消费者个人信息保护之途径探讨

蒋 舸

（萨尔大学，德国 萨尔州 80809）

消费者个人信息保护之途径探讨

蒋 舸

（萨尔大学，德国 萨尔州 80809）

随着社会的发展，公民权利意识日益提高。如何提高个人信息的保护水平受到了社会和学界越来越多的关注。同时，个人信息保护法的制定也成为了学术界和立法界共同关注的话题。不过，尽管制订一部《个人信息保护法》是提高我国个人信息保护水平的长远目标，但从目前的立法动向来看，个人信息保护法的制定还需要一个较长的过程。①第十一届全国人大常委会任期内提请审议的49件法律草案中不包括个人信息保护法。个人信息保护制度尚属“由有关方面继续开展研究论证，视情况安排做出相应安排”的立法项目。参见《全国人大常委会立法规划》。如何在现行法律框架下，或者在修改现有法律的基础上，尽快加强我国对个人信息的保护，是值得研究的课题。

消费者；个人信息；《消费者权益保护法》；《反不正当竞争法》

引言：愈演愈烈的顾客争夺战

随着市场经济的发展，市场竞争参与者的市场手段不断推陈出新。在这一过程中，直接营销（direct marketing）得到了飞速的发展。所谓直接营销，是指与产品和服务的潜在购买者直接建立联系的销售模式，又称“一对一营销”（One to One Marketing）。[1](p189)传统的直接营销主要包括上门推销、邮件营销和电话营销。伴随着通讯手段的发展，短信营销和邮件营销成为了现代直接营销的重要组成部分。由于直接营销具有成本低廉、目标明确、成功率高的特点，因而受到了经营者的青睐。尤其对主要业务范围针对终端消费者的经销商而言，直接营销的重要性更是不容忽视。不过，与直接营销受到经营者的青睐截然相反，其在消费者心目中的定位往往是“不请自来”的扰人广告。为了细分市场，吸引顾客，各商家无所不用其极地采集、处理和使用个人信息。根据《北京青年报》2005年4月16日的一份调查报告，北京、上海、广州三地分别有60.4%、55.1%、39.1%的公民个人信息被泄露和非法利用。目前，个人信息交易市场上最抢手的信息涉及五类主体：股民、新楼盘业主、私车车主、企业主和经理人。他们最常被泄露的个人信息分别是联系方式、证件号码、职业情况、收入和财产状况。这些信息一方面并不属于隐私权的范畴，对其泄露与滥用不受保护隐私的法律规范；另一方面却有关信息主体的生活安宁，一旦被泄露或滥用，将严重骚扰作为信息主体的消费者的生活。如何添补信息主体的需求和现有法律保护现状之间的空白，正是本文的研究对象。

一、现行法律体系对个人信息权的保护

随着我国法制进程的发展，法律对个人信息的保护水准也在日益提高。与30年前对个人信息的保护几乎处于真空状态相比，虽然我国至今仍然缺乏单独的个人信息保护法，但与个人信息保护相关的法律规范已经不少。归纳起来，这些法规可以分为两类：一类是以“隐私”为保护对象的规范。这类规范不提及“个人信息”，但通过对私人空间应受尊重这一原则的确认和实施，间接地限制了对个人信息的采集和利用，可以说是个人信息保护的间接武器。第二类法律规范则直接以“个人信息”为保护对象。这类规范可以对个人信息提供直接的保障，缺点在于或者调整范围狭窄，或者效力层次较低，难以有效地制止所有侵犯消费者个人信息的行为。以下首先对我国现行法律体系中的这两类规范作一简单梳理：

（一）保护个人隐私的法律条文。

个人固然不能脱离社会而存在，却也需要保留自己的私人空间不受侵犯。在隐私保护发达的美国和欧洲，学说和判例从各个方面试图对隐私权或资料隐私的属性和范围做出解释，发展出了“独处权说”、“有限地接近自我说”、“个人信息控制权说”和“个人信息自决权说”等各种学说。[2](p60-74)我国虽然在很长的时间内没有正式在法律条文中提及“隐私”或“隐私权”，但也通过循序渐进的过程在逐渐加强对隐私权的保护。

首先考察我国的宪法。我国宪法虽未明确提及隐私权概念，但是一方面原则性地规定了“国家尊重和保护人权”（第33条），另一方面具体规定了对“人身自由”（第37条）、“人格尊严”（第38条）、“住宅”（第39条）以及“通信自由和通信秘密”（第40条）的保护，从而间接地保护了公民对其与社会公共利益无关的私人空间的控制权。

