孙有略
(广西民族大学 法学院,广西 南宁 530006)
移动互联网(Mobile Internet)正在革新传统的商业模式,随着我国网民规模的不断扩大以及PC端网民向移动端网民的转换,移动互联网消费群体的扩大已成为不争的事实。预计2020年,全球移动互联网终端达到250亿—500亿部[1]。在此背景下,我们需要正视当前移动互联网商业模式下数据共享引发的诸多风险,通过有效法律途径进行规制,思考如何有效促进移动互联网商业模式法治化进程。
目前关于移动互联网商业模式的探讨主要集中在商业模式创新、移动互联网企业、盈利模式三大方面。在商业模式创新方面,丰晓芳认为,商业模式创新是基于技术革命或者消费行为迁移时经营活动的调整,在互联网商业经济浪潮下商业模式的创新必然成为关注的焦点,并以淘宝商业模式创新为例探讨互联网商业模式创新的条件、路径及策略[2];王玉荣等以交通工具应用软件为例,探讨技术创新与商业模式创新的互动关系,认为在这一行业中技术发展带动的商业模式创新属于突破性创新[3]。在移动互联网企业方面,李季等构建商业模式组成要素的评价标准,认为评价企业商业模式的核心在于价值目标、价值创造、价值获取与资源管理4大方面[4];李晓认为,在移动互联网浪潮下传统餐饮企业正在遭受冲击,需要结合移动互联网的特点发展餐饮O2O、加强信息化管理[5]。在盈利模式方面,程德杰认为,在激烈的市场竞争中构建包含内容服务和硬件平台的服务生态是重要取胜手段,并进一步探讨了移动互联网衍生的盈利模式[6];梁晓音认为,移动互联网的盈利模式已对传统的互联网盈利模式发起挑战,并提出符合当前发展的移动盈利模式[7]。
总的来看,学界对于移动互联网商业模式的研究涉及的范围较为全面,对于移动互联网商业模式的发展具有重要的参考价值。但是缺乏在法律层面探讨移动互联网商业模式,移动互联网商业模式作为一种蓬勃发展的新兴商业模式亟待法律制度上的规制。因此,本文拟从移动互联网商业模式下数据共享趋势出发,厘清其所面临的困境,并进一步探讨法治化路径。
早在2011年工信部电信研究院发布的《移动互联网白皮书》中提出,移动互联网是以移动网络作为接入网络的互联网服务,通过移动终端、移动网络和应用服务三个要素构成[8]。而国内移动互联网行业也逐步走向聚集化、共享化,以微信和支付宝这两款较为成熟的应用软件为例,对其基本功能架构进行解析,在一定程度上能窥见移动互联网商业发展模式的形态。微信开通“微信支付”功能,表明其正在从社交渗透进支付、金融领域;与此同时,支付宝推出的“生活圈”也表明支付、金融领域在向社交拓展。这两款不同集团旗下应用软件的变迁进一步佐证了,当前移动互联网商业竞争的焦点在于“社交”与“支付”,即并未脱离传统商业模式中“凝聚人流,累积钱流”的本质,无非是实现了现实交易的移动化、便捷化和虚拟化。
以移动支付为代表的移动端信息技术已经初步完成了培养用户“线上社交”与“线上支付”的习惯,这为分享经济的进一步发展奠定了基础。根据国家信息中心发布的《中国分享经济发展报告2016》显示,移动互联网商业已经从最初的汽车、房屋分享逐步向金融、教育、医疗等其他领域拓展,未来一切可分享的东西都将被分享[9]。目前的分享经济仍然停留在初级社会生产、生活资料共享层面,最具有商业价值的用户行为数据亟待进一步挖掘、共享。互联网企业之间各自掌握着部分用户信息,彼此之前共享的壁垒没有完全打破,形成独立的数据孤岛。究其原因,在于缺乏市场动力、共享机制的技术障碍未消除以及为规避数据源之间的相互污染而人为隔离。通过大数据对互联网企业中的用户原始数据进行挖掘和分析,可以实现数据价值的倍增。当然如何实现现有数据价值的倍增,有赖于平台之间共享机制的搭建。比如,将社交平台的数据与销售平台的数据进行有效整合,商家可以利用社交平台的用户数据进行营销策略的调整,最大化地实现商业销售价值,与此同时也可以充分盘活社交平台上沉淀的数据源,使其通过数据交易产生一定的商业利润。
