线上商业场景中个人信息的行政法保护

边 缘

吉林司法警官职业学院，吉林 长春 130000

当下我们的生活几乎完全被电子通讯设备所支配：线上购物、线上交友、线上学习、线上运动以及线上游戏娱乐等等。在享受其便利的同时，个人的网络信息安全、个人的隐私等问题也时常困扰着我们，比如跨国购物要求上传身份证照片、常常接到能说出准确姓名的推销电话、购物节时收不尽的垃圾短信等等。数据显示，经常担心自己信息在网上泄露的网民比例占将近四成；注册账号时，用户最不愿填写的信息中，银行卡号、身份证号、个人详细地址占据前三。我们对个人信息以及个人隐私的态度、处理方式，以及被企业所设计的使用方式的误导从而造成的个人数据流入企业，是否应当规制？个人信息在当代社会的应用场景业已发生变化，个人信息是否还要进行绝对的保护？行政法层面如何应对这些变化？这是本文所要探讨的问题。

一、个人信息是否应予绝对保护

自2012年进入大数据时代以来，个人信息的法律保护制度在全球范围正在经历着一次次重大的变革。2018年5月25日《欧盟数据保护通用条例》(以下简称GDPR)实施，作为隐私与数据保护领域20年来最引入瞩目的立法变革，GDPR提出了大数据时代个人数据保护的新秩序愿景。该条例第一条明确指出：保护个人权利并促进个人数据的流动。这种二元立法目的说明，对于制定法律法规来说，关注的重点已经从单纯地针对个人信息的保护转化成为既加强保护又要合理利用上。这是因为，随着社交时代的到来，数据量的激增等诸多因素，数据资产在社会生活中，特别是商业场景下，地位和作用越发突出。在保护个人权利的同时，还应当充分运用个人数据，以达到个人、企业以及公共利益的共赢。以个人信息为基础的信息集合或信息整体(大数据)，以及由此衍生出的数据资产，已真正成为个人信息法律规制的核心。

因此，在行政法层面上，个人信息以及个人隐私在商业场景下应当予以保护。但是，应在加强个人信息保护的同时，重视数据的使用以做到物尽其用，实现效能最大化，促进企业的发展和社会经济的进步，以及把握个人利益、企业正当利益和公共利益之间的平衡。

二、在商业场景下个人信息的行政法保护的几点思考

(一)用户的认可是否是企业使用个人数据的唯一依据

个人在进行线上商业活动时会被要求输入个人信息，包括但不限于真实姓名、银行卡号、公民身份号码、出生年月日、家庭住址等。同时网络运营商为用户会提供相关协议，承诺会适当使用个人信息。然而数据显示，仅有不超过半数的用户会选择认真阅读相关协议，一是为使用互联网产品而直接选择接受用户协议，二是协议内容过于复杂，专业性极强，导致用户无法正确理解从而被迫接受用户协议。仅仅基于用户选择接受协议是不足以约束企业正确使用数据信息的。因此，行政法上需制定相关规定，一方面对于协议文本加强管理和监督，帮助用户规避商业风险；另一方面直接加强对企业使用数据的合理性与合法性的监管，确保在信息和能力不对称的情况下，用户依然保有不受企业侵犯其个人信息的权利。

但是用户的认可与授权并不是企业使用个人数据的唯一依据。这是因为，虽然信息来源于用户，信息的收集与处理却是企业行为，在一定范围之内，企业应有支配信息的相应权利。第一，在预防网络诈骗以及用户的数据保护方面的权利。比如数据显示，60后一代是易受网络诈骗的高危群体，企业可以运用其数据量较大且掌握程度精准的优势，采取措施提示高危群体提高警惕、预防风险；第二，企业推广方面的权利。通过数据分析用户的市场行为、购物习惯，通过用户的选择和确认，允许企业通过各种渠道向用户发布广告。在用户允许的范围之内精准推送信息以增加利润的行为应被视为企业合法之权利。第三，符合公共利益的行为，如医疗健康方面可以用收集的数据提炼出相应的对策以及建议。

由此可见，在全面数字化的信息时代，用户不能再对个人信息进行完全的控制和掌握，以及享有个人信息的全部利益。当用户选择面向线上某一产品曝光自己的个人信息时，这些信息就已经成为整个企业数据流的一部分，个人信息的保护与合理利用的适当平衡，由企业的正当性以及公共利益的需要而定，应赋予企业合理进行使用的权利。

(二)用户的被遗忘权

欧盟早在1995年就在相关数据保护法律中提出了“被遗忘权”概念，任何公民可以在其个人数据不再需要时提出删除要求。在GDPR中又对被遗忘权进行了进一步的规定。笔者认为，这对我国行政法对于个人信息的权利是一个有益的参考。

首先，当用户不再使用某个账户时，有权要求企业删除与该用户相关的数据，如绑定的支付账户、家庭住址、电话号码等信息。此处的删除意指彻底删除，不仅达到用户界面无法查询的状态，还要求在企业数据平台上进行彻底删除，不再保留该用户的备案信息。如果企业未能及时删除，相关部门有权责令企业整改，以充分保护用户权利。行政主体应当依职权对该项业务进行审查，并通过有效途径向社会公众公开审查结果，使公众知情并提高企业的诚信度。

其次，如果企业或者数据持有者已经将用户信息在社交网络公开与他人进行链接，则应在用户要求下，采取尽可能的措施予以删除。在有相关第三方的情况下，需告知第三方删除本用户信息，做到第三方链接内同样不存留该用户信息。在整个删除过程中所产生的技术性支出成本由本企业自行承担。考虑到实施被遗忘权行为的技术含量以及需支付的成本，行政立法层面上也应考虑到企业可能存在的难度以及执法效果。因此，基于公共利益、法律规定的职责和义务等的需要，可以在个案当中行使自由裁量权，避免一刀切的粗暴执法。

最后，关于不符合要求的企业的行政处罚，笔者认为在我国现行经济形势下，不宜将对企业的罚款规定得过高，比如年收益额的几个百分点。处罚过高会降低企业参与数据资源以及商业互动的积极性，提高了企业的经营成本。具体的处罚金额应当在实际生活当中，经过有效的调研和考证确定，并赋予行政主体一定的自由裁量权，在处罚的同时，引导、教育并帮助企业做好个人数据的保护工作。

综上所述，个人信息数据在进入到商业行为之后，其性质发生了改变。不单指用户本身对于个人信息的物权，还包括企业对用户信息在合法合理范围内一定的支配权和使用权。因此，从行政法层面上，着重保护个人信息安全的同时，还应保护企业的正当利益，增强企业对于数据保护的能力，鼓励企业对此采取一些积极措施。在条件允许的情况下对企业数据安全进行行政指导。在执法层面上，不以用户要求作为企业使用数据的唯一基础，灵活运用自由裁量权对企业是否合法合理使用数据资源作出具体评判。保护用户的被遗忘权的同时，掌握用户利益、企业利益和社会利益的平衡，保障个人信息安全、企业良性运转以及取得良好社会效果，促进经济发展。