王 智

(浙江理工大學法政學院 杭州 310016)

(iszh.wang@foxmail.com)

1 互聯(lián)網廣告精準化營銷與個人信息

1.1 基于個人信息的移動互聯(lián)網廣告精準化營銷

互聯(lián)網廣告精準化營銷是指通過Cookies收集用戶日常的網絡個人信息數據，例如瀏覽網頁、網絡購物、使用相關app等，并基于對收集的個人信息的深度處理、分析，測算出用戶目前以及潛在的消費趨勢，從而實現對用戶群體和用戶需求的精確定位，然后再通過互聯(lián)網對特定計算機或設備投放廣告[1].企業(yè)通過精準化營銷實現廣告的定向投放，從而起到以最小的成本準確定位消費群體的目標，而用戶也可以通過允許自己的個人信息被收集從而獲得相應的服務，便利自己的生活.互聯(lián)網廣告的精準化營銷，對于有關互聯(lián)網新興企業(yè)而言，具有促進企業(yè)發(fā)展、提高企業(yè)服務水平的好處，對于整個國家互聯(lián)網新經濟的發(fā)展，具有較大促進意義.然而此種精準化營銷如果不加以相應規(guī)制也會帶來很多問題.因此如何做到互聯(lián)網創(chuàng)新經濟的發(fā)展和用戶個人信息保護之間的平衡，突破現有模式構建互聯(lián)網精準化營銷中個人信息保護的新路徑，將是本文試圖解決的問題.

1.2 互聯(lián)網廣告精準化營銷對個人信息帶來的挑戰(zhàn)

對用戶個人信息的非法收集和個人信息被收集之后遭受二次侵害是互聯(lián)網時代中個人信息面臨的重要挑戰(zhàn).隨著互聯(lián)網企業(yè)為了精準定位消費群體，促進針對性營銷而采取的一系列針對用戶個人信息的手段的實施，上述2點挑戰(zhàn)變得愈發(fā)嚴峻.

1.2.1對個人信息的違法違規(guī)收集

為了實施互聯(lián)網廣告的精準化營銷，不可避免地需要收集用戶的個人信息，通過對被收集個人信息的累積及分析，可以構造出較為完整的人格圖像，極易挖掘出個人不愿為他人知曉的敏感信息，為個人帶來困擾、不安，引發(fā)寒蟬效應，乃至造成財產損失，對人格的發(fā)展造成嚴重的后果[2].用戶極容易在不知情的情況下，被有關互聯(lián)網企業(yè)對用戶在互聯(lián)網上的活動進行全程的跟蹤和記錄，從而非法獲取用戶的個人信息.隨著有關規(guī)定的完善，越來越多的企業(yè)采取“告知-同意”的方式得到用戶同意，從而試圖合理獲取用戶個人信息，但是此種做法依然存在問題，下文會進行詳細闡述.因此，企業(yè)為了實施精準化營銷而實施的違法違規(guī)收集個人信息的問題依然不能很好解決.

1.2.2對個人信息的二次侵害

互聯(lián)網廣告精準化營銷給個人信息帶來的損害不僅僅集中在為了實施精準化營銷而對用戶個人信息進行收集的過程中.另一重要問題則是用戶個人信息被收集之后面臨非法買賣，走向不明，遭受二次侵害的風險.也就是說，即使解決了合法收集用戶個人信息的問題，用戶的個人信息依然可能面臨二次侵害，而用戶自身因為缺乏相應的知情權、監(jiān)督權以及刪除權，很難避免自身信息遭受二次侵害.2018年3月18日，美國《紐約時報》和英國《衛(wèi)報》等媒體同時發(fā)文稱，Cambridge Analytica公司利用了從Facebook不當收集的5 000萬用戶的個人數據，來為美國大選參選人提供數據采集、分析和戰(zhàn)略傳播，簡單來說，就是“操縱民意”，而現任美國總統(tǒng)特朗普就是Cambridge Analytica公司此前的客戶[3].Facebook事件正表明了對個人信息不正當的二次利用會帶來極大的危害.

1.3 互聯(lián)網時代的個人信息

個人信息通常被定義為與特定的自然人相關，可以單獨或者與其他信息結合，識別該特定自然人的所有信息[4].在互聯(lián)網時代，隨著大數據技術的普及，個人信息逐漸呈現出前所未有的價值.國家需要通過獲取分析利用個人信息實現大數據的覆蓋，從而達到治理國家、完善服務、促進經濟社會發(fā)展的目的.企業(yè)也通過大量收集個人信息，深入了解用戶需求，進行統(tǒng)一規(guī)劃配置，達成產品廣告的有效投放等一系列營銷目的.可以說互聯(lián)網時代的個人信息已經成為一種異常珍貴的“財富”.

