摘 要:公民作为消费者拥有要求商家以及其他相关相对人保护其私人生活不受干涉,并且不得非法利用其个人信息的权利. 大数据时代,海量信息收集、储存与利用的成本大大降低而效率却迅速提升,这种高度开放的信息流动也使消费者个人数据被泄露和非法利用的风险增加.消费者隐私权可能由于信息泄露、第三方窃取和过度收集与利用等原因受到侵犯. 对此有必要从理念、技术制度等多个层面发掘有效举措,避免给消费者隐私权造成威胁.
关键词:消费者 隐私权 大数据 信息泄露
2017 年 中消协举办的 "网络诚信 消费无忧 "国际消费者权益日主题活动上发布了"网购诚信与消费者认知"调查报告.除却针对价格欺诈、质量问题和虚假宣传的反映,"泄露隐私,没有保护用户个人信息的安全"构成了网络消费售后服务方面的主要问题.①经常有消费者遇到商家推销短信与电话,并发现他们能清晰、准确和全面地掌握自己的各种私人信息,比如姓名、性别、职业、家庭出身、经济与健康状况和教育经历等. 消费者在商家面前近乎成为了"透明人". 其购买选择的范围、倾向和目标也都成为数据模块,任由商家进行分析和处理. 随着信息核心时代的到来,大数据日益成为一种重要的信息处理依据并在很大程度上影响电子商务的发展,学界将更多的注意力放在了电商平台的假货治理上,而对于消费者的个人信息泄漏问题相对来说关注较少.对此有必要深入探索大数据时代背景下的消费者隐私权保护问题.
一、消费者隐私权的意义
隐私权意味着个人能够掌控其私人领域的相关信息,其中包括是否允许他人知晓乃至利用自己的隐私.《侵权责任法》第二条第二款明确将隐私权作为一项公民基本权利规定出来,确认了公民主张保护自己隐私权的重要法律依据. 从字面上看,"隐"即避免公开透明;"私"即意味着避免公共性,隐私的意义就在于不为公众知晓的私人内容.由于数字经济的发展不得不依赖数量与范围规模不断提升的个人数据,消费者隐私权作为新类型的人格权,是公民隐私权的下位概念,同时也应结合时代背景予以特别关注.
消费者有要求商家以及其他相关相对人保护其私人生活不受干涉,并且不得非法利用其个人信息的权利. 目前诸多国家为了避免消费者隐私权受到侵害,将消费者隐私权内容进行了明确区分:一是消费者有权隐藏个人隐私.在不违反国家强制性规定或者不违背国家公共利益的前提下,消费者有权决定将其个人信息告诉或者不告诉他人;二是消费者有权利用和支配个人隐私. 在不违反法律和公序良俗的前提下,消费者有权对其隐私信息按照个人意愿加以支配和利用;三是消费者有权维护个人隐私. 在其个人隐私遭受可能的泄露风险或者可能被他人非法利用的情形下,消费者有权依法保护其个人隐私不为他人干涉.信息时代使信息的产生、传递、交换与计算更为便捷,同时也让人们在更多情境下,面临个人信息的暴露风险,各个国家尤其是信息技术超前发展的欧美都非常重视该问题,着力发掘有效管控该问题的方式,②从而在消费者隐私权益保障,以及依赖于大量个人数据的技术革新之间找到最佳平衡点.
二、大数据时代消费者个人信息保护的界限
(一)大数据对数据把握的广度与深度
作为融合了数学、统计学、计算机科学、社会学、心理学等领域的交叉性学科,大数据将技术理性、思维理念和人类需求统一了起来. "移动设备的普及和技术的飞跃使得人和物的所有轨迹可以被记录,这些数据堆积就形成了海量的大数据.③"总的来说,大数据在获取、存储、管理和分析等方面远超传统数据能力范围,具有海量数据规模、快速数据流转和多样数据类型的特点. 信息处理的过程,将突破海量界限的超大量元素导入认知系统当中,从而形成多领域和大范围的洞见和收益,如操作优化、行动情报的获取、新兴市场的挖掘、精准的预测、失误情形的探索、更多详尽的记录、决策的改进与科学的发现等.④当然,还有无尽的可能价值等待我们发掘.通过尝试确定一种未来事项的具体结果,该方法将信息的意义解读拓展至传递信息间相关意义可能性与方式,从而构成一种新的认知,即对于尚未存在"可能事实或者智识"的获取与分析.
