论大数据时代下，平台对个人信息的监管必要性

杨沛馨

中国海洋大学法学院，山东 青岛 266000

一、大数据时代个人信息的特点

(一)个人信息传播去中心化

用户不仅要与网络平台存在直接的、单一的联系，在整个网络运行的大环境下，还会有数据中间商、数据后续利用者等人的参与，形成一种多方联系的个人信息传播网络，因而用户对个人信息的控制能力日以削弱。

(二)个人信息传播迅速，且消痕困难

大数据技术意味着超强的收集、存储、及时、准确地处理数据的能力，会更客观、准确地发掘真相与事务之间的关联性②，多主体参与的特点，使之信息传播十分迅速，并且在网络中，用户的任何行为落下的痕迹，都有可能作为数据存储起来。数据一旦形成并传播，很难进行彻底地消除痕迹。因为一经传播，个人信息往往在多个平台都有存储，包括后续的信息利用者，即便在最初平台删除信息，删除请求也难以涉及所有信息传播者。

(三)个人信息的边界模糊，个人信息的实际内涵不断扩充

各个平台对用户信息的需求不同，信息收集的种类也各式各样。加之大数据技术的发展，对个人信息的辨识能力日益增强，即便是简单的信息汇集，足以对用户进行精准画像。当前云计算、大数据技术发展日新月异，收集信息、比对挖掘、分析归纳的能力不可同日而语，之前的“个人信息”的定义已无法适应当今商业模式中的发展需要。个人信息的边界变得模糊，所应纳入法律保护的信息内涵也随之被扩充。

二、传统隐私保护的弊端

传统机制建构在“知情同意”架构的基础之上，要求机构在收集用户个人信息前，告知用户信息的处理状况，在网络服务的语境中通常表现为发布隐私声明，用户在阅读声明后作出同意的意思表示，作为对个人信息收集及利用的合法授权。③但随着大数据时代的不断发展，该种个人信息保护的架构日益显现出不足。

(一)难以抵御大数据技术对个人隐私的威胁

大数据技术的创新发展，高效、便捷的网络技术被应用在生活的方方面面，随之而来的数据收集也无所不在。大量机器对机器的被动收集往往不为用户所知悉，对个人形成密集追踪；个人信息的累积及分析、比对，构建出完整的人格图像，极易挖掘出个人不愿为他人知晓的敏感信息，为个人带来困扰、不安，引发寒蝉效应，乃至造成财产、人身损害，敏感信息用于求职、教育、信用评级等领域，极易使个人遭遇不公及歧视待遇④。

(二)用户常常忽略个人信息泄露风险

在最初个人信息收集之时，人们往往很难预知收集行为可能造成的严重后果。平台为了遵循法律要求，在形式上履行事前告知义务(为了事后免责)，制定了繁琐又冗长的隐私声明，用户往往很难短时间内阅读并理解隐私声明的基本内容。在实际情境中，用户往往会低估个人信息的泄露风险，通常为了节约时间，直接勾选同意。隐私声明成为一纸空文，甚至成为隐私侵权发生之时，平台用来推卸责任的挡箭牌。正如学者兰道(Susan Landau)所言，隐私声明远非为人类使用而设计。⑤

(三)用户没有实际控制权，实际上很难行使权利

网络平台在提供网络服务之前，都会提供冗长的隐私声明，供用户进行“知情同意”，但为使用产品或服务，用户往往除点击同意之外并无其他选择⑥。实质上，用户很难基于自我意愿进行选择，架空了用户的权利。更重要的是，各方平台对个人信息进行密集收集，用户对其收集信息的用途并不了解，甚至在很多场景中对个人信息的收集行为也很难察觉。用户的个人信息一旦落入平台手中，将失去控制权，经多方平台的相继传播，在大数据时代，用户对其个人信息面临全面失控的局面。⑦

三、大数据时代下个人信息披露的收益成本分析

隐私权作为我国公民的基本权利，受我国法律的明文保护，但诚如上文所言，传统保护隐私的方式已经难以抵御大数据技术的冲击用户更易被泄露隐私，而又难以寻求事后救济。即便如此，用户越来越习惯在各大网络平台上披露其个人信息，从某种意义上来说，用户自身对隐私权的心理防线在逐渐降低。原因在于，大数据技术的应用可以给人们的生活带来诸多便利，甚至是直接的经济利益，无论是对用户还是网络平台而言，披露个人信息往往都是基于成本收益分析后的理性选择。

大数据时代下用户减少个人信息披露所要承担的成本有：第一，无法享受平台提供的便捷服务，许多平台提供的隐私协议，看似可供用户选择，实际上用户只有勾选同意选项才能享受平台服务；第二，需支付一定的费用，否则无法享受免费的服务，例如使用无广告的VIP邮箱，实际上支付会员费以拒绝广告的定向投放；第三，可能会遭到不必要的信息困扰，例如，广告运营商会对用户进行大数据分析，针对用户需求定向投放广告，但如果拒绝提供个人信息，广告运营商并不会停止投放，反而会不加区分地投放各类广告。用户减少个人信息披露所得收益是满足自身的隐私偏好，减少隐私泄露。

