强化个人信息保护、避免被违规收集和盗取，应从两个方面着手

案件背景：

互联网时代，数据已经越来越成为最重要的生产要素和战略资源，消费者的个人信息保护问题也日益凸显。各种商家、平台都会广泛收集消费者的个人信息，如性别、地域、电话、网上浏览记录等，并通过算法推荐、个性化广告等机制反过来影响消费者的消费行为。与此同时，用户数据被泄露、窃取的情况也时有发生。这些行为使得每个消费者都曾或多或少受到个人信息被滥用或泄漏的困扰，比如无孔不入的广告推销、令人不胜其烦的垃圾信息、防不胜防的电信诈骗等。消费者的隐私、财产安全都因此受到威胁。但对于单一消费者而言，维权程序复杂且成本高昂。在此背景下，增强个人信息保护意识，充分了解个人信息主体的权利范围和救济方法，对消费者权益保护来说显然具有重要价值。

刚刚过去的2021年，我国出台了有可能是中国进入信息时代以来最重要的几部法律文件，包括《民法典》、《数据安全法》、《个人信息保护法》等，构建了个人信息保护的法律框架，同时建立了行政、民事、刑事、公益诉讼四位一体的立体保护模式，以期将个人信息保护落到实处。本文将结合实践中的典型案件，介绍消费者个人信息面临的风险及其应对。

案例分析：

根据2021年11月1日生效的《个人信息保护法》，个人信息指“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息”。参考国家市场监督管理总局、国家标准化管理委员会共同发布并于2020年10月1日实施的《信息安全技术个人信息安全规范》，日常生活中与个人相关的大多数信息，如姓名、性别、身份证号码、职业、学历、通讯记录、网站浏览记录等，都可能被认定为属于个人信息。

同样根据《个人信息保护法》《民法典》等相关法律，信息处理者在处理个人信息的过程中，即收集、存储、使用、加工、传输、提供、公开、删除等各个环节中，都应该按照“告知-同意”的基本逻辑，遵循合法、正当、必要的基本原则。实践中，消费者的个人信息面临的风险主要有以下几种：

第一，个人信息被违规收集的风险

违规收集个人信息包括擅自收集个人信息和超范围收集个人信息两种。擅自收集个人信息，指商家、平台在收集消费者的个人信息时，未获得消费者的明确同意，未告知收集信息的目的、用途等。例如，2021年，小鹏汽车销售服务有限公司在未取得消费者同意，也无明示、告知消费者收集、使用目的的情况下，在旗下门店安装摄像设备，违规采集上传人脸照片40余万张。最终该企业被上海徐汇区市场监督管理局的罚款10万元。

超范围收集个人信息常见于线上商家或平台，一般指强制、频繁、过度索取权限，强行收集非必要信息。例如，居然之家开发的洞窝App近日就因为超范围收集个人信息，被工信部公开通报（《关于侵害用户权益行为的APP通报（2022年第1批，总第21批）》）。其《隐私政策》要求用户提供“真实姓名、性别、生日、配送地址、联系方式、通讯录、相册、日历、定位信息等”，但是并未告知用户获取上述个人信息的用途，也未告知用户有权拒绝或关闭对上述信息的授权。若不同意上述《隐私政策》，消费者将无法正常使用该app。

收集是信息处理的第一步，违规收集个人信息增加了后续信息滥用或泄露等风险，将极大影响消费者个人信息安全。

第二，个人信息被滥用于大数据分析的风险

滥用个人信息进行大数据分析，主要指商家、平台将收集的个人信息过度用于用户画像、个性化广告推荐、自动化决策等。在给消费者带来便利的同时，也产生差别定价、诱导性消费等问题。

据中国消费者协会的相关报告，网络领域涉及消费者权益的算法应用问题主要有6种：推荐算法、价格算法、评价算法、排名算法、概率算法和流量算法。其中，价格算法就是饱受消费者诟病的“大数据杀熟”。例如，2020年12月，某零售平台用户“漂移神父”发现配送地点相同的外卖，使用会员账号登录的配送费是6元，而使用非会员账号仅用2元。究其原因，很可能是认为会员作为老用户消费频率通常较高，对平台依赖度也相对较高，价格敏感度相对较低。

