互聯(lián)網(wǎng)企業(yè)個人信息保護現(xiàn)狀考察及啟示——以重慶地區(qū)為例

何培育，丁仁杰，童 婭

(重慶理工大學知識產(chǎn)權(quán)學院，重慶 400065)

大數(shù)據(jù)時代，消費者個人信息蘊含著難以想象的巨大商業(yè)價值。當前企業(yè)對于個人信息收集與使用行為的合法性邊界尚未完全厘清，如果立法對于企業(yè)的信息收集與使用限制地過于嚴苛，則將在一定程度上抑制數(shù)據(jù)價值的充分發(fā)揮，但是顯然也不能對企業(yè)收集與使用消費者個人信息的行為放任自流。如何減少個人信息泄露風險，保障信息主體合法權(quán)益至關(guān)重要。筆者對重慶市大、中、小型互聯(lián)網(wǎng)企業(yè)共計30余家進行了深入調(diào)研，發(fā)現(xiàn)多數(shù)企業(yè)就個人信息獲取、使用、管理各方面存在存問題，超范圍使用、未經(jīng)授權(quán)使用現(xiàn)象嚴重。針對重慶互聯(lián)網(wǎng)企業(yè)個人信息管理保護的現(xiàn)狀，應當從企業(yè)管理內(nèi)部建立有效地企業(yè)內(nèi)部信息管理機制，在司法保護方面明確企業(yè)與信息主體的法律關(guān)系、權(quán)利與義務、侵權(quán)行為認定標準及法律責任，在行政監(jiān)管層面建立有效的企業(yè)違規(guī)使用個人信息懲罰機制。

一、互聯(lián)網(wǎng)企業(yè)個人信息保護現(xiàn)狀調(diào)查問卷分析

本次問卷調(diào)查主要針對互聯(lián)網(wǎng)領(lǐng)域的企業(yè)，問卷表明大多數(shù)互聯(lián)網(wǎng)公司非常重視個人信息的作用，明白數(shù)據(jù)對企業(yè)發(fā)展重要性。本部分從企業(yè)角度，根據(jù)實際問卷調(diào)查數(shù)據(jù)分析，來探索它們關(guān)于重要信息的認定、獲取方式、目的、保護方式以及觀念意識上的現(xiàn)狀。

(一)企業(yè)視角下個人信息的商業(yè)價值

問卷顯示，對于各個選項均有約50%左右的公司選擇(圖1)，雖然存在企業(yè)的自身領(lǐng)域的不同以及定位的差別的問題，但本數(shù)據(jù)主要顯示了數(shù)據(jù)環(huán)境下，對信息認定的多樣化，以及價值判斷的復雜性。同時，企業(yè)對財務狀況、消費能力和方式有普遍關(guān)注(高達近70%)，明顯反映出現(xiàn)代互聯(lián)網(wǎng)企業(yè)定位及發(fā)展方向。

(二)企業(yè)獲取個人信息的方式

對于獲取方式而言，除了利用招聘信息，以及通過用戶注冊這兩種方法的概率稍微高一些以外(依然僅有1/3左右)，而其手段均使用不到25%(圖2)。由此，表明了雖然現(xiàn)在中、小型互聯(lián)網(wǎng)企業(yè)對數(shù)據(jù)足夠重視，但是在數(shù)據(jù)獲取方面其技術(shù)較為落后、手段過于單一，這一點明顯與大型企業(yè)、市場主流脫節(jié)。

圖1 企業(yè)視角下有價值的個人信息

圖2 企業(yè)個人信息獲取方式

據(jù)調(diào)查發(fā)現(xiàn)，企業(yè)收集的20% 的數(shù)據(jù)是結(jié)構(gòu)化的，80%是非結(jié)構(gòu)化或半結(jié)構(gòu)化的，而且非結(jié)構(gòu)化數(shù)據(jù)的增長速率遠遠大于結(jié)構(gòu)化數(shù)據(jù)，前者為63%，后者為32%［1］，并且數(shù)據(jù)化時代中越來越多的數(shù)據(jù)以自動的方式產(chǎn)生，獲取的方式也是多樣化、自動化的。