从体验来看,互联网平台之间通过数据共享,可以实现用户服务提供的精准化,摆脱原有的普遍化的服务提供模式;从效率来看,数据共享首先能够提升数据使用率,减少数据的闲置;从成本来看,互联网企业之间的数据共享降低了部分中小企业获取用户数据的成本,也为其他互联网企业在数据的管理、维护、存储上节省一定的成本,因为数据流动性强则无需再投入过多的人力、物力、财力进行管理;从产业创新来看,数据共享有利于催生新兴产业的发展,至少在促进互联网与传统产业融合方面具有重要价值。与此同时,不同平台之间实现数据共享,也打破了原有的“用户数据独占”的理念,“用户数据资源共享”的理念也在重塑原有的商业规则,除了平台之间的横向共享以外,还可以实现不同时空下的纵向数据共享,最大地实现移动互联网商业模式的价值。由此看来,数据共享将会是移动互联网商业模式发展的趋势。
移动互联网商业模式在冲击原有商业模式的同时,也给网络法治带来了不少难题。根据CNNC发布的第41次《中国互联网络发展状况统计报告》显示,我国网民规模已达7.72亿,其中手机网民占比达97.5%,移动互联网促进“万物互联”,也为互联网产业创造更多的价值挖掘空间[10]。与此同时,在移动互联网商业模式下数据共享中个人信息保护究竟路在何方,如何有效协调共享与保护之间的关系,都是值得思考的问题。
一般来说,平台获取的数据信息主要通过商家备案、商业化经营活动、用户个人的购买记录以及用户注册提交这几个方面。并且只有第一种是基于平台的因素而取得,其他几种信息的获取是基于平台外的活动,即通过用户个人提交或者商业活动往来而生成。从物权法的角度来看,用户个人信息其所有权的归属不在平台,应该属于用户个人,因为这些信息是基于用户个人而生成并且与用户的行为有密切关系,由此看来用户个人对其上传至平台的数据信息理所当然地享有物权法上的权利内容。但是从目前来看,平台在收集用户个人数据的过程中俨然已经成为数据权利的所有者,并非单纯的数据占有者。虽然数据需要依托代码、计算机系统等工具才能发挥实效,但是数据的非独立性并不能否认其自身的经济价值[11]。平台可以通过收集用户个人信息数据,利用这些数据为其后续的相关经济活动提供便利。
虽然用户本身并未丧失数据的占有权,但是从客观上已经形成“一物二主”的现象[12]。平台与个人之间的利益冲突也将不可避免,比如在区分数据的使用、收益问题上。特别是平台通过用户的“模糊授权”收集、共享个人信息数据,这种授权方式是否能够表明平台能够对用户个人信息进行商业化使用,以及其他除外情形,都值得进行深入探讨。换而言之,平台对用户个人信息数据的占有,在与用户个人原始所有相冲突时,占有的效力与原始所有的效力孰轻孰重,平台对这些数据的占有在使用上与所有权相比究竟达到何种程度,都是移动互联网商业模式下数据共享法治化要解决的关键。
在移动互联网蓬勃发展的背景下,可以储存用户个人数据的平台不断增加,这些平台也慢慢发展成为数据共享的源头。数量上的增加将直接导致利益主体的复杂化,具有同种类性质的平台或者提供相类似服务的平台也将会形成竞争关系,在此情形下,对于平台保有的用户量也将会成为评价企业发展的重要指标。因此,平台之间为谋求出路或并购或联合实现用户群体的倍增、数据的叠加也会成为一种趋势,前者以饿了么收购百度外卖为例,后者以阿里巴巴联合顺丰、圆通等快递公司成立菜鸟联盟为典型代表。通过这种联合的方式,使得企业能够获得互补性资源,进而扩大并超越资源边界[13]。在此种情形下,极易形成小范围的利益集合体,团体成员之间共享个人信息数据已成为可能。他们可以依托数据挖掘和数据分析技术,通过团体共享的用户个人数据,提供更加精准消息的推送进而达到吸引更多潜在客户的目的,或者通过对原有客户群体的数据分析,提供更加个性化的服务,最终使得整个利益群体利益最大化。
由此,无论是单一的平台还是平台联盟都希望获取更多的数据信息,在数据共享下用户是否与这一平台之间有实际上的关联已经变得无关紧要。平台之间、联盟之间的数据共享、买卖将不可避免,也逐渐成为共享经济中数据安全的威胁因素。用户个人信息与个人权益息息相关,平台有权获取并不等同于可以任意使用、交换甚至买卖。因此,相当多平台就可以借助自身用户群体庞大的优势,利用非正常用户“授权”的方式取得信息所有人的同意,这种受害人“同意”在民事领域可以成为抗辩的事由[14],这在无形中增加了数据安全的威胁因素,譬如支付宝“账单事件”的上演也就不足为奇。
