在数字化时代，随着新技术的广泛应用，扫码消费的便利性极大地改变了传统消费模式。然而，新型网络消费模式在提升用户体验感的同时，也带来了个人信息安全风险。个人信息具有人格价值、财产价值和经济价值等多重价值属性，数据已成为数字经济运行的核心资产。因此，加大数据保护力度，保护个人信息刻不容缓。如何在促进数字经济发展中保护个人信息安全是亟待解决的问题，平衡、协调两种性质不同的权益，需要充分调动制度安排，提高多方参与共治的积极性、持续创新监管举措、填补规则空白，增加法律可操作性。

　　一、扫码消费普遍存在过度收集个人信息问题

　　数字化时代网络已全面渗透，人们的生活模式，消费模式都与各种APP、小程序、二维码、网络支付直接关联。有关扫码消费领域的维权舆情信息有增无减。根据上海消委会《长三角消保委联盟2023年消费维权舆情分析报告》显示，2023年长三角有关扫码消费领域的维权舆情信息共计224551条，主要涉及门店、商场、停车场等场所强制扫码点单或付费、扫码关注微信公众号等涉嫌侵犯消费者自主选择权和知情权;被强制获取个人信息甚至过度收集信息。

　　对于消费者而言，选择拒绝或愤然离去并不能解决基本的消费选择权，以“权利让渡”换取“生活便利”似乎成了无奈的选择。根据2023年上海市消委会的调查，有65%的消费者不愿意在扫码点餐时向商家提供手机号码; 56%的消费者对扫码点餐被强制获取位置信息感到担忧。

　　二、非法收集个人信息的逐利行为屡禁不止

　　《中共中央国务院关于构建更加完善的要素市场化配置的体制机制的意见》(下称《意见》),首次将“数据”与土地、劳动力、资本、技术等传统要素并列为要素之一写入文件。数字化时代的开放性，使数据信息可以通过采集、加工，以数据服务的方式输出，形成数据资产。商家通过获取的消费者个人信息，不仅可以向顾客提供精准营销，还可以进行广告推送，提升流量，刺激消费欲望，增加市场交易额。

　　在消费领域尚未形成统一的数据合规意识时，数据信息的财富诱惑越大，个人信息被非法收集、买卖、泄露的风险就越高。在《个人信息保护法》出台之后，侵犯公民个人信息的民事纠纷与犯罪的案件数量并未减少。据报道，2018年以来，北京各级法院共审结侵犯公民个人信息犯罪案件219起，判处犯罪分子294人，侵犯公民个人信息已经形成了非法获取、加工、交易再用于实施犯罪的一条“黑灰产”链条。

　　三、扫码消费中违规过度收集个人信息的因素分析

　　(一)法律原则的宽泛规定容易使权责边界模糊化

　　《个人信息保护法》第五条规定，处理个人信息应当遵循合法性、正当性、必要性和诚信原则。《民法典》第一千零三十五条强调，处理个人信息时应遵循合法、正当、必要原则，且必须征得该自然人或者其监护人的同意。《网络安全法》第四十一条规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。《数据安全法》第三十二条规定：“任何组织和个人在收集数据时，必须采取合法、正当的方式，严禁通过窃取或其他手段获取数据。”

　　上述法律条文都对个人信息数据的使用规定了“合法性、正当性、必要性”的基本原则。由于很多新型和疑难的个人信息保护案件很难精准地适用具体相应的法律条款，所以规定个人信息处理的基本原则具有协调、漏洞补充与缓和规则不公正的作用，对新型个人信息保护案件的适用将发挥重要作用。

　　法律原则对法律条文的补益作用毋庸置疑，但是因法律原则本身具有宽泛的法律思维与弹性，赋予能动发挥的空间范围较大，囿于个人对专业术语的理解能力、技术能力参差不齐，各方权责主体的站位不同，对上述法律原则的内涵和外延理解并不一致，导致法律原则在实践中可能偏离了原本的制度设计。

　　以“必要性”为例，商家从精准营销的定位出发，认为对个人信息的后台数据收集越多越能提供精准服务，“必要性”的外延更宽泛;于消费者而言，只需“最小化”即可，任何附加条件均为超过“必要性”的边界。“必要性”权责边界模糊，使得实际执行效果并不理想。

　　(二)隐私声明晦涩冗长、脱离设计初衷

　　《数据安全法》明确规定，开展数据处理活动，应当依照法律、法规的规定，建立健全全流程数据安全管理制度。任何组织和个人在收集数据时必须采取合法、正当的方式，严禁通过窃取或其他手段获取数据。《网络安全法》第四十二条规定，网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意，不得向他人提供个人信息。网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。

　　在实际操作中，为了贴合上述规定，各网络平台均会向用户提供“隐私声明”“隐私政策”或“服务协议”等。平台运营者认为，只要在隐私协议里阐释了相关条款，收集信息就是合法的。打开应用市场里下载过亿的热门社交、游戏、购物等APP会发现，每一款用户协议或隐私政策都超万字以上，涉及众多专业术语、法律概念和免责条款。有调查数据显示，77.8%的用户在安装APP时“很少或从未”阅读过隐私协议，69.69%的用户会忽略APP隐私协议的更新提示。根据国家计算机网络应急技术处理协调中心、中国网络空间安全协会2021年12月出具的《APP违法违规收集个人信息监测分析报告》显示，企业在隐私政策明示说明方面存在隐瞒敏感个人信息收集行为和隐瞒个人信息对外共享行为;要求“一揽子”同意隐私政策全部条款甚至不合理条款;设置不合理条件限制用户使用等行为。

　　隐私政策/声明最初的制度设计是为了告知用户个人信息是如何被收集、使用、保存和转让或与第三方共享的，是企业提示用户自主、自愿、合理提供和处分个人信息的告知，是区分用户责任的依据。但在网络运营中，却逐步从形同虚设演变为网络运营者过度收集个人信息的免责声明。

