【《第三方支付中消费者个人信息权保护的现状及困境分析综述》8200字】

目录TOC\o"1-3"\h\u21279 -1-1171第一节第三方支付中消费者个人信息权保护的法律规定 -1-25634第二节第三方支付中消费者个人信息权保护的困境 -4-8550一、消费者个人信息权保护制度不健全 -4-28340二、第三方支付机构权利的滥用 -7-27816三、消费者权利纠纷法律救济机制不完善 -8-第三方支付中消费者个人信息权的保护的现状，主要可以从社会保护和法律保护两个角度进行分析，上文从社会保护的角度主要阐述了消费者在使用第三方支付过程中被侵害的行为及原因，虽然第三方支付机构采取了相关保护措施，例如专人管理、提高保密级别、事前获得许可、事后及时告知信息使用情况等，但是消费者个人信息在收集、使用、保存过程中被侵害的现象并没有得到改善，消费者对自身的信息安全依然存在很大顾虑。下文将在现有的法律框架内，结合社会生活当中出现的侵权行为，分析侵权行为背后深层次的原因，为完善相关法律法规指明方向，探索出一条具有中国特色的消费者个人信息权保护道路。第一节第三方支付中消费者个人信息权保护的法律规定2017年3月，有专家学者已经向两会提交过《关于制定<中华人民共和国个人信息保护法>的议案》，建议尽快制定《中华人民共和国个人信息保护法》并附上了草案，但在此之后并没有相关的立法进展。直到2020年10月，全国人大常委会正式对外公布了《个人信息保护法（草案）》（以下简称《草案2020》），向全社会征求意见，2021年在十三届全国人民代表大会第四次会议上再次将《草案2020》提交审议。最近结束的第十三届全国人大常委会第二十八次会议已经对《个人信息保护法（草案二次审议稿）》（以下简称《草案二次审议稿》）进行了二次审议，并于4月29日公开向社会公众征求意见。这一系列的举动说明我国关于个人信息保护的立法进程即将进入下一阶段。在《草案二次审议稿》正式通过审议出台并实施后，将与《网络安全法》和《数据安全法》（征求意见中）共同成为我国网络安全和数据保护有力的捍卫者。在建议对个人信息保护专门立法之前，我国对于该领域的立法是以零散的形式分布在各法律文件中，如《宪法》、《刑法》、《民法典》、《网络安全法》、《消费者权益保护法》、《关于加强网络信息保护的决定》、《电子签名法》等以及各类司法解释中对个人信息的相关规定，也有一部分是通知、细则、办法等法律性文件。总的来说，有关个人信息保护的现有立法存在以下问题：立法较为分散，缺乏可操作性；多数规范性文件效力偏低，指导效力有限；对个人信息权内容规定不明确以及个人信息权保护原则过于笼统。表3.1现行法律规定时间发布的部门名称性质内容2000年12月28日全国人大常委会《关于维护互联网安全的决定》法律规范第4条规定“非法截获、篡改、删除他人电子邮件或者其他数据资料，侵犯公民通信自由和通信秘密”可构成犯罪2009年2月28日全国人大常委会刑法修正案(七)》部门法新增“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”2011年10月29日全国人大常委会《居民身份证法》法律规范第15条规定了“在工作中获取到的涉及公民个人信息的资料应当予以保密”2012年12月28日全国人大常委会《关于加强网络信息保护的决定》法律规范第1条明确规定“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”2013年2月1日工信部和信息化部《信息安全技术-公用及商用服务信息系统个人信息保护指南》部门规章为我国个人信息保护首次提供了国家标准2013年9月1日工信部和信息化部《电信和互联网用户个人信息保护规定》部门规章对个人信息保护最有针对性，规定了电信业务经营者、互联网信息服务提供者的个人信息收集、使用规范和安全保障措施2014年3月15日全国人大常委会《消费者权益保护法》法规规范第14条、29条中规定了“消费者享有个人信息得到保护的权利”2015年4月1日商务部《网络零售第三方平台交易规则制定程序规定（试行）》部门规章第四部分提到了“保护消费者个人信息以及交易记录”2017年6月1日最高院和最高检《关于办理侵犯公民