摘 要 大數(shù)據(jù)時代，互聯(lián)網(wǎng)企業(yè)通過各種方式收集用戶的個人信息，挖掘用戶個人資料的經(jīng)濟利益。在這個過程中，個人信息侵權(quán)行為時有發(fā)生。本文將分析網(wǎng)絡(luò)服務(wù)提供商侵犯個人信息的行為，探討侵權(quán)問題頻發(fā)的原因，并提出網(wǎng)絡(luò)服務(wù)提供商在個人信息保護問題上的具體責(zé)任、義務(wù)。

關(guān)鍵詞 網(wǎng)絡(luò)服務(wù) 提供商 個人信息 保護 侵權(quán)行為

作者簡介：嚴(yán)景，北京郵電大學(xué)人文學(xué)院，碩士研究生，研究方向：國際法。

中圖分類號：D920.5 文獻標(biāo)識碼：A DOI：10.19387/j.cnki.1009-0592.2018.06.248

在“互聯(lián)網(wǎng)+”時代，個人信息不再被單純地劃分到人格權(quán)利之下，而逐漸彰顯出其財產(chǎn)價值?；诮?jīng)濟利益到驅(qū)動，互聯(lián)網(wǎng)運營商積極地搜集個人信息數(shù)據(jù)以研發(fā)產(chǎn)品、制定發(fā)展戰(zhàn)略。但出現(xiàn)的問題是，一些互聯(lián)網(wǎng)企業(yè)并未通過正當(dāng)、合法的方式收集、利用信息，個人信息侵權(quán)行為時有發(fā)生，且表現(xiàn)形式多樣。譬如今年年初發(fā)生的案例：3月16日，F(xiàn)acebook宣布暫時封殺其平臺上兩家第三方機構(gòu)：SCL（Strategic Communication Laboratories）和劍橋分析公司（Cambridge Analytica），聲稱這兩家機構(gòu)違反了公司在數(shù)據(jù)收集和保存上的政策。此舉引起輿論嘩然，媒體紛紛跟進報道。隨后，劍橋分析被爆出在未經(jīng)用戶同意的情況下，收集了Facebook上5000萬用戶的個人資料，并且在2016總統(tǒng)大選期間針對這些用戶進行定向宣傳。隨后，美國國會和歐盟均對Facebook開展聽證會。5月2日，F(xiàn)acebook在硅谷圣何塞召開Facebook F8年度開發(fā)者大會，提出其產(chǎn)品將推出“清晰歷史（Clear History）”新隱私控制保護功能，允許用戶刪除Facebook應(yīng)用程序中收集的數(shù)據(jù)，以此作為對隱私泄露事件的側(cè)面回應(yīng)。

Facebook數(shù)據(jù)泄露事件反映了網(wǎng)絡(luò)時代個人信息保護的嚴(yán)峻形勢。我國《個人信息保護法》至今尚未出臺，如何保護網(wǎng)絡(luò)應(yīng)用用戶的個人信息，互聯(lián)網(wǎng)企業(yè)究竟應(yīng)擔(dān)承擔(dān)怎樣的責(zé)任，成為學(xué)界不得不思考的問題。

一、個人信息概述

在互聯(lián)網(wǎng)中的“個人信息”指的是與特定自然人相關(guān)，可直接或與其他信息結(jié)合，識別特定自然人的計算機信息數(shù)據(jù)。互聯(lián)網(wǎng)中的個人信息可劃分為如下類別：（1）個人的自然情況。如個人的姓名、性別、肖像、身高、體重、出生日期、醫(yī)療信息、身份證號碼、照片錄音等可識別特定個人等圖像或聲音等。（2）與個人相關(guān)的社會背景資料。包括個人的家庭狀況、社會關(guān)系、受教育程度、工作經(jīng)歷、宗教信仰、政治觀點、人事檔案等方面。這類信息通常需要在用戶注冊賬號后，長期進行收集。（3）個人網(wǎng)絡(luò)活動的數(shù)據(jù)資料。包括用戶的瀏覽記錄、搜索記錄等網(wǎng)上活動內(nèi)容。用戶的網(wǎng)絡(luò)行為以數(shù)據(jù)形式儲存在網(wǎng)絡(luò)服務(wù)提供商的數(shù)據(jù)庫中?；ヂ?lián)網(wǎng)企業(yè)往往通過個人的活動行為軌跡分析其消費習(xí)慣、消費心理，再通過大數(shù)據(jù)分析精準(zhǔn)地進行產(chǎn)品或服務(wù)廣告投放等商務(wù)活動。

