2022年個人信息保護領域消費者權益保護報告

  一、消費者個人信息保護整體觀察

  （一）我國消費者個人信息保護法治的發展概況

  個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息相結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。在互聯網時代，自然人要獲得網絡服務，不可避免地會向經營者提供個人信息。另外，侵犯個人信息權益的違法犯罪案件多有發生，亟需通過制定法律、強化執法加以震懾。進入21世紀后，我國高度重視個人信息保護。早在2006年，就有全國人大代表提出制定個人信息保護法的建議。其后，全國人大常委會法工委等機構一直開展個人信息保護立法的研究工作，全國人大通過多法域、多形式的立法，逐步完善個人信息保護法治。我國對個人信息保護的立法構建經歷了由刑事規制到民事規制、由原則性規定到具體規則的發展過程，可以分為2013年之前、2013至2020年之前、2020年之后三個時間階段，分別對應個人信息保護的發現期、探索期與發展期。

  第一個階段的個人信息保護立法主要包括：①2009年2月28日通過的《刑法修正案（七）》。該修正案明確規定竊取、非法獲取、出售和非法提供公民個人信息的刑事責任。考慮到當時我國個人信息保護方面的基本法律還不是很完備，《刑法修正案（七）》對非法泄露公民個人信息的犯罪行為作了“違反國家規定”的限定。②2012年12月28日通過的《關于加強網絡信息保護的決定》。該決定明確規定，國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息；任何組織和個人不得竊取或者以其他非法方式獲取公民個人電子信息，不得出售或者非法向他人提供公民個人電子信息。該決定雖然只有12個條文，但具有開創性，為我國未來立法奠定了基礎，對保護個人信息發揮了重要作用。

  第二個階段的個人信息保護立法主要包括：①2013年10月25日修訂的《消費者權益保護法》（以下簡稱《消法》）。此次修訂的《消法》首次將“個人信息”列入應予保護的消費者權益范圍，從而開創了消費者個人信息保護的新階段。該法不僅在第14條明確規定消費者享有個人信息依法得到保護的權利，而且在第29條全面規定了經營者收集、使用消費者個人信息應當遵循的基本原則和具體規則。另外，該法第50條規定了侵犯消費者個人信息權益的法律責任。通過上述規定，《消法》從權利、義務、責任三個方面全面確立了消費者個人信息保護的法律規則。②2016年11月7日通過的《網絡安全法》。該法將網絡信息安全列為網絡安全的重要組成部分，并在第四章全面規定了網絡運營者在保護個人信息安全方面的法定義務。③2017年3月15日通過的《民法總則》。該法第111條明確規定自然人的個人信息受法律保護，在我國民事立法史上首次將個人信息確立為所有自然人享有的基本民事權利。④2018年8月31日通過的《電子商務法》。該法非常重視用戶個人信息和消費者權益保護，在第23條就電子商務經營者收集、使用用戶個人信息的法定義務作出了規定，并在第24條就用戶信息查詢、更正、刪除的具體程序明確了要求。

  第三個階段的個人信息保護立法主要包括：①2020年5月28日通過的《民法典》。《民法典》第四編“人格權”的第六章章名為“隱私權和個人信息保護”，這標志著個人信息權成為了民事基本法所確立的重要民事權益。與《民法總則》相比，《民法典》對個人信息的規定更為全面、細致，具有更強的應用性。②2021年6月10日通過的《數據安全法》。該法明確了數據與信息的關系，強化數據安全保護，保障個人與數據有關的權益。③2021年8月20日通過的《個人信息保護法》。這是我國首部專門規范個人信息保護的法律，從而將全國人大代表早在2006年提出的立法建議轉化為了現實，彰顯了國家對個人信息保護的高度重視。該法全面規定了個人信息處理規則、個人信息跨境提供的規則、個人在信息處理活動中的權利、個人信息處理者的義務等內容，是一部保護個人信息的綜合性法律。

  目前，我國已經形成了以《民法典》為基礎，以《個人信息保護法》為核心，以《消費者權益保護法》《網絡安全法》《電子商務法》《數據安全法》為重要組成部分的個人信息保護法律體系。消費者個人信息受到上述法律的保護。

  隨著法律制度的完善，政府部門通過嚴格執法，打擊各種侵害個人信息權益的違法行為，有力地維護了消費者權益。近年來，非法使用、收集、買賣個人信息的違法行為頻發，嚴重侵害消費者的人身財產安全。市場監管部門多次開展打擊侵害消費者個人信息權益違法行為的專項執法行動，查辦了一批侵害消費者個人信息權益的違法案件，有力地震懾了違法犯罪分子，取得了良好的社會效果。網信、公安、文旅、工信等部門通過開展“凈網行動”、“清朗行動”、國家網絡安全宣傳周、App安全認證等行動與活動，嚴厲打擊侵害消費者個人信息權益的行為，為營造良好消費環境作出了貢獻。

  中國消費者協會和各地消協組織積極履行維護消費者權益的社會職責，通過調查監督、警示、約談、揭露批評等方式保護消費者個人信息。特別是2014年以來，江蘇、廣東、重慶等地消協組織針對侵害消費者個人信息權益的行為提起公益訴訟，積極打造消費者個人信息保護有效手段。

  廣大媒體積極參與到維護消費者個人信息權益的行動中來，以南方都市報為例，其“隱私護衛隊”課題組長期致力于關注并報道國內外消費者個人信息保護相關動態與社會事件，至今已發表相關新聞報道與評論2000余篇，為推動消費者個人信息保護宣傳做出了積極貢獻。

  經營者是保護消費者個人信息權益的第一責任人。眾多企業認真落實法律要求，踐行社會責任，注重保障消費者個人信息。以360和奇安信為代表的數據安全公司，發揮技術優勢，構建大數據防御體系機制。以奇安信為例，先后發布了《2022年度 App收集個人信息檢測報告》《互聯網行業網絡安全行政執法案例集》等多份研究報告，其漏洞研究團隊長期以來發現了大量嚴重安全漏洞，及時通報廠商修復，并積極開展2022北京網絡安全大會等社會活動，為消費者個人信息權益提供了基礎架構上的保障。

  （二）2022年消費者個人信息保護的總體特征

  2022年，我國數字經濟和網絡消費穩步發展，相關政策較2021年變化不大，仍體現為發展與監管并重。習近平總書記在黨的二十大報告中指出，要加快建設網絡強國、數字中國，加強個人信息保護。2022年，我國在立法、司法、行政執法上顯著提升了消費者個人信息的保護力度。在立法上，為落實《網絡安全法》《數據安全法》《個人信息保護法》等法律關于數據安全管理的規定，規范網絡數據處理活動，保護個人、組織在網絡空間的合法權益，維護國家安全和公共利益，國務院及其相關部門著手制定相應的規章或規范性文件，包括但不限于《網絡數據安全管理條例》《未成年人網絡保護條例》《移動互聯網應用程序信息服務管理規定》等，個人信息、數據安全的法律保護體系變得更加完善。在司法上，最高人民法院發布了有關消費者個人信息保護的指導案例，公布了數件涉及個人信息保護的典型案例，各級人民法院審理了大量相關的民、刑事案件，有力地維護了消費者合法權益。在行政執法上，各行政機關積極履職、嚴格執法，嚴厲整治了各種侵害消費者個人信息權益的違法行為，打擊了圍繞消費者個人信息形成的黑色產業鏈。2022年，全國公安機關深入推進“凈網2022”專項行動，截至年底共偵辦案件8.3萬起；2022年6月，市場監管總局、國家網信辦發布《關于開展數據安全管理認證工作的公告》，進一步推進網絡數據安全保護認證工作；2022年間，工信部共發布《關于侵害用戶權益行為的APP通報》5批，敦促相關企業按要求完成整改。除此之外，中國消費者協會和各地消協組織高度重視消費者個人信息保護工作，通過專項行動、公益訴訟、消費警示、約談經營者等多種方式加以推進。

