論大數(shù)據(jù)時代下，平臺對個人信息的監(jiān)管必要性

楊沛馨

中國海洋大學法學院，山東 青島 266000

一、大數(shù)據(jù)時代個人信息的特點

(一)個人信息傳播去中心化

用戶不僅要與網(wǎng)絡(luò)平臺存在直接的、單一的聯(lián)系，在整個網(wǎng)絡(luò)運行的大環(huán)境下，還會有數(shù)據(jù)中間商、數(shù)據(jù)后續(xù)利用者等人的參與，形成一種多方聯(lián)系的個人信息傳播網(wǎng)絡(luò)，因而用戶對個人信息的控制能力日以削弱。

(二)個人信息傳播迅速，且消痕困難

大數(shù)據(jù)技術(shù)意味著超強的收集、存儲、及時、準確地處理數(shù)據(jù)的能力，會更客觀、準確地發(fā)掘真相與事務(wù)之間的關(guān)聯(lián)性②，多主體參與的特點，使之信息傳播十分迅速，并且在網(wǎng)絡(luò)中，用戶的任何行為落下的痕跡，都有可能作為數(shù)據(jù)存儲起來。數(shù)據(jù)一旦形成并傳播，很難進行徹底地消除痕跡。因為一經(jīng)傳播，個人信息往往在多個平臺都有存儲，包括后續(xù)的信息利用者，即便在最初平臺刪除信息，刪除請求也難以涉及所有信息傳播者。

(三)個人信息的邊界模糊，個人信息的實際內(nèi)涵不斷擴充

各個平臺對用戶信息的需求不同，信息收集的種類也各式各樣。加之大數(shù)據(jù)技術(shù)的發(fā)展，對個人信息的辨識能力日益增強，即便是簡單的信息匯集，足以對用戶進行精準畫像。當前云計算、大數(shù)據(jù)技術(shù)發(fā)展日新月異，收集信息、比對挖掘、分析歸納的能力不可同日而語，之前的“個人信息”的定義已無法適應當今商業(yè)模式中的發(fā)展需要。個人信息的邊界變得模糊，所應納入法律保護的信息內(nèi)涵也隨之被擴充。

二、傳統(tǒng)隱私保護的弊端

傳統(tǒng)機制建構(gòu)在“知情同意”架構(gòu)的基礎(chǔ)之上，要求機構(gòu)在收集用戶個人信息前，告知用戶信息的處理狀況，在網(wǎng)絡(luò)服務(wù)的語境中通常表現(xiàn)為發(fā)布隱私聲明，用戶在閱讀聲明后作出同意的意思表示，作為對個人信息收集及利用的合法授權(quán)。③但隨著大數(shù)據(jù)時代的不斷發(fā)展，該種個人信息保護的架構(gòu)日益顯現(xiàn)出不足。

(一)難以抵御大數(shù)據(jù)技術(shù)對個人隱私的威脅

大數(shù)據(jù)技術(shù)的創(chuàng)新發(fā)展，高效、便捷的網(wǎng)絡(luò)技術(shù)被應用在生活的方方面面，隨之而來的數(shù)據(jù)收集也無所不在。大量機器對機器的被動收集往往不為用戶所知悉，對個人形成密集追蹤；個人信息的累積及分析、比對，構(gòu)建出完整的人格圖像，極易挖掘出個人不愿為他人知曉的敏感信息，為個人帶來困擾、不安，引發(fā)寒蟬效應，乃至造成財產(chǎn)、人身損害，敏感信息用于求職、教育、信用評級等領(lǐng)域，極易使個人遭遇不公及歧視待遇④。

(二)用戶常常忽略個人信息泄露風險

在最初個人信息收集之時，人們往往很難預知收集行為可能造成的嚴重后果。平臺為了遵循法律要求，在形式上履行事前告知義務(wù)(為了事后免責)，制定了繁瑣又冗長的隱私聲明，用戶往往很難短時間內(nèi)閱讀并理解隱私聲明的基本內(nèi)容。在實際情境中，用戶往往會低估個人信息的泄露風險，通常為了節(jié)約時間，直接勾選同意。隱私聲明成為一紙空文，甚至成為隱私侵權(quán)發(fā)生之時，平臺用來推卸責任的擋箭牌。正如學者蘭道(Susan Landau)所言，隱私聲明遠非為人類使用而設(shè)計。⑤