通過對比發(fā)現(xiàn):中、小型企業(yè)在信息獲取技術(shù)以及相關(guān)技術(shù)發(fā)展方向上存在失誤，獲取數(shù)據(jù)也缺乏時效性，明顯與主流的數(shù)據(jù)獲取技術(shù)相脫節(jié);同時對信息獲取相關(guān)最新動態(tài)缺乏了解，沒有充分利用甚至不知道利用數(shù)據(jù)公司的作用;互聯(lián)網(wǎng)企業(yè)完全向貴州大數(shù)據(jù)交易中心［2］、DATACOMB等數(shù)據(jù)公司購買所需的數(shù)據(jù)來支持企業(yè)的精準營銷。

(三)企業(yè)獲取個人信息的目的

本項目調(diào)研中關(guān)于企業(yè)獲取個人信息的目的，除了A選項外，其余均有較高的選擇，尤其在精準營銷上，大多數(shù)的公司都對此重點關(guān)注(圖3)。表明企業(yè)在數(shù)據(jù)使用目的，以及如何促進企業(yè)發(fā)展方向、營銷手段上，具有較好的判斷。如今的數(shù)據(jù)積攢大致圍繞著兩點，一類是圍繞用戶，一類是圍繞產(chǎn)品。尤其是在互聯(lián)網(wǎng)領(lǐng)域中，利用互聯(lián)網(wǎng)的便捷這一特點，可以在最短時間將精準營銷產(chǎn)品送到目標手中，無論是對于大型企業(yè)還是中、小型企業(yè)來說，都是當前企業(yè)發(fā)展的主要方向。但同時，A選項比例較低體現(xiàn)國內(nèi)對研發(fā)的重視不足，創(chuàng)新是企業(yè)進步的源泉，在這一點上企業(yè)應當有所改善。

圖3 企業(yè)獲取個人信息手段

(四)信息保護現(xiàn)狀及泄露后果判斷

企業(yè)對危害后果的認識，如圖4顯示，極大多數(shù)企業(yè)注重的是企業(yè)形象、信譽等潛在價值。在這一點上，企業(yè)能很好地從長遠的角度來分析，在感性認識上具有較為正確的判斷。然而在制度、技術(shù)的建立上，圖5顯示企業(yè)雖然建立了相關(guān)的規(guī)章制度，也配備專門人員，建立數(shù)據(jù)庫，然而在個人數(shù)據(jù)整理，替換，銷毀等處理上存在不足。大數(shù)據(jù)時代，數(shù)據(jù)具有低價值性，如果不運用科學方法處理，很容易導致數(shù)據(jù)過大，分析時間較長甚至無法分析;同時，在企業(yè)占有大量個人數(shù)據(jù)的后期，任何企業(yè)都并不是應該無限期對數(shù)據(jù)進行占有，另外企業(yè)后期對數(shù)據(jù)不負責任處理的行為，在數(shù)據(jù)安全上存在很大隱患。

圖4 個人信息泄露后果判斷

圖5 保護個人信息方式

(五)啟示

第一，企業(yè)對自身收集、使用個人信息存在的問題。對于企業(yè)自己而言，也同樣明白自身存在很多問題，尤其對于中、小型企業(yè)而言，無論是決策能力還是經(jīng)濟實力上均有很大不足，而且各大互聯(lián)網(wǎng)企業(yè)出現(xiàn)的問題多樣，無法統(tǒng)一完全解決。明顯的問題主要表現(xiàn)在:用途不明確;保護機制不健全，存在內(nèi)部人員對信息保管不足，甚至惡意竊取的現(xiàn)象;收集個人信息合法使用邊界不明確。