  2022年，隨著立法的完善和社會共治的實施，我國消費者個人信息保護水平已有顯著提高。在整體上，2022年消費者個人信息保護體現出如下特點：

  1.政策層面更重視。黨的二十大勝利召開后，《中共中央、國務院關于構建數據基礎制度更好發揮數據要素作用的意見》（下稱《數據二十條》）公開發布，進一步從數據治理的角度對后續制度制定提出了明確要求。作為消費者個人信息主要表現形式的個人數據同樣屬于《數據二十條》關注重點。在文件中，涉及消費者個人數據的規定主要包含以下三個方面：其一，探索建立數據產權制度，推動數據產權結構性分置和有序流通，結合數據要素特性，強化高質量數據要素供給；在國家數據分類分級保護制度下，推進數據分類分級確權授權使用和市場化流通交易，健全數據要素權益保護制度，逐步形成具有中國特色的數據產權制度體系。在web3.0時代，主體的數據產權是構成數據市場的基本要素。無產權則無流通，該項規定主要對消費者個人數據確權以及數據持有者的數據安全保護義務構建提出了要求。其二，完善和規范數據流通規則，構建促進使用和流通、場內場外相結合的交易制度體系，規范引導場外交易，培育壯大場內交易；有序發展數據跨境流通和交易，建立數據來源可確認、使用范圍可界定、流通過程可追溯、安全風險可防范的數據可信流通體系。無數字流通則無數字經濟，確立數據產權后，同樣應當對數據的流通規則進行構建，方能形成有序數據市場，為數字經濟發展提供基礎條件。其三，建立安全可控、彈性包容的數據要素治理制度，把安全貫穿數據治理全過程，構建政府、企業、社會多方協同的治理模式，創新政府治理方式，明確各方主體責任和義務，完善行業自律機制，規范市場發展秩序，形成有效市場和有為政府相結合的數據要素治理格局。基于數據處理的專業性、產權的合理性與市場的有序性要求，數據治理注定需要全社會各類型主體參與，方能有效進行。這也注定了數據治理不能僅依靠法律實現，還應當通過政策制定、行業自律機制構建等方式綜合治理，方能構建有效的數據治理體系。較之2021年，2022年政策的制定層級更高，要求也更加具體。

  2.法律體系更完善。在消費者個人信息的保護上，《個人信息保護法》《數據安全法》與《網絡安全法》三部法律均以“告知-同意”原則為中心對個人信息保護框架進行了建構。其中《數據安全法》則更進一步地規定了數據處理者的數據安全保護義務。相較于2021年，2022年制定的、涉及消費者個人信息保護的行政法規、部門規章與其他規范性文件，更關注如何落實上述三部法律的要求。目前，《網絡數據安全管理條例》《未成年人網絡保護條例》《金融產品網絡營銷管理辦法》等行政法規、部門規章和規范性文件已處于公開征求意見階段。

  盡管一些法律、法規與規范性文件尚未出臺，但不難發現，無論是從消費者個人信息處理的各環節保護，還是消費者個人信息的類型化保護而言，消費者個人信息保護法律體系的建構在2022年取得了長足發展。

  3.司法實踐更關注。在消費者個人信息保護的司法實踐中，具體的案件情形呈現出更加多元化、復雜化的趨勢。與此相對的，因《消費者權益保護法》對消費者個人信息保護的相關條款規定較為籠統，且《民法典》對消費者個人信息的權益屬性規定并不明確，司法實踐中消費者常常無法通過法律獲得直接救濟，這也使得司法機關更加關注如何通過司法實踐保護消費者個人信息，更加注重在涉及消費者個人信息的裁判文書中盡可能高質量地釋法說理，并形成了大量有價值的司法經驗。

  4.社會共治更有效。隨著我國對于消費者個人信息保護力度的加大，許多市場主體和行業協會提高了自律、自治的能力，使得大量的相關爭議通過和解、調解等方式得到妥善解決。自《個人信息保護法》《數據安全法》出臺后，各互聯網平臺明顯加大了自身合規力度，同時對于平臺內經營者的管理也更加規范化，從而大量地減少了平臺內消費者個人信息侵權問題。

  5.消費者自我保護意識增強。隨著相關法律的完善，我國消費者自身的個人信息權利意識也已得到明顯加強，消費者對自身個人信息的保護也更加注重。消費者自我保護意識的增強主要體現在兩個方面：一是在提供個人信息時更加謹慎，對于來自不可信對象的個人信息收集行為更加警惕；二是對于已發生的個人信息泄露具有更強的自我保護意識，對于因個人信息泄露而引起的網絡詐騙等違法行為的警惕性更高。究其原因，一方面在于我國法律體系的完善和行政執法力度的加大，另一方面也在于相關部門通過媒體、基層進行的個人信息相關普法宣傳與反詐宣傳起到了積極作用。

  二、消費者個人信息保護的新進展

  （一）消費者個人信息保護制度的新進展

  1.《數據二十條》發布。近年來，數據產權概念在中央文件中逐步獲得明確。2019年10月，黨的十九屆四中全會首次將數據列為新型生產要素。2020年4月，中共中央、國務院發布《關于構建更加完善的要素市場化配置體制機制的意見》，強調要將“研究根據數據性質完善產權性質”作為數據要素市場建設的重要舉措。2020年11月，《中共中央關于制定國民經濟和社會發展第十四個五年規劃和2035年遠景目標的建議》明確：“建立數據資源產權、交易流通、跨境傳輸和安全保護等基礎制度和標準規范，推動數據資源開發利用”。這對數據要素產權制度體系的相關工作作出了更加明確的戰略性部署。2022年12月19日，中共中央、國務院印發《關于構建數據基礎制度更好發揮數據要素作用的意見》（《數據二十條》），從中央制度層面為我國數據產權制度搭建了基本框架。

