網絡服務提供商的用戶信息保護責任

摘 要 大數據時代，互聯網企業通過各種方式收集用戶的個人信息，挖掘用戶個人資料的經濟利益。在這個過程中，個人信息侵權行為時有發生。本文將分析網絡服務提供商侵犯個人信息的行為，探討侵權問題頻發的原因，并提出網絡服務提供商在個人信息保護問題上的具體責任、義務。

關鍵詞 網絡服務 提供商 個人信息 保護 侵權行為

作者簡介：嚴景，北京郵電大學人文學院，碩士研究生，研究方向：國際法。

中圖分類號：D920.5 文獻標識碼：A DOI：10.19387/j.cnki.1009-0592.2018.06.248

在“互聯網+”時代，個人信息不再被單純地劃分到人格權利之下，而逐漸彰顯出其財產價值。基于經濟利益到驅動，互聯網運營商積極地搜集個人信息數據以研發產品、制定發展戰略。但出現的問題是，一些互聯網企業并未通過正當、合法的方式收集、利用信息，個人信息侵權行為時有發生，且表現形式多樣。譬如今年年初發生的案例：3月16日，Facebook宣布暫時封殺其平臺上兩家第三方機構：SCL（Strategic Communication Laboratories）和劍橋分析公司（Cambridge Analytica），聲稱這兩家機構違反了公司在數據收集和保存上的政策。此舉引起輿論嘩然，媒體紛紛跟進報道。隨后，劍橋分析被爆出在未經用戶同意的情況下，收集了Facebook上5000萬用戶的個人資料，并且在2016總統大選期間針對這些用戶進行定向宣傳。隨后，美國國會和歐盟均對Facebook開展聽證會。5月2日，Facebook在硅谷圣何塞召開Facebook F8年度開發者大會，提出其產品將推出“清晰歷史（Clear History）”新隱私控制保護功能，允許用戶刪除Facebook應用程序中收集的數據，以此作為對隱私泄露事件的側面回應。

Facebook數據泄露事件反映了網絡時代個人信息保護的嚴峻形勢。我國《個人信息保護法》至今尚未出臺，如何保護網絡應用用戶的個人信息，互聯網企業究竟應擔承擔怎樣的責任，成為學界不得不思考的問題。

一、個人信息概述

在互聯網中的“個人信息”指的是與特定自然人相關，可直接或與其他信息結合，識別特定自然人的計算機信息數據。互聯網中的個人信息可劃分為如下類別：（1）個人的自然情況。如個人的姓名、性別、肖像、身高、體重、出生日期、醫療信息、身份證號碼、照片錄音等可識別特定個人等圖像或聲音等。（2）與個人相關的社會背景資料。包括個人的家庭狀況、社會關系、受教育程度、工作經歷、宗教信仰、政治觀點、人事檔案等方面。這類信息通常需要在用戶注冊賬號后，長期進行收集。（3）個人網絡活動的數據資料。包括用戶的瀏覽記錄、搜索記錄等網上活動內容。用戶的網絡行為以數據形式儲存在網絡服務提供商的數據庫中。互聯網企業往往通過個人的活動行為軌跡分析其消費習慣、消費心理，再通過大數據分析精準地進行產品或服務廣告投放等商務活動。

個人信息具有以下特征：（1）個人信息同時具有人格利益和財產利益。個人信息具有可識別性，可以使他人了解信息主體的個人喜好、生活習慣等方面，其人格利益的人身依附性質使其不能被轉讓和繼承。另一方面，用戶的個人信息也能夠為企業提供創造獲得利潤的機會，一些個人信息甚至有向商品轉化的趨勢，故其商業價值也逐步彰顯，再加上個人信息可使用、讓渡，因而逐漸具備財產利益。（2）個人信息主體（subject of personal information）是自然人。個人信息的主體之所以是自然人而不是法人，也是因為信息的人格屬性。基于此，只有自然人才能主張個人信息相關的權利，如個人“信息刪除權”、“信息更正請求權”等，法人并無這些權利。（3）個人信息具有身份識別性。既包括直接識別，如通過肖像、身份證號碼識別，又包括間接識別。

