摘 要 大數(shù)據(jù)時(shí)代，互聯(lián)網(wǎng)企業(yè)通過各種方式收集用戶的個(gè)人信息，挖掘用戶個(gè)人資料的經(jīng)濟(jì)利益。在這個(gè)過程中，個(gè)人信息侵權(quán)行為時(shí)有發(fā)生。本文將分析網(wǎng)絡(luò)服務(wù)提供商侵犯?jìng)€(gè)人信息的行為，探討侵權(quán)問題頻發(fā)的原因，并提出網(wǎng)絡(luò)服務(wù)提供商在個(gè)人信息保護(hù)問題上的具體責(zé)任、義務(wù)。

關(guān)鍵詞 網(wǎng)絡(luò)服務(wù) 提供商 個(gè)人信息 保護(hù) 侵權(quán)行為

作者簡(jiǎn)介：嚴(yán)景，北京郵電大學(xué)人文學(xué)院，碩士研究生，研究方向：國(guó)際法。

中圖分類號(hào)：D920.5 文獻(xiàn)標(biāo)識(shí)碼：A DOI：10.19387/j.cnki.1009-0592.2018.06.248

在“互聯(lián)網(wǎng)+”時(shí)代，個(gè)人信息不再被單純地劃分到人格權(quán)利之下，而逐漸彰顯出其財(cái)產(chǎn)價(jià)值?；诮?jīng)濟(jì)利益到驅(qū)動(dòng)，互聯(lián)網(wǎng)運(yùn)營(yíng)商積極地搜集個(gè)人信息數(shù)據(jù)以研發(fā)產(chǎn)品、制定發(fā)展戰(zhàn)略。但出現(xiàn)的問題是，一些互聯(lián)網(wǎng)企業(yè)并未通過正當(dāng)、合法的方式收集、利用信息，個(gè)人信息侵權(quán)行為時(shí)有發(fā)生，且表現(xiàn)形式多樣。譬如今年年初發(fā)生的案例：3月16日，F(xiàn)acebook宣布暫時(shí)封殺其平臺(tái)上兩家第三方機(jī)構(gòu)：SCL（Strategic Communication Laboratories）和劍橋分析公司（Cambridge Analytica），聲稱這兩家機(jī)構(gòu)違反了公司在數(shù)據(jù)收集和保存上的政策。此舉引起輿論嘩然，媒體紛紛跟進(jìn)報(bào)道。隨后，劍橋分析被爆出在未經(jīng)用戶同意的情況下，收集了Facebook上5000萬用戶的個(gè)人資料，并且在2016總統(tǒng)大選期間針對(duì)這些用戶進(jìn)行定向宣傳。隨后，美國(guó)國(guó)會(huì)和歐盟均對(duì)Facebook開展聽證會(huì)。5月2日，F(xiàn)acebook在硅谷圣何塞召開Facebook F8年度開發(fā)者大會(huì)，提出其產(chǎn)品將推出“清晰歷史（Clear History）”新隱私控制保護(hù)功能，允許用戶刪除Facebook應(yīng)用程序中收集的數(shù)據(jù)，以此作為對(duì)隱私泄露事件的側(cè)面回應(yīng)。

Facebook數(shù)據(jù)泄露事件反映了網(wǎng)絡(luò)時(shí)代個(gè)人信息保護(hù)的嚴(yán)峻形勢(shì)。我國(guó)《個(gè)人信息保護(hù)法》至今尚未出臺(tái)，如何保護(hù)網(wǎng)絡(luò)應(yīng)用用戶的個(gè)人信息，互聯(lián)網(wǎng)企業(yè)究竟應(yīng)擔(dān)承擔(dān)怎樣的責(zé)任，成為學(xué)界不得不思考的問題。