  在數據產權結構上，《數據二十條》將數據分為公共數據、企業數據、個人信息數據三種基本類型。其中，公共數據確權授權機制的重點在于堅持開放開發；企業數據確權授權機制的核心在于保障企業基于數據的合法持有、使用與獲取收益的權利；個人信息數據確權授權機制的關鍵則在于保障信息數據安全、規范個人信息處理活動。在數據權利配置上，《數據二十條》提出探索數據產權結構性分置制度，建立數據資源的持有權、數據加工使用權、數據產品經營權等具體權利構成的權利體系。需要注意的是，《數據二十條》對權利類型的設置是開放的，結合具體的授權場景，基本可以細化為法律中財產性權益的占有、使用、收益、處分以及人身權益中的署名權等具體權能。同時，《數據二十條》也提出要審慎對待原始數據的流轉交易行為。當前我國數據產業主要聚焦于挖掘個人數據的商業分析價值，但原始數據的流轉涉及個人信息安全與數據安全，也需要謹慎對待。

  總體而言，《數據二十條》的公布充分體現了數據要素權利配置在數據經濟中的重要性。2021年，《民法典》《個人信息保護法》《數據安全法》等基本法律制度已經頒行，并在2022年積累了寶貴的立法、司法、行政執法經驗，公民的信息、數據權益意識也有明顯提升。之后的信息、數據權益立法，應當遵循《數據二十條》精神，充分尊重消費者個人信息、數據權益，基于數字經濟實踐，逐步探索完善數據的產權化保護方案。

  2.《個人信息保護法》與《數據安全法》實施逾一周年。《個人信息保護法》的頒行是一次貫徹落實習近平法治思想、堅持以人民為中心的立法實踐，是《民法典》中“個人信息受法律保護”的具體內容，構成了我國個人信息保護的法律規則基礎。《個人信息保護法》實施以來，最高人民法院、國務院及其相關部門制定的行政法規、部門規章及規范性文件作為法律實施的細則在法律實施方面發揮了主導作用；人民法院充分發揮審判職能，正確理解與適用法律，積極推動《個人信息保護法》在司法實踐中落地生根；履行個人信息保護職責的部門在行政執法中依據《個人信息保護法》及相關法律法規對違法處理個人信息的個人信息處理者及相關責任人作出行政處罰，為整治與威懾違法行為、強化個人信息保護提供必要法治保障。[1]《數據安全法》的施行，極大地增強了數據處理者在數據處理服務中的合規意識，從源頭上最大限度地減少了數據處理者強制收集個人信息以及未經用戶授權向第三方提供用戶數據的現象，有效保障了消費者的個人信息、數據安全。

  隨著《個人信息保護法》及《網絡安全法》《數據安全法》《民法典》等法律的持續深入實施，我國網絡社會和數字經濟的法治體系將在實踐中不斷發展和完善。

  3.多部法規、規章、規范性文件正在制定之中。《個人信息保護法》與《數據安全法》施行前后，國務院及其相關部門頒布了一系列與個人信息、數據保護相關的行政法規、部門規章及規范性文件。在行政法規層面，國務院于2021年7月30日頒布了《關鍵信息基礎設施安全保護條例》。此外，《網絡數據安全管理條例》《未成年人網絡保護條例》等行政法規的草案已處于公開征求意見階段。在部門規章和規范性文件層面，國務院及其相關部門制定的與個人信息保護相關的部門規章和規范性文件包括《數據出境安全評估辦法》《互聯網用戶賬號信息管理規定》《互聯網信息服務算法推薦管理規定》《征信業務管理辦法》《網絡安全審查辦法》《汽車數據安全管理若干規定（試行）》《醫療衛生機構網絡安全管理辦法》《移動互聯網應用程序信息服務管理規定》《銀行保險機構信息科技外包風險監管辦法》《互聯網信息服務深度合成管理規定》《個人信息出境標準合同規定》《電力行業網絡安全管理辦法》等。此外，《網信部門行政執法程序規定》《金融產品網絡營銷管理辦法》等部門規章和規范性文件已處于公開征求意見階段。

  （二）消費者個人信息司法保護的新進展

  2022年3月8日，在第十三屆全國人民代表大會第五次會議上，最高人民法院所做工作報告指出，認真貫徹《個人信息保護法》，嚴懲竊取倒賣身份證、通訊錄、快遞單、微信賬號、患者信息等各類侵犯公民個人信息權益的違法犯罪行為。2022年消費者個人信息的司法保護體現出如下特點：

  1.強化源頭治理，依法懲治行業“內鬼”。在2022年辦理的侵害公民個人信息權益的案件中，侵權人以自身職務便利直接（利用自身工作人員身份獲取消費者信任直接采集）或間接（利用職務便利，從供職單位取得）獲取消費者個人信息的行為明顯占有很高比重。在2022年提起的侵害公民個人信息罪刑事附帶民事訴訟中，“內鬼”竊取公民個人信息是數量最多的違法情形。

  2.強化司法認定，為新技術規范應用劃定邊界。隨著技術的發展，人臉識別等各種新技術的應用也同樣對司法提出了挑戰。針對實踐中反映較為突出的問題，2021年7月28日，最高人民法院發布《關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》，對相關侵權行為、侵權責任、合同規則以及訴訟程序等方面作出規定，指導各級人民法院正確審理相關案件，統一裁判標準，維護司法公正權威。

  3.公益訴訟成為保護消費者個人信息的有效路徑。2022年，檢察機關充分發揮自身職能，提起多件涉及個人信息保護的公益訴訟，其中以刑事案由（附帶民事訴訟）為主。除檢察機關外，消費者協會也在公益訴訟中起到了積極作用。2022年重慶市消委會對經營者侵害消費者個人信息行為提起公益訴訟，并以訴前調解的方式結案。值得注意的是，重慶市消委會在訴前調解中開創性地引入了公開聽證。公開聽證不僅有益于消費者權益保護宣傳，也有利于人民法院對案件的公開公平公正審理，對消費民事公益訴訟的發展產生了積極的作用。

  （三）消費者個人信息行政保護的新進展

  1.市場監管總局、國家網信辦實施個人信息保護認證。2022年11月8日，市場監管總局、國家網信辦發布《個人信息保護認證實施規則》（以下簡稱《規則》），鼓勵個人信息處理者通過認證方式提升個人信息保護能力。《規則》共計7條，規定了對個人信息處理者開展個人信息收集、存儲、使用、加工、傳輸、提供、公開、刪除以及跨境等處理活動進行認證的基本原則和要求。其中，認證機構需要依照GB/T 35273《信息安全技術個人信息安全規范》與TC260-PG-20222A《個人信息跨境處理活動安全認證規范》對委托認證的主體進行認證，認證方式采用“技術驗證+現場審核+獲證后監督”的方式進行。認證機構對獲證后監督結論和其他相關資料信息進行綜合評價，評價通過的，可繼續保持認證證書；不通過的，認證機構應當根據相應情形作出暫停直至撤銷認證證書的處理。