1.3.1個人信息與個人隱私

互聯(lián)網廣告精準化投放過程中的個人信息保護，是否應當與對個人隱私的保護進行區(qū)分，筆者認為是有必要的.個人信息權和個人隱私權的區(qū)分，在法學界一直是個難以明確的問題.有學者認為，個人隱私權和個人信息權是2種獨立的權利.隱私權大體為一種精神性的人格權，即使其可以被利用，但是它的財產價值仍然并非非常明顯，隱私大致體現的還是人格利益；而個人信息權在性質上屬于一種集人格利益與財產利益于一體的綜合性權利[5]，筆者贊同此種觀點.2012年《關于加強網絡信息保護的決定》，是我國首部關于個人信息保護的立法，也是對個人隱私和個人信息加以區(qū)分并分別進行保護：一是個人的隱私，強調對于個人的秘密性；二是能夠識別個人身份的信息，強調與特定個人的相關性和可識別性[6].2017年《中華人民共和國網絡安全法》也進一步詳細規(guī)定了個人信息的定義，認為自然人的個人信息是通過結合或者單獨認證，可以識別特定人身份的各種信息，進一步突出了個人信息的特征.可以發(fā)現，在互聯(lián)網廣告定向投放的時代下，遭受侵害的更多并不是不能夠為外人道的具有秘密性的個人隱私，而是長期缺失重視和保護的、與特定主體相關聯(lián)的個人信息，例如姓名、手機號碼、家庭住址、血型等等.顯然前者通過隱私權已經能夠較好地對其進行保護.但是即使如以上區(qū)分，部分個人信息仍然具有個人隱私的特征，此時可以通過權利客體對兩者進行區(qū)分，也就是說前者更注重的是私密性的信息或者個人的活動，而后者強調對個人的“識別性”，此時的“識別性”需要有記錄信息的載體.比如個人的性生活如果沒有被記錄下來則不屬于個人信息而更多是個人隱私，但是如果通過一定方式記錄下來并且能夠識別出特定的主體，那么此時就應該屬于個人信息.當然，當某種行為侵害他人隱私權或個人信息權時，有可能同時侵害這2種權利，受害人可以選擇對自身最為有利的方式加以主張.但是從整體來說，個人信息遠遠超過了隱私的范圍.因此互聯(lián)網時代的新背景下，保護個人信息首先應當區(qū)分個人信息和個人隱私.

1.3.2個人信息的類型

筆者認為個人信息應進一步區(qū)分為敏感個人信息和一般個人信息.所謂敏感個人信息是指關涉?zhèn)€人核心領域、具有高度私密性、對其公開或利用將會對個人造成重大影響的個人信息[7].多個國家和地區(qū)已經通過例舉式的立法模式確定了什么是敏感個人信息.如1995年《歐盟數據保護指令》規(guī)定的敏感信息包括關涉?zhèn)€人種族起源、政治觀點、宗教或者哲學信仰、貿易伙伴以及健康和性生活的個人信息，2002年德國《聯(lián)邦個人資料保護法》規(guī)定種族、政治信仰、宗教或哲學、工會成員資格、健康或性生活5類敏感信息，我國臺灣地區(qū)2010年《個人資料保護法》明確列舉了5種敏感信息，包括醫(yī)療、基因、性生活、健康檢查及犯罪前科信息[8].我國《征信業(yè)管理條例》第14條第1款也有相關規(guī)定.很明顯，敏感個人信息因其特殊性，除非在立法規(guī)定的特殊情況下，不應該被任何行政機關、商業(yè)機構以任何理由所獲取，也就是說對于敏感個人信息的保護應當適用法律保留原則.除去不可讓渡的敏感個人信息，便是可讓渡的一般個人信息.