推荐算法的违规情形也比较常见，如App运营者通过分析用户浏览过的页面、广告、商品、话题等有针对性地进行商业营销，如果未能充分告知并获取用户同意，则也是侵害用户合法权益的行为。在工信部通报的款App中，存在“强制用户使用定向推送功能”的违规App占比为，在所有被关注的违规问题中排名前列。

滥用个人信息进行大数据分析，不仅给消费者的权利带来直接影响，长时间来看，还危害国家安全和社会公共利益、扰乱经济秩序和社会秩序。目前已经引发社会广泛关注。

第三，个人信息被出售、泄漏与盗取的风险

一方面，商家、平台本身可能会非法出售用户的个人信息用于牟利。例如2021年检察院公布一起个人信息保护公益诉讼典型案例2016年至2018年期间，温州某儿童摄影公司员工张某某、某儿童培训公司员工卢某某等人，为公司商业营销需要，采用购买、交换等方式从温州多家医院非法获取1万余条孕产妇个人信息。期间张某某等人还向他人出售、提供孕产妇个人信息。

另一方面，商家和平台收集的大量个人数据，也存在较大被人为泄漏、恶意盗取的风险。例如，2021年6月公开的一份刑事判决书【案号（2021）豫1403刑初78号】显示，一名住在河南商丘市的本科毕业的大学生逯某自2019年11月起，对某电商平台实施了长达八个月的数据爬取并盗走大量用户数据；另一名住在湖南省浏阳市的初中毕业的黎某利用这些信息，建了1100个微信群，每个群90-200人不等，每天用机器人在群里发该电商平台的优惠券，赚取返利，并在短短的8个月内获利34万余元。在该电商平台注意到这一问题前，已经有超过11亿8千多万条用户信息泄露。

相较于其他财产，个人信息的价值往往不体现在对个别主体、个别信息的直接使用或交易上，而是体现在对大量数据的分析、筛选以及后续的深度使用过程中。这些过程对消费者权利的侵害是的隐晦的，导致尽管上述侵权现象已广泛存在，但消费者维权却非常困难。

《个人信息保护法》第七章也专门规定了违规处理个人信息的法律责任，包括行政处罚、民事赔偿、刑事追责、公益诉讼等。结合其他具体部门法的规定，在个人信息法律保护领域，我国已经建立起了包括行政、民事、刑事、公益诉讼在内的全方位的个人信息保护救济体系。这也意味着，消费者可以通过行政、民事、刑事及公益诉讼四个方面进行维权。

在行政监管方面：由行政部门直接对违规处理个人信息的企业进行监管，是目前消费者保护个人信息权利最快捷的方式。个人信息保护方面并没有统一、专门的监管机构。实践中，在国家网信部门统筹协调下，电信主管部门、公安部门、市场监管部门以及金融、教育、交通、医疗、卫生等相关领域的主管部门，都可以对其行业内侵犯消费者个人信息权益的行为进行监督、查处。

根据《个人信息保护法》，消费者有权对违法个人信息处理活动向履行个人信息保护职责的部门进行投诉、举报。履行个人信息保护职责的部门，可以采取询问当事人，查阅、复制相关文件、实施现场检查等措施。并在发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，直接对该个人信息处理者的法定代表人或者主要负责人进行约谈，或者要求个人信息处理者进行整改，消除隐患。实践中，通过行政监管方式整治侵犯个人信息的企业，成效十分显著。例如， 2021年，工信部累计开展了12批次技术抽检，通报了一千多款违规APP，下架了五百多款拒不整改的APP。

在民事诉讼方面：通过民事诉讼寻求排除妨害、损害赔偿等救济，是消费者直接维护自身个人信息权利的重要方式，尤其适合已经造成明显经济损失的情形。

2021年7月7日，经绍兴市柯桥区法院审理了胡女士诉某商旅信息服务平台商务有限公司侵权纠纷一案，该案是首例消费者在质疑遭遇“大数据杀熟”后成功维权的案例。该案中，原告胡女士此前多次通过该平台APP预定机票、酒店，成为该平台的钻石贵宾客户。后胡女士通过该平台APP订购了舟山某高端酒店的一间豪华湖景大床房，支付价款2889元。但在退房时发现酒店的挂牌房价加上税金总价仅1377.63元。后该平台以供应商问题为由，仅退还了部分差价。胡女士遂以该平台采集其个人非必要信息，进行大数据“杀熟”为由诉至柯桥区法院，要求“退一赔三”，并要求该平台APP为其增加不同意《服务协议》和《隐私政策》时仍可继续使用的选项。