一、個(gè)人信息概述

在互聯(lián)網(wǎng)中的“個(gè)人信息”指的是與特定自然人相關(guān)，可直接或與其他信息結(jié)合，識(shí)別特定自然人的計(jì)算機(jī)信息數(shù)據(jù)?；ヂ?lián)網(wǎng)中的個(gè)人信息可劃分為如下類別：（1）個(gè)人的自然情況。如個(gè)人的姓名、性別、肖像、身高、體重、出生日期、醫(yī)療信息、身份證號(hào)碼、照片錄音等可識(shí)別特定個(gè)人等圖像或聲音等。（2）與個(gè)人相關(guān)的社會(huì)背景資料。包括個(gè)人的家庭狀況、社會(huì)關(guān)系、受教育程度、工作經(jīng)歷、宗教信仰、政治觀點(diǎn)、人事檔案等方面。這類信息通常需要在用戶注冊(cè)賬號(hào)后，長(zhǎng)期進(jìn)行收集。（3）個(gè)人網(wǎng)絡(luò)活動(dòng)的數(shù)據(jù)資料。包括用戶的瀏覽記錄、搜索記錄等網(wǎng)上活動(dòng)內(nèi)容。用戶的網(wǎng)絡(luò)行為以數(shù)據(jù)形式儲(chǔ)存在網(wǎng)絡(luò)服務(wù)提供商的數(shù)據(jù)庫中?；ヂ?lián)網(wǎng)企業(yè)往往通過個(gè)人的活動(dòng)行為軌跡分析其消費(fèi)習(xí)慣、消費(fèi)心理，再通過大數(shù)據(jù)分析精準(zhǔn)地進(jìn)行產(chǎn)品或服務(wù)廣告投放等商務(wù)活動(dòng)。

個(gè)人信息具有以下特征：（1）個(gè)人信息同時(shí)具有人格利益和財(cái)產(chǎn)利益。個(gè)人信息具有可識(shí)別性，可以使他人了解信息主體的個(gè)人喜好、生活習(xí)慣等方面，其人格利益的人身依附性質(zhì)使其不能被轉(zhuǎn)讓和繼承。另一方面，用戶的個(gè)人信息也能夠?yàn)槠髽I(yè)提供創(chuàng)造獲得利潤(rùn)的機(jī)會(huì)，一些個(gè)人信息甚至有向商品轉(zhuǎn)化的趨勢(shì)，故其商業(yè)價(jià)值也逐步彰顯，再加上個(gè)人信息可使用、讓渡，因而逐漸具備財(cái)產(chǎn)利益。（2）個(gè)人信息主體（subject of personal information）是自然人。個(gè)人信息的主體之所以是自然人而不是法人，也是因?yàn)樾畔⒌娜烁駥傩??；诖?，只有自然人才能主張個(gè)人信息相關(guān)的權(quán)利，如個(gè)人“信息刪除權(quán)”、“信息更正請(qǐng)求權(quán)”等，法人并無這些權(quán)利。（3）個(gè)人信息具有身份識(shí)別性。既包括直接識(shí)別，如通過肖像、身份證號(hào)碼識(shí)別，又包括間接識(shí)別。

二、網(wǎng)絡(luò)服務(wù)提供商的個(gè)人信息侵權(quán)行為

（一）個(gè)人信息收集方式和手段

1.用戶信息收集的方式

網(wǎng)絡(luò)服務(wù)提供商收集用戶信息的方式多樣。消費(fèi)者在注冊(cè)登錄、填寫訂單、支付貨款時(shí)，其填寫的個(gè)人信息可能被收集。此類收集方式被稱作主動(dòng)收集，即互聯(lián)網(wǎng)企業(yè)獲得的個(gè)人信息是消費(fèi)者主動(dòng)提供的。其次，網(wǎng)絡(luò)服務(wù)提供商還可以自動(dòng)獲取信息，例如用cookies追蹤用戶的網(wǎng)絡(luò)行為，用木馬程序在用戶的設(shè)備端設(shè)置后門等，通過這些技術(shù)手段自動(dòng)獲取用戶的身份等個(gè)人信息。除了上述信息獲取方式，網(wǎng)絡(luò)服務(wù)提供商還可以通過第三方平臺(tái)獲取用戶的個(gè)人信息。例如在Facebook事件中，SCL和劍橋分析公司都是Facebook的合作機(jī)構(gòu)，SCL和劍橋分析公司所得到的用戶信息都是Facebook轉(zhuǎn)讓的。

2.個(gè)人信息的收集價(jià)值

互聯(lián)網(wǎng)企業(yè)收集個(gè)人信息，主要基于個(gè)人信息有這重大的經(jīng)濟(jì)價(jià)值。個(gè)人信息是互聯(lián)網(wǎng)企業(yè)得以存在發(fā)展的根基。互聯(lián)網(wǎng)企業(yè)新產(chǎn)品的研發(fā)、市場(chǎng)的擴(kuò)張、服務(wù)的推廣都離不開對(duì)用戶個(gè)人信息的整理、分析。同時(shí)，網(wǎng)絡(luò)服務(wù)提供商可以加工、利用用戶個(gè)人信息，使之商品化，將其進(jìn)行交換、轉(zhuǎn)讓出售。