  2.嚴格行政執法，扼制經營者侵害消費者個人信息的違法行為。《個人信息保護法》與《數據安全法》均為綜合性法律，法律規定不僅涉及民事法律關系，也涉及行政法律關系，行政執法與監管自然也是保障消費者個人信息權益的重要渠道。除人民法院提供的司法保護外，2022年網信、市場監管部門同樣通過行政執法的方式對個人信息、數據處理者進行了有效監管。2022年我國個人信息行政保護延續了《網絡安全法》等確立的統一管理、分工負責體制，即國家網信部門統管、各行業主管部門在各自職責范圍內負責個人信息保護和監督管理工作。從行政處罰文書網的檢索結果來看，在2022年已公開的行政處罰文書中，絕大部分來自市場監管部門，其次來自網信部門、央行等；絕大部分執法對象為法人或其他組織，僅少數處罰文書的執法對象為自然人；涉及的違法行為包括違法收集、違法使用、未履行數據安全保護義務等。與2021年相同，從已公開的行政處罰文書的數量上來看，市場監管部門依然是監管的主要部門，呈現出以市場監管為主的特征；但從罰款金額上來看，網信部門與金融管理部門的處罰力度更強，最典型的就是2022年7月國家網信辦對滴滴全球股份有限公司作出80.26億元罰款，[2]與2022年1月中國人民銀行上海分行對東亞銀行（中國）有限公司作出的1674萬元罰款。[3]

  3.2022年國家網絡安全宣傳周關注消費者個人信息保護。國家網絡安全宣傳周活動于2022年9月舉行，由中央宣傳部、中央網信辦、教育部、工業和信息化部、公安部等十部門聯合舉辦，主題為“網絡安全為人民，網絡安全靠人民”。網絡安全宣傳周廣泛深入宣傳習近平總書記關于網絡強國的重要思想，聚焦新一代信息技術、數據安全、網絡安全等領域的熱點問題，將消費者個人信息保護列為重要的宣傳內容。

  （四）消費者個人信息社會保護的新進展

  2022年的消費者個人信息社會保護發展可以從消費者協會、媒體與經營者自律三個方面進行觀察。

  2022年中消協及各地消協組織依然高度重視消費者個人信息的社會保護。1月24日，中消協發布《2021年十大消費維權輿情熱點》，針對消費者個人信息“裸奔”問題及消費者維權難等進行話題梳理與熱點解讀，通過引起社會各界對消費者個人信息保護問題的關注。隨著《個人信息保護法》的施行，中消協及各地消協組織積極展開消費者個人信息保護的宣傳工作，通過梳理侵害消費者個人信息的主要場景以案釋法，提醒廣大消費者學法懂法用法、謹慎網絡授權，切實提高保護個人信息的意識和能力。

  個人信息安全長期以來都是媒體關注的熱點。2022年，央視315晚會重磅曝光了如“免費WiFi”、軟件下載平臺高速下載等多個竊取消費者個人信息的行業亂象。除央視外，其他媒體、自媒體也對個人信息、數據安全格外關注。

  不可否認，對于絕大部分經營者而言，盈利始終是其第一目的，這也造成了收集消費者個人信息的經營者往往怠于履行對消費者個人信息的保護義務。但隨著2021年《個人信息保護法》《數據安全法》的出臺，處罰怠于履行義務的經營者的法律依據數量明顯增加；行政執法力度的加大，倒逼經營者加強自律從而避免損失。以京東金融為例，其于2022年3月發布的《消費者權益保護年度報告》顯示，2021年京東金融App不僅上線了消費者權益保護專題頻道進行消費者權益保護宣傳，還同時推出和升級了包括隱私保護、雙重加驗等多項安全性功能，并通過客服提示等方式向消費者發出風險預警，盡可能地保護消費者權益。對于經營者而言，與其不盡到保護消費者個人信息的義務接受行政處罰，不如積極履行義務，及時自查整改，從而避免更多風險。

  三、侵害消費者個人信息的典型表現

  雖然2022年針對侵害消費者個人信息權益的法律法規更加完善，但侵害消費者個人信息的情形仍然較為嚴重，主要表現在違反處理的必要性原則、違反個人信息處理質量原則、違反“告知-同意”規則、侵害個人信息權益的損害賠償范圍有待確定等方面。

  （一）違反個人信息處理必要原則

  《個人信息保護法》第5條、第6條分別規定了個人信息處理的必要性原則。雖然《個人信息保護法》已經頒行，但經營者違反必要性原則處理消費者個人信息的情況依然屢見不鮮。在實踐中，具體表現為消費者基于出行、接受教育等必要需求而被迫接受捆綁服務，從而導致自身個人信息被不必要的服務提供者所獲得。

  （二）違反個人信息處理質量原則

  《個人信息保護法》第8條規定，處理個人信息應當保證個人信息的質量，避免因不準確、不完整對個人權益造成不利影響。個人信息準確性、完整性和時效性是個人信息的價值所在，因此個人信息記錄的質量保證同樣是保護個人信息權益不受侵害的必然要求。在“梁某、廣東某實業有限公司訴某科技有限公司網絡侵權責任糾紛”[4]中，原告發現被告運營的企業信用信息查詢平臺將與原告無關的“失信”“限高”“終本執行”等信息錯誤關聯至其以及某實業公司名下，遂訴至人民法院。法院認為，算法輸出的結果，歸根結底是運用者意志的體現。被告對算法這一技術的利用本身即創設了危險發生的可能性，故而應當對危險后果擔責。信用報告記錄了梁某擔任法定代表人等的企業以及相關企業的司法案件信息，屬于梁某的個人信息。被告通過算法技術對個人信息進行收集、加工、整合，并向平臺用戶提供其加工、整合后的信用報告，對梁某的個人信息存在處理行為。被告提供的有關原告的個人信息有誤，原告有權要求被告對其個人信息予以核實，并及時更正、補充。鑒于被告的行為侵害了原告的個人信息權益并造成損害，故判決某科技公司向梁某、某實業公司賠禮道歉并賠償經濟損失。

  大數據時代的個人信息保護與算法規制息息相關，但遺憾的是，許多個人信息處理者常常將算法作為自身不作為的“擋箭牌”，企圖以此規避責任。算法被各類平臺廣泛用以處理數據，算法的運用在帶來數據效率最大化的同時，也因其自身的模型漏洞、運行錯誤、算法歧視等引發侵害個人信息權益及其他人格權糾紛。上述判例表明，平臺等各類經營者主體原則上可以利用算法技術在合理范圍內處理已經合法公開的個人信息，但應保證個人信息的質量，因算法運行錯誤導致個人信息不準確、不完整的，個人有權要求算法運用者承擔更正、補充等相關民事責任。

  （三）違反“告知-同意”規則

  作為貫徹我國個人信息立法始終的基本規則，“告知-同意”規則在《網絡安全法》《個人信息保護法》《數據安全法》等法律法規中均處于核心地位。“告知-同意”規則要求以在案件所處的具體場景中是否得到個人信息權益人同意作為判斷個人信息處理是否合法的關鍵因素。雖然這一規則在立法中早已得到確定，但在豐富的商業實踐中，常常因為獲取同意的方式與手段存在瑕疵而導致爭議。在“王某、深圳市騰訊計算機系統有限公司個人信息保護糾紛”一案中，即出現了個人信息權益主體撤銷授權而個人信息處理者未停止收集與使用的情形。[5]在該案的一審與二審中，兩審人民法院最大的分歧在于微視App（騰訊公司產品）的行為是否構成對個人信息權益的侵害。最終二審人民法院認定案涉個人信息并非微視App提供服務所必須，未滿足收集、處理個人信息的必要性原則。同時，微視App在王某撤回同意后繼續使用其個人信息的行為并未獲得用戶知情同意，不符合正當性要求。最終，二審人民法院改判騰訊支付王某參與訴訟的合理支出一萬元。