柯桥区法院审理后认为，该平台APP作为中介平台，向原告展现了一个溢价100%的失实价格，未践行钻石贵宾享有优惠价的承诺。而且，该平台在处理原告投诉时告知原告无法退全部差价的理由，经调查也与事实不符，存在欺骗。故认定被告存在虚假宣传、价格欺诈和欺骗行为，支持原告退一赔三。同时，该平台APP的“隐私政策”要求用户授权该平台自动收集用户的个人信息，包括日志信息、设备信息、软件信息、位置信息等，并许可其使用用户信息进行营销活动、形成个性化推荐，将用户的订单数据进行分析从而形成用户画像。上述信息超越了形成订单必需的要素信息，原告因之不同意被告现有“服务协议”和“隐私政策”合乎情理，应予支持。

参考该平台案件，消费者若因个人信息问题遭受损失，无论金额大小，都可以选择提起民事诉讼的方式维权。但是，该种维权途径可能存在周期长、成本高、回报率低的问题。且一般消费者缺乏收集证据的经验和能力，相关法律规范和司法实践对于个人信息侵权的构成要件、举证责任等问题，标准也并不明确。因此消费者个人提起民事诉讼也存在较大的风险。

在刑事诉讼和公益诉讼方面：刑事诉讼和公益诉讼，都可以适用于多个消费者个人信息权益受到侵害的情形，有利于解决个人信息非法出售、泄漏、盗取等严重问题。

刑事诉讼的程序往往更加复杂，由公安机关、检察院主导，证据证明标准更高，但对违法者的惩处也更加严格。而公益诉讼灵活性更高，程序相对简单，起诉主体可以是人民检察院、法律规定的消费者组织或由国家网信部门确定的组织。最终主要通过与行政机关的配合实现对数据处理者的监督。目前已经存在惩罚性赔偿制度。

律师建议：

互联网时代，消费者的个人信息面临被违规收集、滥用、泄漏、盗取的巨大风险，伴随而至的价格歧视、垃圾短信、骚扰电话、精准诈骗日益威胁着消费者的隐私、财产安全。消费者个人也应增强个人信息保护意识，充分了解个人信息主体的权利和救济方法，维护自身的合法权益。消费者个人信息权保护要从消费者自身抓起，从两个方面着手：事先预防和事后救济。

在个人权益受到损害前，消费者要提升个人信息保护意识。第一，消费者应注意保护自己的个人信息，尽量不注册不上传个人信息。其次，在安装App时，应优先选择清晰标注开发者品牌且所属企业较为知名的App。使用时，应慎重授权涉及个人敏感信息的权限请求，如通讯录读取请求。在网络购物时，要注意涉及个人敏感信息的信息展示，做到全面关注、谨慎出示、信息敏感。有些电商消费者对此重视度略有欠缺，存在侥幸心理，对于个人信息的隐蔽意识不够，对于个人信息包含范围不清晰，对此类平台要格外注意。第三，注意阅读《隐私政策》。《隐私政策》不仅会公布商家收集、使用信息的范围、目的，也会约定消费者享有的查阅、复制、删除等权利，更会显著标识其联系方式。最后，在使用之后，还要消除无效且过期的个人信息。

若发现个人信息权利受到侵害，除积极与商家、平台沟通，要求其及时删除相关信息或采取保护手段，避免损害的扩大外，也可以利用法律手段。法律规定的不同的维权方式在启动程序、举证责任、赔偿标准等问题上各有区别，不同的消费者应当根据自身的具体情况，选择适合自己的维权方式，尽可能地寻求多种途径的救济，包括向当地行政主管部门进行投诉、举报，向消费者权益保护协会反应情况，向人民法院提起诉讼，严重时还可以将有关情况报告公安机关寻求刑事救济。消费者可以用好法律这一武器和屏障，充分保障自己的合法权益。

总而言之，任何商家、平台不得在未得到消费者授权的情况下收集其个人信息，不得将收集的信息用于与其功能无关的目的。消费者有权撤回授权，也有权要求商家、平台按照其指示转移、删除相关信息等。消费者应充分利用好自己的权利。

律师介绍：北京象星律师事务所主任郑玮