在我们日常生活中，经常会发现，消费者在互联网商店中搜索某个品牌的商品后，接下来会收到许多类似商品信息的推送；或自己的社交账号突然被盗；或者频频接到各种餐饮旅游、教育培训、保险推销等陌生骚扰电话……随着互联网信息技术产业的飞速发展，大数据、人工智能、区块链等新型技术在各行各业广泛应用，给人们的生活带来了诸多便利，同时个人信息的收集、处理与传播在日常生活中无处不在，个人信息的非法采集、泄露情况多发，侵害消费者个人信息权的案例多发。

由于越来越多侵害个人信息的情况频频发生，人们在享受大数据与人工智能带来各种便利的同时，也开始反思新型信息技术应用与个人信息、隐私保护的界限。

一、侵害个人信息的行业乱象

随着互联网信息技术的日渐成熟，智能电子产品不断优化升级，大数据等智能信息技术已经广泛应用于各行各业，渗透在每个人的日常生活中。为了在激烈的行业竞争中脱颖而出，除了提供服务所必须要获取的相关权限，各行各业的商家为完善“用户画像”以实现精准营销，开始扩大对用户个人信息的收集范围，而这种收集处理行为实际大部分并未经过用户同意。商家的这种行为虽然可能更精准地为用户提供了服务，但也同时将用户的个人信息安全置于危险之中，更有一些不法分子将他人的个人信息看作是一种可贩卖的“无形资产”，进而出现了许多侵害个人信息的行业乱象。

2018年5月25日，欧盟出台《通用数据保护条例》（GDPR），该条例正式生效后，包括谷歌、Facebook等美国科技企业和英国航空等欧盟本土企业在内的多家公司均因违反GDPR，在2019年陆续收到巨额罚单。其中，谷歌因向用户定向发送广告时缺乏透明度、信息不足，且未获得用户有效许可，收到了高达5000万欧元的巨额罚款。[1]

同时，这种利用接触客户、用户个人信息的行业便利非法窃取、加工、存储、公开、利用用户个人信息的行业乱象在我国也频频发生。

2019年，央视的315晚会向社会公开曝光了违法收集用户个人信息的数据安全事件。某公司通过被秘密安置在商场、超市、写字楼等场所公共WIFI中的“探针盒子”，识别连接该场所无线网络的手机，在用户毫不知情的情况下非法获取用户信息。个人信息保护问题进入公众视野，引发了社会的广泛讨论，成为一个亟待解决的问题。

2020年，央视315晚会曝光了多个手机APP通过其SDK插件读取设备的IMEI、IMSI、运营商信息、电话号码、短信记录、通讯录、应用安装列表和传感器信息等涉及隐私的个人信息，并将读取的数据传送、储存至指定的服务器。

随着3D人脸识别技术的快速迭代升级和普及化应用，在2021年央视315晚会上，个人信息泄露成了最重磅的主题：商家通过带有人脸识别系统的摄像头悄无声息地获取顾客的人脸识别信息，并没有明确告知，征求同意更是无从谈起；多家网络招聘平台在网上大肆转卖数百万份求职者的个人简历信息；手机清理类软件在清理手机垃圾的同时，也在不断偷偷大量获取手机里的信息，并利用这些数据信息进行用户画像，各种低俗、劣质、带有欺骗性质的广告等内容源源不断地推送到老年人的手机上，使得许多老年人上当受骗。

2022年，国家和社会对于信息安全仍然保持着高度关注，信息安全与个人信息保护连续第四年出现在央视315晚会议题中，2022年的央视315晚会通报了“2021年工业和信息化部‘聚焦违规调用手机权限，超范围收集个人信息’等APP专项整治工作”成果，并首设 “315信息安全实验室”重点关注网络信息安全和儿童互动产品的信息安全。实验室曝光的“免费WIFI连接”“ WIFI破解”类APP安装后，在后台高频次搜集用户信息并自动推送弹窗广告；低配儿童手表中的恶意程序在无需授权的情况下就可以开启多种敏感权限，轻易获得孩子的行动轨迹、人脸图像、录音等隐私信息的侵权行为，一次次地将数字时代消费者面临的个人信息安全和隐私保护问题放到了聚光灯下。

央视315晚会所揭露的仅仅是冰山一角，在信息化时代，个人信息安全与隐私保护已经成为广大社会公众最关心的问题之一，个人信息保护问题亟待解决。其中，那些为提供服务而获取用户信息的各类平台在保护用户个人信息安全方面负有义不容辞的责任。

二、平台责任

通过非法获取、存储、加工、传输、公开他人个人信息以获取利益的侵权行为不仅严重侵犯了当事人的人格尊严，也给当事人造成了很大的生活困扰，甚至可能会造成心理伤害。现实生活中有关个人信息安全的侵权案例频频发生，其警示作用却收效甚微。有一些涉事平台在整改后仍然偷偷“重操旧业”，其他各类平台面对频发的案例却抱着“事不关己”的冷漠态度，并未清晰地认识到其自身在保护个人信息安全方面的重要作用和义不容辞的责任。