第二，企業(yè)對于個人信息使用方面的反思。從選項顯示的情況來看，企業(yè)在數(shù)據(jù)權(quán)利的享有上，普遍選擇為企業(yè)經(jīng)營管理服務而進行分析，體現(xiàn)了互聯(lián)網(wǎng)企業(yè)對權(quán)利的擁有在認識上還過于單一(圖6)。在信息控制者針對個人信息的權(quán)利內(nèi)容方面，企業(yè)應當在一定范圍內(nèi)擁有對數(shù)據(jù)的處理權(quán)。數(shù)據(jù)表明企業(yè)在自身權(quán)利認識以及義務認識上還需加強和明確。

圖6 企業(yè)視角下?lián)碛械臋?quán)利

綜上，整體上重慶地區(qū)互聯(lián)網(wǎng)企業(yè)對于個人數(shù)據(jù)收集與處理的現(xiàn)狀為優(yōu)勢與不足并存，優(yōu)勢體現(xiàn)在企業(yè)對信息獲取、利用在觀念上有較好的認識，并且能夠很好認識信息錯誤處理的后果。不足表現(xiàn)為數(shù)據(jù)獲取手段落后、煩瑣、不及時，處理不夠?qū)I(yè)，保護不夠完善(尤其數(shù)據(jù)使用完后后期處理上)，專業(yè)人才配備不足，權(quán)利義務不明確，缺乏相關(guān)專業(yè)知識和專業(yè)指導等。

二、重慶地區(qū)互聯(lián)網(wǎng)企業(yè)個人信息處理的問題研究

以重慶地區(qū)互聯(lián)網(wǎng)企業(yè)個人信息調(diào)研數(shù)據(jù)為基礎，對企業(yè)個人信息的收集、使用、管理與保護等環(huán)節(jié)進行分析研究。

(一)企業(yè)個人信息收集環(huán)節(jié)現(xiàn)行問題考察

個人信息的收集環(huán)節(jié)即指為了更好地為生產(chǎn)經(jīng)營而服務，企業(yè)通過各種途徑將大量零散的個人信息聚集整合在一起的過程。對調(diào)研結(jié)果研究分析發(fā)現(xiàn)，企業(yè)收集的個人信息的范圍廣泛，內(nèi)容豐富，途徑多樣，但在整個收集過程中夾雜著收集的方式不合法，收集的程序不規(guī)范，收集的用途不明確，收集的程度過度等問題的發(fā)生。

1．收集方式合法性問題

重慶地區(qū)的互聯(lián)網(wǎng)企業(yè)主要以通過注冊、訂購等正當業(yè)務途徑方式收集用戶個人信息;通過企業(yè)招聘、雇傭方式收集企業(yè)內(nèi)部員工信息。也有企業(yè)通過記錄、收集用戶操作行為等方式獲得用戶瀏覽信息以及通過個人信息買賣、交換等方式獲取個人信息。前者是通過注冊、訂購、招聘、雇傭等方式獲取個人信息，是建立在信息主體明示或默示的基礎上進行的收集行為;后者是通過記錄、收集用戶的操作行為、上網(wǎng)習慣等方式獲取相關(guān)個人信息的行為，多數(shù)企業(yè)未告知信息主體并未經(jīng)其同意，即未經(jīng)過信息主體許可授權(quán)，因此此類收集方式上存在一定的非法性［3］。

另一種收集方式的非法性在于企業(yè)是通過從其他機構(gòu)或者個人處購買、相互交換等方式來獲取個人信息。這種收集行為主要在企業(yè)與信息交易機構(gòu)或個人、企業(yè)與企業(yè)之間進行，信息主體一般無法得知，更無法參與其中，因此該交易、交換行為屬于根本未獲得信息主體同意的情況下進行的非法收集行為［4］。

2．收集程序正當性問題

正當?shù)氖占绦驊斒腔谄髽I(yè)與信息主體之間雙向的告知—同意的過程，企業(yè)在收集個人信息之前需要告知信息主體，同時在征得其同意之后，才能開始對個人信息進行正當?shù)氖占?］。而目前大多數(shù)企業(yè)缺少履行告知—同意環(huán)節(jié)，多以企業(yè)單方面的收集為主。收集程序中關(guān)鍵環(huán)節(jié)的缺失，導致其正當性存在問題。