但是，作为基本法的宪法不可能也不应该承担起构建权利保护具体框架的任务。这一任务主要应当交给民法来完成。因为隐私权归根结底是民事主体享有的人格权的一方面。令人欣慰的是，随着我国法律制度的健全，我国民法也逐步担当起了这一重任。回顾历史，民事法律对隐私权的保护可以分为无保护、间接保护和直接保护三个阶段。在《最高人民法院关于贯彻执行<民法通则>若干问题的意见》（以下简称《民通意见》）颁布之前，隐私权在民事领域处于无保护阶段。因为1986年制定的《民法通则》并未提及“隐私权”。其规范一般人格权的第101条只涉及生命权、健康权和名誉权。

随着《民通意见》提及了“隐私”的保护问题，隐私保护被纳入了民法体系之中，隐私权的民事保护随之进入了第二阶段。之所以将第二阶段称为间接保护阶段，是因为《民通意见》第140条指出：“以书面、口头等形式宣扬他人的隐私，或者捏造事实公然丑化他人人格，以及用侮辱、诽谤等方式损害他人名誉，造成一定影响的，应当认定为侵害公民名誉权的行为。”也就是说，《民通意见》的做法是将隐私权比照名誉权来进行保护，即对隐私权采取间接保护的方法。第三阶段开始的标志，是在2010年颁布的《侵权责任法》中，隐私权终于被明确为与生命权、健康权、名誉权等传统民事权利并列的权利，明确受到了保护。

以上对隐私权的保护，确保了公民对个人私生活空间免受打搅的决定权。从一定意义上说，也促进了对公民个人信息的保护。但要看到，“隐私”与“个人信息”在范围上虽有交叉，却不重合。隐私涵盖了个人生活中无关社会公共利益的一切因素，强调的是私密性。在形式上既可以表现为符号化的客观信息，也可以表现为描述化的事件评述。而个人信息则指一切能与特定自然人联系起来的符号化信息。有些隐私不属于个人信息的范畴，例如个人对特定事件的看法或个人的感情经历。反之，某些个人信息也不属于隐私的范畴，如自然人的姓名或职业。所以，一方面应当肯定隐私权制度的发展对个人信息保护的完善起着不可忽略的积极作用，另一方面也要正视隐私保护不能取代个人信息保护的现实需求。

二、以个人信息权为保护对象的法律规范

就专门以个人信息为保护对象的法律规范而言，虽然我国目前尚无这方面的法典，但无论是法律还是行政法规都为个人信息提供了一定程度的保护。

从法律层面而言，我国刑法为个人信息提供了两方面的保护：一方面是为私生活领域设置保障，例如第125条规定的“非法搜查罪”、“非法侵入住宅罪”和第252条规定的“侵犯通信自由罪”均可为保障个人隐私提供依据。另一方面，《刑法第七修正案》增加了“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”，为追究直接针对公民个人信息的犯罪行为提供了依据。

此外，我国行政机关还颁布了一些涉及到个人信息保护的部门规章。除了下文要着重分析的中国人民银行《个人信用信息基础数据库管理暂行办法》外，还有一些相关规范散见在其他法律文件之中。例如原信息产业部2000年10月发布实施的《互联网电子公告服务管理规定》第12条规定：“电子公告服务提供者应当对上网用户的个人信息保密，未经上网用户同意，不得向他人泄露”。

在所有的部门规章之中，最直接也最全面涉及个人信息保护的非中国人民银行发布的《个人信用信息基础数据库管理暂行办法》莫属。该办法的主要目的是为人民银行征信中心运转过程中涉及的个人信息采集与处理提供依据。而人民银行征信中心又是随着市场经济发展，顺应时代需求而产生的新事物。随着市场化程度的提高，交易手段的拓展，越来越多的主体参与到了市场之中。这一趋势无疑促进了经济的发展，但同时也提出了新的挑战。例如：面对庞大的潜在交易对象群，如何从中选择信用度较高者进行交易，无疑是经营成功的重要因素之一。而由于我国的市场经济发展具有深刻的时代烙印，是在短时间内随着国家政策的改变从计划经济迅速过渡到市场经济阶段的，因而缺乏成熟的商品经济在其循序渐进的发展过程之中积累起来的完备法制保障和可靠的经济主体信用评价标准。而诚信的缺失在很大程度上和很长时间内成为了我国商品经济进一步完善的绊脚石。