為了更有針對性地對互聯(lián)網時代個人信息進行保護，一般個人信息還應該進一步進行分類.有學者指出：“誰、何時以及在何種情況對其了解什么，這樣一種社會秩序設想在信息社會已然成為幻想”[9]，此種觀點是對源自德國的“個人信息自決權”的反思，所謂個人信息自決權，來自于德國著名的“人口普查案”.即對其所有的個人信息都依法享有按自己的意志能動使用的權利，它保護的是個人自己決定人格的發(fā)展和自我表現，以其自身可控制的自我表達方式或者通過與社會中他人進行交流的形式傳達出去[10].這種個人信息自決權似乎在21世紀互聯(lián)網時代來臨之時，已經成為一個幾乎不可能實現的權利.因為在信息高速流動和交換的新時期，要想讓個人的每一項信息都完全處于自身的掌控之下，似乎是一項不可能完成的任務.但筆者認為只要是個人信息，信息主體對其就應當有一定的掌控權，但掌控的強度則應該按照對個人信息不同層次的劃分而有所區(qū)別.這既有利于促進互聯(lián)網經濟和個人信息保護之間的平衡，也有利于保障用戶的使用體驗和便捷性.上文提到的敏感個人信息因其特殊性，不能被互聯(lián)網廣告主體所獲取.因此針對一般個人信息，根據其與個人關聯(lián)的緊密程度和一旦泄露的風險程度的再次分類就顯得極有必要.對直接的、風險性較強的個人信息賦予信息所有人個人信息自決權，也就是包含前期的積極同意方可收集和收集過程中持續(xù)對信息走向的監(jiān)督.所謂的直接的風險性較強的個人信息是指個人信息與信息主體識別程度比較高，一旦泄露很容易直接對信息主體造成侵害的個人信息，例如信息主體的姓名、家庭住址、手機號碼，甚至包括支付寶賬號等信息，除此之外的個人信息，因為其與信息主體不具有較強的關聯(lián)性，一旦泄露風險性便相對較小，受保護的程度則可以相對較低.

2 互聯(lián)網廣告精準化營銷中個人信息保護的域外經驗

對于互聯(lián)網廣告精準化營銷中的個人信息保護，一是規(guī)制精準化營銷領域中對用戶個人信息的收集行為，二是個人信息被收集之后的走向對信息主體來說缺乏透明度，以及針對被收集的個人信息的二次侵害問題.在這2個方面，美國和歐盟立法先進，應對措施完善，具有一定的借鑒意義.

2.1 立法模式

2.1.1美國的“分散立法”模式

在個人信息保護領域，美國采取的主要是“分散立法”和“行業(yè)立法”的模式，首先這種立法模式與美國的多元化立法格局具有很大的關系.立法部門創(chuàng)制成文法，行政部門通過規(guī)則和規(guī)定及其解釋創(chuàng)制行政法，法院通過其裁判來創(chuàng)制判例法或普通法.不同層級立法對個人信息進行保護.美國針對個人信息的分散式立法模式的另一大特點是公共領域和私人領域分別立法.美聯(lián)邦政府制定的《隱私權法》和《金融隱私權法》都只能限制聯(lián)邦政府對個人信息的處理.而另外制定的《公平信用報告法》和《公平準確信用交易法》卻可以規(guī)制政府以外的其他組織對個人信息的收集處理和使用.此外，針對個人信息保護，美國還制定了大量個人信息保護的行業(yè)自治規(guī)范，通過政府立法和行業(yè)規(guī)范共同促進對個人信息的保護.比如，美國聯(lián)邦貿易委員會(FTC)發(fā)布了針對精準化營銷廣告的行業(yè)自律原則，明確規(guī)定了定向廣告數據使用的透明原則、安全原則、有限信息保留、告知-同意等條例.尤其是對個人信息數據的二次使用問題，提出了在對數據進行二次使用時，應當再次向消費者告知并征求明示同意，同時向FTC進行報告.

2.1.2歐盟的“統(tǒng)一立法，區(qū)別處理”模式

與美國不同的是，歐洲大多數國家采取的都是國家主導的立法模式，歐盟通過在1995年頒布的《關于個人數據處理及自由流通個人保護指令》(以下簡稱《指令》)對個人信息權進行了詳盡羅列，包含幾乎所有類別的個人信息.并且通過《指令》，統(tǒng)一公法領域和私法領域對個人信息的保護，統(tǒng)一由《指令》進行調整，無需通過其他立法進行個人信息的保護.此外歐盟對個人信息保護奉行“統(tǒng)一調整，區(qū)別處理”的方式，所謂“統(tǒng)一調整”，就是立法在保護對象上盡可能地包含所有的個人信息，通過一部《指令》進行統(tǒng)一調整;2016年歐盟頒布《一般數據條例》(以下簡稱《條例》)，《條例》對《指令》進行了修正，但是本質還是通過統(tǒng)一的立法規(guī)定個人信息的保護.但“區(qū)別處理”又強調根據涉及信息與個人的關聯(lián)程度、風險程度、保護狀態(tài)不同，收集方式的不同，立法應為不同種類的信息提供不同強度等級的保護[11].比如歐盟立法規(guī)定，針對12歲以下的兒童，不能以定向廣告為目的收集他們的信息，這一點體現了歐盟區(qū)別調整的處理方式.