这种责任与平台自身的专业能力、经营性质和影响范围的合理注意义务相适应。首先，平台凭借其技术优势，对于所获取的用户个人信息具有较强的掌控力，其平台规则呈现出刚性特点，且常以格式条款的形式出现，用户为了获取平台服务，只能选择遵守平台规则。同时用户也无法充分知晓在接受平台服务过程中，平台收集、储存或使用了哪些个人信息数据，也无从知晓或控制平台对用户个人信息的使用用途。[2]

其次，平台向用户收集个人信息是为了向用户提供有关服务，因此平台对于由其该种经营行为所引起的用户个人信息安全风险，应当采取规避措施并承担相关责任。并且，随着互联网信息技术的发展和成熟，各个平台完全有能力也有条件做到及时采取措施以规避风险或减小损失。

综上，平台具备及时采取措施规避风险或减小损失的专业技术能力，既有合法合规收集、处理用户个人信息的义务，也有保护用户个人信息安全的责任。同时，我国法律也明确规定相关平台应当切实承担相关主体责任。因此，在平台已然掌握大量用户个人信息的情况下，平台应当自觉遵守相关法律规定，合法合规地收集、使用用户个人信息。

三、平台关于个人信息保护责任的相关法律规定

国家和社会对于个人信息安全与隐私保护问题始终高度关注，人民群众对个人信息安全的担忧和其自我保护意识也越来越强。个人信息权益能够得到尊重与实现，很大程度上依靠信息处理者（各类平台）对此种权利的尊重以及依法履行保护义务。[3]平台应当及时采取必要措施保障个人信息安全，并对其个人信息处理活动负责。

为了更好的实现个人信息保护和释放数据价值之间的平衡，我国有关部门颁布了一系列法律法规和相关国家标准与行业条例。

（一）《中华人民共和国消费者权益保护法》的相关规定

1993年10月31日第八届全国人民代表大会常务委员会第四次会议通过，根据2009年8月27日第十一届全国人民代表大会常务委员会第十次会议《关于修改部分法律的决定》第一次修正，根据2013年10月25日第十二届全国人民代表大会常务委员会第五次会议《关于修改＜中华人民共和国消费者权益保护法＞的决定》第二次修正。

该法2013年修订之时，首次对“个人信息权”进行了规定，该法第二十九条规定，经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经消费者同意。经营者收集、使用消费者个人信息，应当公开其收集、使用规则，不得违反法律、法规的规定和双方的约定收集、使用信息。

经营者及其工作人员对收集的消费者个人信息必须严格保密，不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施，确保信息安全，防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时，应当立即采取补救措施。

经营者未经消费者同意或者请求，或者消费者明确表示拒绝的，不得向其发送商业性信息。

《消费者权益保护法》确立的“合法”“必要”“正当”“明示同意”等原则，是指导经营者在使用个人信息的基本原则，也被后来《民法典》、《个人信息保护法》所借鉴和继承。

（二）《中华人民共和国网络安全法》相关规定

全国人大常委会于2016年11月7日颁布了《中华人民共和国网络安全法》，并于2017年6月1日正式实施。当时该法仅就涉及用户个人信息的网络产品、服务做了大致的初步规定。

《网络安全法》明确规定了平台收集用户信息时的“告知-同意原则”、处理个人信息时的“合法、正当、必要原则”，第二十二条第三款“网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意”，并且第四十一条规定，“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意……网络运营者不得收集与其提供的服务无关的个人信息……”第四十二条规定，“网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息……网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。”

虽然《网络安全法》对于平台收集、处理个人信息进行了简单规定，然而这些原则性条款并不能完全解决个人信息安全问题。该法对于“个人信息”的范围、平台在个人信息收集与处理等方面的具体义务、相关监管机构并未予以明确，且规定的责任类型较为单一，该法在第六十四条仅仅规定了警告、罚款、没收违法所得和吊销营业执照等行政处罚，并未涉及刑事或民事责任等。而之后颁布实施的《民法典》则对个人信息安全保护做了更加全面的规定。

（三）《中华人民共和国民法典》相关规定

2020年5月28日，十三届全国人大三次会议表决通过了《中华人民共和国民法典》，并于2021年1月1日起正式施行。《民法典》对“个人信息”的人格权属性加以明确，并对个人信息安全保护做了更加全面的规定。

首先，《民法典》对“个人信息”的范围进行了界定，并将隐私权与个人信息保护加以区分，第一千零三十四条第一款明确了“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”，且第二款规定“个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。”；其次，《民法典》总则编第111条明确规定“个人信息受法律保护”、“任何组织或者个人需要获取他人个人信息的，应……确保个人信息安全”并且“收集、使用、加工、传输他人个人信息”应当依法进行，“不得非法买卖、提供或者公开他人个人信息”，同时，第一千零三十五条明确规定处理个人信息应当遵循“合法、正当、必要原则”，并且规定了处理个人信息的四个条件；再次，第一千零三十七条规定了自然人的查阅复制、异议更正和删除等权利，第一千零三十八条规定信息处理者具有信息安全保障义务，第一千零三十九条规定了国家机关具有个人信息保护义务。

