（一）背景

　　消费者个人信息也是一种财产。随着信息技术的广泛应用和互联网的不断普及，个人信息在社会、经济活动中的作用日益凸显。从法律意义上讲，个人信息权一般指消费者对其个人信息依法享有支配、控制并排除他人侵害的权利。但在移动互联网时代，个人信息权要面对的技术问题、法律问题等都分外复杂。越来越多的企业单位利用向消费者提供商品和服务的机会，收集、出售消费者的信息。

　　中国消费者协会2013年上半年投诉统计数据显示，生活、社会服务类、销售服务、电信服务、互联网服务和公共设施服务居于投诉量前五位。其中互联网服务投诉位居服务类第四位，有8942件，占投诉比重3.4%。消费者反映的主要问题包括个人信息丢失、泄露等网络安全问题。比如，才买了新车就有人来推销保险；刚生完孩子就接到了孕婴产品销售商的问候电话；新房钥匙还没到手，装修公司就上门“拜访”……这一切都存在个人信息泄露的疑点。

　　中国消费者协会始终密切关注消费者个人信息泄露问题。

　　——2012年2月，针对新闻媒体报道的安装谷歌安卓操作系统的移动智能终端可能收集保存用户位置信息的情况，中国消费者协会特发表消协观点《呼吁加强对移动智能终端用户信息的保护》，强烈呼吁有关厂商在开展经营活动和提供技术服务时，严格遵守我国有关法律法规，尊重消费者隐私权、安全权、知情权和选择权，切实对消费者负责。

　　——2012年3月，中消协发布《网络消费安全研究报告》，其中提出网络消费中存在九大问题，其中第八个问题是信息安全亟需加强，并提出了加强消费者个人信息保护的相关对策，如：出台专门立法、加大行政监管、强化司法保护、推动行业自律、进行消费指导等。

　　——2012年8月，中国消费者协会点评有关智能手机和平板电脑等产品维修不公平格式条款时，指出有条款规定：您同意并理解，为根据本条款和条件提供维修服务，公司有必要收集、处理和使用您的个人信息。公司将根据公司客户隐私政策保护您的信息。上述条款内容存在收集信息要求消费者同意，使用消费者个人信息缺少制约问题。

　　点评意见指出根据《家电维修服务业管理办法》第八条的规定，“家电维修经营者在维修服务中获得的机关、企（事）业单位和个人信息不得用于与维修活动无关的领域，对于知悉的商业秘密、个人隐私负有保密义务。”而相关维修格式条款中对于收集、处理和使用消费者个人信息却没有相应的范围限制。根据公司客户隐私政策，公司收集、使用个人信息的范围远超过与维修活动有关的事项，包括发布最新产品、软件更新、活动预告；开发、交付和改进产品、服务、内容和广告宣传；与第三方共享信息等。该条款违反了我国关于家电维修服务中应有限使用所获个人信息的规定。同时，该条款中的“您同意并理解”好像很尊重当事人自己的意愿，但其实质是公司利用格式条款将自己的意志强加给消费者，违反了合同法第三条的规定，侵犯了消费者的自主选择权。

　　（二）解读

　　1、第十四条 消费者在购买、使用商品和接受服务时，享有其人格尊严、民族风俗习惯得到尊重的权利，享有个人信息依法得到保护的权利。

　　[要点]将个人信息受到保护作为消费者的一种权益确认下来，这是消费者权益保护法修订的一大亮点。

　　2、第二十九条（新增）  经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经消费者同意。经营者收集、使用消费者个人信息，应当公开其收集、使用规则，不得违反法律、法规的规定和双方的约定收集、使用信息。

　　经营者及其工作人员对收集的消费者个人信息必须严格保密，不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施，确保信息安全，防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时，应当立即采取补救措施。

　　经营者未经消费者同意或者请求，或者消费者明确表示拒绝的，不得向其发送商业性信息。

　　[要点]本条针对现实中个人信息泄露、骚扰信息泛滥的情况，规定了经营者收集、使用消费者个人信息的原则，对所收集个人信息的保密义务，商业信息的发送限制等，对于保护消费者权益具有积极意义。