2.2 保護手段

美國在互聯(lián)網廣告精準化營銷中的個人信息保護中，更看重市場企業(yè)自身的自律行為，提出了透明原則、安全原則、有限信息保留以及經典的“告知-同意”模式，還針對信息的二次使用提出了使用者負有應當在二次使用時及時向FTC匯報并向用戶征求同意之義務.美國加州2002年頒布的《安全泄露通知法案》中更是規(guī)定了數據泄露通知制度，嚴格規(guī)定了數據泄露之后通知的對象、時間和內容.歐盟則通過新頒布的《條例》，在將普通“告知-同意”修正為積極的“告知-同意”之外，還明確提出賦予信息主體以刪除權，即進一步完善用戶對個人信息的“自決”之權利.并且提出收集的個人信息假名化處理，讓個人身份更難被識別.此外，歐盟也建立了信息泄露通知制度，規(guī)定信息一旦泄露，有關企業(yè)應當及時通知主管部門和信息主體，并且詳細規(guī)定具體的通知方式和其他細節(jié).《條例》還創(chuàng)新性提出建立有關數據保護官員制度，該官員履行監(jiān)督企業(yè)或組織數據處理合規(guī)性的職責，在發(fā)生數據處理違規(guī)操作時承擔法律責任[12].

① 《民法總則》第111條：自然人的個人信息受法律保護.任何組織和個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息.

2.3 借鑒和啟示

美國和歐盟對個人的信息保護都是扎根于本國的國情而采取的立法模式.從立法模式上，根據我國國情，采取統(tǒng)一的立法較為可取，因此可以參考歐盟的統(tǒng)一立法模式，明確我國個人信息權和有關權利內容并制定統(tǒng)一的保護規(guī)則，建立統(tǒng)一的標準.其次，為了更好地適應互聯(lián)網新經濟的發(fā)展，真正將對個人信息的保護落到實處，還應當學習歐盟的區(qū)別處理模式，對不同的情況進行分別的處理，具體的措施和建議，下文會詳細進行闡述.最后針對我國立法不夠完善的現狀，也可以考慮結合美國的行業(yè)協(xié)會自治規(guī)范等經驗，借助民間力量，將統(tǒng)一立法和行業(yè)制定協(xié)會自治規(guī)范相結合，促進對個人信息的保護.從保護手段上來看，歐盟和美國已經逐步突破現有的“告知-同意模式”，由僅僅對個人信息的收集進行規(guī)制轉向對個人信息被收集使用的全程進行監(jiān)控和管制，從而能夠更有效地從整體上應對互聯(lián)網廣告精準化營銷中個人信息的保護.

3 我國互聯(lián)網廣告精準化營銷中個人信息保護的現狀和問題

3.1 我國互聯(lián)網廣告精準化營銷中個人信息保護的法律法規(guī)

近年來隨著互聯(lián)網時代的來臨和大數據經濟的發(fā)展，我國對于個人信息的保護也日益重視.全國人大2012年通過《關于加強網絡信息保護的決定》.國務院2013年發(fā)布的經過修訂的《征信管理條例》也對征信行業(yè)的個人信息采集進行了詳細規(guī)定.2014年《消費者保護權益法》出臺，加強了對消費者的個人信息保護.2014年還專門出臺針對互聯(lián)網廣告精準化營銷的《中國互聯(lián)網定向廣告用戶信息保護行業(yè)框架標準》(以下簡稱(框架))對個人信息進行保護.《框架》出臺，一方面推動了各單位加強自身合規(guī)和商譽建設，另一方面實現互聯(lián)網用戶對自身信息的控制權[13].另外，《民法總則》第111條也加入了關于個人信息保護的相關規(guī)定①.對于《民法總則》第111條中個人信息相關規(guī)定，有學者認為，第111條中的個人信息雖然沒有明確定為個人信息權，但是從法律所保護的課題和比較法的基礎上來看，第111條可以視作明確規(guī)定了個人信息權[14].這些法律法規(guī)的出臺，對于我國互聯(lián)網時代下，用戶個人信息的保護具有非常大的意義，也切實改善了個人信息被侵害的嚴重局面.體現了政府對于互聯(lián)網時代個人信息保護的密切關注.比如《框架》中就嚴格規(guī)定了有關廣告主和相關企業(yè)在用戶被告知和同意后才可對用戶個人信息進行處理的義務，還包括收集信息時應當符合最小限度原則等一系列針對互聯(lián)網廣告精準化營銷過程中用戶個人信息保護的廣告主和相關企業(yè)應當承擔的義務和采取的措施，這也是我國第1份直接針對互聯(lián)網廣告精準化營銷所提出的框架協(xié)定.