个人刑事案件适用法律若干问题的解释》司法解释为依法惩治侵犯公民个人信息犯罪活动，保护公民个人信息安全和合法权益提供了明确的法律指引2020年5月28日全国人大常委会《民法典》法律规范第1034条明确了“自然人的个人信息受法律保护”，为个人信息保护奠定了基础续表3.1现行法律规定时间发布的部门名称性质内容2020年10月22日全国人大常委会《个人信息保护法（草案）》法律规范为保护个人信息权益，规范个人信息处理活动，保障个人信息有序自由流动，促进个人信息合理利用，特制定本法2021年4月29日全国人大常委会《个人信息保护法（草案二次审议稿）》法律规范为了保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用，制定本法。之前《草案2020》征求意见稿的公布，在很大程度上缓解了上述问题，距离2017年提交的《个人信息保护法（草案）》已经过去了三年，和2017年相比，《草案2020》增添了许多新内容，譬如：借鉴了欧盟《通用数据保护条例》等域外的立法经验，规定了境外处理个人信息的适用效力，有利于解决跨境支付中的问题；确立个人信息处理的七大原则和赋予了信息主体九大权利；不再将同意原则确定为收集、使用个人信息的唯一合法基础，采用了列举式的方法将公共卫生领域、涉及到消费者的重大利益以及公共利益等纳入到处理信息的合法基础范围之内；明确了个人信息处理者应承担的法定义务。《草案二次审议稿》中也新增加了对死者个人信息保护的规定。对《草案2020》的二次审议促进了我国个人信息保护的立法进程，为我国个人信息保护确立了基本的保护模式。亦为将来《个人信息保护法》正式版本奠定了基础，为信息主体的维权提供了合法的依据。第二节第三方支付中消费者个人信息权保护的困境近年来，公众、政府部门都在极力关注个人信息保护方面的问题，2021年中央广播电视总台3·15晚会也公开报道了泄露公民数据信息，非法采集信息的企业，给予消费者警示。中共中央网络安全和信息化委员会办公室也建议加紧制定出台个人信息保护法，建立数据资源确权、开放、流通以及交易的相关制度，为我们的数据安全和个人信息保护提供制度保障。但是公民的个人信息似乎仍然处于“真空状态”，个人信息安全问题没有得到改善；在生活中，非法买卖、使用、泄露等侵害消费者个人信息权的行为层出不穷。产生上述问题的原因主要在于：第一，现行的消费者个人信息权保护制度不健全，尤其是民事损害赔偿制度方面；第二，第三方支付机构滥用其主导地位，侵害消费者合法权益；第三，解决纠纷的法律救济机制不完善，举证责任设置不合理，诉讼管辖不便利等。消费者个人信息权保护制度不健全个人信息保护基本规定不够详细首先在《民法典》中，涉及到公民个人信息相关的规定并不多，只提出了个人信息受法律保护，还列举了一些侵犯个人信息权的行为。它没有对信息控制主体如何收集、使用信息做出规定。其次在《消费者权益保护法》中，对于个人信息的保护仅有原则性的规定，仅要求经营者使用消费者个人信息应该遵守“合法、正当、必要”的原则，并没有对其中具体的含义进行解释说明，导致实务中出现了不同的理解，影响了法律的稳定性，也不利于相关主体参考适用。再次在《网络安全法》第41条中，提到了网络运营商使用个人信息的原则为“正当、合法、必要”。在《网络交易监督管理办法》第13条中，也规定了网络交易经营者应当遵循合法、正当、必要的原则，收集、使用消费者个人信息，并且需要向消费者明示收集、使用信息的目的、方式和范围，并经消费者同意后才可以收集信息。最后在《草案2020》第5条至第7条中，指出处理《个人信息保护法（草案）》第4条：个人信息的处理指个人信息的收集、存储、使用、加工、传输、提供、公开等活动。个人信息时应遵守“合法正当、权责一致、目的明确、最小必要、公开透明”原则，这是个人信息处理者应普遍适用的原则。《草案二次审议稿》除了继续重申上述原则，还增加了应该“采取对个人权益影响最小方式”的规定。但是对第三方支付机构而言，还需要对收集信息的范围做出特别限制，解决当前过度收集信息的问题，以及区分在不同场景下适用不同的规则，这样可以《个人信息保护法（草案）》第4条：个人信息的处理指个人信息的收集、存储、使用、加工、传输、提供、公开等活动。