個人信息具有以下特征：（1）個人信息同時具有人格利益和財產(chǎn)利益。個人信息具有可識別性，可以使他人了解信息主體的個人喜好、生活習(xí)慣等方面，其人格利益的人身依附性質(zhì)使其不能被轉(zhuǎn)讓和繼承。另一方面，用戶的個人信息也能夠為企業(yè)提供創(chuàng)造獲得利潤的機會，一些個人信息甚至有向商品轉(zhuǎn)化的趨勢，故其商業(yè)價值也逐步彰顯，再加上個人信息可使用、讓渡，因而逐漸具備財產(chǎn)利益。（2）個人信息主體（subject of personal information）是自然人。個人信息的主體之所以是自然人而不是法人，也是因為信息的人格屬性?；诖耍挥凶匀蝗瞬拍苤鲝垈€人信息相關(guān)的權(quán)利，如個人“信息刪除權(quán)”、“信息更正請求權(quán)”等，法人并無這些權(quán)利。（3）個人信息具有身份識別性。既包括直接識別，如通過肖像、身份證號碼識別，又包括間接識別。

二、網(wǎng)絡(luò)服務(wù)提供商的個人信息侵權(quán)行為

（一）個人信息收集方式和手段

1.用戶信息收集的方式

網(wǎng)絡(luò)服務(wù)提供商收集用戶信息的方式多樣。消費者在注冊登錄、填寫訂單、支付貨款時，其填寫的個人信息可能被收集。此類收集方式被稱作主動收集，即互聯(lián)網(wǎng)企業(yè)獲得的個人信息是消費者主動提供的。其次，網(wǎng)絡(luò)服務(wù)提供商還可以自動獲取信息，例如用cookies追蹤用戶的網(wǎng)絡(luò)行為，用木馬程序在用戶的設(shè)備端設(shè)置后門等，通過這些技術(shù)手段自動獲取用戶的身份等個人信息。除了上述信息獲取方式，網(wǎng)絡(luò)服務(wù)提供商還可以通過第三方平臺獲取用戶的個人信息。例如在Facebook事件中，SCL和劍橋分析公司都是Facebook的合作機構(gòu)，SCL和劍橋分析公司所得到的用戶信息都是Facebook轉(zhuǎn)讓的。

2.個人信息的收集價值

互聯(lián)網(wǎng)企業(yè)收集個人信息，主要基于個人信息有這重大的經(jīng)濟價值。個人信息是互聯(lián)網(wǎng)企業(yè)得以存在發(fā)展的根基?；ヂ?lián)網(wǎng)企業(yè)新產(chǎn)品的研發(fā)、市場的擴張、服務(wù)的推廣都離不開對用戶個人信息的整理、分析。同時，網(wǎng)絡(luò)服務(wù)提供商可以加工、利用用戶個人信息，使之商品化，將其進行交換、轉(zhuǎn)讓出售。

（二）網(wǎng)絡(luò)服務(wù)提供商的個人信息侵權(quán)行為

用戶的個人信息，因其背后潛在的巨大商業(yè)利益，對網(wǎng)絡(luò)服務(wù)提供商產(chǎn)生了極大的吸引力，企業(yè)競相挖掘用戶信息的價值。然而，在這個過程中，一些企業(yè)對個人信息的收集、使用方式并不恰當(dāng)，侵犯了用戶的人身、財產(chǎn)權(quán)益。其個人信息侵權(quán)行為有以下表現(xiàn)。

首先是以不合法的手段收集個人信息，包括但不限于以下行為：未經(jīng)授權(quán)直接或間接打開、拷貝、存儲他人傳遞的電子信息，如截獲用戶聊天記錄、郵件中的個人信息；利用技術(shù)工具追蹤、獲取用戶的個人信息，如網(wǎng)絡(luò)服務(wù)提供商在軟件中設(shè)置漏洞，監(jiān)聽竊取用戶信息。

其次是不合理地過度收集個人信息。如一些購物網(wǎng)站，除了要求用戶填寫姓名、家庭住址、聯(lián)系方式這些信息外，還要求用戶填寫學(xué)歷、婚姻狀況、職業(yè)、收入等與其經(jīng)營活動無關(guān)的信息。

再者是信息使用過程中，未經(jīng)過信息主體授權(quán)，濫用用戶個人信息。如一些互聯(lián)網(wǎng)企業(yè)，在用戶并不知情的情況下，擅自將本企業(yè)合法保存的用戶資料出售給第三方企業(yè)，進行個人信息的交易。而第三方企業(yè)如何使用這些個人信息，便脫離了信息主體的控制。再如一些企業(yè)在經(jīng)營活動中獲得了用戶的手機號碼、電子郵箱，之后便在用戶未授權(quán)的情況下給用戶發(fā)送營銷廣告，給用戶造成困擾。