(二)大数据推进消费者维权理念的变革
在电子商务领域,大数据的影响力直接导致商业思维的变化.与此同时,"网络市场及新兴消费模式的出现,使大数据下的消费者权益保护遇到了新的问题. "⑤消费者隐私权问题就是其中之一. 在数字化时代数据支持交易的作用被掩盖,数据只是被交易的对象,而在大数据时代事情再次发生变化,数据的价值从它最基本的用途转变为未来的潜在用途,这一转变意义重大它影响了企业评估其拥有的数据及访问者的方式.云计算、物联网以及数据挖掘与分析的发展,促进了网络之间的信息流动. "商家可以通过大数据技术对消费者在网上购物时所留下的浏览痕迹、购买记录、性别等数据进行分析,了解消费者的需求、预测其将来的消费行为,从而针对不同需求的消费者进行广告推送服务,使商品推荐更加个性化和精准化."⑥大量信息收集、储存与利用的成本大大降低而效率却迅速提升,这种高度开放的信息流动也使消费者个人数据被泄露和非法利用的风险提升. 例如,2017 年 6月 7 日有网友在网上发帖称"某订票网随意泄露乘客身份信息和手机号码". 由于 6 月 1 日在某订票网帮助朋友预订机票,第二天朋友就反映其行踪泄露的情况;该订票网因该问题曾经多次遭到用户投诉,甚至还有网友担忧其可能利用用户信息进行其他违规操作.⑦为了减少差评和其他不良评价信息在网上的发布,电商企业通过后台往往能够接触用户个人信息并进行删改,这对于消费者隐私来说也意味着巨大的泄密风险.
与诸多种类的新兴科技类似,大数据像双刃剑一样能够同时带来福利和挑战.人们能够借助大数据获取大量数字化的消费者个人信息,一方面使更多消费者卷入电商交易发展的洪流中,另一方面也逐步丧失对个人信息的有效掌控.个体针对产品的需求能够实现"精准化"的满足,而与此同时消费这个人的数字化也使他们自身称为"以名字、符号和标示为载体的档案. "⑧从积极的层面来说,消费者能够借助个人账号享受搜索网站提供的免费内容和服务,在网络购物界面中甚至可以享受到个性化服务.这在很大程度上减少了搜索时间成本,并使他们更有效地与商家展开互动. 对商家来说,消费者数据能够减少浪费在对产品并无兴趣消费者身上的成本,从而在潜在意义上降低了产品预期价格;从消极层面来看,消费者个人数据的泄露也会带来相应的不良影响.无论是主观上对商务交易信赖的缺失,还是客观上遭遇的身份信息被非法利用的风险,以及骚扰电话带来的时间成本,都属于典型表现.
因此,本文更加倾向于将个人信息作为隐私的观点.网络技术的发展两面性使消费者个人信息纳入监管视域的范围受到一定的限制. 虽然从外延上来看,消费者隐私的范畴小于其个人信息,但对个人来说,是否希望某种信息为他人所知要以主观标准来评估.例如,即使明星隐私有时会成为娱乐消费的素材,但这不代表他们不享有民法上的隐私权.其他公民是否愿意将某种个人信息传播出去也无法依据统一标准来评判.因此本文强调消费者隐私权保护是因为我们需要在这两者之间划定一个界限,以消费者是否愿意将特定信息公之于众作为依据,来评断其"姓名、性别、年龄、职业、联系方式、健康状况、家庭状况、财产状况、消费记录等与消费者个人及其家庭密切相关信息"是否可以纳入其"隐私"这一范畴当中.
三、侵犯消费者隐私权的可能路径
(一)消费者个人信息的泄露
随着消费者个人信息商业价值的积累,其作为大数据分析的价值越发提高.消费者在网上交易过程中需要在网站注册、订单填写和移动支付中将相关个人信息(主要包括姓名、联系方式甚至网银账号等)录入程序. 商家如果没有提高数据库安全等级,或者意图利用消费者信息推送宣传界面时,就很有可能因为故意使用甚至转让行为导致消费者个人信息被滥用.信息泄露的渠道主要包括快递企业、经营店主、电子商务平台等,因此电商平台经营者在消费者相关信息泄露之后都应当承担相应的责任.信息社会中个人信息的"商品化"体现在网购、直播和微博等多种形式的新兴媒介当中. 这种"商品化"趋势导致监管困难,因而非常不利于电子商务的良性发展.