为了解决这一问题，人民银行于1997年立项建设银行信贷登记咨询系统。2004年2月，人民银行又启动了个人征信系统建设，同年4月成立银行信贷征信服务中心。2006年1月，全国集中统一的个人信用信息基础数据库建成并正式运行。同年7月底，银行信贷登记咨询系统升级成为全国集中统一的企业信用信息基础数据库。在此期间企业和个人征信系统一直作为人民银行的金融信息化项目管理，与人民银行征信管理局合署办公。2006年11月，经中编办批准，人民银行征信中心正式注册为事业法人单位，注册地为上海市浦东新区。2007年4月17日，人民银行党委决定将征信中心与征信管理局分设。同年，根据《中华人民共和国物权法》授权，中国人民银行明确人民银行征信中心为应收账款质押登记机关，10月8日，应收账款质押登记系统上线运行。2008年5月9日，人民银行征信中心在上海举行揭牌仪式，开始北京和上海两地办公。2009年7月20日，融资租赁登记系统正式上线运行。2010年6月26日，企业和个人征信系统成功切换至上海运行，并正式对外提供服务。②参见中国人民银行征信中心主页“中心概况”一栏的介绍。

为了与征信系统的发展和管理相适应，国务院和中国人民银行出台了一系列行政法规和部门规章，对征信系统运作中的个人信息采集和处理进行了规范。其中最重要的规范性文件包括《个人信用信息基础数据库管理暂行办法》①中国人民银行2005年6月通过，同年10月1日起实施。和《国务院办公厅关于社会信用体系建设的若干意见》。②国务院办公厅2007年3月发布，编号《国办发［2007］17号》。值得一提的是，《个人信用信息基础数据库管理暂行办法》不仅对个人信息的含义做出了解释，③《个人信用信息基础数据库管理暂行办法》第4条规定：该法所指的个人信用信息包括三类，即个人基本信息，个人信贷交易信息和反映个人信贷交易状况的其他信息。该条还进一步明确了这三类信息的具体所指，即“所称个人基本信息是指自然人身份识别信息、职业和居住地址等信息；个人信贷交易信息是指商业银行提供的自然人在个人贷款、贷记卡、准贷记卡、担保等信用活动中形成的交易记录；反映个人信用状况的其他信息是指除信贷交易信息之外的反映个人信用状况的相关信息”。明确了征信中心所采集的个人信息的来源，④按照《个人信用信息基础数据库管理暂行办法》第二章“报送和整理”的规定，征信中心的信息来源于商业银行。但按照征信中心日后的实践，征信中心也从其他经营者处采集信息。而且赋予了信息来源者查阅自己的信息并对错误信息提出异议的权利。⑤参见《个人信用信息基础数据库管理暂行办法》第四章“异议处理”。即使信息来源者提出的异议无法被核实，信息来源者仍可以通过对相关信息进行个人说明⑥个人说明在《个人信用信息基础数据库管理暂行办法》中被视为异议程序的一部分，规定于第四章第24条。来提醒信息查阅人，该登记信息可能不符合实际情况，从而平衡了信息来源者和信息需求者之间的利益。

从以上分析可以看出，无论是从隐私保护出发还是从个人信息保护出发，我国新兴法律对个人信息权的保护都还存在不足。若以隐私保护为手段，无论是宪法还是民事领域的规范，其保护效果都不能完全满足公民保护自身信息的需求。

而我国个人征信系统相关法规提供的保护针对的对象固然是个人信息而非隐私权。但该类法规在提供全面的个人数据保护方面又存在适用范围过于狭窄的问题。具体而言，既不规范信用信息之外的个人信息的采集、处理与使用，也不能对信贷发放机构之外的市场主体采集、处理和使用个人信息进行规范。而在现实生活中，普通百姓深受困扰的问题往往是经销商利用电话、短信、邮件直接向消费者发送推销商品的信息。消费者既不知道自己的住宅地址、电话号码或是近期购物记录是如何被泄露给经销商的，也无法控制经销商在什么时候通过什么方式向自己发送广告。这种对自身的个人信息缺乏控制力的状况，极大地影响了作为消费者的普通百姓的安全感和安宁感。