　　我国在个人信息保护方面尚无专门法律，但已有多部相关法律、法规涉及其中内容。如：《侵权责任法》、《刑法》（第253条之一）、《居民身份证法》、《关于加强网络信息保护的决定》，《网络商品交易及有关服务行为管理暂行办法》、《第三方电子商务交易平台服务规范》和部分地方消费者权益保护条例等。有关规定较为零散，缺乏顶层设计。此次新《消法》作出了消费领域个人信息保护的原则规定，对于指导具体领域的**工作具有指导意义。

从国际上看，北美、欧盟、阿拉伯、亚洲的一些国家，已出台专门法律。特别是在信用卡、电信、网上交易等方面。各国普遍遵循的原则有十个：

　　一是承担保密义务的原则

　　二是说明目的原则（采集、使用目的）

　　三是当事人同意原则

　　四是限制收信原则（恰好够用）

　　五是限制使用、披露、存储原则（短期持有、达到目的界限）

　　六是准确性原则

　　七是安全保护原则（防止未授权人接触、复制、修理、使用）

　　八是公布使用方法原则（公布相关业务操作方法、程序）

　　九是当事人有知情权原则（当事人有权审查、询问机构储存的信息，如接到电话推销消费者有权询问对方信息获取来源，对方必须回答）

　　十是接受申诉并核实信息原则（申诉程序）。

　　3、第五十条  经营者侵害消费者的人格尊严、侵犯消费者人身自由或者侵害消费者个人信息依法得到保护的权利的，应当停止侵害、恢复名誉、消除影响、赔礼道歉，并赔偿损失。

　　4、第五十六条  经营者有下列情形之一，除承担相应的民事责任外，其他有关法律、法规对处罚机关和处罚方式有规定的，依照法律、法规的规定执行；法律、法规未作规定的，由工商行政管理部门或者其他有关行政部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处以违法所得一倍以上十倍以下的罚款，没有违法所得的，处以五十万元以下的罚款；情节严重的，责令停业整顿、吊销营业执照：（九）侵害消费者人格尊严、侵犯消费者人身自由或者侵害消费者个人信息依法得到保护的权利的。

　　经营者有前款规定情形的，除依照法律、法规规定予以处罚外，处罚机关应当记入信用档案，向社会公布。

　　[要点] 第五十条和五十六条规定了侵害消费者个人信息应当承担的民事责任、行政责任。并通过记入信用档案，向社会公布的方式增强对不法经营者的震慑力，有助于个人信息得到更好的保护。

　　由于损害消费者个人信息的后果往往无法用金钱衡量，损失赔偿计算困难，其他国家往往通过加大行政处罚方式进行遏制，比如，德国规定违法向消费者推送垃圾短信的公司视其情节要承担相应行政处罚，罚款数额最高可达几十万欧元，有关情况还会向社会公开。

　　但在这方面，也面临着举证和索赔的困难。实践中尚需结合各领域情况，进一步细化相关规定。

　　（三）案例

　　案例1 个人信息被违法泄露  消费者倍受困扰

　　消费者许小姐发现，自从她在某网站试用并购买了化妆品后，一直有各种化妆品的广告和活动电话及短信频繁搔扰她，她怀疑是这家网站泄露和利用了她向网站提供的个人信息所致。向该网站提出质疑时，却被告知网站没有这样的行为。许小姐苦于没有证据，无法投诉，只能换了手机号码以避免骚扰，这给她的生活造成了极大的不便。

　　案例2 婚纱摄影引来婚庆推销

　　消费者在2010年8月29日在某婚纱摄影机构全款预定了一款5888套系的婚纱照套餐,并约定了相关内容。2012年3月经与该机构预约,确定2012年4月15日进行为期一天的婚纱拍摄。就在消费者拍摄婚纱照后第二天，即有一个婚庆机构电话方式主动联系，推销婚庆策划产品，消费者怀疑本人信息被擅自泄露。