3.2 現有個人信息保護模式的實踐

最新出臺的《中國互聯(lián)網定向廣告用戶信息保護行業(yè)框架標準》指出，服務提供方應向用戶提供關于：1)是否同意為互聯(lián)網廣告目的收集和使用用戶信息的選擇機制；2)是否同意與非關聯(lián)方共享該等信息的選擇機制.這就是當今世界各國在針對企業(yè)收集用戶個人信息時普遍采取的保護模式——“告知-同意”模式，此種模式的優(yōu)點在于可以提前告知用戶并且在征得用戶的同意之后方可對用戶的個人信息進行收集.此外《框架》中還提出用戶應具有對個人信息走向的知情權，確保用戶獲得此項知情權的實施主體是第三方企業(yè)和服務方，規(guī)制對象是第三方企業(yè)在買賣使用個人信息時的不當行為.另外還有收集信息的最小限度原則，所謂最小限度原則是指，有關企業(yè)在收集用戶個人信息時，應當以滿足自身提供服務目的的最小限度為標準.另外，除了以上模式，還存在“DNT(do not trake)”模式，但這種模式更像是一種君子協(xié)定.如果你啟用請勿跟蹤，在訪問某個網站時，瀏覽器向網站服務器發(fā)送的HTTP頭文件將包含請勿跟蹤的信息，但網站可以置之不理，繼續(xù)收集信息.

3.3 現有法律法規(guī)和保護模式實踐中的問題

和歐美相關個人信息保護的法律法規(guī)相比，我國立法對于個人信息保護存在的問題有如下幾點:

1) 沒有明確個人信息權的地位.雖然《民法總則》第111條可以視作規(guī)定了個人信息權，但是僅僅是從學理分析上進行如此解釋，缺乏進一步體系化、正規(guī)化地明確個人信息權的獨立地位.并且個人信息權因為缺乏獨立的地位至今與個人隱私沒有明確界分，這種立法現狀已經嚴重不適應實際的情況，因為在互聯(lián)網時代，缺乏保護的往往并不是較為隱秘的個人隱私，而更多的是能夠識別身份的個人信息.事實上前者已經通過隱私權的設立得到較為全面的保護.

2) 對個人信息的保護較為粗糙，沒有根據敏感程度進一步進行評估和分類，這往往會導致實際適用法律的效率低下，流于形式.個人信息中實際包括敏感的個人信息和一般的個人信息.如果對程度不同的個人信息不將其進行分類并區(qū)別進行調整，就很有可能出現如下情況：對一般的間接性的個人信息采取過于嚴苛的保護措施，導致有關企業(yè)信息保護的成本過高，帶來沉重負擔，阻礙數據流通和創(chuàng)新應用，從而造成個人信息被收集所帶來的福祉和個人信息保護之間的不協(xié)調.信息主體也會因為僅僅是一般個人信息的保護，需要時刻處于被告知和“同意”的情形，從而失去互聯(lián)網時代的“安寧”權利.而如果對于敏感的個人信息采用一般的保護措施，就會出現敏感個人信息被非法收集使用和處理的情形，從而造成信息主體嚴重的損失.

3) 對個人信息權應當包含哪些具體的權利內容并未進行具體規(guī)定，僅僅通過零散的法律法規(guī)包括行業(yè)規(guī)定，表明用戶應當享有對個人信息的決定權、更正權、知情權等.但是因為缺乏體系化，在具體保護過程中，難以做到統(tǒng)一標準、有效保護.尤其是面對互聯(lián)網廣告的精準化營銷的情形，除了對個人信息收集行為進行規(guī)制，為了達到精準投放的目的，大量第三方企業(yè)會參與用戶個人信息的買賣，在此情形下，如果不能明確用戶對個人信息走向的知情權、決定權，將使此種情況下的個人信息保護變得難以進行.