在制定具体规定时，我们应该重点关注信息控制者的风险防范领域，在风险预防与避免伤害原则的指导下，为信息控制主体指明操作方向，根据具体的信息安全风险制定详细的、具有可操作性的个人信息使用规则。丁晓东：《论个人信息法律保护的思想渊源与基本原理——丁晓东：《论个人信息法律保护的思想渊源与基本原理——基于“公平信息实践”的分析》，载《现代法学》，2019年第41期，第109页。损害赔偿制度不完善通过在中国裁判文书网上以“个人信息”为关键词进行搜索，从2018年至2021年民事案由共1982个，查询其基本内容发现大部分法官将个人信息民事案件纳入到名誉权、隐私权、一般人格权中进行审理。来源于：中国裁判文书网/，最后访问时间2021年3月19日。这样做的原因主要是，目前我国还没有对个人信息权进行明确的规定，《民法典》中采用的是“个人信息”。虽然大部分学者认为该规定中的“个人信息”指的是个人信息权。但是在《个人信息保护法》未出台以前，在实务中法官很难将个人信息权作为审理侵害消费者个人信息案件的民事案由。因此在实务中多采取的是将涉及到侵犯个人信息权的案件归入到隐私权、名誉权等具体人格权或者一般人格权案件中进行审理，王秀哲：《大数据时代个人信息法律保护制度之重构》，载《法学论坛》，2018年第33期，第121页。来源于：中国裁判文书网/，最后访问时间2021年3月19日。王秀哲：《大数据时代个人信息法律保护制度之重构》，载《法学论坛》，2018年第33期，第121页。在实践中，受害者要么实际损失较小，要么难以准确衡量具体的经济损失，很难获得民事赔偿，造成这种现象的主要原因在于民事赔偿机制不完善。目前法院在审理侵害消费者个人信息权的案件中，对消费者提出的经济赔偿，主要根据《民法典》侵权责任篇中侵权责任的构成要件来判断被告是否承担赔偿责任以及承担责任的方式。例如在张淑珍起诉宜信普惠公司案中，原告认为被告泄露其个人贷款信息，导致其无法在其他机构办理贷款，要求赔偿经济损失5万元，法院以信息泄露与经济损失之间不存在因果关系，驳回当事人的诉求。参见：北京市第三中级人民法院（2020）京03民终11153号。另外消费者基于个人信息被泄露提出的精神损害赔偿主张也很难得到满足，《最高人民法院关于确定民事侵权精神损害赔偿责任若干问题的解释》中并没有将个人信息权纳入到精神损害赔偿的适用范围。《民法典》第1183条指出精神损害的赔偿标准必须到达“严重精神损害”，但是何为严重，法律并没有明确规定。但由于精神损害是一个主观的东西，无法制定一个固定的标准进行判断，所以实务中关于精神损害的认定主要依赖于法官自由裁量权的行使，损害程度判断标准的不统一加大了消费者获得损害赔偿的难度。陈吉栋：《个人信息的侵权救济》，载《交大法学》，2019年第4期，第42页。而且个人信息泄露存在隐蔽性、广泛性和长期性，消费者的个人信息被不同主体利用会产生不同的法律后果，也更难界定“严重”的概念了。参见：北京市第三中级人民法院（2020）京03民终11153号。陈吉栋：《个人信息的侵权救济》，载《交大法学》，2019年第4期，第42页。《刑法修正案（九）》中“针对个人信息犯罪”的规定，主要打击的也是非法买卖、非法获取、侵犯个人信息等重大的违法犯罪行为。在司法实践中即使侵权行为人最终受到刑事处罚，被侵权人仍难以得到实质性的民事赔偿。以下这些案例能够直观的说明这一点。案例一，2018年4月，张志敏利用QQ、微信等途径非法获取公民个人信息146598条、邓恺飞非法获取公民个人信息55564条，非法获利共计12万元，最终法院只是对犯罪行为人判处有期徒刑二年，并处罚金人民币十万元。参见：浙江省金华市中级人民法院（2020）浙07刑终631号。案例二，2018年10月，熊银灿贩卖公民信息数据量728056条，王苹贩卖公民信息数据量为742790条，王强贩卖公民信息数据量为58547条，共计非法获利高达71万，最终法院判处熊某、王苹、王强有期徒刑三年到五年不等，并处罚金合计130万元参见：贵州省安顺市中级人民法院（2020）黔04刑终155号。。通过查看其他非法买卖、获取，侵犯公民个人信息的案例，同上述判决差不多，只对犯罪行为人进行了刑事处罚。而作为信息被泄露的实际受害者由于种种原因没有提起民事诉讼，基本也没有得到民事赔偿。