笔者认为：如果经销商对个人信息的使用无法为所欲为，则采集和处理个人信息的动力也会相应减弱。而要制约经销商对消费者个人信息的使用，现有的法律就可以提供支持。具体而言，一方面可以利用现行的《消费者权益保护法》，另一方面也可以考虑通过修改《反不正当竞争法》，这两条途径都可以达到限制直接营销，从而限制对消费者个人信息的使用的目的。限制了使用，个人信息被采集、处理的现象也会得以有效地缓解。诚然，限制消费者个人信息的使用，进而达到减少消费者个人信息被不当采集、处理的目的，并不意味着能对个人信息达到全面的保护。但在一部全面而完善的个人信息保护法制定之前，如果能在消费者个人信息保护领域取得进步，已经能在很大程度上缓解个人信息被滥用的现状，并为培养全社会的个人信息保护意识，探索适合我国国情的个人信息保护模式提供经验。

二、通过《消费者权益保护法》保护消费者个人信息的可能性

我国现行的《消费者权益保护法》制定于1993年，实施于1994年。由于当时个人信息保护问题尚未凸显，因此虽然《消费者权益保护法》第4条到第15条洋洋洒洒地列举了多项消费者权利，其中却并不包括消费者防止个人信息被滥用的权利。而随着科技和商业的发展，如今的显示生活中，保护自身的个人信息已成为消费者的迫切需要。

作为直接为消费者提供保护的法律，《消费者权益保护法》在保护消费者个人信息方面责无旁贷。对消费者而言，如果其权利受到侵害，想用法律武器保卫自己的权利，很有可能首先查阅的就是《消费者权利保护法》，并期望明确自己的诉求是否有依据。所以，在《消费者权益保护法》中引入相关条款，是最直接也最有效的保护方式。

立法者也意识到了《消费者权益保护法》在保护消费者个人信息方面的重要性。适逢《消费者权益保护法》修改之机，修订者在第二稿修正案中新增了三处内容，对消费者个人信息进行保护。第一处从消费者的权益角度进行了规定：“消费者享有个人信息受保护的权利(本法所称的个人信息，包括消费者的姓名、性别、年龄、职业、联系方式、健康状况、家庭状况、财产状况、消费记录等与消费者个人及其家庭密切相关的信息。)”第二处从经营者的义务方面进行了规定：“经营者提供商品或服务时，应当充分告知并征得消费者的同意，合理收集必要的消费者个人信息，并为消费者免费提供查询、获取和修改本人消费记录等服务。对已收集的消费者个人信息，经营者负有安全保管、合理使用、限期持有和妥善销毁义务。除法律、法规另有规定外，经营者不得搜集与提供商品、服务无关的信息。不得不正当使用。不得公开、出租、出售。”第三处从法律责任方面进行了规定：“经营者有下列情形之一的，应该停止侵害、恢复名誉、消除影响、赔礼道歉、并赔偿损失：（四）违法收集、使用、公开、出租、出售消费者个人信息的。”修订案进一步规定：“经营者有前款规定情形的，消费者可以请求精神损害赔偿。”

《消费者权益保护法》新增的规定，从三个角度引入消费者个人信息受保护权，将极大地提高我国的消费者保护水平。拟新增的条文的科学性主要体现在以下方面：第一，明确了个人信息的范围，从而为划定消费者个人信息保护权的范围奠定了基础。第二，明确了经营者在采取数据行为时应当遵循的一般原则，包括知情同意原则、限制利用原则、完整正确原则和安全原则。第三，繁简得当。对消费者权利的规范和对经营者义务的规范基本与《消费者权益保护法》中已经存在的权利义务规范详细程度相当，从而达到了与原法的和谐衔接。毕竟，对个人数据保护法进行系统的规范，不属于《消费者个人信息保护法》的分内之事，而应留待将来的数据保护法来完成。

不过，值得肯定并不等于完美无缺。拟新增的条款仍有需要改进之处，即修正案对侵害消费者个人信息的法律责任之规范方面。修订案中的经营者承当责任的几种方式均无可厚非，但由这几种责任承担方式构成的责任体系是否完善，还需要借助以下两个标准进行判断：第一，能否对受害者，即消费者进行合理的补偿？第二，能否对行为人，即经营者，施以足够的威慑？