3．收集用途明確性問題

調(diào)研結(jié)果表明，企業(yè)所收集的個人信息的范圍較為廣泛，不僅包括如姓名、性別、聯(lián)系方式、住所等基本身份信息，也包括了收入水平、財務狀況、消費能力等帶有財產(chǎn)性質(zhì)的信息，更包括了個人喜好、生活習慣、想法意愿等與精神活動相關(guān)的信息。但在企業(yè)收集個人信息后的用途方面，只有較少的企業(yè)能夠較為充分地發(fā)揮個人信息的作用，多數(shù)企業(yè)未能充分發(fā)掘個人信息的具體價值所在，出現(xiàn)使用用途不明確或者用途單一的情況，無法充分地讓個人信息為生產(chǎn)經(jīng)營服務。同時，另有部分企業(yè)雖有明確用途，但存在過度收集與其用途無關(guān)的個人信息的問題。

(二)企業(yè)使用個人信息中存在的問題

當企業(yè)獲取個人信息后，將會對個人信息進行處理并使用，個人信息將會進入使用環(huán)節(jié)。企業(yè)會依據(jù)收集時獲信息主體同意的明確的用途使用個人信息，且不作他用，同時允許并協(xié)助信息主體查看其信息的使用情況。但是，在實際的使用過程中，企業(yè)常會出現(xiàn)違規(guī)行為。

1．未經(jīng)授權(quán)的擅自使用

在企業(yè)收集個人信息時或者使用個人信息前，需向信息主體進行信息用途的明確說明，應當經(jīng)過信息主體的同意之后，才能合法地的使用該個人信息。同時，須明確的是，企業(yè)只能在信息主體授權(quán)的范圍內(nèi)使用該信息，不能在未經(jīng)過信息主體同意的其他用途中使用。但是從現(xiàn)實的調(diào)研情況來看，很少有企業(yè)會在收集時或者使用前向信息主體進行說明并經(jīng)其同意再使用，大多數(shù)企業(yè)在獲得個人信息之后，直接對信息進行使用。只有部分企業(yè)基于尊重信息主體，向信息主體進行說明并獲權(quán)后再使用。

2．超出權(quán)利范圍使用

部分企業(yè)在經(jīng)授權(quán)的使用過程中，因為存在授權(quán)內(nèi)容不明確，權(quán)利限制不清楚等問題，加上許多企業(yè)缺乏個人信息使用的正確觀念，因而常存在超出權(quán)利范圍的使用情況發(fā)生，例如，未經(jīng)用戶許可的公開，個人信息非法交換、交易等行為。

(三)企業(yè)個人信息管理機制缺失

從調(diào)研結(jié)果分析，多數(shù)調(diào)研的企業(yè)對個人信息管理方面均適當?shù)夭扇×艘欢ǖ拇胧?聘用專職人員管理個人信息并且接觸人員范圍受限，制定嚴格的信息管理制度，并嚴格實施遵守，建立專業(yè)的個人信息數(shù)據(jù)庫，定期整理、更換、刪除個人信息，該選擇為多選，但從選擇比例上看，采用上述措施的企業(yè)的比例最高尚未超過30%。總體而言，大部分企業(yè)內(nèi)部個人信息管理機制存在缺失。

深入與調(diào)研對象交流發(fā)現(xiàn)，多數(shù)企業(yè)未對個人信息管理問題納入企業(yè)管理體系中，既未將個人信息設置獨立的個人信息管理機構(gòu)，也未嵌入式的將個人信息處理的各個環(huán)節(jié)業(yè)務分散至企業(yè)管理經(jīng)營的其他業(yè)務活動中。這些企業(yè)在存儲、使用、管理與保護個人信息時，均存在信息泄露風險、侵害信息主體權(quán)益等問題。