4) 從保護模式的實踐來看，傳統(tǒng)“告知-同意”模式如果不加以更新和在使用前對個人信息的風險程度進行評估，區(qū)分具體情況適用，會隨之產生一系列的弊端.首先，對于一般個人信息中的間接性的風險程度較低的個人信息，采取積極的“告知-同意”模式缺乏必要性.因為此種間接的風險程度較低的個人信息對特定個體的識別程度較低，對用戶造成侵害的風險較小，保護的緊急程度也相對較低.全部對其采用積極的“告知-同意”模式也會給用戶和企業(yè)帶來較大負擔.但是不可否認的是對于一般個人信息中的直接性的風險程度較高的個人信息，因為其與特定個體之間的關系更為緊密，識別程度更高，采用積極的“告知-同意”的保護模式是可取的.但是現有的“告知-同意”模式很顯然并不足以切實保護用戶的個人信息權.首先此處的“同意”難以自由作出.因為為了使用網絡服務提供商的服務，信息主體除了同意外并沒有其他的可選項，如果不以服務商所需要的個人信息進行交換，就無法享受他們提供的相應服務和產品[15].所以還需對現有的“告知-同意”的保護模式加以改革，使其能夠賦予用戶基本的磋商權和自由選擇權，使用戶對于自己的個人信息能夠擁有真正意義上的“主導權”，而非不真實的“同意”.而“DNT”模式則更是一個志愿遵守的系統(tǒng)，而絕大多數網站都不遵守DNT，使得這種模式實際上沒有任何作用[16].這種模式的核心理念，比較接近近些年有些學者提出所謂“信賴理念”，也就是希望賦予有關企業(yè)以所謂“忠實義務”和“勤勉義務”，以期建立起信息主體和企業(yè)主體之間的“信賴關系”[17].此種理念和模式因其缺乏強制性，在具有逐利性的市場經濟中顯得意義不大.

5) 在個人信息被收集之后不斷流轉的過程中，很多情形下用戶對其信息的被收集和流轉情況并不知情，難以對第三方主體的有關行為進行監(jiān)控和知情.也就是說僅僅采用“告知-同意”模式，只是用戶和信息收集方簽訂了協(xié)議，對于二者之外的第三方，往往缺少相關規(guī)制，即用戶缺乏對個人信息走向的監(jiān)督權和知情權.《中華人民共和國網絡安全法》規(guī)定了數據泄露通知制度，但是對于數據泄露通知義務的通知對象、通知時間、通知內容等具體的制度要件規(guī)定并不明確，不能很好地保護用戶對個人信息被收集之后的監(jiān)督權和知情權.雖然《中國互聯(lián)網定向廣告用戶信息保護行業(yè)框架標準》較為詳細地提出第三方和服務提供方應當促進實現用戶對個人信息的控制，但是很多地方表述較為模糊，并且因為《框架》其本質還是一種行業(yè)的自治協(xié)定，不具有任何的強制效力，容易變成“象征性”規(guī)定.《框架》規(guī)定用戶擁有的此項權利是通過第三方企業(yè)和信息直接收集方給予的，也就是說更多寄希望于企業(yè)能夠及時發(fā)現補救用戶個人信息的泄露問題，其進一步提出的所謂企業(yè)自查、員工舉報等舉措也基本都寄托于企業(yè)的行業(yè)自律.根據經濟規(guī)律，作為商主體的企業(yè)具有逐利性，在利益面前，大多數企業(yè)會在自身利益和用戶信息安全面前權衡比較守法守規(guī)能夠給自己帶來的利益，因此可能會造成所謂“選擇性”守約的局面.因此如果不加以嚴格立法規(guī)制和其他手段而僅僅寄托于企業(yè)自律，可以說用戶并不能期望通過《框架》而得到真正的“信息自決”之權利.

4 互聯(lián)網廣告精準化營銷中個人信息保護的路徑構建

4.1 個人信息權相關立法建議

針對我國個人信息權相關立法路徑，提出如下建議：

1) 立法嚴格對個人信息權進行界定和分類.

明確個人信息權與隱私權的區(qū)別，突出個人信息權的可識別身份的特性，將其明確規(guī)定為一項獨立的民事權利.并且詳細規(guī)定個人信息權的概念、客體以及相關權利內容，做到互聯(lián)網時代個人信息保護的有法可依.并且在此基礎上，對個人信息權中的個人信息進行進一步劃分，按照敏感程度的不同將其劃分為敏感性個人信息和一般個人信息.此種劃分有利于保護的精細化和準確化.劃分標準應當是參照國際通行做法，結合我國國情，將宗教信仰、犯罪數據、健康數據等個人信息劃入敏感個人信息當中，并且這種敏感個人信息的界定不應是靜止的，應根據社會實際情況的變動而時刻予以立法上的更新.一般來說,從現行很多國家的立法來看,對個人敏感信息一般是禁止征集與處理的[18].因此我們在立法上區(qū)分開敏感性個人信息和一般個人信息之后，相關機構對敏感性個人信息的收集和使用應當適用法律保留原則，除非法律特殊規(guī)定，一律不得收集處理和使用.一般個人信息則因為其自身的敏感性較低，則可以依照法律規(guī)定合法地收集處理和使用.