以第一个标准为参照系，我们来分析修订稿对侵害消费者个人信息的行为预设的责任形式。修订稿一共规定了六种责任，即停止侵害、恢复名誉、消除影响、赔礼道歉、赔偿损失和精神损害赔偿。这六种责任形式中，与对消费者进行合理补偿联系最紧密的是最后两种，即赔偿损失和精神损害赔偿。就赔偿损失而言，经营者违法采集、处理、储存或者利用消费者个人信息，最常见的用途是用于直接营销。问题在于，直接营销虽然令消费者不胜其烦，却很难说给消费者带来了实际损失。固然，若消费者的信用信息被泄露，导致消费者丧失重大利益，赔偿损失将是一条有效的救济途径。但若就数量巨大的直接营销个案而言，赔偿损失这一法律责任并无用武之地。也许正是基于这一考虑，修订稿专门规定了消费者可以要求精神损害赔偿。该条看到了消费者个人信息的滥用导致的最大恶性后果并非经济损失，而是精神层面的骚扰，并试图弥补消费者的精神损失，这一立法用意是值得肯定的。但我国关于精神损害赔偿的司法实践尚不发达，有关精神损害赔偿的计算方式尚不具有法律确定性和可预见性。而且从既有的法院判决分析，我国就精神损害赔偿的计算倾向于保守。因此，通过赋予消费者精神损害赔偿请求权来保护其个人信息，实践效果尚待检验。

接下来，我们再以第二个标准，即是否能对经营者施以足够的威慑，来审视修订稿中的六种法律责任形式。这六种法律责任形式可分为两类，即金钱类与非金钱类的责任承担方式。金钱类的责任承担方式包括赔偿损失和精神损害赔偿。前面已经分析过了，在经营者侵犯消费者个人信息的语境下，无论是物质性的损害赔偿还是精神损害赔偿都很难计算。不能排除消费者耗费了大量的时间和金钱，赢得了诉讼，最终经营者却无须为侵权行为支付金钱赔偿的可能性。至于非金钱的法律责任形式，主要是以防止损害继续扩大或从精神层面上消除恶性后果为诉求的，对经营者不具太大的威慑力。总而言之，修订稿规定的六种法律责任方式，并不能很有效地起到威慑经营者，预防其侵犯消费者个人信息权的效果。

那么有没有法律责任形式能够弥补上述不足呢？

笔者认为，没收违法所得可以达到这一目的。如前分析，现实生活中最多发的滥用消费者个人信息的情形就是直接营销。直接营销的目的在于盈利。如果经营者通过非法搜集、处理或利用信息行为获得的利润最终将被剥夺，经营者就会丧失侵害消费者个人信息的动机和主动性。相比较于赔偿损失和精神损害赔偿，没收违法所得，虽不能弥补消费者的损失，但可以有效地惩罚或震慑经营者，其预防效果更为明显。所以笔者认为，修订稿列举的法律责任形式均应肯定，此外还应增加没收违法所得的法律责任形式。将所有的责任形式结合起来，将能更有效地保护消费者的个人信息权。

三、通过《反不正当竞争法》保护消费者个人信息的可能性

（一）消费者个人信息保护与《反不正当竞争法》的联系。

作为部门法意义上的反不正当竞争法调整的对象是扰乱市场秩序的竞争行为。传统的不正当竞争行为包括混淆行为、商业贿赂行为等，但不包括滥用消费者个人信息的行为。但是，随着消费者的个人信息对企业营销策略的制定越来越重要，消费者的个人信息也逐渐发展成为了现代竞争行为的要素之一：经营者既热衷于搜集消费者的个人信息，也积极地对这些个人信息进行分析，从中挑选出潜在的客户群体，然后有针对性地向他们发送广告，宣传自己的产品和服务。可以说，经营者采取的信息处理行为的各个环节都以取得竞争优势为目的，其数据行为同时也构成竞争行为。既然是竞争行为，就存在正当与不正当之分。正是从数据行为的竞争行为属性角度而言，有必要研究从竞争法角度规制经营者采集、储存、处理、使用消费者个人信息的可能性。

（二）我国现行《反不正当竞争法》对利用消费者个人信息进行直接营销的规范。

由于直接营销手段，尤其是电子邮件和短信广告等现代化程度较高的直接营销手段，具有成本相对低廉、目标明确、成功率高的特点，因而受到了经营者的青睐。不过，由于其接受对象的生活往往被不请自来的广告打搅，所以其并不受到接受对象的欢迎。[1](p189)作为一种市场手段，直接营销是市场主体采取的竞争手段之一种。若使用不当，有可能演变为扰乱市场秩序、损害其他市场主体合法利益的行为，而这种行为，本应是反不正当竞争法规治的对象。那么我国现行《反不正当竞争法》是否提供了可用的法律手段呢？

