从中欧法律视角看消费者个人信息权保护

2018年3月6日，广西壮族自治区工商局公布2017年广西消费维权十大案例，南宁恒创房地产经纪有限公司侵犯消费者个人信息权案居首位。法律明确规定，未经消费者同意向消费者进行电话推销属于侵犯消费者个人信息权的违法行为。为何这种现象屡禁不止?笔者通过对比中欧相关法律，解析侵犯个人信息权的成因及认定侵犯消费者个人信息权的要件。


 
我国法律相关规定
　　目前，各地工商和市场监管部门依据《消费者权益保护法》第二十九条“经营者未经消费者同意或者请求，或者消费者明确表示拒绝的，不得向其发送商业性信息”和《消费者权益保护法实施条例》第二十三条第一款“未经消费者明确同意或者请求，经营者不得向消费者的固定电话、移动电话等通讯设备，电脑等电子终端或者电子邮箱、网络硬盘等电子信息空间发送商业性电子信息或者拨打商业性推销电话”的规定，查处侵犯消费者个人信息权的行为。
　　但是，上述法律规定过于原则，对什么属于消费者“同意”、经营者应如何获得消费者“同意”等均未作具体的规定，导致在实践中此类行为频频出现。
 
中欧法律之比较
　　一是关于中欧法律中消费者“同意”概念。
　　我国法律涉及消费者“同意”的规定较为原则。在实践中，消费者在购买商品或服务办理会员手续填写个人信息卡，或在APP、网页注册、填写个人信息时，往往并不会关注这些表格到底规定了什么内容。许多商家便利用消费者的这种心理，将“同意第三方使用数据进行电话推销”等条款以不显眼的方式设置在合同条款中，导致消费者在不知情的情况下选择了“同意”。
　　欧盟将于5月25日生效的《一般数据保护条例》(GDPR)对消费者“同意”作出明确规定。该《条例》第四条强调，数据主体的“同意”是指数据主体依照其意愿自愿作出的任何指定的、具体的、知情的及明确的指示。同时，该《条例》第七条对数据主体如何获取用户“同意”进行细化。
　　对比中欧法律就关于“同意”的概念(见下表)可以发现，欧盟相关法律对于“同意”的概念规定得非常明确：被提供的信息应足以保证数据主体能够作出充分知情的选择，且必须使用数据主体能够理解的语言；被提供的信息必须清楚且足够显著，让数据主体不能轻易忽略。这意味着在欧盟，只有在取得消费者明确同意的前提下，商家才可以拨打推销电话。
　　我国相关法律规定商家拨打推销电话需要获得消费者的同意，但并没有规定“明确拒绝，谁来承担明确举证责任”等。
　　二是关于中欧法律中处罚体系。
　　我国《消费者权益保护法》规定由工商行政管理部门或者其他有关行政部门责令违法经营者改正，同时可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下的罚款，没有违法所得的，处以五十万元以下的罚款；情节严重的，责令停业整顿、吊销营业执照。
　　欧盟相关法律规定对违规经营者的处罚则严厉得多：对违规企业处以1000万欧元或全球营业收入的2%(两者取其高)的罚款，严重者甚至会被处以2000万欧元或全球营业收入的4%(两者取其高)的巨额罚款。
　　三是关于中欧对查办此类案件的执法机关。
　　我国《消费者权益保护法》规定，对未经消费者同意或者请求，或者消费者明确表示拒绝的，仍向其发送商业性信息的经营者，由工商行政管理部门或者行业主管部门负责查处，后者包括通信管理局、工信部、中国银行保险监督管理委员会等。这意味着在我国，个人信息保护案件并非专属管辖，而是多部门共同执法。在实践中，上述侵犯消费者个人信息权案主要是由工商和市场监管部门查处的。
　　欧盟相关法律规定，欧盟成员国必须成立专门的数据保护监管机构，受理相关投诉，调查违法行为，开展执法协作。同时，欧盟将设立“一站式”投诉服务，便于消费者在欧盟内跨境投诉。
 
执法力度亟须加大
　　尽管我国工商和市场监管部门依据《消费者权益保护法》等法律法规查处一大批侵犯消费者个人信息权的案件，但仍存在处罚幅度较轻、违法成本低等问题。笔者建议，我国《消费者权益保护法》或未来可能制定的统一的《个人信息保护法》应借鉴欧盟《一般
　　数据保护条例》，做三个方面的“升级”修改。
　　一是在用户加入会员或注册等环节，商家或APP、商业网站的运营者应进一步明确获取用户个人信息的同意规则，规定其获取用户同意必须以易于理解的语言且与其他事项显著区别的形式提醒并告知，同时应允许用户选择不同意。对于未以显著方式呈现的声明，均不视为获取用户同意。
　　二是在罚则的制定上，加大对违法商业推销等行为的处罚力度，不仅要提高罚款的上限，更要从失信制裁、跟踪处罚等角度上予以规制。
　　三是消费者遇到个人信息遭泄露时，应向哪个部门举报?执法标准和处罚依据是什么?这些都亟待统一、有力的执法实践予以回答。