  “被默認”是近年來消費者個人信息保護面臨的典型問題，消費者面臨的“被默認”已經由訂立格式合同時的“被默認”深化到了每次合同變更都需要留意“被默認”。允許平臺采用格式合同方式修改用戶協議是立法中公平公正兼顧市場效率的安排，但當前各平臺經營者存在利用自身優勢地位濫用這一權利的趨勢，甚至于利用自身可以修改用戶協議的有利條件，反復使用“默認”的方式撤回不利于其進行個人信息收集的意思表示。對于經營者的這一行為，尚需從司法角度進行規制，將裁判得當的司法經驗積極推廣。

  （四）侵害個人信息權益的損害賠償范圍有待確定

《個人信息保護法》第69條規定了處理個人信息侵權中“按照個人因此受到的損失”或者“個人信息處理者因此獲得的利益”兩種損害賠償計算方式。侵害個人信息權益的損害賠償如何確定一直是法律適用的難點問題。在司法實踐中，侵害消費者個人信息的損害賠償案件大致可以分為兩種類型，一種是可以確定違法所得的案件，一種是無法確定違法所得的案件。可以確定違法所得的案件，其損害賠償確定較為簡單，案件類型以檢察院提起的公益訴訟為主。2021年11月1日，杭州互聯網法院公開開庭審理公益起訴人拱墅區人民檢察院訴被告劉某個人信息保護糾紛民事公益訴訟案，[6]并當庭宣判，判令被告劉某承擔損害賠償金1.4萬余元。同一天，江蘇省常州市中級人民法院公開宣判了公益訴訟起訴人常州市人民檢察院與被告田某個人信息保護民事公益訴訟一案，[7]依據《個人信息保護法》的規定，判決田某在國家級媒體上向社會公眾賠禮道歉，并賠償9512.7元。無法確定違法所得的案件，其損害賠償確定則主要以被侵權人受到的損害為主。這一類型的案件，主要以自然人提起的民事訴訟為主。從2022年北京市各級人民法院審理的個人信息權益糾紛案件來看，因侵害個人信息權益所造成的損害往往難以判斷且難以主張，當事人往往僅能夠主張其維權所花費的律師費與取證費。除實際損害外，亦有當事人在訴訟中提起精神損害賠償。在杭州市互聯網法院審理的個人信息權益糾紛案件“吳某某訴上海某信息服務有限公司等違規提供用戶個人信息保護糾紛案”[8]中，當事人因其敏感個人信息遭受侵害而主張精神損害賠償，獲得了人民法院的支持。同樣的，在山東省平度市人民法院審理的“賈友寶、青島遠海教育服務有限公司等個人信息保護糾紛”中，[9]被告工作人員未經原告同意根據導出的號碼撥打原告手機進行學歷營銷，原告主張的精神損害賠償亦獲得支持，并將金額酌定為3000元。

  通過對2021至2022年個人信息權益糾紛案件的觀察不難發現，在特定主體具有較強舉證能力或有國家機關作為后盾時，其受到的損害往往能依照侵權人違法所得確定。但對于不具有較強舉證能力的一般自然人主體而言，依靠自身能夠舉證的往往僅包含自身維權產生的費用，其權益并未得到全面、有效保障。

  （五）其他個人信息侵權行為

  除上述個人信息侵權行為外，長期存在的個人信息違法收集依舊是十分典型的行為。其中最典型的體現就是前述的“內鬼”倒賣個人信息。除此之外，還有通過欺詐手段使得消費者上當受騙等情形。對此，消費者也應該提高警惕。

  四、消費者個人信息保護的不足及完善建議

  《個人信息保護法》《數據安全法》等實施以來，在個人信息保護的實踐中，一些亟待解決的具體問題得以凸顯。在立法上，個人信息的相關概念有待進一步厘清；實踐中暴露出的維權成本與損害賠償不平衡的問題也尚待解決。在司法上，《個人信息保護法》部分條文尚待進一步解釋。在執法上，也暴露出行政監管不足、懲罰力度不夠等問題。

  （一）立法保護的不足

  在立法上，《消費者權益保護法》對消費者個人信息的保護規則主要體現在第29條與第50條，對于經營者處理個人信息的行為規制暫時還處于原則層面。雖然《個人信息保護法》與《數據安全法》可以覆蓋保護消費者的個人信息權益，但在當前消費者個人信息處理日趨復雜、廣泛的背景下，僅通過以上兩條法律進行規制則略顯不足。對于消費者個人信息的保護，立法尚存在以下未得到有效解決問題。

  1.個人信息權益的法律屬性尚待進一步明確。對于自然人的個人信息權益，我國《民法典》將其規定在人格權編第1034條：“自然人的個人信息受法律保護……個人信息中的私密信息，適用隱私權的規定；沒有規定的，適用有關個人信息保護的規定。”就《民法典》的規定而言，個人信息顯然是屬于人格權的一部分。但與此同時，個人信息也并非僅屬于類似于生命權的純粹人格權，而是與肖像權相同的可財產化人格權。就法理而言，個人信息權益與肖像權高度類似。在《民法典》肖像權的規定中，對于財產化使用肖像、姓名、聲音賦予了自然人任意解除權，并要求對合同產生爭議時做出有利于肖像權人的解釋。但與此相對的，個人信息權益并未對此做出規定。因此，對于法律中未明確給出商業化使用場景的個人信息，其法律屬性究竟是屬于不可商業化使用的人格權（如生命權）還是可以商業化使用的人格權（如肖像權、名稱權等），在法律中尚不明確。就消費場景而言，消費者個人信息權益在實踐中應當具有的權能與特別規定，尚需立法進一步確定。

  2.個人信息權益與企業數據權益的概念不明確。隨著《數據安全法》與《個人信息保護法》的頒布，有關“數據”與“信息”的概念在前期立法中的混用問題已得到了一定程度的解決。但值得注意的是，企業通過格式合同獲得用戶（消費者）授權的企業數據權益與個人信息權益的外延礙于信息、數據客體的復雜性與格式合同效力不確定的影響，二者的關系依然沒有得到有效梳理。雖然在數據產業的商業實踐中常常將個人信息授權作為特定數據由“個人信息數據”轉化成“企業數據”的分界點，并將“脫敏”視為自身可完全支配、使用特定數據的節點。但在法律上，簡單的“脫敏”并不能使個人信息轉變為可由企業支配的數據權益，具體包含以下兩方面原因：

