论网络营销中侵犯个人信息权的法律保护
李佳润
(江苏师范大学 法学院,江苏 徐州 221000)
摘 要: 网络营销在给消费者带来便利的同时,也带来了个人信息泄露的隐忧。目前,网络平台经营者正从技术层面保护消费者个人信息权,公安机关扩大了网络警察力量,立法、学界加强了立法研究,大大推进了我国公民网络营销中个人信息权保护的法治进程,促进了法律保护。但是,2018年网络营销个人信息重大侵权事件多发,立法及理论尚有问题需要探讨。
关键词: 网络营销;个人信息;法律保护
一、问题缘起
据《360:2018年中国互联网安全报告(个人安全篇)》报告,2018年全年,360互联网安全中心共截获移动端新增恶意程序样本约434.2万个,平均每天新增约1.2万,新增恶意程序类型中隐私窃取高达33.7%。2018年360手机先赔共接到手机诈骗举报7 716起。其中,诈骗申请为3 380起,涉案总金额高达1 927.9万元,人均损失4 969元。回顾2018年,国内营销网络侵权事件频发,2018年5月江苏淮安警方成功侦破一起公安部督办的“黑客”非法入侵快递公司后台窃取客户信息牟利案件,抓获犯罪嫌疑人13名,缴获非法获取的公民信息近1亿条。随后曝光的有喜达屋酒店预订的5亿名客人的信息被泄露,华住集团旗下酒店5亿条用户信息泄露,暗网上有人兜售圆通10亿条快递数据。这些事件,再一次将网络营销个人信息法律保护问题摆到了政府有关部门及理论界、实务界的面前。笔者认为,网络营销中个人信息的概念及特征尚不够明确,认定责任要件有待界定,法律法规亟待完善。
二、网络营销中个人信息的概念及特征
(一)网络营销中个人信息的概念
个人信息是指可以直接或间接识别权利主体的信息。网络营销中的个人信息是指,消费者填写由网络经营者以电子形式保存,在网络营销环境下传播或有可能传播于网络的涉及特定消费者的数据或资料。包括个人实名、真实手机号码、身份证号码、邮件寄出地、接收地、家庭住址、工作单位、指纹、不动产等可以用来直接识别特定消费者个人的信息。网络营销环境下的个人信息主要包括两大类:一类是虚拟网络营销环境中专有的个人信息,比如微信号、QQ号、电子邮箱等;另一类是消费者个人的真实信息,一旦进入网络平台设备,就可以实时转化成网络营销环境中的个人信息。
(二)网络营销中个人信息侵权的主要特征
在网络交易环境下,由于互联网的特性决定现阶段网络交易主体范围大幅拓展,甚至任何人只要拥有网络终端设备并接入互联网就可进行交易,进而引发相应信任风险、法律风险。这种独特的网络交易环境,使个人信息权侵权呈现出以下几点特征。
1.侵权手段多样化,且具有隐蔽性。网络营销中个人信息权的侵权行为往往使用了高技术手段,加之网络环境虚拟,侵权地域不易确定,锁定侵权行为主体极其困难。消费者在营销网站上选购商品、与店家信息互动、与电商平台网上支付、支付方式的选择、物流快递等活动中,均可能被其存储个人信息。如果这些信息被不法分子获得,即使侵权事实发生,被害人也常被蒙在鼓里,直到损害发生才恍然大悟。目前,网络黑技术不断出现,远程攻击的木马程序、静待上钩的“钓鱼”程序,获取、增删个人信息的方式出现了多样性和隐蔽性的特征。
2.侵权方式便捷,侵害后果严重。营销网络具有高度的渗透性和高度的传播速度性,网络侵权可以做到足不出户,在网络与智能传输设备结合的情况下披露、删除、修改、传播个人信息便捷快速,隐私信息公开范围转瞬至全球范围,中间通过网民下载及转载可将损害无限制扩大,致使当事人的信息泄露,侵权危害极大。即使平台删除但已经下载的个人信息却无法删除,仍可通过朋友圈、微信群、QQ群转发,重要信息可能被披着合法外衣使用,比如营销人员电话促销;也可能为犯罪分子利用,造成财产损失。据报载,某电商平台的网店卖家,因买家差评,就打电话要求删除和修改为好评,遭到拒绝后利用掌握的买家个人信息,不惜买通社会人员上门强求买家好评,严重侵害了消费者的合法权益。
