要求個人信息處理者進行整改，消除隱患。實踐中，通過行政監管方式整治侵犯個人信息的企業，成效十分顯著。例如， 2021年，工信部累計開展了12批次技術抽檢，通報了一千多款違規APP，下架了五百多款拒不整改的APP。

在民事訴訟方面：通過民事訴訟尋求排除妨害、損害賠償等救濟，是消費者直接維護自身個人信息權利的重要方式，尤其適合已經造成明顯經濟損失的情形。

2021年7月7日，經紹興市柯橋區法院審理了胡女士訴某在線票務服務平台侵權糾紛一案，該案是首例消費者在質疑遭遇“大數據殺熟”後成功維權的案例。該案中，原告胡女士此前多次通過該平台APP預定機票、酒店，成為該平台的鑽石貴賓客户。後胡女士通過該平台APP訂購了舟山某高端酒店的一間豪華湖景大牀房，支付價款2889元。但在退房時發現酒店的掛牌房價加上税金總價僅1377.63元。後該平台以供應商問題為由，僅退還了部分差價。胡女士遂以該平台採集其個人非必要信息，進行大數據“殺熟”為由訴至柯橋區法院，要求“退一賠三”，並要求該平台APP為其增加不同意《服務協議》和《隱私政策》時仍可繼續使用的選項。

柯橋區法院審理後認為，該在線票務服務平台APP作為中介平台，向原告展現了一個溢價100%的失實價格，未踐行鑽石貴賓享有優惠價的承諾。而且，該平台在處理原告投訴時告知原告無法退全部差價的理由，經調查也與事實不符，存在欺騙。故認定被告存在虛假宣傳、價格欺詐和欺騙行為，支持原告退一賠三。同時，該平台APP的“隱私政策”要求用户授權該平台自動收集用户的個人信息，包括日誌信息、設備信息、軟件信息、位置信息等，並許可其使用用户信息進行營銷活動、形成個性化推薦，將用户的訂單數據進行分析從而形成用户畫像。上述信息超越了形成訂單必需的要素信息，原告因之不同意被告現有“服務協議”和“隱私政策”合乎情理，應予支持。

參考該平台案件，消費者若因個人信息問題遭受損失，無論金額大小，都可以選擇提起民事訴訟的方式維權。但是，該種維權途徑可能存在週期長、成本高、回報率低的問題。且一般消費者缺乏收集證據的經驗和能力，相關法律規範和司法實踐對於個人信息侵權的構成要件、舉證責任等問題，標準也並不明確。因此消費者個人提起民事訴訟也存在較大的風險。

在刑事訴訟和公益訴訟方面：刑事訴訟和公益訴訟，都可以適用於多個消費者個人信息權益受到侵害的情形，有利於解決個人信息非法出售、泄漏、盜取等嚴重問題。

刑事訴訟的程序往往更加複雜，由公安機關、檢察院主導，證據證明標準更高，但對違法者的懲處也更加嚴格。而公益訴訟靈活性更高，程序相對簡單，起訴主體可以是人民檢察院、法律規定的消費者組織或由國家網信部門確定的組織。最終主要通過與行政機關的配合實現對數據處理者的監督。目前已經存在懲罰性賠償制度。

律師建議：

互聯網時代，消費者的個人信息面臨被違規收集、濫用、泄漏、盜取的巨大風險，伴隨而至的價格歧視、垃圾短信、騷擾電話、精準詐騙日益威脅着消費者的隱私、財產安全。消費者個人也應增強個人信息保護意識，充分了解個人信息主體的權利和救濟方法，維護自身的合法權益。消費者個人信息權保護要從消費者自身抓起，從兩個方面着手：事先預防和事後救濟。

在個人權益受到損害前，消費者要提升個人信息保護意識。第一，消費者應注意保護自己的個人信息，儘量不註冊不上傳個人信息。其次，在安裝App時，應優先選擇清晰標註開發者品牌且所屬企業較為知名的App。使用時，應慎重授權涉及個人敏感信息的權限請求，如通訊錄讀取請求。在網絡購物時，要注意涉及個人敏感信息的信息展示，做到全面關注、謹慎出示、信息敏感。有些電商消費者對此重視度略有欠缺，存在僥倖心理，對於個人信息的隱蔽意識不夠，對於個人信息包含範圍不清晰，對此類平台要格外注意。第三，注意閲讀《隱私政策》。《隱私政策》不僅會公佈商家收集、使用信息的範圍、目的，也會約定消費者享有的查閲、複製、刪除等權利，更會顯著標識其聯繫方式。最後，在使用之後，還要消除無效且過期的個人信息。

若發現個人信息權利受到侵害，除積極與商家、平台溝通，要求其及時刪除相關信息或採取保護手段，避免損害的擴大外，也可以利用法律手段。法律規定的不同的維權方式在啓動程序、舉證責任、賠償標準等問題上各有區別，不同的消費者應當根據自身的具體情況，選擇適合自己的維權方式，儘可能地尋求多種途徑的救濟，包括向當地行政主管部門進行投訴、舉報，向消費者權益保護協會反應情況，向人民法院提起訴訟，嚴重時還可以將有關情況報告公安機關尋求刑事救濟。消費者可以用好法律這一武器和屏障，充分保障自己的合法權益。

總而言之，任何商家、平台不得在未得到消費者授權的情況下收集其個人信息，不得將收集的信息用於與其功能無關的目的。消費者有權撤回授權，也有權要求商家、平台按照其指示轉移、刪除相關信息等。消費者應充分利用好自己的權利。

*律師介紹：*北京象星律師事務所主任鄭瑋