2) 設立“風險評估”機制，對一般個人信息進行保護層級劃分，在此基礎上有選擇地適用“告知-同意”模式.

除去上文提到的敏感性個人信息，對于精準化營銷過程中被收集處理和使用的一般個人信息的保護不應是一攬子不加甄別和區(qū)分的保護.一般個人信息中還應當根據風險程度進行區(qū)分，有的一般個人信息與信息主體關聯(lián)性較強，較為直接，一旦泄露風險程度較高，有的個人信息的識別性不高，則風險程度較低.互聯(lián)網新經濟形勢下，互聯(lián)網廣告的精準化營銷對于促進經濟的創(chuàng)新和發(fā)展具有極大的意義，因此如果對其采取過于嚴苛的規(guī)制手段，會導致企業(yè)門檻過高，正當收集處理和使用信息的成本過高，從而不宜于新經濟的創(chuàng)新和發(fā)展.因此立法中應當規(guī)定企業(yè)收集信息時引入“風險評估”機制，對不同風險程度的個人信息采取不同的保護手段.在建立風險評估機制的基礎上，針對風險程度較高、直接關聯(lián)性較強的個人信息，企業(yè)收集使用和處理時嚴格適用“告知-同意”模式，即嚴格告知用戶相關個人信息可能被收集處理和使用的情形，只有用戶同意才可進行收集處理使用行為.但針對風險評估后與信息主體關聯(lián)程度較低、風險程度較小的個人信息無需采用“告知-同意”模式，只要用戶沒有表示拒絕即可不經同意加以使用.這一點在日本最新的有關立法規(guī)定中已經得以呈現.日本《個人信息保護法》修正案中規(guī)定，刪除名字等使特定個人無法被鎖定的信息即使沒有本人的同意也可提供給第三方[19].

3) 修正“告知-同意”模式，增加“個性化”協(xié)議規(guī)定.

增加“個性化”協(xié)議規(guī)定.現有的“告知-同意”模式是建立在互聯(lián)網精準化營銷的企業(yè)和個人信息主體之間的用戶協(xié)議基礎之上.面對此種用戶協(xié)議往往用戶自身并沒有磋商和選擇的余地，如果信息主體想要得到企業(yè)的服務，必須選擇接受此種協(xié)議，從某種程度上來說，此時的“同意”是信息主體一種不得已而為之的“同意”，因此如何改進這種保護模式，筆者認為應當通過協(xié)議的“個性化”賦予用戶一定的磋商權.所謂“個性化”協(xié)議，可以采取設立“關鍵詞”的協(xié)議模式，具體來說是立法規(guī)定企業(yè)應當承擔允許用戶自主決定哪些個人信息不能被收集的義務，在協(xié)議中設立“關鍵詞”空欄，用戶在空欄中可以填入一定的“關鍵詞”，在后續(xù)有關企業(yè)對用戶使用服務時產生的個人信息進行收集處理和使用時，應通過技術手段，主動避免對包含此種關鍵詞的個人信息進行有關操作.通過此種模式，既可讓用戶在保證自身磋商權利的同時又能享受到企業(yè)提供的服務，企業(yè)也可以達到合法合規(guī)收集用戶個人信息的目的.

4) 建立“用者有其責”機制并賦予用戶對信息走向的監(jiān)督權和刪除權.