（二）網(wǎng)絡(luò)服務(wù)提供商的個(gè)人信息侵權(quán)行為

用戶的個(gè)人信息，因其背后潛在的巨大商業(yè)利益，對(duì)網(wǎng)絡(luò)服務(wù)提供商產(chǎn)生了極大的吸引力，企業(yè)競(jìng)相挖掘用戶信息的價(jià)值。然而，在這個(gè)過程中，一些企業(yè)對(duì)個(gè)人信息的收集、使用方式并不恰當(dāng)，侵犯了用戶的人身、財(cái)產(chǎn)權(quán)益。其個(gè)人信息侵權(quán)行為有以下表現(xiàn)。

首先是以不合法的手段收集個(gè)人信息，包括但不限于以下行為：未經(jīng)授權(quán)直接或間接打開、拷貝、存儲(chǔ)他人傳遞的電子信息，如截獲用戶聊天記錄、郵件中的個(gè)人信息；利用技術(shù)工具追蹤、獲取用戶的個(gè)人信息，如網(wǎng)絡(luò)服務(wù)提供商在軟件中設(shè)置漏洞，監(jiān)聽竊取用戶信息。

其次是不合理地過度收集個(gè)人信息。如一些購物網(wǎng)站，除了要求用戶填寫姓名、家庭住址、聯(lián)系方式這些信息外，還要求用戶填寫學(xué)歷、婚姻狀況、職業(yè)、收入等與其經(jīng)營(yíng)活動(dòng)無關(guān)的信息。

再者是信息使用過程中，未經(jīng)過信息主體授權(quán)，濫用用戶個(gè)人信息。如一些互聯(lián)網(wǎng)企業(yè)，在用戶并不知情的情況下，擅自將本企業(yè)合法保存的用戶資料出售給第三方企業(yè)，進(jìn)行個(gè)人信息的交易。而第三方企業(yè)如何使用這些個(gè)人信息，便脫離了信息主體的控制。再如一些企業(yè)在經(jīng)營(yíng)活動(dòng)中獲得了用戶的手機(jī)號(hào)碼、電子郵箱，之后便在用戶未授權(quán)的情況下給用戶發(fā)送營(yíng)銷廣告，給用戶造成困擾。

此外還有一種侵權(quán)行為，是網(wǎng)絡(luò)服務(wù)提供商未經(jīng)用戶的同意，擅自篡改、發(fā)布用戶的個(gè)人信息。如一些網(wǎng)貸企業(yè)，為了催促借款人及時(shí)償還借款，便將其個(gè)人信息全部公布在網(wǎng)站上，并宣稱只有在借款償清后才會(huì)刪除這些信息。

三、侵權(quán)行為產(chǎn)生的原因

（一）網(wǎng)絡(luò)服務(wù)提供商與用戶的信息、地位不對(duì)稱

在電子商務(wù)中，電商經(jīng)營(yíng)者和傳統(tǒng)商務(wù)活動(dòng)經(jīng)營(yíng)者一樣，處于強(qiáng)勢(shì)、主導(dǎo)的地位。在收集個(gè)人信息時(shí)，常常對(duì)用戶施加一些不合理的要求，而用戶為了使用其服務(wù)，不得不被動(dòng)接受。如Facebook在用戶注冊(cè)時(shí)提供的格式條款中主張，F(xiàn)acebook有權(quán)與其裙帶機(jī)構(gòu)交換自己所掌握的用戶資料，以進(jìn)行數(shù)據(jù)共享，提供更優(yōu)質(zhì)的服務(wù)。此類霸王條款并不在少數(shù)，而由于大多數(shù)電商都采取了該做法，導(dǎo)致消費(fèi)者別無的余地。另一方面，網(wǎng)絡(luò)服務(wù)提供商常常憑借其技術(shù)優(yōu)勢(shì)，隱蔽地采集用戶的數(shù)據(jù)。消費(fèi)者有可能對(duì)自己信息泄漏一事一無所知。而在個(gè)人信息使用環(huán)節(jié)出現(xiàn)的問題是，網(wǎng)絡(luò)服務(wù)提供商往往并不告知用戶其信息的使用范圍、方法，而個(gè)人用戶由于缺乏相關(guān)的專業(yè)知識(shí)，即使權(quán)益受侵害，也無力維權(quán)。