《民法典》对个人信息安全保护做了更加全面的规定，对新时代产业升级和社会生活中出现的新型民事问题积极做出了回应。为随后的《中华人民共和国个人信息保护法》提供了清晰的框架和有力的支撑。

（四）《中华人民共和国个人信息保护法》相关规定

习近平总书记指出，《民法典》颁布实施并非一劳永逸地解决了民事法治建设的所有问题，仍需要在实践中不断检验、探索，需要不断配套、补充、细化。[4]于是《中华人民共和国个人信息保护法》应运而生。

2021年8月20日，经第十三届全国人民代表大会常务委员会第三十次会议审议，表决通过了《中华人民共和国个人信息保护法》，并于2021年11月1日正式施行。《个人信息保护法》在《民法典》已有的原则和框架下，实现了对个人信息保护制度的进一步细化和完善。

首先，《个人信息保护法》第三条明确了“个人信息”的具体含义，将与个人有关且以电子或其他形式存在的具有识别功能和识别可能性的信息都纳入“个人信息”的保护范围，并将匿名化处理的信息排除在外；第二，该法第五条至九条明确了个人信息处理的基本原则和一般原则，要求处理个人信息要做到“合法、正当、必要、诚信”，该基本原则始终贯穿于个人信息处理的全过程，同时，处理个人信息需要做到目的明确、合理，需要公开、透明、保障个人的知情权，保证个人信息的准确和安全。这些原则性条款也是《民法典》基本原则在个人信息处理和保护方面的具体体现；第三，《个人信息保护法》第二十八条至第三十二条首次将一般个人信息和敏感信息加以区分，明确了敏感信息的定义和特殊处理规则。根据造成的损害程度不同，将生物识别信息、基因信息、诊疗信息、未成年的有关信息等纳入敏感信息的范畴，给予更高程度的保护；第四，该法第三十八条创新性规定了个人信息越境转移的特殊规则，对个人信息跨境转移的主体资格和转移条件加以明确，对境外个人信息的处理和安全义务提出了更高的要求；第五，《个人信息保护法》第四十四条至第五十二条在与民法典相关规定保持一致的情况下，明确规定了个人信息权利人的具权利与个人信息处理者的具体义务，第六十条明确规定在国家信网部门的统筹和监管下，县级以上政府有关职能部门均应在其权限范围内，承担相应的个人信息保护职责；第六，《个人信息保护法》第六十六条至第七十一条明确规定了侵害个人信息权益的行政责任、民事责任和刑事责任，同时规定了“侵犯个人信息的公益诉讼制度”，并结合互联网特点规定了诚信档案制度，将侵害个人信息的违法行为录入诚信档案予以公示，以提高威慑力。[5]以上种种规定，从对“个人信息”的范围界定、处理个人信息的原则，到个人信息权利人具体权利与平台处理个人信息的义务，再到国家监管部门的规定，最大限度地保护个人信息权利人的合法权益，同时也致力于维护社会公共利益，充分体现了对个人信息保护的高度重视。

《个人信息保护法》对《民法典》中有关个人信息保护的规定进行了更加细化和系统的规定，丰富、完善了个人信息保护规则，在维护人民群众合法权益、规范企业利用个人信息方面起到重要保障作用，也为数字经济在法治轨道上健康发展提供了有力法治保障。[6]

四、结语

随着互联网信息技术的不断发展升级，我们已经大踏步地迈入了信息化时代。在大数据等智能技术广泛渗透在社会生活方方面面的今天，各种数据和个人信息无疑成为了促进社会稳定发展和经济持续繁荣等方面的重要元素，但这也意味着每个人的个人信息每天都在被高频次的收集、处理。新兴产业的发展需要系统的法律制度框架保驾护航，同时也不断促进着现行法律法规的细化、更新和完善，今后还会出现更多的新情况、新问题，不论是《民法典》还是《个人信息保护法》都是新时代对于社会个人信息保护问题的有力回应，都是贴合社会实际对保护个人合法权益与维护社会公共利益的平衡，更是对各行各业是个人信息处理者严肃、善意的提醒：为消费者提供更加便利和精准的服务固然重要，但是在万物互联的信息时代，在做好产品、提高服务的同时，其背后的个人信息安全也很重要。

[1] 2019，中国互联网个人信息保护元年,
https://zhuanlan.zhihu.com/p/94007294

[2] 梁正，曾雄：《“大数据杀熟”的政策应对：行为定性、监管困境与治理出路》，载《科技与法律》2021年第2期，第11页。

[3] 王利明，丁晓东:《论<个人信息保护法>的亮点、特色与适用》；载《法学家》20201年第6期，第5页。

[4] 参见习近平：《论坚持全面依法治国》，中央文献出版社2020年版，第284页；转引自王利明，丁晓东：《论<个人信息保护法>的亮点、特色与适用》；载《法学家》20201年第6期，第14页。

[5] 李伟民:《新法解读: <个人信息保护法>的11个亮点》,
https://mp.weixin.qq.com/s/BPzrRQms5wN87H5yv8hidQ

[6] 王利明，丁晓东:《论<个人信息保护法>的亮点、特色与适用》；载《法学家》20201年第6期，第1页。