行业自律是推动互联网发展的最大动力之一,也是大多数国家倡导的保护个人信息的重要方式[15]。互联网行业在获取商业利益的同时,有责任强化行业自我监管,防范侵犯个体权益行为的发生,实现行业良性发展与商业利益的获取实际上是一种共生共享的关系。但是从目前来看,互联网行业缺乏较强的自律性,不严格履行自身的责任和义务,对于数据共享没有进行严格审查、监督、管控,容易引发平台之间侵犯个人权益的生态乱象。最常见的做法就是默许平台发布的隐私免责声明,对这些“霸王条款”审查力度不够,导致用户在获取服务与牺牲个人权益之间只能无奈地选择前者。而这些免责声明的制定一般都是单向的,行业实际上并没有有效参与到制定的过程中,因此格式条款出现明显的不平等也就不足为奇。在管理上的不积极履职,也容易导致“内鬼”作祟[16]。从近年来看,利用互联网络进行个人隐私数据盗取、贩卖的违法犯罪活动屡禁不止,其中最大的原因就在于内部从业人员利用职务之便,私自收集个人信息数据并将其低价卖出,监管的缺失致使整个互联网行业生态乱象频发。
早在共享经济发展最初阶段,就有“大数据时代无隐私”的说法。大数据核心的技术特征就在于在对数据进行收集、储存的同时,还能够做出精准分析以及预测,这在无形中对个人隐私造成巨大的威胁[17]。虽然数据平台不当共享、不当使用个人信息的做法违背商业精神,但是从个人角度来看,个人保护意识薄弱也需要对此承担一定责任。在个人没有完全形成信息保护意识的情况下,对于权益受到侵害则无法完全通过有效手段进行权利救济,或者是对于个人信息可能受到侵害的情形没有引起足够重视,也没有将个人信息当作一种重要的权利,从而未能对侵害进行事前防范。
个人信息保护法律知识的缺失也容易导致平台僭越。在移动互联网商业模式下,无论是进行网络购物、理财、社交,还是进行必要的信息浏览,都需要按照平台指引进行账号注册并提交个人相关信息才能获得相应的服务。在此过程中,为了能够快速进行网络活动,对于网络上的格式合同一般是不予阅读而直接选择同意,平台也就可以借此与个人签订不平等条款合同,由此引发的侵权行为也就顺理成章地是“经过同意”而进行的。在法律规范不完备的情况下,个人权益受到侵害以后,基于前两种因素而难以采取正确、有效的补救措施,从而导致在互联网商业模式下面临个体权益侵害时,根本不知道应当如何进行权利救济。由此看来,个体保护意识的薄弱也容易成为平台僭越的潜在原因,在互联网商业模式下,个体保护意识的养成对于数据共享法治化同样具有重要意义。
对于移动互联网商业模式而言,无论是基于社交数据安全还是基于支付数据安全,抑或是推动平台之间数据共享的安全,对于用户个人信息的保护都是不可回避的话题。因此,隐私保护应当成为移动互联网商业模式发展的基础,在此之前也应该明确个人信息占有的权属及使用界限、规范竞争机制、强化行业自律、提高个人保护意识。
针对当前平台与个人“双重占有”信息数据的现实情况,最为妥当的办法就是明确主体之间的权利义务关系。作为个人而言,一般来说上传至平台的个人信息是出于自愿,是为了获取平台提供的特定的服务,从而让渡个人信息换来更为精准的服务。因此,在实际上平台与个人之间已经形成一种平等的民事上的合同关系,可以通过合同的基本精神对可能处于弱势的一方进行倾斜性保护。作为个人信息让渡的一方,可以通过要求平台出具相应的保证文书,确保不会任意使用个人隐私信息;平台将个人其他信息进行共享时需要采取合理的通知方式使个人知悉;如果发生其他信息侵权事件,那么有权要求平台承担责任。通过对以上三种权利的赋予,从而达到平衡个人与平台之间的地位之目的。作为数据接收方的平台,首先要明确其占有数据信息并不等于拥有所有权,用户个人信息权的完全实现,最终还应该征得信息所有人即用户信息提供者同意。因此,应该明确作为信息收集的主体的权利,一方面可以要求用户个人提供必要的真实信息,当然目的是为了提供服务的精准化;另一方面平台占有这些数据信息,在经信息提供者同意之情况下,可以享有相应的处分、收益权利。对于平台之间共享数据的范围也要进行明确,涉及隐私信息禁止共享,基于用户个人行为而产生的数据分析信息,在共享前也必须要征得其同意。
