用户主导下的信息安全保护机制建设
——以电商环境下的用户信息行为模式为例

高洁 毛静 李美娜

（山东师范大学，山东 济南 250399）

一、个人数据、个人信息和个人隐私的概念界定及关系

对个人数据、个人信息和个人隐私的概念进行界定和区分不仅能明确用户被侵害法益的权属问题，更有助于帮助保护机制定位，对后续的权属分离和各主体权益保障有着重要作用。

（一）个人数据、个人信息、个人隐私数据的概念

个人数据指的是客观存储在计算机系统中的客观事物，作为信息载体的数据具有随时产生、多方存储、跨平台、多次开发、多人经手等特点；个人信息，是指以电子或者其他方式记录的能够单独或者与其他方式结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证号、通信联系方式、住址、财产状况、账号密码、行踪等；个人隐私又称私人生活秘密或私生活秘密，个人隐私不受他人非法搜集、刺探和公开。

（二）三个概念间的关系

个人隐私与个人信息具有交叉性，即只有部分个人隐私属于个人信息，个人信息只有涉及个人私生活的敏感信息属于个人隐私。个人数据具有很强的客观性，公民的个人信息不同于个人数据，个人信息是个人数据所承载内容的现实反映，性质上属于人格权，内容上具有一定的主观性。本文将个人隐私数据界定为基于公民信息所产生的一切个体活动（动态）数据及静态数据的总和，所有与此相关的数据泄露，均视为个人隐私数据泄露事件。

二、电商营销模式与用户信息行为的关系

（一）用户信息行为的概念界定

冈部庆三认为信息行为就是利用越来越多样化的媒介进行信息的传送、接收以及加工、处理和存储的行为。我国学者胡昌平认为，信息行为以满足某一信息需求为目的，受外部刺激的影响，表现出查询、获取、传播、交流、吸收、加工和利用信息的行为。

（二）电商环境特点以及对APP 用户信息行为的影响

2015 年个人信息泄露渠道调研问卷结果显示，商业数据已经成为数据泄露的重灾区，这是由电商平台的特质决定的。电商平台的特质是通过与微博、微信等众多社交APP 结合，以“B2C”模式为基础为用户呈现出交互式、沉浸式的购物体验，这些特质诱导用户更容易地做出信息处分行为，信息用户在获取信息的同时会更频繁地生产、发布、分享信息，这同时也就意味着信息被过度收集和使用的风险大大增加。

社交网络中非体系非结构化信息日益增多，用户仅仅通过位置共享、语音、表情包等交流方式就可能会泄露个人真实信息。以我们团队问卷调查的结果来看：78.5%以上社交软件用户会轻易作出授权行为，而作为电商平台重要承接口的微博、微信等APP 拥有庞大的用户群体，电商平台为制定营销策略促进个性化营销模式的发展可轻易结合APP 收集用户的行为信息、喜好信息。

除了平台自身运营机制问题，电商平台在业务外包第三方的过程中也有可能侵害用户的信息安全。在网络零售市场(B2C)模式下，消费者通过社交APP 进行交流、互动完成企业推广和产品销售,构建出巨大的销售圈。部分平台为吸引投资主动整合产业链降低准入门槛，将物流、仓储、生产商包揽，待商家进驻后为节省成本把物流服务外包给第三方，平台选择外包的服务很大程度上着眼于成本的考量从而忽略外包物流企业管理和诚信机制审核，这便会对用户信息安全造成威胁。

总结电商与社交平台结合的环境中造成用户轻易做出信息行为，导致个人信息更容易被过度收集和滥用的主要原因是：电商模式交互性和朋友圈层交易的特点极易降低用户的辨识能力和主观能动性，再加之用户与信息收集方地位不对等和法律相应的处罚措施缺失。

三、国内外信息安全保护机制研究和法律规定

（一）国内外信息安全保护研究

在数据加密技术方面，我国学者王彩玲基于位置大数据的隐私保护进行研究，通过分析数据加密技术，提出了保护数据隐私的加密方法具体设计，实现位置标示和定位，并利用模糊加密理论设计算法进行计算和验证，比较发现误差值变小，该计算方法有效。