(二)第三方窃取信息
网络经营者以及用户以外的第三方,尤其以倒卖消费者个人信息为主业的网络黑客,会借助网络安全系统存在的漏洞,通过捆绑病毒或者隐秘植入后门程序、以假冒镜像网站等方式窃取消费者个人信息."信息主体有权被告知收集,未告知而秘密获得个人信息的行为侵犯了信息主体对信息的管理权能,与盗窃无异议. "⑨第三方窃取是造成消费者个人信息安全隐患的最主要原因,单是从江苏省的数据来看,截止到2017 年 6 月 ,江 苏警方从网络安全保卫总队发布行动 3 个月来,江苏警方已破获黑客及侵犯公民个人信息犯罪 189 起,抓获嫌疑人 699 名. 这一系列案件说明侵犯公民个人信息犯罪已形成黑色产业链,黑客和"内鬼"是主要的源头.⑩黑客借助网络技术尤其是大数据跟踪消费者消费记录等痕迹,从而在嵌入网页跟踪代码等方式的前提下掌握大批消费者的选择倾向.无论是电商平台信誉还是消费者积极性都会因此受到打击.
(三)过度收集与分析
商家为了精准营销势必要了解用户的具体需求,建构在全面覆盖、富含偏差与关联密切的分析模式上,能够相对准确地发掘用户的消费偏好、需求、能力、习惯并从宏观上预测市场发展趋势. 精准营销带动的大数据对信息边界和范围的拓展,也可能导致个人信息被过度收集和分析,进而导致消费者隐私受到侵犯的隐患. 网络运营者在为用户提供软件服务时,也有可能借助技术监控手段,在未经用户同意的情况下跟踪其聊天记录,甚至实时建构其空间更新和位置信息等资料. 对此有必要从理念、技术制度等多个层面发掘有效举措,避免大数据给消费者个人信息安全造成威胁.
四、大数据背景下消费者隐私权保护的构想
(一)从理念层面来说
大数据不仅能够在纵深性和广泛性上全面获取与分析消费者个人信息,还能够据此预测消费者可能的行为动向,例如购买选择预测等.事实上,大数据的核心价值之一就是"预测"功能. "通过数据挖掘(Data mining)获得大数据的深层含义,世界许多在单纯依靠人类判断力的领域都会被计算机系统所改变甚至取代.大数据分析不仅使亚马逊知道我们喜欢的图书,让淘宝网推荐我们可能需要的产品,甚至在识别犯罪、证据搜索上发挥巨大的作用. "辑讹辊大数据可以在精度、深度尤其是广度上大大突破和颠覆传统数据功能的发挥.其分析视域已经从过去的"既有"信息分析,转向对于未来可能趋势的分析.
�讹辊大数据的预测功能,要求我们对消费者隐私权的保护应当从传统上单纯抑制侵权的惩罚性理念为导向,转变为以预测可能侵权的预防性理念. 对消费者个人选择的预测表面上看是对其隐私权的可能侵犯,而实质上这种预测本身就意味着相关预判资源已经为他人所利用,所以"在大数据时代,我们需要设立一个不一样的隐私保护模式,这个模式应该更着重于数据使用者为其行为承担责任,而不是将重心放在收集数据之处取得个人同意上. 这样一来,使用数据的公司就需要基于其将对个人所造成的影响,对涉及个人数据再利用的行为进行正规评测. 当然,并不是说任何时候都必须详尽. "�讹辊监管部门应当将大数据分析作为判定工具,借助网络技术明确调查方向之后,再结合传统方式立案调查效果会更好.
(二)从制度层面来说
未来个人隐私面临企业数据应用的动机时,可能因为技术壁垒而无法及时有效维权,或者无法找到合法而又有针对性的维权措施.结合上述理念转变的讨论,我国针对消费者个人信息保护的立法问题已经有所进步. 2013 年 2 月 1 日《信息安全技术公共及商用服务信息系统个人信息保护指南》正式实施,这意味我国首次提出个人信息保护的国家级标准,并据此提出针对个人一般信息可以建立在默许同意前提下,即在没有个体明确反对时可以收集和利用信息;而对于个人敏感信息则必须基于个人明确授权才能收集和利用.这种类型化模式打开了我国个人信息保护有据可循的大门. 2014 年 3 月 15 日实施的新消法也首次确认了消费者权益保护中个人信息保护的法律地位.经营者要在消费者同意的前提下,才能够收集和利用个人信息,并且不能随意向其发送商业信息. 2016 年11 月 7 日 由全国人大常委会发布的 《网络安全法 》于 2017 年 6 月 1 日起正式生效,该法第四章专门针对网络信息安全问题做出规定并指出:"网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度. "针对我国消费者隐私权保护问题的立法进步显而易见.