对这一问题，可以从两个角度考察：第一，《反不正当竞争法》特殊条款是否调整直接营销行为？我国《反不正当竞争法》具体列举了11种不正当竞争行为，其中不包括经营者利用消费者个人信息的直接营销行为。①这一点很容易得到解释：《反不正当竞争法》和《消费者权益保护法》一样，制定于90年代初期。当时无论是立法者还是社会公众，都尚未注意到数据保护问题。而由于当时的通讯手段尚不够发达，普通电话和手机的使用都远远不及今天普及，故而经营者即使采取直接营销的手段，对消费者生活的影响都不能和今天的直接影响相提并论：一则广告的对象范围不广，二则广告的频率不高。所以从第一个角度考察得出的结论是否定的。第二，起着我国《反不正当竞争法》一般条款作用的第2条，①关于第2条是否是《反不正当竞争法》的一般条款，学界尚存争论。考虑到《反不正当竞争法》的兜底规范作用，以及竞争行为推陈出新的实际状况，同时考虑到国外立法例通过一般条款来弥补竞争法具体条款不足的实践，笔者认为应当将《反不正当竞争法》第二条视为一般条款，规定构成不正当竞争的要件。在某项竞争行为虽然不符合具体条款，但符合一般条款的不正当行为构成要件时，给予法官确认行为违法性的裁量空间，从而解决成文法的滞后性和社会事实变动不居之间的矛盾。从法律实践中看，由于不正当竞争行为的不确定性，已经有法官超出《反不正当竞争法》特殊条款的范围，运用第2条对一些竞争行为做出了判断，并认定了其中一些的不正当性。是否可为规范直接营销行为提供法律依据呢？按照该条的要求，要构成不正当竞争行为，必须符合“损害其他经营者合法利益”的构成要件。由于直接营销行为触犯的主要是消费者的个人信息自决权，很难认定其对其他经营者的合法利益带来了损害，故而现行《反不正当竞争法》的一般条款也对直接营销行为无能为力。

（三）德国《反不正当竞争法》对直接营销的规范。

上面的分析揭示了一个矛盾：一方面，《反不正当竞争法》应当肩负起规范直接营销的责任，因为直接营销本质上属于竞争行为的范畴，也有可能构成不正当竞争行为。另一方面，我国现行的《反不正当竞争法》——无论是具体规范还是一般条款——都无法为规范直接营销行为提供依据。笔者下面拟分析德国《反不正当竞争法》在一般条款和对直接营销规范方面的发展历史进行总结，揭露从竞争法角度规范直接营销行为的可行性。

德国的《反不正当竞争法》制定于1896年。在最初的《反不正当竞争法》中，不仅没有关于直接营销方式的条款，而且不存在一般条款。

然而，随着司法实践的发展，立法者逐渐认识到“不正当竞争行为的本质在于其不可确定性”，指望在法典中穷尽所有的不正当竞争方法是不现实的。为了防止经营者利用穷举式立法的漏洞，德国《反不正当竞争法》在1909年的修订中增加了作为一般条款的第1款。该条以“善良风俗”为判断标准，以停止侵害和赔偿损失为制裁手段，肩负起兜底规范的职责，添补了《反不正当竞争法》具体条款的漏洞，成为了竞争法领域的帝王规范。[3]（p36）

就保护对象而言，德国《反不正当竞争法》最初仅仅保护经营者的利益。这一做法以个人权利说为理论基础，在保护范围上与现行的中国《反不正当竞争法》是相同的。但德国学界与实务界随后认识到了个人权利说的不足，以社会权利说取而代之，并相应地将保护范围扩大到了消费者。从而确定了今天的德国《反不正当竞争法》概貌：在法律依据上，既提供特殊条款保护，也用一般条款兜底。在保护范围上，既以其他经营者为保护对象，同时也承认当消费者的利益受到违背善良风俗的竞争行为侵害时，《反不正当竞争法》应当得以适用。经历了这一发展的德国《反不正当竞争法》，在司法实践中更好地担当起了市场秩序维持者的作用。

德国《反不正当竞争法》除了在宏观上经历了上述发展之外，具体到直接营销行为，也发展出了相应的成文法规范和丰富的司法判例。

1.成文法规范。

就成文法规范而言，对直接营销的规定主要反映在德国《反不正当竞争法》第7条第2款。该款规定，如下行为如果对其他经营者或者消费者的权益产生了显著的不利影响，则构成反不正当竞争行为：