1．個人信息存儲方面

多數(shù)企業(yè)在收集到個人信息后，僅僅對其進行簡單的錄入、歸檔保存，缺少專業(yè)的個人信息存儲數(shù)據(jù)庫，存儲方式簡陋，存儲安全性被忽略，加大了個人信息泄露的風險。

2．個人信息使用方面

企業(yè)未制定專門的個人信息使用準則，也沒有規(guī)制使用人員的行為。在權(quán)衡企業(yè)利益和信息主體權(quán)益問題上態(tài)度曖昧，對于只要是以生產(chǎn)經(jīng)營服務為目的的個人信息使用行為均持默認態(tài)度，對其是否存在違法違規(guī)行為也未及時制止，因而經(jīng)常出現(xiàn)擅自使用、超范圍使用個人信息等情況。

3．個人信息管理方面

少數(shù)企業(yè)設置了專員對個人信息進行管理，而多數(shù)企業(yè)是安排內(nèi)部工作人員兼職管理或者未安排人員管理。兼職管理人員由于專業(yè)性受限以及其他主要事務繁忙，所以很難充分履行個人信息以及數(shù)據(jù)庫的定期維護與更新、無用信息刪減等職責，也無法保證個人信息的安全問題，個人信息泄露現(xiàn)象時有發(fā)生。另外，多數(shù)企業(yè)認為獲得個人信息后，即享有個人信息的所有權(quán)，在完成與信息主體約定的使用之后，還會出現(xiàn)一些問題:自由對個人信息進行處分，對于達到收集時公告的使用目的的個人信息繼續(xù)予以存儲使用;拒絕用戶通知刪除的個人信息;在未經(jīng)過信息主體的許可下，以贈送、買賣等形式轉(zhuǎn)移給第三人。而這些問題的發(fā)生，與企業(yè)對個人信息的重視態(tài)度密切相關(guān)。

(四)個人信息法律關(guān)系主體間權(quán)利義務的內(nèi)容認定不明確

個人信息法律關(guān)系主體之間的權(quán)利義務內(nèi)容不明確，是導致企業(yè)處理個人信息時存在問題的重要原因。在該法律關(guān)系中，企業(yè)與個人信息提供者作為法律關(guān)系的主體對個人信息享有權(quán)利，承擔義務，同時個人信息提供者也應享有對等的權(quán)利與義務，但是雙方權(quán)利與義務的具體內(nèi)容目前仍則處于模糊狀態(tài)，如何認定權(quán)利與義務存在困難。

1．信息獲取環(huán)節(jié)中存在的權(quán)利與義務內(nèi)容不明確的問題

在個人信息正當獲取的環(huán)節(jié)中，企業(yè)與信息主體的主要行為及步驟包括:第一，企業(yè)充分告知信息主體的收集行為即:收集內(nèi)容、收集目的、收集方式等情況;第二，信息主體明確知曉企業(yè)收集行為，并對收集情況有充分認識;第三，信息主體決定是否同意企業(yè)的收集行為;第四，征得信息主體同意之后，企業(yè)開始以所告知方式收集個人信息。從正當獲取信息的流程分析，首先企業(yè)應對信息主體履行充分告知收集行為的義務，而相對應的信息主體享有明確知曉收集行為的權(quán)利;之后信息主體有權(quán)利進行選擇是否同意企業(yè)的收集行為，企業(yè)當獲得同意之后才能再進行信息的收集，同時在收集時應當嚴格按照遵守約定告知的收集內(nèi)容、方式進行收集，不得超過限制。但在實際企業(yè)收集個人信息時，企業(yè)與信息主體均不能充分明確自身的權(quán)利與義務，導致企業(yè)與信息主體經(jīng)常發(fā)生不知曉自身知曉收集行為的權(quán)利、消極行使同意收集的權(quán)利、怠于履行告知收集義務、超出權(quán)利范圍收集信息等情況，這對信息主體自身而言無疑存在較大的危害性。