(三)用戶沒有實際控制權(quán)，實際上很難行使權(quán)利

網(wǎng)絡(luò)平臺在提供網(wǎng)絡(luò)服務(wù)之前，都會提供冗長的隱私聲明，供用戶進行“知情同意”，但為使用產(chǎn)品或服務(wù)，用戶往往除點擊同意之外并無其他選擇⑥。實質(zhì)上，用戶很難基于自我意愿進行選擇，架空了用戶的權(quán)利。更重要的是，各方平臺對個人信息進行密集收集，用戶對其收集信息的用途并不了解，甚至在很多場景中對個人信息的收集行為也很難察覺。用戶的個人信息一旦落入平臺手中，將失去控制權(quán)，經(jīng)多方平臺的相繼傳播，在大數(shù)據(jù)時代，用戶對其個人信息面臨全面失控的局面。⑦

三、大數(shù)據(jù)時代下個人信息披露的收益成本分析

隱私權(quán)作為我國公民的基本權(quán)利，受我國法律的明文保護，但誠如上文所言，傳統(tǒng)保護隱私的方式已經(jīng)難以抵御大數(shù)據(jù)技術(shù)的沖擊用戶更易被泄露隱私，而又難以尋求事后救濟。即便如此，用戶越來越習慣在各大網(wǎng)絡(luò)平臺上披露其個人信息，從某種意義上來說，用戶自身對隱私權(quán)的心理防線在逐漸降低。原因在于，大數(shù)據(jù)技術(shù)的應用可以給人們的生活帶來諸多便利，甚至是直接的經(jīng)濟利益，無論是對用戶還是網(wǎng)絡(luò)平臺而言，披露個人信息往往都是基于成本收益分析后的理性選擇。

大數(shù)據(jù)時代下用戶減少個人信息披露所要承擔的成本有：第一，無法享受平臺提供的便捷服務(wù)，許多平臺提供的隱私協(xié)議，看似可供用戶選擇，實際上用戶只有勾選同意選項才能享受平臺服務(wù)；第二，需支付一定的費用，否則無法享受免費的服務(wù)，例如使用無廣告的VIP郵箱，實際上支付會員費以拒絕廣告的定向投放；第三，可能會遭到不必要的信息困擾，例如，廣告運營商會對用戶進行大數(shù)據(jù)分析，針對用戶需求定向投放廣告，但如果拒絕提供個人信息，廣告運營商并不會停止投放，反而會不加區(qū)分地投放各類廣告。用戶減少個人信息披露所得收益是滿足自身的隱私偏好，減少隱私泄露。

大數(shù)據(jù)時代下平臺保護其用戶的個人信息所要承擔的成本有：第一，技術(shù)投入，平臺為了保護用戶隱私，需要不斷進行技術(shù)更新，提供技術(shù)支持；第二，平臺監(jiān)管成本，用戶一旦將個人信息披露給平臺，平臺需有一定的監(jiān)管機制，保證用戶個人信息安全。第三，平臺進行信息保護的機會成本，平臺如果將掌握的用戶信息進行交易，甚至僅僅是不采取過多的信息保護措施，就有可能從數(shù)據(jù)的后續(xù)利用者那里獲利。平臺保護其用戶的個人信息的收益是，得到更多用戶的信任，提升自身的商業(yè)聲譽。但畢竟隱私權(quán)不是直接的物質(zhì)性權(quán)利，用戶往往對未發(fā)生的損害不加重視，反而會選擇更便捷、更能帶來直接利益的平臺，追求眼下更好的服務(wù)與產(chǎn)品。

對于用戶來說，隱私的自愿披露取決于用戶對于網(wǎng)絡(luò)安全風險的感知以及對預期收益獲取的感知⑧。也就是說，如果用戶認為個人信息泄露的風險不夠大，不足以抵銷其享受平臺提供的便捷服務(wù)所帶來的收益，那么用戶會自愿選擇披露個人信息。用戶常常會低估未知的個人信息泄露的風險，而更看重眼前實際的平臺所能帶來的收益。同時，對于一般用戶而言，他們在未認識到大數(shù)據(jù)時代中的隱私威脅時，也會高估法律對個人隱私權(quán)的救濟效果。

由此我們得出，大數(shù)據(jù)時代下的信息披露實際是用戶和平臺同時做出的理性選擇，我們無法遏制也不應遏制該趨勢，而是應當做好用戶信息披露后的信息保護工作。