参见：浙江省金华市中级人民法院（2020）浙07刑终631号。参见：贵州省安顺市中级人民法院（2020）黔04刑终155号。《草案2020》在第七章法律责任第62条规定“对于违反本法规定，可以由责任部门责令改正、没收违法所得、给予警告，拒不改正的并处100万元的罚款，或者对直接负责人员处于1万元到10万元的罚款。”其主要涉及到的是行政处罚，没有提到对消费者的民事权益如何救济。综上，司法实践中个人信息侵权责任侧重于刑事责任和行政责任的承担，民事赔偿机制还存在缺陷，杨芳琴：《个人信息侵权举证责任法律问题研究》，兰州：兰州大学硕士学位论文，2019年，第21页。杨芳琴：《个人信息侵权举证责任法律问题研究》，兰州：兰州大学硕士学位论文，2019年，第21页。第三方支付机构权利的滥用第三方支付机构承担责任的有限性消费者和第三方支付机构签订的隐私责任条款属于格式合同，第三方支付机构利用自身优势地位和消费者放纵的心理，在合同内容的制定上，排除了自身的主要责任。如在《服务协议》中规定：“除非支付宝存在恶意或者过失，消费者因手机遗失，登陆密码、支付密码被他人冒用所造成的资金损失应由消费者自己承担。”第三方支付机构往往还通过免责条款，以达到对其责任进行立体式封闭处理的效果。黎四奇：《对钓鱼欺诈中第三方支付机构作为或不作为法律问题的思考》，载《法律科学（西北政法大学学报）》，2012年第3期，第181页。规定了系统升级、自然灾害等不可抗力因素、消费者操作不当、恶意程序攻击、网络拥堵、系统不稳定、系统或设备故障等一系列免责情形。第三方支付机构通过类似的规定，排除了大部分的责任承担。当消费者对第三方支付机构起诉时，其可以援引免责条款进行抗辩。但是根据《民法典》合同编中关于格式条款和免责条款的规定，第三方支付机构在协议中约定的免责条款效力还需要进一步商榷。黎四奇：《对钓鱼欺诈中第三方支付机构作为或不作为法律问题的思考》，载《法律科学（西北政法大学学报）》，2012年第3期，第181页。第三方支付机构对消费者权利的限制和决策的干预第三方支付机构利用自己的优势地位，在不同程度上限制消费者权利的行使。例如，第三方支付机构借用手机阅读的不便性，将服务协议制定过于冗长，出现较多专业词语，导致消费者阅读率不高。消费者在使用过程中必须勾选同意选项才可以享受其提供的服务，这严重侵犯了消费者个人信息的知情权；《服务协议》还规定：“用户注销帐户后将继续保存之前消费者在使用过程产生的信息。”支付宝在消费者注销后仍可以保存相关信息，其是否有继续正当使用的合法性；消费者注销账户后是否能做到真正意义上的信息删除；具体删除的是消费者提供的一般基础信息（如姓名、联系方式、地址、身份证号、银行卡账号等），还是将消费者因支付行为产生的可关联性信息也一并删除。对此类问题第三方支付机构并没有给出正面回答，这严重侵犯了消费者个人信息的决定权和修改、删除权。第三方支付机构在信息收集时，已经违反了“最少原则”，超过必要限度收集消费者的信息。除一般信息外，还收集在交易过程中产生的各种信息，包括消费行为、消费选择、消费倾向、消费习惯等。三、消费者权利纠纷法律救济机制不完善在2016年首次公布的《中国个人信息安全和隐私保护报告》指出在发放的100万份调查问卷中，数据来源于：互联网法治研究中心：中国个人信息安全和隐私保护报告|互联网数据资讯网-199IT|中文互联网数据研究资讯中心/archives/540836.html，最后访问时间2021年3月8日。数据来源于：互联网法治研究中心：中国个人信息安全和隐私保护报告|互联网数据资讯网-199IT|中文互联网数据研究资讯中心/archives/540836.html，最后访问时间2021年3月8日。侵权责任主体难以界定互联网和大数据的应用颠覆了整个传统经济体的生产发展模式，信息收集方式变为半自动或自动化，侵权的手段也更加智能、隐蔽，导致在信息收集、保存、利用、传播的各个阶段，都存在个人信息被侵犯的风险。尽管消费者对其个人信息享有决定权等一系列相关的具体权能，但在个人信息被时刻收集和密闭流转的过程中，消费者多数情况下并不知道自己的信息被谁收集或者被谁泄露。