  一是企業獲得個人信息處理授權的行為不能構成企業對特定個人信息數據的完全支配。企業處理個人信息的合法性來源在于用戶對其進行的個人信息處理授權，但在實踐中，這一授權往往通過格式合同取得。而在當前用戶（或說消費者）所處的時代背景中，在保持社會基本活動的前提下想要擺脫數據被收集，幾乎是不可能完成的任務。同時，個人信息權益規定于《民法典》人格權編。因人格權帶有人身屬性，故依照《民法典》第992條，除非法律有明確規定，否則不應當允許轉讓。而帶有人格權屬性的個人信息權益是否可以通過格式合同的一般方式使得個人信息處理者取得合法授權，以及什么程度的授權，均是有待討論的問題。

  二是“脫敏”是否代表企業獲得對特定數據的支配權能尚有待商榷。《個人信息保護法》中規定了去標識化、匿名化兩種脫敏方式。其中，“去標識化”是指個人信息經過處理，使其在不借助額外信息的情況下無法識別特定自然人的過程；“匿名化”是指個人信息經過處理無法識別特定自然人且不能復原的過程。“去標識化”的個人信息可以使用，但需要數據處理者盡到安全保護義務；“匿名化”后的個人信息不再屬于《個人信息保護法》的保護范圍。對于“去標識化”的個人信息而言，雖然去掉了與自然人相關的明顯標識，但其本身依舊具有部分人身屬性，與特定信息結合后同樣能夠將個人信息還原，因此不應當允許處理者無限使用。

  綜上所述，個人信息權益屬于用戶的人格權屬性權益，企業數據權益是用戶（消費者）對其進行授權后享有的占有、使用、收益權。基于人格權本身的不可讓與性，企業無法擁有對用戶個人信息的處分權。也正因如此，就算用戶對數據處理者進行數據處理的授權，其個人信息權益也并未因授權行為而全部喪失。

  3.消費者個人信息維權成本與損害賠償尚待平衡。從目前已生效的相關判決來看，一般僅能夠支持消費者主張律師費、路費等可提供單據證明的維權成本，對于消費者為維權而產生的時間成本等無法提供證據證明的成本并不能得到有效救濟。同時，在損害賠償的范圍上，已生效的判決中支持消費者精神損害賠償的案件并不多見。在這種情形下，對于消費者而言維權更像是一種負擔，極大地打擊了消費者的維權積極性，亟待通過立法的方式進行解決。

  （二）司法保護的不足

  在司法方面，雖然截至目前依照《個人信息保護法》進行裁判的樣本數量有限，但通過對已有的案例進行觀察不難發現，司法中依舊存在對部分法條的適用、解釋與救濟不及時的問題。

  1.“合理使用”的認定缺少明確標準。《民法典》第1036條第3款規定，為維護公共利益或者該自然人合法權益，合理實施的個人信息處理行為，行為人不承擔民事責任；《個人信息保護法》第5條規定：“處理個人信息應當遵循合法、正當、必要和誠信原則，不得通過誤導、欺詐、脅迫等方式處理個人信息。”但如前文所述，消費者個人信息的合理使用標準無論是在商業實踐還是司法實踐中都難以把握，尤其是在“為公共利益合理使用”的理解上，依然存在對公共利益理解不正確、對個人信息權益位階理解不到位的情形。如前文所述的“黃某某訴某信用管理有限公司個人信息保護糾紛”一案中，將公交卡捆綁信用服務理解為“為公共利益合理使用個人信息”，也就是將消費者名譽權（信用）的位階置于第三方信用公司的商業利益之下，且認為信用服務有助于公交公司提供公眾服務的觀點，就是有待商榷的。

  2.“告知-同意”規則的適用方式有待進一步明確。《個人信息保護法》第13條第1款規定，取得特定個人的同意是個人信息處理者合法處理特定個人信息的首要前提。雖然《個人信息保護法》第5條規定了個人信息處理者不得通過誤導、欺詐、脅迫等方式處理個人信息，但立法的規定依舊不能覆蓋實踐中的各種復雜情形。其中最為典型的，就是前文所述“王某、深圳市騰訊計算機系統有限公司個人信息保護糾紛”中個人信息處理者所經常采用的默認同意方式。在當前互聯網平臺的商業實踐中，隨著消費者自愿或不自愿接受的服務的增加，合同文本信息負擔已經越來越重，消費者往往無法逐條閱讀文本，或在無提示的情形下盲目查閱與自身相關的網絡平臺相關文本說明。網絡平臺也在這一背景下故意或無意地利用更新用戶服務格式合同的便利，在消費者信息負擔過重的情形下，利用消費者追求便利、賬戶沉沒成本較大的特點，采用默認的方式撤回消費者的意思表示或附加對其自身有利的條款。而對于通過這種方式獲取消費者同意的法律效力如何，仍有待解釋。此外，就個人信息授權本身而言，在當前數據產業的商業實踐中用戶授權期限與授權撤回的設置往往也并不便利。在《個人信息保護法》中，立法對個人信息的存儲期限進行了規定，但并未對用戶授權期限或撤回的具體方式做出規定。對于經營者而言，只要法律無明文規定，在經營者與消費者利益產生沖突時，經營者往往不會選擇投入額外精力保證消費者權益，這也是導致消費者“注冊時同意等于永遠同意”的根本原因所在。對此，同樣需要通過司法解釋的方式，對“告知-同意”應包含的具體內容與形式進行進一步解釋。

  3.“算法”在特定法律關系中的定位有待進一步明確。《個人信息保護法》第8條規定：“處理個人信息應當保證個人信息的質量，避免因個人信息不準確、不完整對個人權益造成不利影響。”與貫徹個人信息保護始終的“告知-同意”規則一道，個人信息的質量問題在《個人信息保護法》頒布之后同樣得到重視。在前文所述“梁某、廣東某實業有限公司訴某科技有限公司網絡侵權責任糾紛案”中，某科技公司因算法有誤而誤將無關的失信被執行信息關聯至梁某公司名下，導致梁某的人格權益遭受損失。人民法院認為，雖然本案是因某科技公司的算法自動化處理而導致的侵權，但算法的使用歸根結底取決于某科技公司的意志，不應依此免責。某科技公司的行為違反了個人信息處理的質量要求，屬于侵權行為。在當前的數據產業商業實踐中，如AI算法、自動駕駛等自動化決策與人工智能獲得了廣泛使用。但在因算法的適用而導致的侵權行為中，實際侵權人的認定不應當受到“算法”產品的影響。應用算法屬于數據處理的具體行為，個人信息處理者同樣應當為應用算法的行為承擔責任。

  4.消費者個人信息侵權救濟不及時、損害賠償范圍不確定。結合裁判文書網中的檢索結果來看，涉及個人信息的案件從立案到裁判普遍需要3個月以上的時間。個人信息侵權具有繼續性，在等待案件裁判的同時，侵權行為仍然在繼續，這也擴大了消費者個人信息救濟不及時的負面影響。此外，在人民法院的裁判結果中，是否支持當事人依照個人信息侵權提出的精神損害賠償，各人民法院的觀點并不一致。雖然在裁判中人民法院需要對實際侵權時間是否在《民法典》生效之后進行考量，但依照我國《民法典》的體系安排，自然人的個人信息權益具有人格屬性，同時因個人信息侵權的繼續性，故對于當事人提出的精神損害賠償，人民法院應當予以支持。

