大數(shù)據(jù)背景下，用戶個(gè)人信息保護(hù)的法律構(gòu)建

趙志宇

西南財(cái)經(jīng)大學(xué)法學(xué)院，四川 成都 611130

一、個(gè)人信息概念界定

歐盟1995年頒布的《數(shù)據(jù)保護(hù)指令》中個(gè)人信息定義為“與已識(shí)別或可識(shí)別的自然人有關(guān)的任何信息，可識(shí)別的人是可以直接或間接識(shí)別的人”；我國2016年通過的《網(wǎng)絡(luò)安全法》將個(gè)人信息界定為“以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個(gè)人生物識(shí)別信息、住址、電話號碼等”；可以看出，我國在界定個(gè)人信息時(shí)采取了類似歐盟的“識(shí)別中心”方式，也即當(dāng)信息可以與特定的人產(chǎn)生直接聯(lián)系或與其他信息組合來間接識(shí)別特定自然人時(shí)，就被認(rèn)定為是個(gè)人信息，同時(shí)將姓名、住址、身份證號碼等典型個(gè)人信息做出列舉，以抽象概念加具體舉例的方式確定個(gè)人信息概念的內(nèi)涵和外延，保障定義的科學(xué)性，確定了法律保護(hù)個(gè)人信息的客體，是個(gè)人信息法律保護(hù)的基礎(chǔ)。

二、現(xiàn)有個(gè)人信息保護(hù)問題

《網(wǎng)絡(luò)安全法》通過以來，我國的網(wǎng)絡(luò)安全信息保護(hù)規(guī)制有了一定的法律依據(jù)，但由于互聯(lián)網(wǎng)信息泄露的相對隱蔽性，且涉及主體和客體范圍極其廣泛，雖然侵犯用戶個(gè)人信息的行為有了一定程度的減少，但亂象依然層出不窮。前有攜程、滴滴被指“大數(shù)據(jù)殺手；后有美團(tuán)、餓了么被疑非法讀取個(gè)人聊天記錄等敏感信息甚至利用手機(jī)進(jìn)行監(jiān)聽。另據(jù)2018年中國消費(fèi)者協(xié)會(huì)發(fā)布的《APP個(gè)人信息泄露情況調(diào)查報(bào)告》，在5458份有效問卷中，有85.2%的被調(diào)查者遇到過個(gè)人信息泄露。這些都表明個(gè)人信息保護(hù)遭遇巨大挑戰(zhàn)，也成為了人們關(guān)注的焦點(diǎn)。

現(xiàn)有侵犯用戶個(gè)人信息安全的行為主要有事前收集與提供服務(wù)無關(guān)的個(gè)人信息、事中的將個(gè)人信息在用戶不知情的情況下共享或轉(zhuǎn)賣給第三方平臺(tái)、事后的用戶個(gè)人信息無法刪除等。這些行為普遍存在于互聯(lián)網(wǎng)行業(yè)中，對用戶的個(gè)人信息安全構(gòu)成了嚴(yán)重威脅。

三、保護(hù)個(gè)人信息的法律辨析

(一)用戶個(gè)人信息的所有權(quán)歸屬

在互聯(lián)網(wǎng)時(shí)代，信息對于個(gè)人、企業(yè)乃至是國家都是一種重要的無形資源，也應(yīng)有其他資源共有的所有權(quán)歸屬問題。那么用戶個(gè)人信息的所有權(quán)歸屬于誰？筆者認(rèn)為毫無疑問的應(yīng)該歸屬于用戶本人。用戶是個(gè)人信息的產(chǎn)生者，且個(gè)人信息具有很強(qiáng)的人身屬性，與用戶具有很強(qiáng)的關(guān)聯(lián)性。在用戶與服務(wù)平臺(tái)簽訂的服務(wù)合同中，用戶只是提供個(gè)人信息，并授予平臺(tái)在與提供與特定服務(wù)相關(guān)的活動(dòng)時(shí)，對這些個(gè)人信息享有使用權(quán)。

(二)網(wǎng)絡(luò)平臺(tái)的地位優(yōu)勢

互聯(lián)網(wǎng)平臺(tái)是網(wǎng)絡(luò)信息服務(wù)的經(jīng)營者，用戶是該服務(wù)的消費(fèi)者，但相較于傳統(tǒng)意義上的經(jīng)營者與消費(fèi)者，互聯(lián)網(wǎng)平臺(tái)與用戶之間力量與信息的不對稱更為嚴(yán)重、信息的占有和使用更為不對等、用戶的信息處理能力更加有限。平臺(tái)是以技術(shù)和資金為基礎(chǔ)的法人，而用戶是技術(shù)及資金力量都極為有限的自然人，平臺(tái)占有絕對的優(yōu)勢，雙方之間的關(guān)系事實(shí)上極不平等。而信息數(shù)據(jù)是大數(shù)據(jù)時(shí)代最為重要的資源，平臺(tái)擁有大量信息，也有強(qiáng)烈的動(dòng)機(jī)收集無關(guān)的個(gè)人信息或泄露收集到的個(gè)人信息給第三方謀取經(jīng)濟(jì)利益。但用戶在將信息提供給平臺(tái)后無法對信息流向及使用方法進(jìn)行監(jiān)督，相關(guān)法律體制應(yīng)及時(shí)對此進(jìn)行有效監(jiān)管，雖然《網(wǎng)絡(luò)安全法》對這些行為進(jìn)行了一般性的禁止性規(guī)定和相應(yīng)的法律后果，但并未構(gòu)建起具體有效的實(shí)施框架。

(三)平臺(tái)收集使用信息的界限

現(xiàn)有法律體制均要求平臺(tái)在信息收集事前需以明示的方式告知用戶，但仍存的一個(gè)問題就是個(gè)人信息收集的界限，筆者認(rèn)為這一界限應(yīng)該是與服務(wù)直接相關(guān)的最小化的充分信息，對于非直接相關(guān)信息，應(yīng)賦予用戶靈活的選擇權(quán)。而對用個(gè)人信息的使用，平臺(tái)應(yīng)當(dāng)將其限定在和用戶約定的特定服務(wù)上面，未經(jīng)用戶同意，不得向第三方或第三方的服務(wù)泄露或使用。

四、改進(jìn)措施

首先，平臺(tái)在收集信息前不僅需對收集的個(gè)人信息種類進(jìn)行明示，還需明確指出各類信息用于何種服務(wù)，對于間接相關(guān)信息采取默認(rèn)不選擇的方式，保護(hù)用戶自主選擇權(quán)，且這些間接相關(guān)信息的收集與否不得成為服務(wù)是否可以使用的條件。其次，在信息收集后，對信息進(jìn)行加密處理，所有的信息使用過程及流動(dòng)過程全部如實(shí)記錄并備份，在發(fā)生爭議時(shí)作為裁決的主要依據(jù)，設(shè)立內(nèi)部監(jiān)管機(jī)構(gòu)，并接受政府和行業(yè)協(xié)會(huì)的監(jiān)管。最后，切實(shí)保障用戶的信息刪除權(quán)，當(dāng)用戶提出刪除個(gè)人信息的要求時(shí)，徹底刪除全部信息。