商业模式的创新意味着风险也同样存在,人的有限理性也决定了不能完全对其进行预测和防范[18]。与实体经济相似,移动互联网商业模式下活动主体日渐丰富,利益多元化与竞争异化在所难免,但是规范数据共享竞争机制是一种有效的治理手段。对于平台之间、联盟之间的数据共享要进行严格监督,防止数据共享变异,与此同时还可以建立一套相对清晰的数据共享机制,对数据共享范围、内容、幅度等方面进行明确,实现数据共享规范。通过法律规范正向列举一些不当的竞争行为,并以反向否定的方式予以兜底,可以有效实现对平台的监督与调控。比如禁止平台之间故意泄露、倒卖个人信息,严禁平台之间以非法目的、非法手段进行恶性竞争等,并对个人信息的数据共享进行严格管控,避免出现利用用户“模糊授权”的方式以用户信息数据换取商业利益。同时,还要建立一定的奖励机制,对保障用户信息数据取得成效的平台以及主动优化保障机制的平台予以一定的奖励,以此促进行业良性竞争。
基于网络行为的多样性,完全依赖法律进行规制是不现实的,加强网络立法保护个人信息是适应经济发展的需要,但是行业监管的自律作用同样不可忽视。立法只是作为最低程度上的界定、保护,而对于数据共享缺乏专门的法律保护,相关规定零散分布于多个部门法之中。行业协会诸多保护标准和原则能够填补法律空白,成为事实上的保护规范[19]。因此,要真正解决数据共享法治化难题,仍需要互联网行业强化自身自律性建设。在这方面走在前列的当属美国,如FTC就隐私权保护问题制定了四项“公平信息准则”,对未经用户授权的信息互联网平台要加强保护措施,平台不得未经用户知悉就收集其个人信息,用户对于提交的个人信息有随时查看和检查其真实性的权利、用户有选择并使用信息的权利。这些行业管理规则都值得我国借鉴,并且美国还成立多个网络隐私保护组织,在对行业监管、个体权益保护方面做出突出贡献。因此,我国可以通过在政府指导下或者在行业协会的引导下,制定数据共享信息保护行业准则,以此加强行业自律建设。
对于互联网平台来说,隐私声明条款要注重实效,而不再单纯是流于形式,发布的隐私条款应当本着为用户着想的原则,而不是当作责任推卸的借口。由此需要行业加大对隐私条款的审查力度,通过参与隐私声明的制定或者发布行业规范指导平台改进其中的不正当条款。为有效防范行业“内鬼”,可以通过建立日常安全维护、管理制度,明确执行人员的责任,并将日常操作记录进行可视化记录,防止发生安全责任事件。当然还需要加强从业人员的职业教育,通过职业素养的培养和相关法律知识的普及,切实有效地防止内部人员利用职业便利实施引发行业生态乱象的行为。
尽管数据具有客观中立性,但是大数据并非一个充斥着算法和机器的冰冷世界[20],在互联网商业模式下的数据共享仍离不开人类自身的作用。用户对隐私的自我保护相较于平台、行业的保护更具有主动性,而这种主动性的防护往往更具有实效。因此,在移动互联网商业模式下可以建立自我控制、自我选择、自我防卫的综合体系[21]。自我控制,即运用技术手段主动强化对个人信息的控制,如禁止网站使用追踪技术、禁止Cookie功能和历史记录删除等,必要的话个人也可以采取匿名注册或者虚假身份注册,减小社交平台个人信息泄露风险。自我选择,即对网络平台的隐私政策进行识别,明确其数据收集范围、用途及由此引发的其他后果,并在此基础上自主进行同意机制的选择。自我防卫,即主动采取有效防范措施保护个人数据安全,如采取安装安全保护软件或者数据加密软件保障用户设备安全。还可以通过法律等其他手段维护自身合法权益,如面临侵权时除了主动与平台进行交涉,运用公力救济与私力救济相结合的方式解决,并通过媒体曝光的方式督促平台履行义务,以外部监督促进处理结果的公正。