  　　相关法律摘要

　　1、侵权责任法（第十一届全国人民代表大会常务委员会第十二次会议于2009年12月26日通过,自2010年7月1日起施行）

　　第二条 侵害民事权益，应当依照本法承担侵权责任。

　　本法所称民事权益，包括生命权、健康权、姓名权、名誉权、荣誉权、肖像权、隐私权、婚姻自主权、监护权、所有权、用益物权、担保物权、著作权、专利权、商标专用权、发现权、股权、继承权等人身、财产权益。

　　第三十六条 网络用户、网络服务提供者利用网络侵害他人民事权益的，应当承担侵权责任。   

　　网络用户利用网络服务实施侵权行为的，被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。网络服务提供者接到通知后未及时采取必要措施的，对损害的扩大部分与该网络用户承担连带责任。网络服务提供者知道网络用户利用其网络服务侵害他人民事权益，未采取必要措施的，与该网络用户承担连带责任。

　　2、《刑法》修正案（第十一届全国人民代表大会常务委员会第七次会议于2009年2月28日通过，自公布之日起施行）

　　刑法修正案（七）将国家机关或者金融、电信、交通、教育、医疗等单位及其工作人员违反国家规定，出售、非法提供公民个人信息，情节严重的行为增加规定为犯罪，对窃取或者以其他方法非法或者这些信息的行为也规定要追究刑事责任。

　　——在刑法第二百五十三条后增加一条，作为第二百五十三条之一：“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。

　　窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。

　　单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”

　　3、全国人民代表大会常务委员会关于加强网络信息保护的决定　（2012年12月28日第十一届全国人民代表大会常务委员会第三十次会议通过）

　　为了保护网络信息安全，保障公民、法人和其他组织的合法权益，维护国家安全和社会公共利益，特作如下决定：

　　一、国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。

　　任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息，不得出售或者非法向他人提供公民个人电子信息。

　　二、网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经被收集者同意，不得违反法律、法规的规定和双方的约定收集、使用信息。

　　网络服务提供者和其他企业事业单位收集、使用公民个人电子信息，应当公开其收集、使用规则。

　　三、网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密，不得泄露、篡改、毁损，不得出售或者非法向他人提供。

　　四、网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施，确保信息安全，防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时，应当立即采取补救措施。

　　五、网络服务提供者应当加强对其用户发布的信息的管理，发现法律、法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，保存有关记录，并向有关主管部门报告。

　　六、网络服务提供者为用户办理网站接入服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布服务，应当在与用户签订协议或者确认提供服务时，要求用户提供真实身份信息。

　　七、任何组织和个人未经电子信息接收者同意或者请求，或者电子信息接收者明确表示拒绝的，不得向其固定电话、移动电话或者个人电子邮箱发送商业性电子信息。

　　八、公民发现泄露个人身份、散布个人隐私等侵害其合法权益的网络信息，或者受到商业性电子信息侵扰的，有权要求网络服务提供者删除有关信息或者采取其他必要措施予以制止。

　　九、任何组织和个人对窃取或者以其他非法方式获取、出售或者非法向他人提供公民个人电子信息的违法犯罪行为以及其他网络信息违法犯罪行为，有权向有关主管部门举报、控告；接到举报、控告的部门应当依法及时处理。被侵权人可以依法提起诉讼。

　　十、有关主管部门应当在各自职权范围内依法履行职责，采取技术措施和其他必要措施，防范、制止和查处窃取或者以其他非法方式获取、出售或者非法向他人提供公民个人电子信息的违法犯罪行为以及其他网络信息违法犯罪行为。有关主管部门依法履行职责时，网络服务提供者应当予以配合，提供技术支持。