  （三）行政保護的不足

  在消費者個人信息權益的行政保護上，雖然2022年度對于違法行為可以做出行政處罰的法律依據有所增加，但依舊存在監管不足、懲戒力度不夠等問題。

  1.對消費者個人信息的侵權行為監管不足。2022年個人信息泄露問題依舊屢見不鮮，先后被爆蔚來汽車用戶信息、學習通數據等多起個人信息泄露事件。《個人信息保護法》已頒行一年有余，違法行為中存在侵害消費者個人信息權益的，應當援引《個人信息保護法》作為處罰依據。但截至2023年1月8日，行政處罰文書網僅能檢索到兩份依照《個人信息保護法》做出的已公開行政處罰文書，相較于其他類型違法行為做出的文書依然較少，反映出了對消費者個人信息侵權行為的監管不足。

  2.行政監管效率有待進一步提升。2022年7月，國家互聯網信息辦公室依據《網絡安全法》《數據安全法》《個人信息保護法》《行政處罰法》等法律法規，對滴滴處人民幣80.26億元罰款，對滴滴董事長兼CEO、總裁各處人民幣100萬元罰款。除開出的天價罰單外，同樣應當注意的是滴滴實施的個人信息侵權行為最早開始于2015年6月，截至行政處罰作出時，違法時間長達7年，持續違反2017年6月實施的《網絡安全法》、2021年9月實施的《數據安全法》和2021年11月實施的《個人信息保護法》中有關個人信息保護的相關規定。雖然對于滴滴這種大型企業的違法行為進行調查確實存在隱蔽性較強、取證需要大量時間、人力等客觀因素，但從侵權行為開始至行政處罰做出時共花費七年時間，也一定程度的反映出了行政監管效率有待進一步提高的事實。除此之外，在政府有關部門做出的行政處罰文書中，從侵權之日起至行政處罰作出之日往往間隔在1個月以上，[10]而期間相關經營者的侵權行為并未終止，這對于消費者個人信息的及時保護當然是不利的。

  （四）社會共治的不足

  在社會共治方面，除行政執法外，還包含行業自治與消費者協會的監督兩個方面。就2022年的整體情況來看，依然存在部分平臺責任意識不強、消費者協會監督未得到充分重視的情況。

  1.部分平臺的責任意識不強，平臺內救濟與申訴機制未發揮顯著作用。《個人信息保護法》規定個人信息處理者應當提供便捷的撤回同意的方式。在前述“王某、深圳市騰訊計算機系統有限公司個人信息保護糾紛”案中，騰訊公司對王某使用微視App時提供的撤回授權路徑就被認定為“非便捷途徑”。具體在案件中，包括上訴人王某在內的用戶若要撤回授權微視App使用微信好友關系，只能回到微信進行撤銷授權，不能在包括微視在內的其他任何界面進行操作。該事實表明，騰訊公司對用戶微信好友關系的授權取得和授權撤回提供了不對等的設置路徑。雖然微視App可以通過微信用戶接口進入和登錄，但兩者系兩個獨立的App。

  法律無法事無巨細地規定所有情形，對于明顯違反法律的個人信息收集行為，企業自身守法同樣是重中之重。結合當前產生的糾紛來看，《個人信息保護法》《數據安全法》頒布后企業自身合規雖然有一定程度的發展，但對于明顯違反法律規定的行為，更應當注重發揮平臺內救濟與申訴機制的功能。結合當前各平臺提供的平臺內救濟機制來看，依然廣泛存在著智能語音接管、無應答或等待時間過長的問題，相關平臺企業應予以糾正。

  2.消費者協會的監督未得到足夠重視。與行政執法部門不同，消費者協會并非國家機關，并沒有對經營者實施行政處罰的權能。因此，消費者協會進行的調解最終是否落實，依然需要以當事雙方遵守誠信原則為基礎。而對于業務上需要進行數據處理的經營者而言，消費者協會的勸解往往不能引起其足夠重視。造成這一現象的淺層原因一方面在于此類經營者往往主要從事技術工作，對于消費者協會的職責與社會作用并不了解，另一方面也在于此類經營者常常是具有合規部門的網絡平臺，對消費者協會的調解行為消極對待。而深層原因則在于，部分處理個人信息的經營者不認為消費者協會的社會監督會對其本身造成實質影響。解決這一問題的主要方法是省級以上消協組織積極行使法律賦予的提起公益訴訟職責，使侵害消費者個人信息權益的經營者承擔其應當承擔的法律責任。

  （五）相關政策建議

  通過上述分析，2023年消費者個人信息保護尚有待從立法、司法、執法與社會共治等方面進一步完善：

  1.再次啟動《消費者權益保護法》修訂，完善消費者個人信息保護法律制度。2013年《消費者權益保護法》進行了第2次修訂，至今已近10年。隨著近年來數字經濟的興起，《個人信息保護法》《數據安全法》的頒行為未來數據市場發展提出了新的發展方向。其中，作為規制個人信息集中收集與大數據產品集中應用的消費市場的《消費者權益保護法》也應當及時做出修訂，使消費者在主張自身權益時擁有最直接的法律依據，以回應黨的二十大對“加快建設網絡強國、數字中國，加強個人信息保護”的要求。綜上所述，《消費者權益保護法》的修訂應當著重于在“消費中”與“消費后”兩個方面對消費者個人信息權益進行保障，具體應當考慮以下兩個方面內容：首先，在“消費中”應當制度化保障消費者個人信息不受不法侵害，包括但不限于在《消費者權益保護法》第7條第2款增加“消費者個人信息受法律保護，經營者在處理消費者個人信息時應當保障消費者的個人信息安全”的表述、重述個人信息權益的類型、規定經營者獲取個人信息使用授權后的權能等內容。其次，在“消費后”為了平衡消費者個人信息維權成本與損害賠償，應當立法設置最低賠償金額。

  隨著對個人信息立法討論的不斷深入，有學者針對個人信息侵權中個體損失數額較小、受害群體巨大的特點，主張在個人信息立法中設置最低損害賠償金額，[11]但這一觀點在《個人信息保護法》中因可能對個人信息處理者產生過大損害賠償責任并未被采用。但從法律規制范圍上來講，《個人信息保護法》的立法目的是在所有可能的場景下對個人信息這一權利客體進行保護，因此并不會特別考慮消費者維權的問題。但在未來《消費者權益保護法》的完善中，仍需借助設置最低賠償金額的方式保障消費者權益。