——在接受者明确表示反对的情况下投递的广告；（第7条第2款第1项）

——在缺乏消费者事先明确同意的情况下进行的电话广告；（第7条第2款第2项）

——在缺乏作为经营者的广告接受者明示或至少是可推测的默示同意的情况下进行的电话广告；（第7条第2款第2项）

——缺乏接受者事前明示同意的自动化电话广告、传真广告、电子邮件广告或手机短信广告；（第7条第2款第3项）

——发送者的身份被掩饰或歪曲的广告，或缺乏发送者有效地址，以致接受者无法要求发送者停止发送行为的广告。（第7条第2款第4项）

从以上条款可以看出：德国立法对不同形式的直接营销采取的态度是不同的。立法者原则上允许发送书信广告，但禁止电话广告和自动化的传真广告、电子邮件广告或手机短信广告。这种差别来源于立法者对不同广告形式给消费者带来的骚扰程度不同的区分：立法者认为，书信广告由于标注有发送者信息①关于第2条是否是《反不正当竞争法》的一般条款，学界尚存争论。考虑到《反不正当竞争法》的兜底规范作用，以及竞争行为推陈出新的实际状况，同时考虑到国外立法例通过一般条款来弥补竞争法具体条款不足的实践，笔者认为应当将《反不正当竞争法》第二条视为一般条款，规定构成不正当竞争的要件。在某项竞争行为虽然不符合具体条款，但符合一般条款的不正当行为构成要件时，给予法官确认行为违法性的裁量空间，从而解决成文法的滞后性和社会事实变动不居之间的矛盾。从法律实践中看，由于不正当竞争行为的不确定性，已经有法官超出《反不正当竞争法》特殊条款的范围，运用第2条对一些竞争行为做出了判断，并认定了其中一些的不正当性。和信件主题，消费者可以迅速辨别其广告性质，从而在短时间内做出弃置不读的决定，从而比较容易避免广告邮件的骚扰。但电话广告或者自动化的传真广告、电子邮件广告或手机短信广告则由于其更易被批量发送，消费者不易辨识其来源与广告性质，从而对消费者的生活构成更为严重的骚扰。②没有标注发送者信息的书信广告属于第7条第4款的调整范围，是被禁止的广告形式。

2.司法判例。

从德国的法院实践来看，同一竞争手段既触犯信息保护法又触犯反不正当竞争法，并非罕见的情况。③例如BGH RDV 2004,218;OLG Frankfurt a.M WRP 1996,1175;OLG Stuttgart DuD 2007,779.下面将介绍最近一起涉及反不正当竞争法和数据保护法交叉领域的案例，以期说明两部法律调整范围的重叠关系。

科隆地区高等法院2009年就两家电力企业的法律纠纷做出了裁决。该案被告向被原告吸引走的老顾客投放广告，希望能重新赢得这部分顾客。一审法院发出临时禁令，要求被告停止投放广告。被告在上诉中要求科隆地区高等法院撤消临时禁令。科隆高等法院经过审理，认为被告在投放广告之前，没有取得顾客的同意，而且该行为无法通过《联邦数据保护法》第28条获得正当性，因而其行为触犯了《联邦数据保护法》。法院由此判决驳回了被告的上诉，维持了一审法院要求被告停止广告的要求。尤其值得注意的是，在这起诉讼中，法官一方面从《联邦数据保护法》角度出发，要求被告停止广告。另一方面，法官在判决中也明确提及“本案涉及的《联邦数据保护法》条款调整的对象具有‘市场要素’，且该市场要素正是《反不正当竞争法》第4条第11项要求的市场要素。”因此，法院判决支持原告根据《反不正当竞争法》第3条，第4条第11项以及第8条第11项提出的诉讼请求，要求被告停止采取竞争行为。[4]

从经营者的角度出发，其以提起反不正当竞争法之诉为手段，对竞争对手违反数据保护法的行为提起诉讼，原因在于德国《反不正当竞争法》第8条到第10条对违法者规定了一系列的制裁手段，并因此比之单纯基于《联邦数据保护法》提起诉讼而言，从两个角度提起诉讼更有实施上的优势。另一方面，从法律效果角度而言，法院的实践肯定了对同一竞争行为进行竞争法和数据保护法双重评价的做法，激励了竞争者之间互相监督对方的数据保护状况，从而有利于提高全社会的数据保护水平。[5](p713)