二、網絡服務提供商的個人信息侵權行為

（一）個人信息收集方式和手段

1.用戶信息收集的方式

網絡服務提供商收集用戶信息的方式多樣。消費者在注冊登錄、填寫訂單、支付貨款時，其填寫的個人信息可能被收集。此類收集方式被稱作主動收集，即互聯網企業獲得的個人信息是消費者主動提供的。其次，網絡服務提供商還可以自動獲取信息，例如用cookies追蹤用戶的網絡行為，用木馬程序在用戶的設備端設置后門等，通過這些技術手段自動獲取用戶的身份等個人信息。除了上述信息獲取方式，網絡服務提供商還可以通過第三方平臺獲取用戶的個人信息。例如在Facebook事件中，SCL和劍橋分析公司都是Facebook的合作機構，SCL和劍橋分析公司所得到的用戶信息都是Facebook轉讓的。

2.個人信息的收集價值

互聯網企業收集個人信息，主要基于個人信息有這重大的經濟價值。個人信息是互聯網企業得以存在發展的根基。互聯網企業新產品的研發、市場的擴張、服務的推廣都離不開對用戶個人信息的整理、分析。同時，網絡服務提供商可以加工、利用用戶個人信息，使之商品化，將其進行交換、轉讓出售。

（二）網絡服務提供商的個人信息侵權行為

用戶的個人信息，因其背后潛在的巨大商業利益，對網絡服務提供商產生了極大的吸引力，企業競相挖掘用戶信息的價值。然而，在這個過程中，一些企業對個人信息的收集、使用方式并不恰當，侵犯了用戶的人身、財產權益。其個人信息侵權行為有以下表現。

首先是以不合法的手段收集個人信息，包括但不限于以下行為：未經授權直接或間接打開、拷貝、存儲他人傳遞的電子信息，如截獲用戶聊天記錄、郵件中的個人信息；利用技術工具追蹤、獲取用戶的個人信息，如網絡服務提供商在軟件中設置漏洞，監聽竊取用戶信息。

其次是不合理地過度收集個人信息。如一些購物網站，除了要求用戶填寫姓名、家庭住址、聯系方式這些信息外，還要求用戶填寫學歷、婚姻狀況、職業、收入等與其經營活動無關的信息。

再者是信息使用過程中，未經過信息主體授權，濫用用戶個人信息。如一些互聯網企業，在用戶并不知情的情況下，擅自將本企業合法保存的用戶資料出售給第三方企業，進行個人信息的交易。而第三方企業如何使用這些個人信息，便脫離了信息主體的控制。再如一些企業在經營活動中獲得了用戶的手機號碼、電子郵箱，之后便在用戶未授權的情況下給用戶發送營銷廣告，給用戶造成困擾。

此外還有一種侵權行為，是網絡服務提供商未經用戶的同意，擅自篡改、發布用戶的個人信息。如一些網貸企業，為了催促借款人及時償還借款，便將其個人信息全部公布在網站上，并宣稱只有在借款償清后才會刪除這些信息。

三、侵權行為產生的原因

（一）網絡服務提供商與用戶的信息、地位不對稱

在電子商務中，電商經營者和傳統商務活動經營者一樣，處于強勢、主導的地位。在收集個人信息時，常常對用戶施加一些不合理的要求，而用戶為了使用其服務，不得不被動接受。如Facebook在用戶注冊時提供的格式條款中主張，Facebook有權與其裙帶機構交換自己所掌握的用戶資料，以進行數據共享，提供更優質的服務。此類霸王條款并不在少數，而由于大多數電商都采取了該做法，導致消費者別無的余地。另一方面，網絡服務提供商常常憑借其技術優勢，隱蔽地采集用戶的數據。消費者有可能對自己信息泄漏一事一無所知。而在個人信息使用環節出現的問題是，網絡服務提供商往往并不告知用戶其信息的使用范圍、方法，而個人用戶由于缺乏相關的專業知識，即使權益受侵害，也無力維權。

（二）立法層面的不足

近年來，我國立法在個人信息保護問題上已取得一系列突破，立法層級更高，法律效力更強。《民法總則》第111條作出規定了自然人的個人信息受法律保護。《刑法》第253條規定了侵犯公民個人信息罪。而在《網絡安全法》中，更是明確了網絡運營者應當建設信息保護制度，并且承擔信息收集、使用的公示義務，同時明確了網絡運營者保護信息安全、及時報告的責任。