在架构第三方数据托管机制方面，我国学者章宁、钟珊认为针对电商环境下个人信息安全保护可以使用基于区块链的第三方数据库和数据交互审计平台建设的方法。用户可以选择自己信任的数据库来实现个人隐私数据的托管，具有便利性和可操作性。第三方数据库存放的是用户隐私数据的加密形式，因此其他人看不见隐私数据的具体内容。不同用户可选择不同的第三方数据库，通过分布式的存储以增加数据安全性。

国外学者Ahmed Kosba等认为当前的区块链交易环境缺乏交易的隐私保护，虚拟地址之间的金钱流动完全暴露在区块链环境中，因此提出了一个叫做Hawk 的去中心化智能合约系统，通过避免在区块链上存储财务交易的明文形式来保障交易的隐私性；但是该方法只能保障交易信息的隐私性，实际操作中具有局限性。

（二）具体法律规定

我们在针对相关规范性文件进行分析后得出结论如下：我国的个人信息保护政策体系主要体现在现阶段多层次的战略框架、法律法规和行业标准等为个人信息提供了保护的依据,涵盖个人信息安全的基本原则、个人信息的收集条件、个人信息的保护要求、个人信息的使用披露及分享提供规则等。但我国法律对隐私权的内容却只做了原则性规定而没有做出明确的规定。

四、解决方案

我们分析威胁用户信息安全的主要原因除了应用软件开发商加密系统漏洞和内部管理机制不规范外，最根本的是用户自身做出的信息处理和授权行为。以往的对策着重针对难以控制和规范的信息收集方与处理方，为此我们转换视角，找出数据创造的源头——用户，总结并创新地提出了几种建议：

（一）可以考虑将个人数据归入财产权

1.用户创造的数据可以作为财产权的客体。现代商业模式下大数据分析技术会使得可识别与不可识别数据之间的区别变得无意义，而对个人数据和个人信息进行区分才是关键。

2.将创造数据的用户作为数据所有者，强化数据所有权的概念。随着个人信息相关的数据价值提升随着个人信息相关的数据价值提升，以违法方式出售、提供、购买、收受、交换个人信息并达到一定额度的都会构成犯罪。通过强化数据所有权的方式促进个人信息人格属性和财产属性的分离，可以有效禁止或者限制数据的采集行为，为个人数据的购买、开放、交换等行为提供法律基础。强化数据所有权不仅能为数字经济发展提供法律保障、间接保护数据用益权，还能够反向强化用户作为数据第一创造者的地位和权益，促进数字经济发展挖掘更多潜在效益。

（二）从用户主观上同时加强对用户的安全意识指导

1.规范用户的信息行为

用户在使用各平台软件时要注意信息行为规范，不轻易泄露个人真实信息，从用户主观上提高警觉性和敏感性，对于APP 的授权请求要谨慎思考，合理授权。可强制要求APP 开发方和平台建设方协助，在用户授权界面设置强制阅读时长，规范用户充分知悉自己的权利义务。

2.健全理性精神，培育公民法治意识

在我国相关法律制度尚未健全、个人信息保护专门法尚未出台之前，加强公众的个人信息安全教育显得尤为必要。运用网络信息安全知识培养公众对信息的认识、选择、批判能力以及对情感和意志的协调能力，法治意识，即是作为独立主体的社会成员对于法治的观念、知识和思想体系的总称，它反映着公民对法律的效用和功能的基本态度及信任程度。首先，社区基层干部应对群众加强关于个人信息保护相关法律知识的宣传；其次，不能轻视大学生群体的宣传教育，尤其是大学生群体，可以将理性教育的理念整合到不同的学科中去，使学生在追求专业见解的同时，仍能保持对其他思维方式的敏感度。

（三）加强对应用平台开发方和数据处理方的监管

对应用软件开发方诚信机制考评建设，对数据使用权上占据主动地位的企业要落实实名负责制和责任追责制，政府辅助监督合理使用用户信息，不触及并定时销毁用户敏感信息。在用户授权方面，严禁不授权不提供服务的行为并开通广泛的用户反馈举报渠道。