2.有过错。界定是否存在过错,我们认为应当适用过错推定责任原则。只要网络营销经营者不能提供自己没有过错的证明,就推定其对消费者个人信息泄露及不当使用有过错。如果网络营销经营者能够提供自己没有过错的证明,就不承担赔偿责任。这一点,欧盟的规定值得我们借鉴。《欧盟个人资料保护指令》第23条规定,如果信息管理者能够证明他不对产生损害的事件负责,可以全部或部分免除他的责任。
三、网络营销中个人信息侵权行为的构成要件
(一)对于一般的侵权行为的构成要件
只有当对消费者个人信息侵权的一个行为,同时满足承担损害赔偿责任的四个要件时,网络营销的经营者才承担侵权损害赔偿责任。
(二)网络营销中承担个人信息不当损害赔偿责任的构成要件
至于专门针对网络个人信息权的保护,主要是2012年全国人大常委会颁布的《关于加强网络信息保护的决定》和2000年实施的《关于维护互联网安全的决定》,对通过互联网侵犯他人信息权的具体形式及应承担的责任做了规定。2017年6月我国颁布了《网络安全法》,作为我国第一部网络空间综合性法律,弥补了我国网络安全法律领域的空缺。上述法律规范效力层次高,但是实务规制性还有问题,难以对网络个人信息权提供强有力的法律保护。
第一,借鉴西方经验,选择恰当的立法模式。为避免个人信息隐私权或信息利益权遭遇不法侵害,不同国家纷纷结合本国实际情况制定了个人信息保护制度,形成了以美国、德国、日本为代表的个人信息保护制度。在立法模式的选择上,我们可以借鉴发达国家的有益经验,立足于本国国情,在国家利益、公民个人隐私、个人信息权保护和行业利益之间寻求一个平衡点,采用立法规制和行业自律相结合的综合模式。立法保护不是网络营销个人信息权保护的唯一选择,单纯的立法难以胜任对网络营销个人信息权的保护,反而会妨碍网络经济的发展和繁荣。而单纯的行业自律模式更不可能对网络个人信息权进行有效保护,因为行业自律没有强制力,毕竟法律才是权利救济的最后手段,它可以克服行业自律的缺陷。
3.网络营销个人信息权的保护范围具有特殊性。平时,除明星及公众人物外,普通消费者的姓名、体重、婚姻家庭、父母子女、购物偏好、单位住址等,由于每天待人接物,抛头露面是普通人的常态,一般不具有现实个人信息保护意义。但这些数据资料经过网络营销平台,利用信息技术进行筛选、加工、组合就具有了经济性价值,成为消费者个人的重要隐私性信息。假如不良电商将此信息出售或泄露,就应当评价为对用户个人信息权的侵害,属于个人信息权的保护范围。
3.有损害事实。违法行为是引起损害的主要原因,网络营销个人信息侵权引起的消费者损害是消费者的个人信息遭受非法侵害而利益受损的事实状态。损害的外部表现有的是财产利益,有的是精神痛苦。损害事实存在使法律救济获得了正当性,损害事实是赔偿责任的关键因素。
4.具备因果联系。网络营销经营者的加害行为和消费者个人信息被侵权之间有因果联系。如果仅有加害行为,但损害后果系第三人介入所致,网络营销经营者不担责。例如,消费者个人信息,不是通过阿里巴巴平台及其网店原因泄露的,而是快递公司泄露的,承担赔偿的主体就应该是快递公司,这符合一个普通人的理性判断标准。
