網絡平臺用戶信息利用規制與保護探析
——基于《個人信息保護法》解讀

郭若嫄

美國福特漢姆大學商學院，美國 紐約 10023

以大數據、人工智能、移動互聯、云計算、區塊鏈、物聯網等為代表的新技術集群廣泛應用，帶動數字經濟、平臺經濟迅猛發展。伴隨著發展而來的網絡平臺個人信息利用與保護問題，也得到了前所未有的熱度和關注度，尤其是個人信息收集、披露、濫用以及“大數據殺熟”等社會負面現象頻出，讓大眾對自身信息安全充滿擔憂，導致對各網絡平臺不信任，甚至引發法律糾紛，十分不利于經濟社會的健康與和諧發展。本文以《個人信息保護法》規定的個人信息保護范圍和處理規則、利益相關者的權利義務和法律責任等為討論對象，就網絡平臺合法合規利用用戶信息提出可行策略。

一、《個人信息保護法》出臺背景

（一）個人信息濫用問題嚴峻

據中國互聯網絡信息中心（CNNIC）2021 年8 月27 日發布的《中國互聯網絡發展狀況統計報告》數據顯示，截至2021 年6 月，我國網民規模達10.11 億人，互聯網普及率達71.6%，我國已經形成全球最為龐大的數字社會。龐大的個人信息運用到互聯網、大數據等領域，激活數字經濟發展的同時也產生諸多新問題。例如，2005 年，新浪網站發布一則《網站搜人引擎偷走9000 萬份個人資料》的新聞，在一個號稱全球最大的搜人引擎UCOOL 上，通過輸入姓名查找到符合姓名的人的詳細資料，包括聯系方式、學習或工作單位、家庭住址等，［1］一度引發了不小轟動和恐慌；2009 年，中國社會科學院發布的《法治藍皮書》顯示，隨著信息處理和存儲技術不斷發展，我國個人信息濫用問題日趨嚴重［2］，過度收集、擅自披露、盜用濫用、非法買賣用戶信息等問題層出不窮；［3］2016 年，美國近8700 萬Facebook 用戶數據被不正當泄露給為美國總統競選工作服務的數據公司——J 分析公司，借此操縱輿論、干預總統大選；2020 年，浙江省消保委第三季度受理投訴情況分析中，F 平臺兩度被點名，分別涉及“大數據殺熟”和宣傳與實際不符的問題。網絡領域的用戶信息合法合理地使用面臨極其嚴峻的挑戰，需要法律來保護用戶信息的呼聲越發響亮，已然成為大眾最為關心也最為息息相關的利益問題。

（二）回應信息流通立法潮流

互聯網的廣泛應用和飛速發展，打破了傳統的地域和時空限制，規范信息流通、加強個人信息保護，已經成為全球面臨的共性問題。目前，全世界已經有超過100 個國家通過立法的形式加強對個人信息和隱私的保護，其中最具有代表性的當數歐盟在2018 年5 月頒布生效的《通用數據保護條例（GDPR）》。GDPR 對互聯網組織收集、分析和管理用戶信息權限進行了嚴格限定和監管，包括信息收集的知情同意權，個人數據訪問權、修改權、擦除權、限制處理權，數據攜帶權和反自動化決策權，［4］同時還設立了獨立的監管機構［5］。與歐盟不同但同樣具有代表性的是美國的做法，美國訴諸“行業自律+分散立法”的雙重路徑來保護個人信息，在行業自律維度主要是通過微軟等互聯網巨頭建立個人隱私保護機制，在立法上則是通過制定實施《消費者隱私權利法案》《算法責任法案》等法律發揮作用。我國《個人信息保護法》出臺，在一定程度上借鑒了歐盟GDPR 及其他國家和地區的立法思路，同時順應了全球化背景下我國數字經濟發展大趨勢、新要求，響亮回應了個人信息保護世界立法的潮流。