此外還有一種侵權(quán)行為，是網(wǎng)絡(luò)服務(wù)提供商未經(jīng)用戶的同意，擅自篡改、發(fā)布用戶的個人信息。如一些網(wǎng)貸企業(yè)，為了催促借款人及時償還借款，便將其個人信息全部公布在網(wǎng)站上，并宣稱只有在借款償清后才會刪除這些信息。

三、侵權(quán)行為產(chǎn)生的原因

（一）網(wǎng)絡(luò)服務(wù)提供商與用戶的信息、地位不對稱

在電子商務(wù)中，電商經(jīng)營者和傳統(tǒng)商務(wù)活動經(jīng)營者一樣，處于強勢、主導(dǎo)的地位。在收集個人信息時，常常對用戶施加一些不合理的要求，而用戶為了使用其服務(wù)，不得不被動接受。如Facebook在用戶注冊時提供的格式條款中主張，F(xiàn)acebook有權(quán)與其裙帶機構(gòu)交換自己所掌握的用戶資料，以進行數(shù)據(jù)共享，提供更優(yōu)質(zhì)的服務(wù)。此類霸王條款并不在少數(shù)，而由于大多數(shù)電商都采取了該做法，導(dǎo)致消費者別無的余地。另一方面，網(wǎng)絡(luò)服務(wù)提供商常常憑借其技術(shù)優(yōu)勢，隱蔽地采集用戶的數(shù)據(jù)。消費者有可能對自己信息泄漏一事一無所知。而在個人信息使用環(huán)節(jié)出現(xiàn)的問題是，網(wǎng)絡(luò)服務(wù)提供商往往并不告知用戶其信息的使用范圍、方法，而個人用戶由于缺乏相關(guān)的專業(yè)知識，即使權(quán)益受侵害，也無力維權(quán)。

（二）立法層面的不足

近年來，我國立法在個人信息保護問題上已取得一系列突破，立法層級更高，法律效力更強?！睹穹倓t》第111條作出規(guī)定了自然人的個人信息受法律保護?！缎谭ā返?53條規(guī)定了侵犯公民個人信息罪。而在《網(wǎng)絡(luò)安全法》中，更是明確了網(wǎng)絡(luò)運營者應(yīng)當(dāng)建設(shè)信息保護制度，并且承擔(dān)信息收集、使用的公示義務(wù)，同時明確了網(wǎng)絡(luò)運營者保護信息安全、及時報告的責(zé)任。

遺憾的是，在法律責(zé)任方面，現(xiàn)目前的立法主要集中在行政和刑事責(zé)任上，對于網(wǎng)絡(luò)服務(wù)提供商的侵權(quán)民事責(zé)任規(guī)定過于粗疏，公民維護個人信息權(quán)的配套制度并不健全。

四、網(wǎng)絡(luò)服務(wù)提供商用戶信息保護義務(wù)

針對上述網(wǎng)絡(luò)服務(wù)提供商的侵權(quán)行為，結(jié)合我國電子商務(wù)發(fā)展現(xiàn)狀與個人信息保護相關(guān)的法律法規(guī)，網(wǎng)絡(luò)服務(wù)提供商在用戶信息保護問題上應(yīng)當(dāng)做到：

（一）履行公示義務(wù)

網(wǎng)絡(luò)服務(wù)提供商在收集、使用用戶的個人信息時，應(yīng)當(dāng)積極履行公示義務(wù)，至少公開其信息收集的目的、方式，信息使用的范圍、方式、時限，信息共享情況等內(nèi)容。網(wǎng)絡(luò)服務(wù)提供商應(yīng)當(dāng)在其網(wǎng)站上標(biāo)明其個人信息保護或隱私保護政策。同時，其標(biāo)示應(yīng)當(dāng)是顯著的，足以引起用戶的注意。政策中相關(guān)權(quán)利、義務(wù)、爭議解決條款的措辭應(yīng)當(dāng)避免太多網(wǎng)絡(luò)技術(shù)層面的專業(yè)術(shù)語，做到利于一般消費者理解。

（二）保障信息主體的信息控制權(quán)