《欧盟个人资料保护指令》导言第55条规定,如果信息管理者没有尊重资料主体的权利,国家法律必须规定相应的司法救济;信息管理者必须赔偿因非法处理给信息主体造成的损失,但是如果信息管理者能够证明他对此不负责任,特别是在他能够找出资料主体的错误或有不可抗力的情形下,可以免除信息管理者的责任;任何违反根据本《指令》所采取的国家措施的个人,无论是受私法还是受公法调整,都必须受到法律制裁。第55条前段规定的,没有尊重信息主体的权利就应该提供司法救济,主要是指在没有损害情况下应承担的责任的情形。另外,从另一个角度看,认定网络营销平台个人信息一般侵权行为,在无损害的前提下主要是看是否有侵权行为的事实,有侵权事实存在就界定侵权,其他要件在所不论。
四、我国法律对网络个人信息权保护的立法现状
当前,我国法律保护个人信息权的主要法律渊源有:宪法、民法总则、侵权责任法、民诉法、刑诉法、未成年人保护法、统计法、证券法等单行法中有关个人信息隐私保护的零散规定,侵权责任法第一次立法明确民事权益涵摄包括个人信息在内的隐私权。民法总则专条规定了保护个人信息的内容,这是我国民事基本法律中最高层次立法保护个人信息的条文,其规定充满原则性和规范性。
由于2018年网络营销个人信息权侵权及犯罪事件多发,国家有关部门开始有针对性地开展立法工作。国家网信办适时出台了《微博客信息服务管理规定》,对实名认证、平台责任、行政机关管理执法等进行了规范。公安部要求公安机关对互联网安全监督检查,对平台提供者和联网使用单位督导督查执法。
1.有个人信息致人损害行为。致人损害行为是指网络营销中的行为主体实施的致用户个人损害的行为。致害行为有合法行为和违法行为之分。有的致害行为,本身合法,但也造成了他人的损害,而应当承担责任。当然,大部分致害行为是违法行为造成的。个人信息致害行为是指网络营销中的行为主体实施的侵害消费者个人信息权的行为,此类行为大部分出现于网络营销的经营者在获取消费者个人信息、处理加工及运用过程中。违法行为包括作为和不作为两种:作为的违法行为是指经营者积极实施的违法行为,如非法获取、处理和运用消费者的个人信息;不作为是经营者应当阻止他人的个人信息侵权行为而消极的不阻止。如电商平台违反安全原则个人信息安全管理不力,系统出现漏洞,让不法分子钻了空子,攻破了防护墙,保存措施及管理制度存在疏漏等。当然,若网络经营者实施了为法律所不禁止的行为,但侵害了消费者个人信息保护的权利,虽然其行为不违法,但仍属于对消费者个人信息侵权。如果网络营销经营者仅仅违反了合同义务,则不构成侵权,应该以违约责任承担相应的责任。
最近,我不愿一直在家闲着,打算开家杂货店自食其力。只是我一人难以打理店面,所以期盼父亲能回来帮我一把。
五、完善网络营销中个人信息保护立法的思考
在公开场合魏银仓非常配合,他说“以后都听董总的”。但是,对于公司的控制权,魏银仓有自己的打算。2017年,他借款17亿元,通过旗下公司增持银隆股份至25%,加上其一致行动人的股份,总计持有约35%的银隆股权。
第二,在《民法典》中专章规定网络营销个人信息权保护。未来在《民法典》中设专章规定网络营销个人信息权保护,其主要内容包括:一是翔定网络营销中消费者个人的网络信息知情权、个人信息安全保护权等权利;二是明确规定网络营销合同双方,就买受人信息权权利保护,以及出卖人对掌握的消费者个人信息保护的附随义务;三是规定侵害网络营销个人信息权行为的种类以及侵权行为的认定;四是规定网络营销个人信息权侵权责任的承担以及各种救济措施等。
由于本桥采用大跨度公铁两用斜拉桥,杆件受力大,Q370q和Q420q钢板已经不能满足大桥的制造需要,在受力大的高塔区16个节间下弦杆及铁路桥面采用了我国第六代桥梁钢Q500qE。下弦杆效果如图2所示,高塔区下弦杆受力大,且内有锚箱构造,钢板厚度大,为保证工程焊接质量,需要对Q500qE钢进行全面地焊接性试验研究。
