消费者个人信息的保护
                        ----消费者篇
广东盈隆（海口）律师事务所 张卉
 
2021年8月20日，《中华人民共和国个人信息保护法》（以下简称“《个保法》”）由第十三届全国人大常委会第三十次会议审议通过，将于2021年11月1日起实施。本文拟探讨《个保法》实施后对消费者个人信息保护的变化，消费者相关权利受损时有何新的救济途径。
 
一、 关于消费者的“个人信息”
 
什么属于个人信息？作为一个法律概念，如果从实定法中去寻找其定义，按照《个保法》第四条的规定，“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息”。《民法典》第一千零三十四条规定为：“自然人的个人信息受法律保护。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定”。
在上述法律出台之前，虽然个人信息保护方面我国已有近40部法律、30多部法规、近200部规章，但涉及个人信息定义的却不多，且都只是划定了其保护的某个领域内的个人信息的范围，并未作出统一的定义。当中两高的司法解释和两个部门规章的定义较为清晰，分别为《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》的关于刑法第二百五十三条之一规定的“公民个人信息”，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等“。《信息安全技术 公共及商用服务信息系统个人信息保护指南》中关于个人信息的定义是，可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。个人信息可以分为个人敏感信息和个人一般信息。《电信和互联网用户个人信息保护规定》所称用户个人信息，是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。
综上，关于消费者的“个人信息”，结合《中华人民共和国消费者权益保护法》，消费者为生活消费需要购买、使用商品或者接受服务过程中，经营者因此而处理的以电子或者其他方式记录的与已识别或者可识别的消费者有关的各种信息，都属于消费者的个人信息。简单来说，消费者的个人信息包括到餐厅扫描点餐而提供的电话号码，加入专卖店/旗舰店会员而登记的出生日期、身份证号码、赠品/试用品邮寄住址，银行卡账单推送电子邮箱，打车软件上的行踪信息，网购的账号和密码，体检中心的体检结果等。
 
二、 《个保法》实施前的消费者个人信息保护的立法现状
 
《中华人民共和国宪法》第三十三条、第三十八条至第四十条分别是保障人权、人格尊严、通信和住宅隐私的有关规定，是中国个人信息权利的立法渊源。在此基础上，逐步在刑事、行政、民事等立法，以及行业文件中完善个人信息的保护。
刑事上，针对消费者在内的个人信息侵害，《中华人民共和国刑法修正案（九）》将原《刑法》第253条规定的出售、非法提供公民个人信息罪和非法获取公民个人信息罪整合为侵犯公民个人信息罪，在加重法定刑的同时，明确规定对履行职责或者提供服务过程中获得的公民个人信息出售或者提供他人的犯罪主体应从重处罚。最高人民法院、最高人民检察院的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中，明确了拒不履行公民个人信息网络安全管理义务行为的定性和处理。
在民事、经济立法方面，《中国人民共和国民法典》、《中华人民共和国消费者权益保护法》（以下简称“《消保法》”）、《中华人民共和国电子商务法》（以下简称“《电商法》”）、《中华人民共和国网络安全法》（以下简称“《网安法》”）等都有关于消费者个人信息的保护规定。根据《民法典》，消费者发现作为信息处理者的经营者违反法律、行政法规的规定或者双方的约定处理其个人信息的，有权请求信息处理者及时删除。经营者不得泄露或者篡改其收集、存储的个人信息；未经消费者同意，不得向他人非法提供其个人信息。《消保法》规定了，经营者侵害消费者人格尊严、侵犯消费者人身自由或者侵害消费者个人信息依法得到保护的权利的，除承担相应的民事责任外，其他有关法律、法规对处罚机关和处罚方式有规定的，依照法律、法规的规定执行；法律、法规未作规定的，由工商行政管理部门或者其他有关行政部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处以违法所得一倍以上十倍以下的罚款，没有违法所得的，处以五十万元以下的罚款；情节严重的，责令停业整顿、吊销营业执照。构成犯罪的，依法会被追究刑事责任。《电商法》要求电子商务经营者应当明示用户信息查询、更正、删除以及用户注销的方式、程序，不得对用户信息查询、更正、删除以及用户注销设置不合理条件。电子商务经营者收到用户信息查询或者更正、删除的申请的，应当在核实身份后及时提供查询或者更正、删除用户信息。用户注销的，电子商务经营者应当立即删除该用户的信息；依照法律、行政法规的规定或者双方约定保存的，依照其规定。电子商务经营者未明示用户信息查询、更正、删除以及用户注销的方式、程序，或者对用户信息查询、更正、删除以及用户注销设置不合理条件的，由市场监督管理部门责令限期改正，可以处一万元以下的罚款。电子商务平台经营者对违反前款规定的平台内经营者未采取必要措施的，由市场监督管理部门责令限期改正，可以处二万元以上十万元以下的罚款；情节严重的，处十万元以上五十万元以下的罚款。《电商法》明确了电子商务平台经营者知道或者应当知道平台内经营者有侵害消费者合法权益行为（比如侵害消费者个人信息权益的行为），未采取必要措施的，依法与该平台内经营者承担连带责任。《网安法》规定了网络运营者、网络产品或者服务的提供者侵害个人信息依法得到保护的权利的，由有关主管部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
 