四、加強對互聯(lián)網(wǎng)平臺的監(jiān)管，保護用戶個人信息的新思路

我國對個人信息保護的法律規(guī)范一直有待改進，甚至存有體系化弊端。保護路徑選擇上具有強烈規(guī)制法、管理法色彩，缺乏對企業(yè)內(nèi)部合規(guī)機制建構(gòu)的關(guān)注，導致法律實施的內(nèi)生性、持續(xù)自律機制運行不暢⑨。而平臺作為用戶個人信息的實際控制者，應當在數(shù)據(jù)保護中充當主要角色。一方面，平臺可以采取最有效率的保護措施，但如果法律上不強調(diào)平臺自身監(jiān)管，平臺基于市場有選擇地保護用戶信息，正如上文論述，對用戶信息的保護力度遠遠不夠。

另一方面，平臺直接掌握了用戶數(shù)據(jù)，平臺可以做出及時、有效的保護信息安全的舉措。平臺企業(yè)應當構(gòu)建自身監(jiān)管機制，對平臺管理人員設(shè)定信息保護的勤勉義務(wù)。

現(xiàn)代公司治理模式以所有權(quán)與控制權(quán)的分離為基本特征，公司治理中奉行“董事會中心主義”⑩。在此基礎(chǔ)上，相關(guān)公司的董事、高級管理人員有必要內(nèi)化成個人信息保護的義務(wù)主體。公司作為獨立的法人主體，必須承擔必要的法定義務(wù)，這些義務(wù)的履行都是由其董事會、監(jiān)事會、經(jīng)理層等組織機構(gòu)來完成。所以設(shè)定董事、高級管理人員的勤勉義務(wù)，是因為他們是直接參與公司經(jīng)營和管理的主體，也是海量個人信息的實際管理者和掌控者，可以更小成本、更大效率地實現(xiàn)保護個人信息的目的。

這就要求相關(guān)董事、高級管理人員在平臺企業(yè)的日常經(jīng)營活動中遵循法律法規(guī)的相關(guān)規(guī)定，同時采取必要的技術(shù)手段，警惕和防范可能發(fā)生的風險。其中尤其包括相應的組織措施，如設(shè)立合規(guī)部門、配備相應人員和資源。因而涉及收集用戶信息的平臺企業(yè)應當完善相關(guān)監(jiān)管機制，開展員工培訓，提高普通職工信息保護意識和能力，董事、高級管理人員則主要負責統(tǒng)籌管理和監(jiān)督的職能。

此外，平臺企業(yè)還應建立補救機制，即發(fā)生泄露事件、或是有泄露風險時，及時采取補救措施。類似規(guī)定在相關(guān)法律中已有體現(xiàn)，例如，《消費者權(quán)益保護法》規(guī)定經(jīng)營者在已發(fā)生信息泄露之時立即采取補救措施；《網(wǎng)絡(luò)安全法》規(guī)定網(wǎng)絡(luò)運營者在個人信息安全方面所應承擔的義務(wù)?。

[ 注 釋 ]

①劉新年，王曉民，任博.大數(shù)據(jù)時代下，如何保護隱私權(quán)[N].檢察日報，2013-08-23.

②徐明.大數(shù)據(jù)時代的隱私危機及其侵權(quán)法應對[J].中國法學，2017(1).

③范為.大數(shù)據(jù)時代個人信息保護的路徑重構(gòu)[J].環(huán)球法律評論，2016(5).

④Daniel J.Solove，The Future of Reputation：Gossip，Rumor and Privacy on the Internet(2007)，http： // docs. law. gwu. edu/ facweb/ dsolove/ Future-of-Reputation/ text/future of reputation-chl.pdf.[EB/OL].

⑤Susan Landau，Control use of data to protect privacy[J]，347：6221 Sei.Issue 504，506(2015).

⑥Susan Landau，Control use of data to protect privacy[J]，347：6221 Sei.Issue 504，504(2015).

⑦范為.大數(shù)據(jù)時代個人信息保護的路徑重構(gòu)[J].環(huán)球法律評論，2016(5).

⑧劉蓓.大數(shù)據(jù)時代下的隱私[J].法制博覽，2019.2.

⑨張懷嶺.公司治理視域下個人信息保護的實現(xiàn)路徑[J].財經(jīng)法學，2018(5).

⑩戴昕.數(shù)據(jù)隱私問題的維度擴展與議題轉(zhuǎn)換[J].法經(jīng)濟學視角.交大法學，2019(1).