互聯(lián)網廣告精準化營銷，實施精準化營銷的企業(yè)往往不是直接收集個人信息的企業(yè)，而是通過個人信息的買賣和后續(xù)處理，對有關用戶進行廣告的精準化投放.關于第三方企業(yè)，上文提到，因為缺乏對第三方企業(yè)的規(guī)制，用戶往往對于個人信息被收集后的走向缺乏后續(xù)的監(jiān)督權和知情權.因此首先應該立法建立“用者有其責”機制，針對用戶個人信息被收集后所有的行為進行監(jiān)測和風險評估，一旦發(fā)現個人信息遭到非法泄露或者其他侵害，導致用戶特定個體被非法識別，造成相關利益的損失.此時不管是直接有關企業(yè)還是第三方企業(yè)，都應該承擔被追究相應的責任.當然“用者有其責”機制在適用過程中也應當對“用者”限定一定的范圍.因為個人信息范圍過于寬泛，如果過于保護，反而會制約互聯(lián)網社會經濟的繁榮發(fā)展.如何限定“用者”主體是否從中得益以及保護措施的成本是幾個可衡量的因素[20].其次在針對第三方企業(yè)的監(jiān)管上，直接有關企業(yè)一般應該承擔事前通報用戶，事中主動對第三方企業(yè)對用戶個人信息作出的侵害行為進行監(jiān)管并且及時地預警的義務.但僅僅依靠有關企業(yè)的監(jiān)管是不夠的，因為企業(yè)自身的性質決定了其具有逐利性，無法完全從用戶個人信息的保護角度出發(fā)對第三方企業(yè)進行徹底的監(jiān)管.因此賦予用戶對個人信息被收集后進一步的監(jiān)督權和刪除權就顯得極為重要.使用戶有機會詳細掌握其信息的利用狀況與流程，參與了解掌握自身個人信息被收集后的全部走向，進一步賦予用戶以刪除權，也就是一旦發(fā)現自己的信息遭到非法泄露或者不利處理，自身權利陷入一種被侵害或者存在被侵害的可能性時，用戶應當有權要求有關企業(yè)對相關個人信息進行刪除，也就是及時收回被收集的個人信息.這一點是建立在賦予用戶對信息走向的全程監(jiān)督權基礎之上的.也就是說通過結合“告知-同意”模式再加上賦予用戶監(jiān)督和刪除權，可以真正讓用戶在互聯(lián)網廣告精準化營銷過程中實現“信息自決”之權利.需要強調的是，此種“信息自決權”并不僅僅針對第三方企業(yè)，面對直接有關企業(yè)的相應行為用戶依然可以發(fā)揮“信息自決”的權利.

4.2 企業(yè)主體在個人信息保護路徑構建中發(fā)揮作用

1) 相關企業(yè)主體應當充分發(fā)揮行業(yè)自治精神，建立有關互聯(lián)網廣告精準化營銷企業(yè)的用戶個人信息保護聯(lián)盟.

類似行業(yè)聯(lián)盟在美國已經付諸實現.美國很多從事網上業(yè)務的行業(yè)聯(lián)盟都有自己的隱私指引準則.其中以“在線隱私聯(lián)盟”最為著名，它由超過80家的國際公司和協(xié)會組成，致力于為商業(yè)行為創(chuàng)造互信的良好環(huán)境和推動對個人網絡隱私權的保護[13].可在行業(yè)聯(lián)盟成立之后，制定統(tǒng)一規(guī)章守則，統(tǒng)一聯(lián)盟標志，為每一個參與此行業(yè)聯(lián)盟的企業(yè)網站上附上標志，能夠讓用戶更加放心與加入個人信息保護行業(yè)聯(lián)盟的企業(yè)簽訂信息收集相關協(xié)議.通過定期舉辦相關行業(yè)會議，提高企業(yè)主體在精準化營銷過程中對個人信息保護的理論和技術水平，也能進一步促進互聯(lián)網企業(yè)創(chuàng)新發(fā)展.當然，此種行業(yè)聯(lián)盟應該實施定期更新機制，隨時剔除并公布不遵守聯(lián)盟準則的企業(yè)，從而能夠讓行業(yè)聯(lián)盟保持生命力，維續(xù)良好的運作.

2) 引入第三方監(jiān)管.

筆者設想，隨著互聯(lián)網經濟高速發(fā)展，大數據時代已經來臨，每個人的個人信息都陷入可能被非法泄露、利用，以致遭受不法侵害的泥潭.因此，不只是針對互聯(lián)網廣告精準化營銷中個人信息的保護，而是面對整個大數據時代個人信息的保護，應該成立行之有效的監(jiān)管機構.效仿消費者權益保護協(xié)會，屬于法定的非政府組織，依據國家法律，對大數據時代的個人信息進行社會監(jiān)督，保護信息主體的合法權益，同時引導信息主體的合理維權，也能促進互聯(lián)網經濟的合法合理創(chuàng)新發(fā)展.參與個人信息保護的立法咨詢，向信息主體提供監(jiān)督和咨詢服務，參加有關行政部門、企業(yè)主體對信息主體個人信息被收集使用處理的監(jiān)督和調查.充分發(fā)揮第三方監(jiān)管的力量，促進互聯(lián)網大數據時代下個人信息的保護.