2．信息使用環(huán)節(jié)存在的權(quán)利與義務內(nèi)容不明確的問題

在信息使用環(huán)節(jié)中，企業(yè)應當嚴格按照在收集時告知的收集目的進行個人信息的使用，在使用期間，信息主體應當可以知曉企業(yè)對其個人信息的使用情況以及是否存在違反約定使用行為。因此，企業(yè)應當負有按約定使用個人信息的義務，而信息主體則享有知曉企業(yè)使用情況并及時終止企業(yè)不當使用行為的權(quán)利。但是實際操作中，信息一旦被企業(yè)收集，信息主體往往難以獲知其信息的使用情況，或者雖知曉卻怠于行使;而企業(yè)則存在信息獲取后即將其作為企業(yè)自身財產(chǎn)可以按照意愿使用處分的錯誤思想，甚至將個人信息作為牟利工具，出現(xiàn)交易、交換個人信息的行為。

3．信息管理與保護環(huán)節(jié)存在的權(quán)利與義務不明確的問題

在信息管理環(huán)節(jié)中，企業(yè)應當對信息進行充分合理的管理，防止信息存在泄露風險，保證信息的安全性，在這基礎之上，企業(yè)可以在一定限度范圍內(nèi)對信息進行加工處理、整合等，以提取有價值信息。對于信息主體而言，應當能夠獲知其信息的管理情況、安全狀態(tài)，可以要求企業(yè)對所管理的自身信息進行修改、刪除等行為。而實際情況中，企業(yè)對管理、保護信息安全，防止信息泄露的安全保障工作并不到位，多數(shù)企業(yè)認為個人信息已屬于自身財產(chǎn)而又無明顯價值，故在管理方面存在懈怠心態(tài)，缺乏信息保護意識，不明確保護義務等情況較為普遍。而信息主體對于能夠提出的刪除、修改等權(quán)利基本不知曉，更未提出過刪除、修改個人信息等要求，而就算提出，企業(yè)也幾乎未曾理會。

三、重慶地區(qū)互聯(lián)網(wǎng)企業(yè)個人信息保護措施

(一)企業(yè)管理層面

在國際社會對個人信息保護的呼聲日益高漲的背景下，企業(yè)在利用個人信息為自己帶來商業(yè)效益和便利的同時，也應從自身做起，落實個人信息保護工作。首先，從形式上講，可以分為兩種模式:(1)獨立管理模式，指在企業(yè)內(nèi)設置單獨的信息管理部門，配備專業(yè)人員，對于信息保護形成一套完整且成熟的實踐方案;(2)分散管理模式，指將個人信息保護的一系列程序分散到各個部門，無需單獨設立部門，但得加強員工對于個人信息保護的意識。接下來，從具體實施上講，企業(yè)應在不同環(huán)節(jié)遵循對應的原則。

1．收集個人信息環(huán)節(jié)

企業(yè)為了精準營銷與更好地推銷自己的產(chǎn)品，往往會以各種方式收集顧客的個人信息，而在收集個人信息環(huán)節(jié)，企業(yè)應注意遵循以下原則:(1)告知同意原則，應告知其收集個人信息的目的及用途，且若信息主體不同意，須立即刪除其收集的個人信息;(2)保障安全原則，應對收集到的信息采取合理的安全措施保護個人信息，以防止個人信息泄露或落入不法分子手中;(3)合法收集原則，應從正規(guī)渠道獲取個人信息，不得以非法竊取、購買手段獲取個人信息。

2．使用個人信息環(huán)節(jié)

企業(yè)所收集到的個人信息對于自身將生產(chǎn)的產(chǎn)品或提供的服務具有指導性作用。企業(yè)在對這些信息加以整理、分析的過程中，應遵循以下原則:(1)指定用途原則，應依據(jù)明確的用途并經(jīng)信息提供者同意后方可使用個人信息;(2)客戶查看原則，應允許并協(xié)助個人信息提供者查看其信息的使用情況［6］。

3．處理個人信息環(huán)節(jié)