大数据时代下平台保护其用户的个人信息所要承担的成本有：第一，技术投入，平台为了保护用户隐私，需要不断进行技术更新，提供技术支持；第二，平台监管成本，用户一旦将个人信息披露给平台，平台需有一定的监管机制，保证用户个人信息安全。第三，平台进行信息保护的机会成本，平台如果将掌握的用户信息进行交易，甚至仅仅是不采取过多的信息保护措施，就有可能从数据的后续利用者那里获利。平台保护其用户的个人信息的收益是，得到更多用户的信任，提升自身的商业声誉。但毕竟隐私权不是直接的物质性权利，用户往往对未发生的损害不加重视，反而会选择更便捷、更能带来直接利益的平台，追求眼下更好的服务与产品。

对于用户来说，隐私的自愿披露取决于用户对于网络安全风险的感知以及对预期收益获取的感知⑧。也就是说，如果用户认为个人信息泄露的风险不够大，不足以抵销其享受平台提供的便捷服务所带来的收益，那么用户会自愿选择披露个人信息。用户常常会低估未知的个人信息泄露的风险，而更看重眼前实际的平台所能带来的收益。同时，对于一般用户而言，他们在未认识到大数据时代中的隐私威胁时，也会高估法律对个人隐私权的救济效果。

由此我们得出，大数据时代下的信息披露实际是用户和平台同时做出的理性选择，我们无法遏制也不应遏制该趋势，而是应当做好用户信息披露后的信息保护工作。

四、加强对互联网平台的监管，保护用户个人信息的新思路

我国对个人信息保护的法律规范一直有待改进，甚至存有体系化弊端。保护路径选择上具有强烈规制法、管理法色彩，缺乏对企业内部合规机制建构的关注，导致法律实施的内生性、持续自律机制运行不畅⑨。而平台作为用户个人信息的实际控制者，应当在数据保护中充当主要角色。一方面，平台可以采取最有效率的保护措施，但如果法律上不强调平台自身监管，平台基于市场有选择地保护用户信息，正如上文论述，对用户信息的保护力度远远不够。

另一方面，平台直接掌握了用户数据，平台可以做出及时、有效的保护信息安全的举措。平台企业应当构建自身监管机制，对平台管理人员设定信息保护的勤勉义务。

现代公司治理模式以所有权与控制权的分离为基本特征，公司治理中奉行“董事会中心主义”⑩。在此基础上，相关公司的董事、高级管理人员有必要内化成个人信息保护的义务主体。公司作为独立的法人主体，必须承担必要的法定义务，这些义务的履行都是由其董事会、监事会、经理层等组织机构来完成。所以设定董事、高级管理人员的勤勉义务，是因为他们是直接参与公司经营和管理的主体，也是海量个人信息的实际管理者和掌控者，可以更小成本、更大效率地实现保护个人信息的目的。

这就要求相关董事、高级管理人员在平台企业的日常经营活动中遵循法律法规的相关规定，同时采取必要的技术手段，警惕和防范可能发生的风险。其中尤其包括相应的组织措施，如设立合规部门、配备相应人员和资源。因而涉及收集用户信息的平台企业应当完善相关监管机制，开展员工培训，提高普通职工信息保护意识和能力，董事、高级管理人员则主要负责统筹管理和监督的职能。

此外，平台企业还应建立补救机制，即发生泄露事件、或是有泄露风险时，及时采取补救措施。类似规定在相关法律中已有体现，例如，《消费者权益保护法》规定经营者在已发生信息泄露之时立即采取补救措施；《网络安全法》规定网络运营者在个人信息安全方面所应承担的义务⑪。

[ 注 释 ]

①刘新年，王晓民，任博.大数据时代下，如何保护隐私权[N].检察日报，2013-08-23.

②徐明.大数据时代的隐私危机及其侵权法应对[J].中国法学，2017(1).

③范为.大数据时代个人信息保护的路径重构[J].环球法律评论，2016(5).

④Daniel J.Solove，The Future of Reputation：Gossip，Rumor and Privacy on the Internet(2007)，http： // docs. law. gwu. edu/ facweb/ dsolove/ Future-of-Reputation/ text/future of reputation-chl.pdf.[EB/OL].

⑤Susan Landau，Control use of data to protect privacy[J]，347：6221 Sei.Issue 504，506(2015).

⑥Susan Landau，Control use of data to protect privacy[J]，347：6221 Sei.Issue 504，504(2015).

⑦范为.大数据时代个人信息保护的路径重构[J].环球法律评论，2016(5).

⑧刘蓓.大数据时代下的隐私[J].法制博览，2019.2.

⑨张怀岭.公司治理视域下个人信息保护的实现路径[J].财经法学，2018(5).

⑩戴昕.数据隐私问题的维度扩展与议题转换[J].法经济学视角.交大法学，2019(1).