  2.總結司法經驗，出臺配套司法解釋，推廣公益訴訟保護方式，提高司法保護水平。如前文所述，在當前司法實踐中依然存在對于經營者“捆綁銷售”、消費者的意思表示“被默認”、以“算法規制”逃避責任的認定問題。在損害賠償方面，消費者個人信息權益受到侵害能否主張精神損害賠償在實踐中也同樣存在爭議。對于以上內容，尚存在各人民法院認定不一致的情形，有待司法解釋對法律的適用進行統一指導。同時，在公益訴訟方面也存在需要解決的問題。就目前而言，已提起的公益訴訟以刑事附帶民事為主，獨立提起的民事公益訴訟較少。誠然，提起刑事附帶民事訴訟具有事實清楚、證據充分的特點，極大地降低了提起獨立民事訴訟取證困難的問題，但提起刑事附帶民事訴訟僅能對觸犯刑法的侵權行為規制。對于消費者個人信息權益保護而言，所要面對的侵權行為不僅僅包含犯罪行為，也包含未上升至犯罪的民事侵權行為。對于這一部分行為導致的權益損害并不能通過刑事附帶民事訴訟的方式進行有效救濟。因此，應當增加提起公益訴訟的總量，尤其是獨立民事公益訴訟的數量，鼓勵可以提起消費者個人信息保護訴訟的主體積極提起公益訴訟，從而在更大的規模上規范消費者個人信息處理行為。但在另一方面，結合當前單獨提起的公益訴訟來看，前述2022年重慶市消委會在實踐中創新采用的訴前調解公開聽證的方式既有助于案件審理，也符合公益訴訟的目的，應當將其作為典型案例，將這一積極的司法經驗進行推廣。

  此外，司法實踐中應當統一裁判標準，對于具體侵害消費者權益的行為實現統一認定，對于損害賠償盡可能實現同信息同價，使消費者相信救濟必然、公平、充分。

  3.加強行政治理，懲治侵害消費者個人信息權益的違法行為。要發揮監管部門的指導管理作用，督促處理消費者個人信息的主體盡快取得相關認證，并對違反法律、法規、規定的相關企業與個人進行及時、有力、準確、高效的執法，對企業違法與不當行為及時糾偏，促進消費者與經營者相互信任。結合2022年消費者個人信息保護的社會實踐來看，行政執法方面上需要從以下三個方面進行改善：首先，執法部門要處理好消費者個人信息保護與合理利用的關系。個人信息的合理利用是充分挖掘個人信息社會價值與經濟價值的主要方式之一，但對于合理利用的界限尚需準確把握。對于因公共利益未經消費者同意使用消費者個人信息的，需要準確識別使消費者個人信息權益讓位的法益是否屬于公共利益、特定公共利益是否需要具有人格權屬性的消費者個人信息權益進行妥協等問題。其次，應當提高執法能力，利用科技手段創新監管方式、加大監管力度、提高執法效率。通過對2022年涉及消費者個人信息權益保護的行政執法行為的觀察不難發現，監管的效率難以提升的主要原因即在于傳統的舉報、監督檢查的監管方式在人力上難以負擔大量的個人信息處理行為。解決這一矛盾的方式，則在于利用科技手段創新監管方式，從而提高執法能力。具體采用的方式包括但不限于對舉報內容進行自動識別、提高執法機關信息化水平等。第三，應當注重執法協調。目前，我國個人信息安全執法部門包括網信、工信、市場監管、公安、金融等多個部門，呈現出“九龍治水”的局面。造成這一現象的原因主要在于我國各行政部門立法中均對自身職責范圍內的個人信息保護職能進行了規定。《個人信息保護法》是一項專門性立法，其對于相關部門的執法要求不可避免地與部門立法有所交疊，一方面“傳統行業”向互聯網延伸，一方面互聯網監管也不可避免地向“傳統行業”滲透。在這種情形下，各執法部門之間的職能劃分與協調溝通就成為了不得不解決的問題。加快構建綠色溝通渠道，加強部門之間的協同配合，也是解決這一問題的必要選項。

  4.強化社會共治，共建消費者個人信息保護社會共治體系。要積極發揮消費者協會等社會組織作用，持續加強消費教育，提升消費者的自我保護能力。消費者的自我保護能力是防止個人信息侵權的第一道屏障。近年來，隨著媒體對個人信息權益保護宣傳的增加，消費者對于個人信息侵權行為的警惕性日益上升，對自身個人信息權益的價值也逐漸了解，自我保護能力逐漸提高。但與此同時，個人信息侵權的方式也隨著社會的發展變得多種多樣。此消彼長之間，消費者自我保護的相對能力并沒有顯著提高。消費者自我保護能力的提升不僅在于提高消費者對個人信息侵權行為的警惕性，還需要使消費者具有識別個人信息風險的能力。而消費者識別個人信息風險的能力，則在于及時獲取風險預警信息的能力。因此，應當積極發揮各級消協組織與基層群眾自治組織的作用，通過信息推送與社區宣傳等方式，使消費者可以了解最新的個人信息侵權行為方式，打通消費者獲取風險預警信息的渠道。同時，積極發揮各級消協組織調解消費糾紛的獨特作用，使消費者相信有侵害必有救濟，進一步激發消費者的維權意識，增強消費者的維權信心。

  此外，經營者和行業協會也要自律自治。消費者提高自我保護能力和糾紛調解固然可以抵御一定風險、挽回一定損失，行業從業者也應當加強自律自治，創造經濟價值的同時履行社會責任。就個人信息處理而言，要發揮平臺企業的“重要節點”功能，盡到數據安全保護義務，構建消費者個人信息權益的“防火墻”，為消費者提供安全的網絡消費環境；提倡相關行業協會盡早制定行業規范，實現源頭治理，共同構建消費者個人信息保護社會共治體系。

---

[1]張新寶：“《中華人民共和國個人信息保護法》實施一周年觀察”，https://article.xuexi.cn/articles/index.html?art_id=8556094097720238459&item_id=8556094097720238459&study_style_id=feeds_default&pid=&ptype=-1&source=share&share_to=wx_single，訪問日期2023年1月1日。

[2]國家互聯網信息辦公室：“國家互聯網信息辦公室對滴滴全球股份有限公司依法作出網絡安全審查相關行政處罰的決定”，中國網信網，http://www.cac.gov.cn/2022-07/21/c_1660021534306352.htm，訪問日期2023年1月1日。

[3]上海銀罰字〔2022〕3號行政處罰決定書。

[4]廣州互聯網法院：“廣州互聯網法院發布個人信息保護典型案例”，微信公眾號，https://mp.weixin.qq.com/s/er1LUk8VNQoOHscISCWA2Q，訪問日期：2022年12月30日。

[5]（2021）粵03民終9583號民事判決書。

[6]杭州司法：“非法出售3萬余條身份證信息，這起公益訴訟案今日宣判！”，微信公眾號，https://mp.weixin.qq.com/s/n7qA6Zwk61wSXUuNQuGpkA，訪問日期2023年1月1日。

[7]常州檢察在線：“侵犯公民個人信息檢察公益訴訟來了！”，微信公眾號，https://mp.weixin.qq.com/s/3Pnc0uphzaCeAgUHJeWkzQ，訪問日期2023年1月1日。

[8]（2021）浙01民終12780號民事判決書。

[9]（2022）魯0283民初1447號

[10]湖潯市監處罰〔2022〕287號行政處罰決定書；射市監處罰〔2022〕00061號行政處罰決定書。

[11]參見楊立新：《私法保護個人信息存在的問題及對策》，載《社會科學戰線》2021年第1期。

來  源//中消協