网络服务提供商的用户信息保护责任

摘 要 大数据时代，互联网企业通过各种方式收集用户的个人信息，挖掘用户个人资料的经济利益。在这个过程中，个人信息侵权行为时有发生。本文将分析网络服务提供商侵犯个人信息的行为，探讨侵权问题频发的原因，并提出网络服务提供商在个人信息保护问题上的具体责任、义务。

关键词 网络服务 提供商 个人信息 保护 侵权行为

作者简介：严景，北京邮电大学人文学院，硕士研究生，研究方向：国际法。

中图分类号：D920.5 文献标识码：A DOI：10.19387/j.cnki.1009-0592.2018.06.248

在“互联网+”时代，个人信息不再被单纯地划分到人格权利之下，而逐渐彰显出其财产价值。基于经济利益到驱动，互联网运营商积极地搜集个人信息数据以研发产品、制定发展战略。但出现的问题是，一些互联网企业并未通过正当、合法的方式收集、利用信息，个人信息侵权行为时有发生，且表現形式多样。譬如今年年初发生的案例：3月16日，Facebook宣布暂时封杀其平台上两家第三方机构：SCL（Strategic Communication Laboratories）和剑桥分析公司（Cambridge Analytica），声称这两家机构违反了公司在数据收集和保存上的政策。此举引起舆论哗然，媒体纷纷跟进报道。随后，剑桥分析被爆出在未经用户同意的情况下，收集了Facebook上5000万用户的个人资料，并且在2016总统大选期间针对这些用户进行定向宣传。随后，美国国会和欧盟均对Facebook开展听证会。5月2日，Facebook在硅谷圣何塞召开Facebook F8年度开发者大会，提出其产品将推出“清晰历史（Clear History）”新隐私控制保护功能，允许用户删除Facebook应用程序中收集的数据，以此作为对隐私泄露事件的侧面回应。

Facebook数据泄露事件反映了网络时代个人信息保护的严峻形势。我国《个人信息保护法》至今尚未出台，如何保护网络应用用户的个人信息，互联网企业究竟应担承担怎样的责任，成为学界不得不思考的问题。

一、个人信息概述

在互联网中的“个人信息”指的是与特定自然人相关，可直接或与其他信息结合，识别特定自然人的计算机信息数据。互联网中的个人信息可划分为如下类别：（1）个人的自然情况。如个人的姓名、性别、肖像、身高、体重、出生日期、医疗信息、身份证号码、照片录音等可识别特定个人等图像或声音等。（2）与个人相关的社会背景资料。包括个人的家庭状况、社会关系、受教育程度、工作经历、宗教信仰、政治观点、人事档案等方面。这类信息通常需要在用户注册账号后，长期进行收集。（3）个人网络活动的数据资料。包括用户的浏览记录、搜索记录等网上活动内容。用户的网络行为以数据形式储存在网络服务提供商的数据库中。互联网企业往往通过个人的活动行为轨迹分析其消费习惯、消费心理，再通过大数据分析精准地进行产品或服务广告投放等商务活动。

个人信息具有以下特征：（1）个人信息同时具有人格利益和财产利益。个人信息具有可识别性，可以使他人了解信息主体的个人喜好、生活习惯等方面，其人格利益的人身依附性质使其不能被转让和继承。另一方面，用户的个人信息也能够为企业提供创造获得利润的机会，一些个人信息甚至有向商品转化的趋势，故其商业价值也逐步彰显，再加上个人信息可使用、让渡，因而逐渐具备财产利益。（2）个人信息主体（subject of personal information）是自然人。个人信息的主体之所以是自然人而不是法人，也是因为信息的人格属性。基于此，只有自然人才能主张个人信息相关的权利，如个人“信息删除权”、“信息更正请求权”等，法人并无这些权利。（3）个人信息具有身份识别性。既包括直接识别，如通过肖像、身份证号码识别，又包括间接识别。