将收治的72例确诊为老年2型糖尿病的患者,随机分为对照组36例,观察组36例。72例患者一般情况均良好,能准确配合资料的收集。其中男性54例,女性18 例;年龄 60~85 岁,平均年龄(69.6±13.5)岁;病程 1~30 年,平均(18±9.5)年;体重 40~75.4 kg,平均(52.5±13.8)kg;并发高血压、冠心病等其他疾病者42例。
第三,适时出台个人信息保护法或网络营销个人信息权保护条例。鉴于我国《民法典》的正式出台或制定专门的《隐私权保护法》都还需要一个漫长的等待过程,因此在目前上述立法的条件还不成熟,而网络营销个人信息权的保护又迫在眉睫的情况下,修法及出台司法解释不失为应急之策,特别期待《中华人民共和国个人信息保护法》或者《网络营销个人信息权保护条例》的早日出台。
从量取的 MS与 MS(BB)震级公式 (3) 和 (4), 参考IASPEI的面波震级公式(5),可以看出,除测量方法差别外,从计算公式的形态上看,两者数值上相差0.2[8]。而选取地震(MS-MS(BB))的平均值为 0.195,与 0.2的差值非常接近。根据统计,我国测定的面波震级MS和NEIC测定的值系统偏高0.2-0.3[10],使用宽频带面波震级后会极大地减小这种误差。
第四,加大法律和行政法规对企业泄露消费者个人信息的处罚力度。重罚可以起到规范电商企业消费者信息保护的作用。目前,我国法律法规对网络营销中企业违规侵犯消费者个人信息处罚数额太少,隔靴搔痒难使企业牢记教训。建议修改相关法律法规,学习欧盟重罚谷歌的经验,巨额罚款可以体现行政监管的震慑力,也能使消费者重拾对我国个人信息保护的信心。
参考文献:
[1]王秀哲.信息社会个人隐私权的公法保护研究[M].北京:中国民主法制出版社,2017.
[2]谢远扬.个人信息的私法保护[M].北京:中国法制出版社,2016.
[3]郭明龙.个人信息权利的侵权法保护[M].北京:中国法制出版社,2012.
[4]刘品新.网络法学:第2版[M].北京:中国人民大学出版社,2015.
[5]孙占利.信息网络法学[M].厦门:厦门大学出版社,2012.
[6]张平.网络法律评论:第19卷[M].北京:北京大学出版社,2017.
[7]李艳.网络法:第2版[M].北京:中国政法大学出版社,2017.
[8]孙凡,宋瑜婧.个人信息对企业发展的影响机制研究——基于网络营销平台的视角[J].中央财经大学学报,2018,(3).
[9]谢利坤.互联网时代市场营销的机遇和挑战[J].人民论坛,2019,(3).
[10]2018年中国互联网安全报告(个人安全篇)[EB/OL].360互联网安全中心,2019-04-18.
[11]盘点·2018年国内网络信息安全大事件[EB/OL].搜狐网,2018-12-21.
[12]谢永江,李欲晓.网络安全法学[M].北京:北京邮电大学出版社,2017.
[13]刘斌斌,蔡秉坤.网络交易主要法律问题研究[M].北京:中国社会科学出版社,2013.
[14]马民虎.网络安全法律遵从[M].北京:电子工业出版社,2018.
[15]张楚.信息网络法教程[M].北京:高等教育出版社,2017.
中图分类号: D922.8
文献标志码: A
文章编号: 1673-291X(2019)24-0197-03
收稿日期: 2019-03-18
作者简介: 李佳润(1991-),女,江苏徐州人,硕士研究生,从事宪法学与行政法学研究。
[责任编辑 李春莲]
标签:网络营销论文; 个人信息论文; 法律保护论文; 江苏师范大学法学院论文;