企業(yè)對于已達到收集個人信息時所告知的使用目的及范圍后，對于個人信息的處理應遵循以下原則:(1)主動刪除原則，應主動將與客戶個人信息的相關(guān)內(nèi)容全部作不可恢復刪除;(2)繼續(xù)授權(quán)原則，若想將個人信息存檔以便將來使用，須再次征得信息主體同意、授權(quán)。

(二)司法保護層面

1．明確信息主體和企業(yè)的權(quán)利義務

明確不同信息主體的權(quán)利義務是完善企業(yè)對于個人信息規(guī)制的重要問題，要求在保護信息主體權(quán)利的前提下不能剝奪企業(yè)對于個人信息合理利用的權(quán)利。信息主體享有對于其個人信息是否被收集、利用以及其個人信息在何時、基于何種目的、以何種方式進行處理的決定權(quán)。而企業(yè)在被授權(quán)的條件下，享有在于授權(quán)范圍內(nèi)對于個人信息的收集、使用、處理的權(quán)利［7］。具體而言，分為以下幾個方面。

第一，信息主體的權(quán)利與義務。信息主體的主要權(quán)利包括:①知情權(quán)，指信息主體對于企業(yè)收集、使用、處理個人數(shù)據(jù)的行為及范圍享有知情的權(quán)利;②選擇權(quán)，指信息主體有權(quán)選擇自己的個人數(shù)據(jù)是否被企業(yè)收集、使用、處理;③查看權(quán)，指在不侵犯企業(yè)商業(yè)秘密的前提下，信息主體享有查看自己的個人數(shù)據(jù)被使用的情況;④刪除權(quán)，指信息主體有權(quán)要求企業(yè)對于已達到收集個人數(shù)據(jù)時所告知的使用目的及范圍后應將其刪除;⑤賠償請求權(quán)，指當個人數(shù)據(jù)因企業(yè)的疏忽管理或直接泄露等原因受到損害時，信息主體享有要求企業(yè)賠償?shù)臋?quán)利［8］。信息主體對于企業(yè)來講處于一個相對弱勢的地位，在其法律義務方面信息主體在授權(quán)企業(yè)對自己的個人數(shù)據(jù)進行管理的同時應遵循信息真實原則。

第二，企業(yè)的主要權(quán)利與義務。企業(yè)在收集個人數(shù)據(jù)時所告知的使用目的并且不違反法律規(guī)定的范圍內(nèi)，享有對收集個人數(shù)據(jù)的使用、收益、處分權(quán)。同時要履行以下義務:①收集告知義務，指企業(yè)在收集個人數(shù)據(jù)時附有告知信息將在何種范圍內(nèi)作何種用途的義務;②使用有限原則，指企業(yè)只能在告知的范圍內(nèi)使用個人數(shù)據(jù)，不得將其作其他用途;③保障安全義務，指企業(yè)在管理個人數(shù)據(jù)的過程中，附有保障個人數(shù)據(jù)不被泄露、盜竊的義務;④主動刪除義務，指企業(yè)在既定范圍內(nèi)使用完個人數(shù)據(jù)后，應主動刪除個人數(shù)據(jù)及相關(guān)內(nèi)容;⑤賠償損害義務，指企業(yè)未采取合理、有效措施保障個人數(shù)據(jù)安全以致被不法分子竊取、泄露作其他用途，應對用戶造成的損害給予適當賠償［9］。

2．對于侵權(quán)行為及責任的分析

按前文所述，在我國相關(guān)法律還不完善、企業(yè)意識淡薄的情況下，企業(yè)對于個人信息保護還存在諸多不足，容易發(fā)生以下幾種侵權(quán)行為。

第一，非法收集個人信息。為了促進生產(chǎn)力發(fā)展，企業(yè)往往會收集潛在客戶的個人信息以準確地捕獲他們的需求。除了一些正常手段收集個人信息外，還可能存在從非正當渠道獲取個人信息的情形，比如違法竊取、購買客戶信息。但應該明確的是，個人信息權(quán)作為一種人格權(quán)應該受到保護，信息主體對于個人信息的收集享有知情權(quán)，若企業(yè)未將信息處理的方式及范圍告知信息主體及未獲授權(quán)情況下非法收集個人信息，可能會對信息主體造成損害，應承擔侵權(quán)責任。信息主體有權(quán)要求企業(yè)停止侵權(quán)，并賠禮道歉，若因為其侵權(quán)行為對信息主體造成損失的，應當賠償損失。