（三）前期立法奠定堅實基礎

早在21 世紀初，我國便開始針對個人信息保護進行立法探索。2000 年頒布的《全國人大常委會關于維護互聯網安全的決定》對侵犯公民通信自由和通信秘密作出規定，首次涉及個人信息保護［6］。2012 年《全國人大常委會關于加強網絡信息保護的決定》提出在收集、利用個人電子信息時應當遵守的三大原則，即合法、正當、必要。這三大原則作為基礎性原則在之后的立法中均得到延續和體現。2013 年《電信和互聯網用戶個人信息保護管理規定》對用戶個人信息作出明確界定。2016 年《網絡安全法》首次以法律形式規范個人信息保護問題，明確了用戶對個人信息的更正權、刪除權，對“告知—同意”規則進行具體闡述。該法填補了我國在個人信息保護領域的法律空缺，為個人信息保護提供了法律依據，對我國網絡安全和數據保護具有里程碑意義。同時，一些法律法規在制（修）訂過程中都補充了個人信息保護相關條款［6］，例如，《消費者權益保護法（修訂）》《刑法修正案（九）》《民法典· 人格權編》等，但均未形成完整的個人信息保護法律體系。2018 年9 月，《個人信息保護法》首次納入立法計劃，經過3 年的起草修訂，于2021 年11 月1 日正式實施，標志著我國首個個人信息層面的立法登上了時代舞臺。

二、《個人信息保護法》重點解讀

（一）個人信息處理核心原則的確立

個人信息保護建立在規定和限制個人信息處理者行為的前提之上。《個人信息保護法》在繼承了三大原則的基礎上，增加了誠信、質量、最小范圍、目的限制等原則。例如《個人信息保護法》的第五條、第六條以及第七條均彰顯了個人信息處理的核心原則。同時，《個人信息保護法》對“告知—同意”規則做出了更為明確具體的規定。《個人信息保護法》的第十七條規定了信息處理者在處理信息前應當以顯著的方式，并用清晰易懂的語言履行告知義務并取得同意。

（二）規范個人信息境外效力原則

《個人信息保護法》學習、吸收了2018 年歐盟《通用數據保護條例（GDPR）》關于個人信息保護境外效力的相關提法、做法和經驗，在條款中明文規定了個人信息境外效力情形，耦合了國際個人信息保護的境外效力趨勢。根據《個人信息保護法》第三條第二款規定，在中華人民共和國境外處理中華人民共和國境內自然人個人信息的活動，包括以向境內自然人提供產品或者服務為目的的活動（如麥肯錫、波士頓咨詢等大型國外咨詢公司向境內的自然人提供咨詢服務），分析、評估境內自然人的行為的活動（如國際商業機器公司（IBM）發布的用戶行為調查報告），以及法律、行政法規規定的其他情形，均適用本法。個人信息境外效力的相關規定，進一步明確和規范了個人信息國際流通的規范性，有效促進國際交流合作和經濟全球化健康可持續發展。

（三）規范個人信息自動化決策原則

隨著大數據、數據挖掘、人工智能等現代信息技術在個人信息處理中的廣泛應用，算法黑箱、信息繭房、羊群效應、大數據殺熟等負面社會現象接踵而至，嚴重影響了經濟秩序。為了扭轉局面、維持健康經濟秩序，《個人信息保護法》第二十四條明確指出在進行自動化決策時，個人信息處理者應當堅持的原則，即決策的透明度和結果公平、公正，以及不得對個人實行不合理的差別待遇，包括交易價格等交易條件。同時，要求個人信息處理者提供不具有針對性的選項，如在營銷信息推送時提供自動化決策信息和非自動化決策信息兩個選項，由用戶自主選擇。《個人信息保護法》賦予了用戶拒絕的權利，即對于利用自動化決策作出的結果用戶可以要求處理者說明并拒絕那些對自己權益有重大影響的決定，這樣能夠有效避免信息處理者濫用自動化決策。