　　国家机关及其工作人员对在履行职责中知悉的公民个人电子信息应当予以保密，不得泄露、篡改、毁损，不得出售或者非法向他人提供。

　　十一、对有违反本决定行为的，依法给予警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等处罚，记入社会信用档案并予以公布；构成违反治安管理行为的，依法给予治安管理处罚。构成犯罪的，依法追究刑事责任。侵害他人民事权益的，依法承担民事责任。

　　十二、本决定自公布之日起施行。

　　4、旅游法（第十二届全国人民代表大会常务委员会第2次会议于2013年4月25日通过，10月1日起施行）

　　第五十二条  旅游经营者对其在经营活动中知悉的旅游者个人信息，应当予以保密。

　　5 、《上海市消费者权益保护条例》

　　第二十九条中提出：“经营者提供商品和服务时，不得要求消费者提供与消费无关的个人信息。除法律、法规另有规定外，经营者未经消费者同意，不得以任何理由将消费者的个人信息向第三人披露。前两款所称个人信息，包括消费者的姓名、性别、职业、学历、联系方式、婚姻状况、收入和财产情况、指纹、血型、病史等与消费者个人及其家庭密切相关的信息。”

　　有关媒体报道

　　近年来，随着有关事件的增多，我国民众对消费者信息保护关注程度日益加强。

　　1、2008年关于陈冠希和一些女艺人之间的自拍私密照和其他图片在网上传播的艳照门事件

　　2、2009年央视3·15晚会披露了三种非法获取个人信息的行为。一是公开售各种用户信息。某个公开叫卖个人信息的网站中包括全国各地的车主信息、各大银行用户数据，甚至股民信息等，而且价格也极其低廉，仅花100元就可以买到1000条各种各样的信息，上面详细记录了姓名、手机号码、身份证号码等，应有尽有。二是木马程序让你电脑成为肉鸡。电脑被植入木马程序后，鼠标会自己在屏幕上移动起来，并点击打开了电脑中的各个文件夹，直到自动关机。这种方法可以完全控制别人电脑的信息，价格也极为低廉，每条售价仅仅5毛钱。甚至还有人在非法买**份证，经查询，这些信息全部是真实的。三是开网店卖手机其实是非法出售个人信息。某家网上商店表面上卖的是各种各样不同的手机，实际上店主告诉我们，他是出售全国各地的身份证原件和配套的银行卡。从2007年底开始，短短四个月时间，福建龙岩的一个人就从网上购买的50多个信息，骗取银行的信任，从银行办理出各种各样信用卡，恶意透支消费14万现金。他正是利用了网上随意买卖的身份证信息，轻而易举从银行办理了信用卡，这样银行发现了也找不到他。让记者惊讶的是，这种中介公司也随处可见，在网上个人信息的买卖已经形成了一个非法的产业链条。

　　3、2013年3月15日，央视315晚会曝光一些开发商、广告商和不知名的第三方利用安卓软件盗取个人信息，包括手机用户手机号码、手机串号设备号、手机上的通讯录和地址等信息。有些应用在安装时写有收集信息的提示，但一些预装的软件则完全在用户不知情的搜集用户信息。

　　4、2013年6月6日，英国《卫报》和美国《华盛顿邮报》报道，美国国家安全局和联邦调查局于2007年启动了一个代号为“棱镜”的秘密监控项目[1]，直接进入美国网际网路公司的中心服务器里挖掘数据、收集情报，包括微软、雅虎、谷歌、苹果等在内的9家国际网络巨头皆参与其中。美国“棱镜门”事件一经曝光，立即引起了网友的广泛关注。我们惊诧地发现电邮信息、即时消息、视频、照片、存储数据、语音聊天、文件传输、视频会议、登录时间和社交网络资料没有一项戴上“安全帽”。“网络安全是人类当今遭遇的最大安全问题。”这句话点出了解决“个人信息保护”问题迫在眉睫。而众多网站的注册协议仅仅包括“未经您的同意，不会向XX以外的任何公司、组织和个人披露您的个人信息，但法律法规另有规定的除外”。除了过于简单外，公司自身如何使用和利用我们的数据，不得而知。