第二，過度使用個人信息。企業(yè)會根據(jù)生產(chǎn)需求對收集到的個人信息進行篩選、整合，最后形成一個有用的數(shù)據(jù)庫。由于不同的信息組合后會形成新的數(shù)據(jù)資料，企業(yè)應在告知信息主體收集目的范圍內(nèi)使用其個人信息，若過度使用可能會違背信息主體授權(quán)時的意愿，信息主體有權(quán)要求企業(yè)停止侵權(quán)并賠禮道歉，若因為其侵權(quán)行為對信息主體造成損失的，應當賠償損失。

第三，擅自處理個人信息。指企業(yè)未經(jīng)信息主體同意，擅自將其個人信息與第三方共享。企業(yè)在既定范圍內(nèi)使用完個人信息后，應主動刪除個人信息。若將其擅自出售、分享給其他企業(yè)，如保險公司、推銷公司可能將個人信息作為盈利工具隨意濫用，從而給信息主體生活帶來極大困擾。信息主體有權(quán)要求企業(yè)賠償因其侵權(quán)行為造成的損失，并賠禮道歉。

(三)行政監(jiān)管層面

監(jiān)督機制不完善，就難以防止公權(quán)力濫用、私權(quán)益受損。但是目前我國對于個人信息安全行政監(jiān)管存在諸多問題。從監(jiān)管規(guī)范上來看，應當不斷制定完善政府機關(guān)、企事業(yè)單位收集、使用個人信息的標準體系，使行政監(jiān)管有據(jù)可查，建議將《信息安全技術(shù)公公及商用服務信息系統(tǒng)個人信息保護指南》針對不同行業(yè)領(lǐng)域的情況加以完善并作為強制性的指導規(guī)范。從監(jiān)管效力上看，應當賦予監(jiān)管主體一定的行政處罰權(quán)，當發(fā)現(xiàn)相關(guān)政府部門、企事業(yè)單位在收集、分析、使用個人信息的過程中存在違法行為的，有權(quán)對其實施行政處罰，行政處罰認定結(jié)果應當與社會征信系統(tǒng)相連接，加大對侵犯個人信息違法行為的遏制力度。

［1］ 吳金紅，張飛，鞠秀芳．大數(shù)據(jù):企業(yè)競爭情報的機遇、挑戰(zhàn)及對策研究［J］．情報雜志，2013(1):20－24．

［2］ 蔣偉林．貴州大數(shù)據(jù)產(chǎn)業(yè)路線圖［J］．決策，2015(4):62－63．

［3］ 何培育，蔣啟蒙．個人信息盜竊的技術(shù)路徑與法律規(guī)制問題研究［J］．重慶理工大學學報:社會科學，2014(2):159－160．

［4］ 張錫田，范曉蔚．論個人信息的非技術(shù)性保護［J］．檔案學研究，2013(3):50 －54．

［5］ 王忠，殷建立．大數(shù)據(jù)環(huán)境下個人數(shù)據(jù)隱私治理機制研究——基于利益相關(guān)者視角［J］．技術(shù)經(jīng)濟與管理研究，2014(8):26－29．

［6］ 孫凡．企業(yè)個人信息使用及保護業(yè)務的框架研究［J］．中央財經(jīng)大學學報:工商管理版，2015(7):106．

［7］ 齊愛民．私法視野下的信息［M］．重慶:重慶大學出版社，2012．

［8］ 何培育．網(wǎng)絡交易消費者的個人信息保護［J］．中國流通經(jīng)濟，2014(6):102 －105．

［9］ 何培育．電子商務環(huán)境下個人信息安全危機與法律保護對策探析［J］．河北法學，2014(8):34－36．