（四）定義和建立敏感個人信息處理規則

《個人信息保護法》從人格尊嚴、人身及財產安全、是否年滿十四周歲等三個維度區分了敏感信息和非敏感信息。《個人信息保護法》用單獨的一節詳細厘定了個人敏感信息的處理原則和方法，例如利用敏感信息必須同時滿足以下兩個條件：一是具有特定的目的以及充分的必要性，二是采取嚴格保護措施。滿足以上兩個條件并不意味著信息處理者可以立即實施處理行為。個人信息處理者要充分告知個人信息處理的必要性及可能影響，取得單獨同意后才可實施處理敏感信息行為。這些規則展現了立法者對敏感個人信息的高度重視和嚴格保護。

（五）明確個人信息處理中個人各項權利

確立信息主體在個人信息處理中享有的各項權利，有助于更好地管理自身信息權益，做好風險預期與防范，同時也有助于個人信息處理者更好地規范和約束自身信息處理行為。基于此，《個人信息保護法》用完整的一章，即第四章（第四十四條至第五十條）厘定了主體的權利，構筑信息主體在個人信息處理活動中的權利大樓，包括知情權、決定權、查詢復制權、轉移攜帶權、更正補充請求權、刪除請求權以及要求解釋說明權七項權利［7］。

（六）嚴格規定個人信息處理者的各項義務

只有嚴格監督個人信息處理者履行其在個人信息處理中各項義務，才能更好地保證主體在個人信息處理中的權利。鑒于此，《個人信息保護法》專設一章對個人信息處理者的義務進行了規制。一是規定了安全保障義務，《個人信息保護法》第五十一條從“制定內部管理制度和操作規程、對個人信息實行分類管理……法律及行政法規規定的其他措施”等六項措施來保證處理個人信息行為的合法性和安全性；二是規定了個人信息保護人制度［8］，據第五十二條，處理個人信息達到國家網信部門規定數量的個人信息處理者，應當指定個人信息保護負責人；三是個人信息保護影響評估制度，第五十五條規定了四種需要進行個人信息保護影響評估的具體情形，即敏感信息的處理、進行自動化決策、委托或向其他處理者提供個人信息以及向境外提供信息，并最后利用對個人權利有無重大影響，來評估其他未列舉情形是否需要進行評估作為兜底，以保證對個人信息的全面保護；四是規定了大型互聯網平臺的特殊保護義務，《個人信息保護法》要求其履行“守門人”角色，承擔更多的責任，例如由外部成員成立獨立機構來進行監督工作，定期發布報告，以接受社會監督［9］。

（七）加強個人信息侵權的法律責任

《個人信息保護法》在《民法典》對侵犯個人信息權益的損害賠償規則的基礎上，進一步加強了對個人信息權益的保護，增加了許多強有力的個人信息保護措施［8］。第一，確立了民事責任、行政責任與刑事責任相結合的多維度、多層次、立體化責任體系；第二，確立個人信息侵害過錯推定責任；第三，確立個人信息損害賠償責任。《個人信息保護法》在罰款相關的規定上也相當嚴格，其中“處5000 萬元以下或者上一年度營業額5%以下罰款”，對比GDPR 的“對輕微罰款營業額2%或1000 萬歐元的罰款”，以及“對嚴重違約罰款全球營業額的4%或2000 萬歐元”處罰規則來看，我國的處罰程度與歐盟處在同一個量級，體現了我國對違反個人信息保護制度的嚴厲處罰以及對個人信息的堅決保護。