这使得消费者在发生侵权行为时，很难向第一方信息收集者主张权利，也很难向其他信息收集者主张权利。范为：《大数据时代个人信息保护的路径重构》，载《环球法律评论》，2016年第5期，第94页。范为：《大数据时代个人信息保护的路径重构》，载《环球法律评论》，2016年第5期，第94页。这种情况在第三方支付过程中极为常见，第三方支付机构不仅仅提供充值、提现、转账等支付服务，还不断拓宽业务范畴，在自己的支付平台上和其他提供商品或服务的商家合作，将支付领域涵盖到了娱乐消费、生活缴费、理财服务、乘车出行等多个方面。每一个提供服务的背后就是一个信息收集者，每使用一次第三方支付就是和服务提供者完成一次个人信息的流转。表面上消费者只利用了第三方支付机构提供的支付平台完成支付交易，但实际上消费者却和众多商家产生了联系。第三方支付机构提供服务的多元化，信息交互的频繁性，支付方式的日常化以及高频率的使用，让消费者对自己信息的流向根本无法掌控，也不清楚信息在哪个环节遭受了侵害，难以确定适格的侵权主体。虽然可以借助第三方机构的力量，确认信息买方是通过何种渠道获得信息，但是因为信息传播涉及到的主体十分复杂，我们无法证明侵权行为就是查询到的信息买方或卖方所为，也很难证明买方或卖方是如何实施侵权行为。倪明，王咏，孔秋芳：《网购消费者个人信息权法律保护探究》，载《梧州学院学报》，2020年第4期，第50页。在诉讼过程中，因为诉讼主体的缺失，法院难以受理消费者的具体诉讼请求，消费者很难获得司法救济。例如：2014年浦东法院开庭审理“2000万开房信息泄露事件”的诉讼案件，来源于：2000万开房数据泄露事件360百科/doc/7545025-7819118.html，最后访问时间2021年3月18日。但因原告没有足够证据的证明信息是怎样泄露、在何地何时被泄露的，最终法院驳回了原告的所有诉讼请求，并要求其支付本案的倪明，王咏，孔秋芳：《网购消费者个人信息权法律保护探究》，载《梧州学院学报》，2020年第4期，第50页。来源于：2000万开房数据泄露事件360百科/doc/7545025-7819118.html，最后访问时间2021年3月18日。举证责任分配不均根据我国《民事诉讼法》第64条的规定“当事人对自己提出的主张，有责任提供证据”，即“谁主张、谁举证”的证明原则。以及《民法典》侵权责任编中关于侵权纠纷案件的规定，“主张侵权损害赔偿请求权的当事人应当对侵权责任的构成要件承担举证责任”。若消费者个人信息权遭受侵害主张损害赔偿时，需要证明以下几点：1、消费者的个人信息存在被非法泄露、非法买卖，过度收集等侵权行为；2、第三方支付机构对于侵权行为存在故意或过失，即需要证明第三方支付机构在信息安全保护方面还存在缺陷和漏洞。3、消费者的财产遭受了损失。4、侵权行为与损害结果之间存在因果关系，即侵权行为导致了损害结果的发生。但是在第三方支付活动中，消费者处于天然弱势的一方，消费者很难收集到相关证据承担举证责任。消费者只能向第三方支付机构提出申请，要求其主动提供相关证据，或者要求司法机关协助调取相关证据。消费者在向第三方支付机构申请内部赔偿时，也需要提交初步证据。但是却由第三方支付机构自己审查是否存在故意或者过失行为，只有自我审查过程中发现存在信息安全管理漏洞时才会向消费者赔偿损失。但是第三方支付机构并没有公布具体的审查方式和细则，这种让潜在的侵权行为人自查得出的结果很难让消费者信服，也很难保证结果的客观公正。此外，第三方支付活动中支付交易是利用网络进行传输的，大部分信息以电子数据的形式存储在数据库中，与消费者获取证据难相比，第三方支付机构可以从内部很容易提取出相关证据，甚至还可以对数据进行任意修改、删除。举证责任分配的不均，消费者收集证据难度大，导致消费者在个人信息侵权诉讼中很难获得胜利，打击了消费者的维权积极性。诉讼管辖制度的局限性对遭受个人信息泄露的受害者进行调查发现，由于诉讼管辖制度的不完善，仅有4%左右的人采取过民事救济手段，而在这些人中也仅有8.1%的人获得了救济或者达到了目的。王峰：《艰难维权：五起个人信息泄露案件分析》，载《二十一世纪经济报道》，2015年第五版，第3页。“原告就被告”的传统管辖制度并不利于消费者寻求救济。我国《民事诉讼法》规定的特殊管辖权并没有包含电