遺憾的是，在法律責任方面，現目前的立法主要集中在行政和刑事責任上，對于網絡服務提供商的侵權民事責任規定過于粗疏，公民維護個人信息權的配套制度并不健全。

四、網絡服務提供商用戶信息保護義務

針對上述網絡服務提供商的侵權行為，結合我國電子商務發展現狀與個人信息保護相關的法律法規，網絡服務提供商在用戶信息保護問題上應當做到：

（一）履行公示義務

網絡服務提供商在收集、使用用戶的個人信息時，應當積極履行公示義務，至少公開其信息收集的目的、方式，信息使用的范圍、方式、時限，信息共享情況等內容。網絡服務提供商應當在其網站上標明其個人信息保護或隱私保護政策。同時，其標示應當是顯著的，足以引起用戶的注意。政策中相關權利、義務、爭議解決條款的措辭應當避免太多網絡技術層面的專業術語，做到利于一般消費者理解。

（二）保障信息主體的信息控制權

信息主體由權決定個人信息如何使用，網絡服務提供商應當采取一系列措施保障用戶的信息控制權。現實中，消費者在與企業簽訂合同時，沒有機會就信息的收集條款、使用條款、信息轉讓條款與企業一一磋商。企業提供的格式合同基本只有兩個勾選框：要么全部同意合同所有條款，要么不同意所有條款。用戶為了使用產品，不得不同意合同的全部內容。這實際上是侵犯消費者權益的霸王條款。網絡服務提供商在制定合同時，應當為每一項涉及個人信息的重要條款都設立同意或反對的選項。此外，網絡服務提供商應當為用戶修改、刪除個人信息提供途徑。當用戶要求對其個人信息進行更正或補充時，服務商應當及時給予回應。當用戶要求刪除個人信息時，服務商應當將其個人信息從數據庫中徹底刪除。

（三）對信息共享進行規制

網絡服務提供商為優化產品質量，提供配套服務，將收集的用戶信息與第三方機構進行數據共享，這本是無可厚非的。但提供商在進行信息共享時，應當有嚴格的限制：共享信息應當對用戶明示，并經過用戶的同意，若在用戶不知情的情況下泄漏、轉讓用戶的個人信息，造成了信息濫用，網絡服務提供商應當擔責。若信息濫用是第三方機構導致的，則網絡服務提供商應當承擔連帶責任。第三方機構對用戶信息的使用范圍、時限，原則上不得超過原網絡服務提供商的信息使用范圍、時限，當然，征得用戶同意的除外。

（四）采取技術措施保障用戶信息安全

一方面，網絡服務提供商自己不能通過木馬程序等工具盜取用戶的個人信息。另一方面，服務提供山應當采取技術手段提高產品的安全性，防止被無授權的第三方訪問、攻擊，獲取用戶的個人信息。例如，提供在線支付服務的互聯網企業應當加強其產品的安全性能，避免用戶的賬號、密碼被盜取。

（五）建立企業內部責任制度

網絡服務提供商企業內部應當建立健全企業內部的責任制度。企業需要組建負有網絡安全監督管理職責的部門，并明確信息保護的具體責任人。同時，要加強員工培訓，積極提升員工的用戶信息保護意識。此外，企業內部應當建立用戶信息保護相關內部規章，規范員工的操作行為，落實違規責任。

五、結語

大數據時代，若想保護公民個人信息，則需要明確網絡服務提供商責任與義務。網絡服務提供商在追求經濟利益的同時，不能濫用用戶個人信息，而應當從規范自身行為切入，保護用戶信息，承擔企業社會責任。

參考文獻：

[1]張平.大數據時代個人信息保護的立法選擇.北京大學學報（哲學社會科學版）.2017，54（3）.

[2]陳琛.“互聯網+”與“被遺忘權”：大數據時代的個人信息保護爭議.新媒體與社會.2017（1）.

[3]李剛.探究大數據時代的網絡搜索與個人信息保護的分析.電腦知識與技術.2015（11）.

[4]劉小霞、陳秋月.大數據時代的網絡搜索與個人信息保護.現代傳播.2014，36（5）.

[5]齊愛民.個人信息保護法研究.河北法學.2008（4）.