二、网络服务提供商的个人信息侵权行为

（一）个人信息收集方式和手段

1.用户信息收集的方式

网络服务提供商收集用户信息的方式多样。消费者在注册登录、填写订单、支付货款时，其填写的个人信息可能被收集。此类收集方式被称作主动收集，即互联网企业获得的个人信息是消费者主动提供的。其次，网络服务提供商还可以自动获取信息，例如用cookies追踪用户的网络行为，用木马程序在用户的设备端设置后门等，通过这些技术手段自动获取用户的身份等个人信息。除了上述信息获取方式，网络服务提供商还可以通过第三方平台获取用户的个人信息。例如在Facebook事件中，SCL和剑桥分析公司都是Facebook的合作机构，SCL和剑桥分析公司所得到的用户信息都是Facebook转让的。

2.个人信息的收集价值

互联网企业收集个人信息，主要基于个人信息有这重大的经济价值。个人信息是互联网企业得以存在发展的根基。互联网企业新产品的研发、市场的扩张、服务的推广都离不开对用户个人信息的整理、分析。同时，网络服务提供商可以加工、利用用户个人信息，使之商品化，将其进行交换、转让出售。

（二）网络服务提供商的个人信息侵权行为

用户的个人信息，因其背后潜在的巨大商业利益，对网络服务提供商产生了极大的吸引力，企业竞相挖掘用户信息的价值。然而，在这个过程中，一些企业对个人信息的收集、使用方式并不恰当，侵犯了用户的人身、财产权益。其个人信息侵权行为有以下表现。

首先是以不合法的手段收集个人信息，包括但不限于以下行为：未经授权直接或间接打开、拷贝、存储他人传递的电子信息，如截获用户聊天记录、邮件中的个人信息；利用技术工具追踪、获取用户的个人信息，如网络服务提供商在软件中设置漏洞，监听窃取用户信息。

其次是不合理地过度收集个人信息。如一些购物网站，除了要求用户填写姓名、家庭住址、联系方式这些信息外，还要求用户填写学历、婚姻状况、职业、收入等与其经营活动无关的信息。

再者是信息使用过程中，未经过信息主体授权，滥用用户个人信息。如一些互联网企业，在用户并不知情的情况下，擅自将本企业合法保存的用户资料出售给第三方企业，进行个人信息的交易。而第三方企业如何使用这些个人信息，便脱离了信息主体的控制。再如一些企业在经营活动中获得了用户的手机号码、电子邮箱，之后便在用户未授权的情况下给用户发送营销广告，给用户造成困扰。

此外还有一种侵权行为，是网络服务提供商未经用户的同意，擅自篡改、发布用户的个人信息。如一些网贷企业，为了催促借款人及时偿还借款，便将其个人信息全部公布在网站上，并宣称只有在借款偿清后才会删除这些信息。

三、侵权行为产生的原因

（一）网络服务提供商与用户的信息、地位不对称

在电子商务中，电商经营者和传统商务活动经营者一样，处于强势、主导的地位。在收集个人信息时，常常对用户施加一些不合理的要求，而用户为了使用其服务，不得不被动接受。如Facebook在用户注册时提供的格式条款中主张，Facebook有权与其裙带机构交换自己所掌握的用户资料，以进行数据共享，提供更优质的服务。此类霸王条款并不在少数，而由于大多数电商都采取了该做法，导致消费者别无的余地。另一方面，网络服务提供商常常凭借其技术优势，隐蔽地采集用户的数据。消费者有可能对自己信息泄漏一事一无所知。而在个人信息使用环节出现的问题是，网络服务提供商往往并不告知用户其信息的使用范围、方法，而个人用户由于缺乏相关的专业知识，即使权益受侵害，也无力维权。

（二）立法层面的不足

近年来，我国立法在个人信息保护问题上已取得一系列突破，立法层级更高，法律效力更强。《民法总则》第111条作出规定了自然人的个人信息受法律保护。《刑法》第253条规定了侵犯公民个人信息罪。而在《网络安全法》中，更是明确了网络运营者应当建设信息保护制度，并且承担信息收集、使用的公示义务，同时明确了网络运营者保护信息安全、及时报告的责任。