（二）立法層面的不足

近年來，我國(guó)立法在個(gè)人信息保護(hù)問題上已取得一系列突破，立法層級(jí)更高，法律效力更強(qiáng)。《民法總則》第111條作出規(guī)定了自然人的個(gè)人信息受法律保護(hù)?！缎谭ā返?53條規(guī)定了侵犯公民個(gè)人信息罪。而在《網(wǎng)絡(luò)安全法》中，更是明確了網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)建設(shè)信息保護(hù)制度，并且承擔(dān)信息收集、使用的公示義務(wù)，同時(shí)明確了網(wǎng)絡(luò)運(yùn)營(yíng)者保護(hù)信息安全、及時(shí)報(bào)告的責(zé)任。

遺憾的是，在法律責(zé)任方面，現(xiàn)目前的立法主要集中在行政和刑事責(zé)任上，對(duì)于網(wǎng)絡(luò)服務(wù)提供商的侵權(quán)民事責(zé)任規(guī)定過于粗疏，公民維護(hù)個(gè)人信息權(quán)的配套制度并不健全。

四、網(wǎng)絡(luò)服務(wù)提供商用戶信息保護(hù)義務(wù)

針對(duì)上述網(wǎng)絡(luò)服務(wù)提供商的侵權(quán)行為，結(jié)合我國(guó)電子商務(wù)發(fā)展現(xiàn)狀與個(gè)人信息保護(hù)相關(guān)的法律法規(guī)，網(wǎng)絡(luò)服務(wù)提供商在用戶信息保護(hù)問題上應(yīng)當(dāng)做到：

（一）履行公示義務(wù)

網(wǎng)絡(luò)服務(wù)提供商在收集、使用用戶的個(gè)人信息時(shí)，應(yīng)當(dāng)積極履行公示義務(wù)，至少公開其信息收集的目的、方式，信息使用的范圍、方式、時(shí)限，信息共享情況等內(nèi)容。網(wǎng)絡(luò)服務(wù)提供商應(yīng)當(dāng)在其網(wǎng)站上標(biāo)明其個(gè)人信息保護(hù)或隱私保護(hù)政策。同時(shí)，其標(biāo)示應(yīng)當(dāng)是顯著的，足以引起用戶的注意。政策中相關(guān)權(quán)利、義務(wù)、爭(zhēng)議解決條款的措辭應(yīng)當(dāng)避免太多網(wǎng)絡(luò)技術(shù)層面的專業(yè)術(shù)語，做到利于一般消費(fèi)者理解。

（二）保障信息主體的信息控制權(quán)

信息主體由權(quán)決定個(gè)人信息如何使用，網(wǎng)絡(luò)服務(wù)提供商應(yīng)當(dāng)采取一系列措施保障用戶的信息控制權(quán)?，F(xiàn)實(shí)中，消費(fèi)者在與企業(yè)簽訂合同時(shí)，沒有機(jī)會(huì)就信息的收集條款、使用條款、信息轉(zhuǎn)讓條款與企業(yè)一一磋商。企業(yè)提供的格式合同基本只有兩個(gè)勾選框：要么全部同意合同所有條款，要么不同意所有條款。用戶為了使用產(chǎn)品，不得不同意合同的全部?jī)?nèi)容。這實(shí)際上是侵犯消費(fèi)者權(quán)益的霸王條款。網(wǎng)絡(luò)服務(wù)提供商在制定合同時(shí)，應(yīng)當(dāng)為每一項(xiàng)涉及個(gè)人信息的重要條款都設(shè)立同意或反對(duì)的選項(xiàng)。此外，網(wǎng)絡(luò)服務(wù)提供商應(yīng)當(dāng)為用戶修改、刪除個(gè)人信息提供途徑。當(dāng)用戶要求對(duì)其個(gè)人信息進(jìn)行更正或補(bǔ)充時(shí)，服務(wù)商應(yīng)當(dāng)及時(shí)給予回應(yīng)。當(dāng)用戶要求刪除個(gè)人信息時(shí)，服務(wù)商應(yīng)當(dāng)將其個(gè)人信息從數(shù)據(jù)庫中徹底刪除。