当然,看到上述进展的同时还要注意以下几个问题:首先,《网络安全法》重在加强网络运营者对用户信息的管理,这并非是针对消费者个人隐私的保护的直接管控.我国仍然要完善相关规定,尤其是推进《个人信息安全保护法》的制定与发布;�讹辊与此同时,应当确保大数据独有权和技术发展协调合作共赢之间的平衡.其中最为关键的就是应对消费者信息披露的风险密集地---数据垄断企业.监管部门应当将数据垄断监管和信息保护结合起来,并将各个部门法体系统一起来."消费者保护不能仅由私法来达成,而必须由公法予以协力. "辏讹辊与此同时,关注数据作为创新源泉的积极作用和消费者个体权益保护的可能风险,推进大数据平台的良性竞争,才能为保护消费者个人隐私提供有效的制度支撑;再者,电子商务语境下消费者与企业之间的互动,无法避免相关主体有关资质等方面信息的互通,这就要求为商家确认他们遵循的制度界限提供规范性支撑. 在制度许可范围内,商家需要依据不同的语境来判断对数据的运用是否恰当,是否越界;消费者对商家信誉的认同在何等程度上会由于其个人数据的应用而受到不良影响;这些问题都要根据实际交易情形来判断.据此有必要将消费者信息保护规制导向商家与消费者的良性互动,从而基于互信原则建构起商家与消费者互利共赢的局面.
(三)从技术层面来说
大数据作为新兴事物其运作模式以及运算法则等都可能因为认知壁垒,而造成大数据分析和导控信息难以追踪.《网络安全法》第五十条指出:"国家网信部门和有关部门依法履行网络信息安全监督管理职责,发现法律、行政法规禁止发布或者传输的信息的,应当要求网络运营者停止传输,采取消除等处置措施,保存有关记录;对来源于中华人民共和国境外的上述信息,应当通知有关机构采取技术措施和其他必要措施阻断传播. "该规定就监管部门面对大数据变革时代的信息保护技术进度,提出了相应的要求. 对监管部门来说,如果期待全面突破消费者个人信息被非法利用的可能性与线索,就面临着严峻的技术障碍,因而必须依赖新型专业技术和机构,并且将监管规划与相关预测模型结合起来,通过透明、公开和紧密的方式展开追踪,而实现这种技术转型是利用大数据保护消费者个人信息的必要前提;其次,监管部门应适当确认消费者个人信息的类型化标准,从而基于程序设计为消费者信息呈现建构"有差异模糊化"的策略,一方面,在一定程度上确保消费者个人信息安全,另一方面,也尽可能帮助企业在应用个人数据过程中有据可循.为了确保信息合法利用与个人隐私保护的平衡,有观点认为,监管机制可以决定不同种类的个人数据必须删除的时间.再利用的时间框架则取决于数据内在风险和社会价值观的不同.公司可以利用数据的时间更长,但相应地必须为其行为承担责任以及负有特定时间之后删除个人数据的义务.�讹辊例如国外社交网站 Facebook 在向潜在广告客户公布用户信息时就依据差别隐私的方式,客户只能在其中获取大概数量,而尝试挖掘出特定个人与数据点之间的关联性就要耗费巨大成本;最后,监管部门应当结合电子商务企业获取消费者信息的多元化途径,采取有针对性的监管措施. 正如上文指出的那样,通常企业借助网上直接调查、在线注册、Cookies 文件等合法路径获取用户信息,但也可能借助间谍软件、木马病毒、网络入侵、钓鱼网站或者非法转让等路径将消费者购物习惯、消费喜好以及经济状况的资源进行收集与分析. 这些路径对应不同的数据挖掘技术与算法,�讹辊因而有的放矢地应对消费者个人信息泄露的风险.
五、结语
网络技术和电子商务的发展持续引发人们针对消费者个人信息保护的思考.大数据时代下的消费者隐私权问题涉及的不仅仅是消费者的个人利益,还关涉到电子商务交易各方乃至第三方支付机构等法律主体的利益平衡.因此对该问题不但需要国家力量的积极介入,还要整合各种社会力量和资源,通过社会共治的模式实现综合性保护与系统性调整.多元利益的冲突与整合是市场经济条件下的重要社会特征,�讹辊需借助开放畅通的利益表达和实现机制开展整体性市场管控. 其目的是借助"广泛的信用宣传发挥正面激励和反面鞭策作用.完善市场主体信用信息公示制度,让市场主体的行为、市场的交易真正置于市场交易各参与方的监督之下,"�讹辊因而,对消费者隐私权保护的问题不但要将事前、事中和事后的系统监管关联起来,还要改善目前法律体制单一局面,建构系统的规范体系和监督机制.同时将消费者隐私权保护建立在社会性市场规制的全面建构,以及多元主体良性互动的基础上.