三、 《个保法》实施后的消费者个人信息保护
 
《个保法》规定，个人对其个人信息的处理享有知情权、决定权，有权限制或者拒绝他人对其个人信息进行处理；法律、行政法规另有规定的除外。个人有权向个人信息处理者查阅、复制其个人信息；个人撤回同意；个人信息处理者违反法律、行政法规或者违反约定处理个人信息，个人信息处理者应当主动删除个人信息；个人信息处理者未删除的，个人有权请求删除。
国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。任何组织、个人有权对违法个人信息处理活动向履行个人信息保护职责的部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理，并将处理结果告知投诉、举报人。
违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
有前款规定的违法行为，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
由此可见，《个保法》对违法处理个人信息行为的处罚力度，比过去任何一部民事、经济法律法规都重，明确了个人对个人信息的知情权、决定权、查阅和复制权，个人的权益受损时，可以通过行政主管部门的国家网信部门寻求救济的权利。
假设一个消费场景：消费者到某品牌实体店购买一款背包，付款时店员说如果登记姓名、手机号码、出生日期加入会员，并添加企业微信后可以获得九折优惠。消费者遂提供了相关个人信息在卖家的移动电子系统登记成为会员、添加企业微信并支付了标价9折后的商品货款。消费者离店后，卖家通过登记的电话号码用店铺电话联系消费者说刚才收款时少收了数百元，要求消费者微信补齐这数百元或者退货。鉴于消费者当时是按商品吊牌明码标价的金额打九折后支付购买，按照标价折后的金额与刷卡支付的金额一致，不理解为何会有少收货款的说法，要求卖家提供依据，随后卖家通过微信向消费者发送了一张没有出处的所谓品牌方要求定价的网络截图。基于卖家截图并非出自品牌官网，外加工作繁忙的原因，消费者没有及时作出回应。但次日，卖家的店员不仅连续通过固定电话以及私人手机多次致电消费者、利用私人微信向消费者发送好友申请，而且还以手机短信形式向消费者发送带有威胁语气的文字要求消费者回应，暗示消费者若不进行处理则会对其个人信息等做出不利的行为。
卖家是一家品牌代理商，具有法人身份，由于日常经营管理不善而没有按品牌方建议的零售价标价，在整个消费过程中消费者按店铺明码标价付款不存在过错，卖家作为经营者不应该擅自向其员工泄露消费者基于会员登记而提供的个人信息。在上述事件中，消费者就是因为卖家的个人信息泄露行为遭受的员工的骚扰和威胁，导致个人权益受损。
《个保法》实施前，消费者可以向工商部门投诉卖家损害其个人信息的行为，但实践中工商部门侧重于解决于商品有关的纠纷，在个人信息保法方面尽管按照《消保法》工商行政管理部门或者其他有关行政部门有权责令改正，可以根据情节单处或者并处警告、没收违法所得、处以罚款。但是否行使警告、没收违法所得、罚款的权力由有关部门自行裁量决定。《个保法》实施后，对于不记得提供了具体什么信息给商家的消费者，可以行使查阅和复制权，要求商家提供当时消费者提供过的信息，进而要求商家删除相关的信息，另外在工商部门对侵害个人信息行为不予调处时，消费者还可以向网信部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理，并将处理结果告知投诉、举报人。