　　(三)信息数据个人维权成本过高

　　我国的法律制度体系从行政、民事、刑事三大领域，对违法数据信息的处理规定了相应的法律责任。虽然违法收集个人信息对个人隐私的侵害甚至对人身及财产安全带来的潜在威胁难以估量，但对个人而言，通过向法院提起诉讼维权实属无奈之举，并非解决纠纷的最优方式。诉讼中调查取证、公证鉴定、审理流程、经济压力、心理压力等都让个人难以承担。此类案件或纠纷与社会整体利益和公共利益息息相关，但苛求个案扭转整体并不现实。个人信息侵犯纠纷因缺乏公益组织的主动介入及公益诉讼的支持，其维权的社会效果和影响力不佳。

　　四、个人数据信息保护的规制建议

　　(一)制定合规指引或推荐标准

　　目前，网络平台类型繁多，涉及网络、电信、电子商务、金融、征信等多个领域，各平台主体责任分散于不同级别的法律规定和行业规定之中。网络运营者对法律边界的模糊认识，影响其对法律条文的遵从。建议针对重点领域出台相关操作指引，明确个人信息收集的“正当性、必要性”边界。强化网络运营者的数据合规意识，推动责任主体自觉遵守边界。

　　2023年北京网信办联合相关部门，通过实地暗访、线上检测等方式，对市民日常生活消费常用二维码、小程序进行了抽样测试，针对扫码消费中六类常见易发违规行为提出六条合规指引。2023年8月，上海市场监管局会同相关部门，针对网络点餐、商超购物、餐饮服务、汽车销售行业、停车场扫码缴费等消费领域，分别制定了各行业的个人信息保护合规指引。

　　(二)提升网络运营者的道德自律

　　提高网络运营者的道德自律是解决网络失德的关键。上海网信办及相关行业监管部门不仅对一批未履行消费者个人信息保护责任、存在严重问题的知名企业予以行政处罚，还发布了《银行业保险业加强消费者个人信息保护倡议书》《培训机构保护消费者个人信息自律倡议书》《关于切实维护房地产经纪行业消费者个人信息合法权益自律公约》等，这显然对引导企业自律起到了积极正面的示范带头作用，也方便行业对照清单自查自纠。

　　建议各行业协会加强对商家的商业伦理与道德培训，提升网络运营者自觉遵守爱国、守法、公平、诚信的行业原则;网络运营者也应加强安全管理措施，提升更新内部数据管控和权限追踪技术，寻求第三方专业机构(法律、技术、审计等)对数据安全合规进行测评，确保信息数据安全。

　　(三)加强对网络运营程序的事前监管

　　网络平台、程序的研发、设计、投入运营涉及专业技术和设备，对于程序运用中的隐蔽功能、侵权行为或其他非法行为，并非消费者个人能够检测或知悉的。因此，网络平台的监管机构更应完善相关审查与检测机制，加强日常主动监督、事前监督，防止平台过度采集个人信息，限制非法功能的隐蔽使用，发挥约束作用。同时，监管机关应尽快推动和建立个人信息数据保护合规审计机制，要求网络运营商委托专业评估机构对其信息处理能力进行测评，按信息处理数量限期提交合规审计报告。

　　对网络平台冗长晦涩的隐私声明、服务协议条款应予简化、优化，监管部门或公益组织应当推动制定清单式条款或阅读指引、风险提示等，提醒消费者识别隐私政策可能存在的陷阱或风险。

　　(四)推动个人信息保护纳入公益诉讼范畴

　　公民对个人信息的自决，是个人意识自由的基础。个人敏感信息与政治安全、经济安全、社会安全密切相关。我国网民规模超10亿人，网站数量超过500万个。加强对个人信息保护重要性的宣传，提高个人防范意识，仍是保护个人信息安全的重要途径。

　　扫码消费中纷杂的个人信息所汇聚的庞大数据安全，依托个案整改，事后监督，很难扭转过度收集愈演愈烈的态势。《个人信息保护法》第七十条明确规定：“个人信息处理者违反本法规定处理个人信息，侵害众多个人的权益的，人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。”最高人民检察院也下发了《关于贯彻执行个人信息保护法 推进个人信息保护公益诉讼检察工作的通知》，强调要构建完善个人信息保护办案流程机制，充分发挥检察一体化办案优势。此前，重庆市检察院联合市互联网信息办公室、市通信管理局、市公安局、市市场监督管理局，共同出台《关于加强APP违法违规收集使用个人信息协同治理工作的意见》，将个人信息保护全面纳入公益诉讼范畴。杭州余杭区人民检察院携手杭州互联网法院，探索互联网公益诉讼新模式，会签协作办法，开展公益诉讼司法实践。

　　建议相关行业监管机关应就如何运用科技手段，借助公安、工信等部门的专业技术力量，完善检察院公益诉讼机制，使个人信息保护纳入公益诉讼范畴及民事公益诉讼惩罚性赔偿出台相关细则，推动各地互联网法院和检察院复制推广。消费者公益组织应当主动作为，积极介入，为前期的证据固定、调查取证等提供专业支持，为纠纷提供多元化快捷的解决方案与解决渠道。

　　(五)平衡数字经济发展与个人信息保护边界

　　数字时代，数据信息已经成为推动经济、科技和社会发展的重要资源，数据要素价值日益凸显。建议相关部门开放更多的讨论沟通渠道，广泛听取意见，引进各方技术专家、行业专家对个人信息保护影响的必要性和风险管理进行论证和评估，形成调研报告，为决策部门提供参考，进一步完善数据管理能力。

　　【作者：叶正夏，广东卓凡律师事务所】