從中歐法律視角看消費者個人信息權保護

2018年3月6日，廣西壯族自治區工商局公布2017年廣西消費維權十大案例，南寧恒創房地產經紀有限公司侵犯消費者個人信息權案居首位。法律明確規定，未經消費者同意向消費者進行電話推銷屬于侵犯消費者個人信息權的違法行為。為何這種現象屢禁不止?筆者通過對比中歐相關法律，解析侵犯個人信息權的成因及認定侵犯消費者個人信息權的要件。


 
我國法律相關規定
　　目前，各地工商和市場監管部門依據《消費者權益保護法》第二十九條“經營者未經消費者同意或者請求，或者消費者明確表示拒絕的，不得向其發送商業性信息”和《消費者權益保護法實施條例》第二十三條第一款“未經消費者明確同意或者請求，經營者不得向消費者的固定電話、移動電話等通訊設備，電腦等電子終端或者電子郵箱、網絡硬盤等電子信息空間發送商業性電子信息或者撥打商業性推銷電話”的規定，查處侵犯消費者個人信息權的行為。
　　但是，上述法律規定過于原則，對什么屬于消費者“同意”、經營者應如何獲得消費者“同意”等均未作具體的規定，導致在實踐中此類行為頻頻出現。
 
中歐法律之比較
　　一是關于中歐法律中消費者“同意”概念。
　　我國法律涉及消費者“同意”的規定較為原則。在實踐中，消費者在購買商品或服務辦理會員手續填寫個人信息卡，或在APP、網頁注冊、填寫個人信息時，往往并不會關注這些表格到底規定了什么內容。許多商家便利用消費者的這種心理，將“同意第三方使用數據進行電話推銷”等條款以不顯眼的方式設置在合同條款中，導致消費者在不知情的情況下選擇了“同意”。
　　歐盟將于5月25日生效的《一般數據保護條例》(GDPR)對消費者“同意”作出明確規定。該《條例》第四條強調，數據主體的“同意”是指數據主體依照其意愿自愿作出的任何指定的、具體的、知情的及明確的指示。同時，該《條例》第七條對數據主體如何獲取用戶“同意”進行細化。
　　對比中歐法律就關于“同意”的概念(見下表)可以發現，歐盟相關法律對于“同意”的概念規定得非常明確：被提供的信息應足以保證數據主體能夠作出充分知情的選擇，且必須使用數據主體能夠理解的語言；被提供的信息必須清楚且足夠顯著，讓數據主體不能輕易忽略。這意味著在歐盟，只有在取得消費者明確同意的前提下，商家才可以撥打推銷電話。
　　我國相關法律規定商家撥打推銷電話需要獲得消費者的同意，但并沒有規定“明確拒絕，誰來承擔明確舉證責任”等。
　　二是關于中歐法律中處罰體系。
　　我國《消費者權益保護法》規定由工商行政管理部門或者其他有關行政部門責令違法經營者改正，同時可以根據情節單處或者并處警告、沒收違法所得、處違法所得一倍以上十倍以下的罰款，沒有違法所得的，處以五十萬元以下的罰款；情節嚴重的，責令停業整頓、吊銷營業執照。
　　歐盟相關法律規定對違規經營者的處罰則嚴厲得多：對違規企業處以1000萬歐元或全球營業收入的2%(兩者取其高)的罰款，嚴重者甚至會被處以2000萬歐元或全球營業收入的4%(兩者取其高)的巨額罰款。
　　三是關于中歐對查辦此類案件的執法機關。
　　我國《消費者權益保護法》規定，對未經消費者同意或者請求，或者消費者明確表示拒絕的，仍向其發送商業性信息的經營者，由工商行政管理部門或者行業主管部門負責查處，后者包括通信管理局、工信部、中國銀行保險監督管理委員會等。這意味著在我國，個人信息保護案件并非專屬管轄，而是多部門共同執法。在實踐中，上述侵犯消費者個人信息權案主要是由工商和市場監管部門查處的。
　　歐盟相關法律規定，歐盟成員國必須成立專門的數據保護監管機構，受理相關投訴，調查違法行為，開展執法協作。同時，歐盟將設立“一站式”投訴服務，便于消費者在歐盟內跨境投訴。
 
執法力度亟須加大
　　盡管我國工商和市場監管部門依據《消費者權益保護法》等法律法規查處一大批侵犯消費者個人信息權的案件，但仍存在處罰幅度較輕、違法成本低等問題。筆者建議，我國《消費者權益保護法》或未來可能制定的統一的《個人信息保護法》應借鑒歐盟《一般
　　數據保護條例》，做三個方面的“升級”修改。
　　一是在用戶加入會員或注冊等環節，商家或APP、商業網站的運營者應進一步明確獲取用戶個人信息的同意規則，規定其獲取用戶同意必須以易于理解的語言且與其他事項顯著區別的形式提醒并告知，同時應允許用戶選擇不同意。對于未以顯著方式呈現的聲明，均不視為獲取用戶同意。
　　二是在罰則的制定上，加大對違法商業推銷等行為的處罰力度，不僅要提高罰款的上限，更要從失信制裁、跟蹤處罰等角度上予以規制。
　　三是消費者遇到個人信息遭泄露時，應向哪個部門舉報?執法標準和處罰依據是什么?這些都亟待統一、有力的執法實踐予以回答。