（三）對(duì)信息共享進(jìn)行規(guī)制

網(wǎng)絡(luò)服務(wù)提供商為優(yōu)化產(chǎn)品質(zhì)量，提供配套服務(wù)，將收集的用戶信息與第三方機(jī)構(gòu)進(jìn)行數(shù)據(jù)共享，這本是無可厚非的。但提供商在進(jìn)行信息共享時(shí)，應(yīng)當(dāng)有嚴(yán)格的限制：共享信息應(yīng)當(dāng)對(duì)用戶明示，并經(jīng)過用戶的同意，若在用戶不知情的情況下泄漏、轉(zhuǎn)讓用戶的個(gè)人信息，造成了信息濫用，網(wǎng)絡(luò)服務(wù)提供商應(yīng)當(dāng)擔(dān)責(zé)。若信息濫用是第三方機(jī)構(gòu)導(dǎo)致的，則網(wǎng)絡(luò)服務(wù)提供商應(yīng)當(dāng)承擔(dān)連帶責(zé)任。第三方機(jī)構(gòu)對(duì)用戶信息的使用范圍、時(shí)限，原則上不得超過原網(wǎng)絡(luò)服務(wù)提供商的信息使用范圍、時(shí)限，當(dāng)然，征得用戶同意的除外。

（四）采取技術(shù)措施保障用戶信息安全

一方面，網(wǎng)絡(luò)服務(wù)提供商自己不能通過木馬程序等工具盜取用戶的個(gè)人信息。另一方面，服務(wù)提供山應(yīng)當(dāng)采取技術(shù)手段提高產(chǎn)品的安全性，防止被無授權(quán)的第三方訪問、攻擊，獲取用戶的個(gè)人信息。例如，提供在線支付服務(wù)的互聯(lián)網(wǎng)企業(yè)應(yīng)當(dāng)加強(qiáng)其產(chǎn)品的安全性能，避免用戶的賬號(hào)、密碼被盜取。

（五）建立企業(yè)內(nèi)部責(zé)任制度

網(wǎng)絡(luò)服務(wù)提供商企業(yè)內(nèi)部應(yīng)當(dāng)建立健全企業(yè)內(nèi)部的責(zé)任制度。企業(yè)需要組建負(fù)有網(wǎng)絡(luò)安全監(jiān)督管理職責(zé)的部門，并明確信息保護(hù)的具體責(zé)任人。同時(shí)，要加強(qiáng)員工培訓(xùn)，積極提升員工的用戶信息保護(hù)意識(shí)。此外，企業(yè)內(nèi)部應(yīng)當(dāng)建立用戶信息保護(hù)相關(guān)內(nèi)部規(guī)章，規(guī)范員工的操作行為，落實(shí)違規(guī)責(zé)任。

五、結(jié)語

大數(shù)據(jù)時(shí)代，若想保護(hù)公民個(gè)人信息，則需要明確網(wǎng)絡(luò)服務(wù)提供商責(zé)任與義務(wù)。網(wǎng)絡(luò)服務(wù)提供商在追求經(jīng)濟(jì)利益的同時(shí)，不能濫用用戶個(gè)人信息，而應(yīng)當(dāng)從規(guī)范自身行為切入，保護(hù)用戶信息，承擔(dān)企業(yè)社會(huì)責(zé)任。

參考文獻(xiàn)：

[1]張平.大數(shù)據(jù)時(shí)代個(gè)人信息保護(hù)的立法選擇.北京大學(xué)學(xué)報(bào)（哲學(xué)社會(huì)科學(xué)版）.2017，54（3）.

[2]陳琛.“互聯(lián)網(wǎng)+”與“被遺忘權(quán)”：大數(shù)據(jù)時(shí)代的個(gè)人信息保護(hù)爭(zhēng)議.新媒體與社會(huì).2017（1）.

[3]李剛.探究大數(shù)據(jù)時(shí)代的網(wǎng)絡(luò)搜索與個(gè)人信息保護(hù)的分析.電腦知識(shí)與技術(shù).2015（11）.

[4]劉小霞、陳秋月.大數(shù)據(jù)時(shí)代的網(wǎng)絡(luò)搜索與個(gè)人信息保護(hù).現(xiàn)代傳播.2014，36（5）.

[5]齊愛民.個(gè)人信息保護(hù)法研究.河北法學(xué).2008（4）.