信息主體由權(quán)決定個人信息如何使用，網(wǎng)絡(luò)服務(wù)提供商應(yīng)當(dāng)采取一系列措施保障用戶的信息控制權(quán)?，F(xiàn)實中，消費者在與企業(yè)簽訂合同時，沒有機會就信息的收集條款、使用條款、信息轉(zhuǎn)讓條款與企業(yè)一一磋商。企業(yè)提供的格式合同基本只有兩個勾選框：要么全部同意合同所有條款，要么不同意所有條款。用戶為了使用產(chǎn)品，不得不同意合同的全部內(nèi)容。這實際上是侵犯消費者權(quán)益的霸王條款。網(wǎng)絡(luò)服務(wù)提供商在制定合同時，應(yīng)當(dāng)為每一項涉及個人信息的重要條款都設(shè)立同意或反對的選項。此外，網(wǎng)絡(luò)服務(wù)提供商應(yīng)當(dāng)為用戶修改、刪除個人信息提供途徑。當(dāng)用戶要求對其個人信息進行更正或補充時，服務(wù)商應(yīng)當(dāng)及時給予回應(yīng)。當(dāng)用戶要求刪除個人信息時，服務(wù)商應(yīng)當(dāng)將其個人信息從數(shù)據(jù)庫中徹底刪除。

（三）對信息共享進行規(guī)制

網(wǎng)絡(luò)服務(wù)提供商為優(yōu)化產(chǎn)品質(zhì)量，提供配套服務(wù)，將收集的用戶信息與第三方機構(gòu)進行數(shù)據(jù)共享，這本是無可厚非的。但提供商在進行信息共享時，應(yīng)當(dāng)有嚴(yán)格的限制：共享信息應(yīng)當(dāng)對用戶明示，并經(jīng)過用戶的同意，若在用戶不知情的情況下泄漏、轉(zhuǎn)讓用戶的個人信息，造成了信息濫用，網(wǎng)絡(luò)服務(wù)提供商應(yīng)當(dāng)擔(dān)責(zé)。若信息濫用是第三方機構(gòu)導(dǎo)致的，則網(wǎng)絡(luò)服務(wù)提供商應(yīng)當(dāng)承擔(dān)連帶責(zé)任。第三方機構(gòu)對用戶信息的使用范圍、時限，原則上不得超過原網(wǎng)絡(luò)服務(wù)提供商的信息使用范圍、時限，當(dāng)然，征得用戶同意的除外。

（四）采取技術(shù)措施保障用戶信息安全

一方面，網(wǎng)絡(luò)服務(wù)提供商自己不能通過木馬程序等工具盜取用戶的個人信息。另一方面，服務(wù)提供山應(yīng)當(dāng)采取技術(shù)手段提高產(chǎn)品的安全性，防止被無授權(quán)的第三方訪問、攻擊，獲取用戶的個人信息。例如，提供在線支付服務(wù)的互聯(lián)網(wǎng)企業(yè)應(yīng)當(dāng)加強其產(chǎn)品的安全性能，避免用戶的賬號、密碼被盜取。

（五）建立企業(yè)內(nèi)部責(zé)任制度

網(wǎng)絡(luò)服務(wù)提供商企業(yè)內(nèi)部應(yīng)當(dāng)建立健全企業(yè)內(nèi)部的責(zé)任制度。企業(yè)需要組建負(fù)有網(wǎng)絡(luò)安全監(jiān)督管理職責(zé)的部門，并明確信息保護的具體責(zé)任人。同時，要加強員工培訓(xùn)，積極提升員工的用戶信息保護意識。此外，企業(yè)內(nèi)部應(yīng)當(dāng)建立用戶信息保護相關(guān)內(nèi)部規(guī)章，規(guī)范員工的操作行為，落實違規(guī)責(zé)任。

五、結(jié)語

大數(shù)據(jù)時代，若想保護公民個人信息，則需要明確網(wǎng)絡(luò)服務(wù)提供商責(zé)任與義務(wù)。網(wǎng)絡(luò)服務(wù)提供商在追求經(jīng)濟利益的同時，不能濫用用戶個人信息，而應(yīng)當(dāng)從規(guī)范自身行為切入，保護用戶信息，承擔(dān)企業(yè)社會責(zé)任。

參考文獻：

[1]張平.大數(shù)據(jù)時代個人信息保護的立法選擇.北京大學(xué)學(xué)報（哲學(xué)社會科學(xué)版）.2017，54（3）.

[2]陳琛.“互聯(lián)網(wǎng)+”與“被遺忘權(quán)”：大數(shù)據(jù)時代的個人信息保護爭議.新媒體與社會.2017（1）.

[3]李剛.探究大數(shù)據(jù)時代的網(wǎng)絡(luò)搜索與個人信息保護的分析.電腦知識與技術(shù).2015（11）.

[4]劉小霞、陳秋月.大數(shù)據(jù)時代的網(wǎng)絡(luò)搜索與個人信息保護.現(xiàn)代傳播.2014，36（5）.

[5]齊愛民.個人信息保護法研究.河北法學(xué).2008（4）.