当然，在德国要同时适用《反不正当竞争法》和《联邦数据保护法》，要求行为同时触犯了这两部法律。不过，当涉及数据处理的行为发生于商品经济领域时，这一条件往往非常容易被满足。按照德国学者的看法，对违法数据处理行为同时以《反不正当竞争法》加以规治的最大好处就在于《反不正当竞争法》提供的完善的制裁机制。虽然至今为止德国法院做出的判决都仅止步于要求行为者停止侵害，但完全可以设想，将来还可以对触犯反不正当竞争法的数据处理者采取没收违法收入的手段。这一手段对非法出售消费者个人数据的经营者而言，是最好的制裁手段。因为按照数据保护法，消费者能就其遭受的物质损失提起损害赔偿请求，而其精神损失不在赔偿范围之内。在经营者违法出售消费者个人信息的情形下，往往消费者并未遭受直接的、严重的物质损失。所以如果将经营者的损害赔偿范围限制在消费者的物质损失范围之内，对经营者几乎起不到任何震慑的作用。反之，《反不正当竞争法》提供了没收违法所得这一救济途径。如前所述，这一措施可以极大地打击经营者违法采集、处理、使用乃至出售消费者个人信息的经济基础，从而减少经营者滥用消费者信息之情形的发生。[5](p713)

3.对德国通过《反不正当竞争法》保护消费者个人数据的评价。

德国《反不正当竞争法》对直接营销方式的规范从很大程度上限制了经销商对消费者个人信息适用的范围。而对于经销商而言，若其采集了个人信息而不能适用，那么采集行为就不能为其带来实际利益。在这种情况下，经销商费尽心机，尤其是采取不正当手段采取采集消费者个人信息的动力会大大地降低。

四、结语：德国双重评价保护模式对我国消费者个人数据保护的启示

如前所述，德国承认对经营者利用消费者个人数据进行直接营销的竞争行为进行双重法律评价，即一方面从数据保护法角度进行评价，另一方面从反不正当竞争法角度进行评价。当然，中德国情不同，法制有别，我们并非要照搬德国的双重评价体系。但对其作法加以借鉴亦非不可。

就借鉴对象而言，我们不可能也不应该照抄德国的《联邦数据保护法》和《反不正当竞争法》相关规范与法院判例，但可以研究这些具体规范之后隐藏的原则。因为原则往往比具体规范具有更广泛的适用性和更强的借鉴性。德国双重评价保护模式的原则在于：对既涉及数据保护，又涉及其他部门法的经营者行为，可以从不同部门法的角度进行评价。这一做法可以促进我国在尚无系统个人数据保护法的情况下，为规范经营者的数据处理行为提供指南，从而尽快加强消费者个人数据保护。

个人信息保护既涉及公法方面的问题，也涉及私法方面的问题。其法制化涵盖了广阔的领域，将需要一个相对漫长的过程。作为个人信息保护的重要方面之一，消费者的个人信息保护与普通百姓的联系最为直接和紧密。因此，提高消费者个人信息保护的水平，可以达到较快改善个人信息被滥为采集、滥为使用，严重干扰民众生活安宁的现状。

另一方面，由于消费者信息保护涉及面广，因而加强消费者信息保护能够较快达到提高社会信息保护意识的效果。而全社会普遍的个人信息保护意识，是将来的个人信息保护法得以顺利实施的社会条件。

从以上两个角度出发，笔者提出了在构建其全面的个人信息保护法系统之前，先循序渐进地在修改现行法的基础上对个人信息保护的个别方面进行改进的设想。最直接的是修改《消费者权益保护法》，明确消费者享有个人信息自决权，并明确经营者侵权时的包括停止侵害、赔偿损失和没收违法所得在内的法律责任。此外，还可以通过修改《反不正当竞争法》提高直接营销的门槛，进而限制对消费者个人信息的采集与使用。在将来条件成熟的情况下，再制定全面的个人信息保护法。

[1]杨阳.电子邮件广告及其法律评价,《中德法学论坛》第1辑[M].南京：南京大学出版社，2002.

[2]孔令杰.个人资料隐私的法律保护[M].武汉：武汉大学出版社，2009.

[3]邵建东.德国反不正当竞争法研究[M].北京：中国人民大学出版社，2001.

[4]OLG K·ln DuD 2009,696 ff.

[5]Vgl.Lindhorst,DuD 2010,715.

DF624

A

1003-8477（2011）05-0075-06

蒋舸（1979—），女，德国萨尔大学法学博士，德国马克斯·普朗克知识产权、竞争法与税法研究所奖学金研究员。

责任编辑 郁之行