三、網絡平臺合法合規利用用戶信息的可行策略

（一）樹立信息利用和信息保護“互促雙贏”理念

進入以數據資源作為關鍵生產要素、以現代信息網絡作為重要載體、以信息通信技術的有效使用作為效率提升和經濟結構優化的重要推動力的數字經濟時代［10］，是經濟、計算機科學技術發展的必然趨勢。通過數據挖掘分析把握市場深層次需求，利用精確的推薦算法程序滿足差異化、多樣化的需求，并指引商品生產規劃，動態解決供需失衡問題［11］，從而形成高效穩定供求關系，顯著提升市場效率，可以進一步發揮數字經濟優勢、推動數字經濟發展。因此，各網絡平臺應當樹立信息利用和信息保護“互促雙贏”的理念，在保護用戶個人信息的同時，充分利用這一優點，找到信息保護和信息合理使用之間的平衡，促進盈利增收的同時推動數字經濟健康可持續發展。從《個人信息保護法》第一條“為了保護個人信息權益，規范個人信息處理活動，促進個人信息合理利用，根據憲法，制定本法”也能看出，信息保護和信息合理利用之間并不是相互對立、互不相容的關系，信息保護是信息合理利用的前提，合理利用信息是信息保護的目的［11］。

（二）把握個人信息處理各項規制

第一，準確認知《個人信息保護法》所提及的基礎原則。這些原則不僅反映了立法的指導原理和準則，同時折射出當今社會的價值取向、趨勢和要求。因此，平臺只有在各項原則的指導下進行個人信息收集、處理等活動，才能建立起平臺的公信力，取得民眾的信賴，用戶才會放心地將個人信息授權給平臺使用。

第二，準確識別不同個人信息類型的適用場景。非敏感個人信息、敏感個人信息及不同類型敏感個人信息的適用場景不同，處理方式也應有所區別。例如，人臉識別這種屬于生物識別的敏感個人信息，平臺在收集、處理時應該以單獨、顯著的方式征得用戶的同意，而且不能以用戶拒絕提供面部信息為由而拒絕提供服務。

第三，科學合法使用自動化決策。對幾乎所有網絡平臺來講，自動化決策解放了生產力。網絡平臺最常見的自動化決策，是借助數據分析、可視化分析等手段將收集到的大量用戶個人信息構建出用戶畫像，并依托推薦算法向用戶進行個性化推薦，預測用戶購買行為，影響甚至引導用戶的購買決策。在《個人信息保護法》的指導下，網絡平臺應該提高自動化決策過程中的透明度，給予用戶選擇是否需要個性化推薦的選擇權；對影響用戶做出重大決策的場景引入人工審核，并且在有第三方介入的場景時確保第三方系統滿足法律的要求；同時，還可在使用用戶信息之前將用戶個人信息進行加密處理，使處理后的數據無法反向定位、識別到具體用戶，借此保護用戶的信息。

（三）制定個人信息利用規章制度

從《個人信息保護法》對大體量的互聯網平臺在用戶個人信息保護的要求上來看，平臺需建立一套耦合《個人信息保護法》相關規定、符合自身實際的個人信息保護規章制度和完備且高效的數據管理體系與內部監管模式。例如，遵循公開、公平、公正的原則，制定利用規則、過錯推定責任認定規則、違規處罰規則，明確平臺在個人信息利用中的“利用什么信息、用在哪些地方、如何利用、如何保護、如何約束、如何處理違規利用”；成立專門的個人信息保護小組或團隊，明確個人信息保護第一責任人，進行合法合規、隱私保護方案具體實施的監管，并逐步形成穩定健全的監督機制，充分履行個人信息保護“守門人”職責。

四、結語

《中國互聯網發展報告2021》顯示，2020 年中國數字經濟規模達到39.2 萬億，占GDP 比重38.6%并保持了9.7%的高位增速。我國數字經濟正以勢不可當的姿態闊步而來。各網絡平臺應結合數字經濟發展趨勢和規律，主動迎接《個人信息保護法》，在以《個人信息保護法》為核心的網絡法律體系下進行自我限定，及時轉變經營管理思路和方向，利用好、保護好用戶個人信息，定將享受到數字經濟的優勢，分享到其帶來的紅利，進而帶動我國數字經濟健康可持續發展。