遗憾的是，在法律责任方面，现目前的立法主要集中在行政和刑事责任上，对于网络服务提供商的侵权民事责任规定过于粗疏，公民维护个人信息权的配套制度并不健全。

四、网络服务提供商用户信息保护义务

针对上述网络服务提供商的侵权行为，结合我国电子商务发展现状与个人信息保护相关的法律法规，网络服务提供商在用户信息保护问题上应当做到：

（一）履行公示义务

网络服务提供商在收集、使用用户的个人信息时，应当积极履行公示义务，至少公开其信息收集的目的、方式，信息使用的范围、方式、时限，信息共享情况等内容。网络服务提供商应当在其网站上标明其个人信息保护或隐私保护政策。同时，其标示应当是显著的，足以引起用户的注意。政策中相关权利、义务、争议解决条款的措辞应当避免太多网络技术层面的专业术语，做到利于一般消费者理解。

（二）保障信息主体的信息控制权

信息主体由权决定个人信息如何使用，网络服务提供商应当采取一系列措施保障用户的信息控制权。现实中，消费者在与企业签订合同时，没有机会就信息的收集條款、使用条款、信息转让条款与企业一一磋商。企业提供的格式合同基本只有两个勾选框：要么全部同意合同所有条款，要么不同意所有条款。用户为了使用产品，不得不同意合同的全部内容。这实际上是侵犯消费者权益的霸王条款。网络服务提供商在制定合同时，应当为每一项涉及个人信息的重要条款都设立同意或反对的选项。此外，网络服务提供商应当为用户修改、删除个人信息提供途径。当用户要求对其个人信息进行更正或补充时，服务商应当及时给予回应。当用户要求删除个人信息时，服务商应当将其个人信息从数据库中彻底删除。

（三）对信息共享进行规制

网络服务提供商为优化产品质量，提供配套服务，将收集的用户信息与第三方机构进行数据共享，这本是无可厚非的。但提供商在进行信息共享时，应当有严格的限制：共享信息应当对用户明示，并经过用户的同意，若在用户不知情的情况下泄漏、转让用户的个人信息，造成了信息滥用，网络服务提供商应当担责。若信息滥用是第三方机构导致的，则网络服务提供商应当承担连带责任。第三方机构对用户信息的使用范围、时限，原则上不得超过原网络服务提供商的信息使用范围、时限，当然，征得用户同意的除外。

（四）采取技术措施保障用户信息安全

一方面，网络服务提供商自己不能通过木马程序等工具盗取用户的个人信息。另一方面，服务提供山应当采取技术手段提高产品的安全性，防止被无授权的第三方访问、攻击，获取用户的个人信息。例如，提供在线支付服务的互联网企业应当加强其产品的安全性能，避免用户的账号、密码被盗取。

（五）建立企业内部责任制度

网络服务提供商企业内部应当建立健全企业内部的责任制度。企业需要组建负有网络安全监督管理职责的部门，并明确信息保护的具体责任人。同时，要加强员工培训，积极提升员工的用户信息保护意识。此外，企业内部应当建立用户信息保护相关内部规章，规范员工的操作行为，落实违规责任。

五、结语

大数据时代，若想保护公民个人信息，则需要明确网络服务提供商责任与义务。网络服务提供商在追求经济利益的同时，不能滥用用户个人信息，而应当从规范自身行为切入，保护用户信息，承担企业社会责任。

参考文献：

[1]张平.大数据时代个人信息保护的立法选择.北京大学学报（哲学社会科学版）.2017，54（3）.

[2]陈琛.“互联网+”与“被遗忘权”：大数据时代的个人信息保护争议.新媒体与社会.2017（1）.

[3]李刚.探究大数据时代的网络搜索与个人信息保护的分析.电脑知识与技术.2015（11）.

[4]刘小霞、陈秋月.大数据时代的网络搜索与个人信息保护.现代传播.2014，36（5）.

[5]齐爱民.个人信息保护法研究.河北法学.2008（4）.