個人信息保護如何突破技術圍獵

文/蘇　航

個人信息保護如何突破技術圍獵

文/蘇航

一起新浪微博與“脈脈”軟件之間的不正當競爭案引發了IT圈的廣泛關注。“脈脈”是一款以“打通人脈”為賣點的社交軟件，其通過梳理用戶通訊錄或其他關系網絡中的好友，幫助用戶關聯到好友的社交圈，實現所謂從“一度人脈”到“二度人脈”的社會關系拓展。此前，“脈脈”曾與新浪微博合作，提供用戶通過微博賬號登錄“脈脈”的服務。而引起爭議的關鍵在于，一旦通過微博登錄，“脈脈”會抓取用戶的微博賬戶職業、教育信息，并與注冊賬號時用戶上傳的手機通訊錄內容建立關聯，最終一并對外展示。在終止了與“脈脈”的合作后，新浪微博訴至法院，認為“脈脈”的非法抓取信息等行為構成不正當競爭。2016年4月26日，北京市海淀區法院對該案一審宣判，認定“脈脈”非法抓取、使用新浪微博用戶信息等行為構成不正當競爭，判決其停止不正當競爭行為，消除影響，賠償經濟損失、合理費用200余萬元。

判決作出后，IT業人士紛紛一抒己見，其意見多在于表達對“抓站”“抓數據”的深惡痛絕。所謂“抓站”，就是通過技術手段回避他人對于其掌握的用戶、內容等數據的保護與利用限制，從而獲取依正常途徑無法取得的信息的行為。 “抓站”常常被用于獲取用戶群信息、截取客戶渠道、掠奪內容資源，構成對他人經營利潤與營業前景的非法侵蝕。判決從不正當競爭角度對“抓站”行為給出了否定的法律評價，無疑將對規范“抓站”行為、引導行業發展起到積極作用。但事實上，這份判決的真正意義并不在于對兩家互聯網企業的經營之爭做出評判，也不在于單純促進網絡經營模式的健康發展，而在于再次喚起了互聯網背景下對公民信息利益保護的關注。

利益沖突下的個人信息

從不時接到的推銷電話，到網站精準投放的定向廣告，再到層出不窮的各式詐騙，個人信息的重要程度在當今已無需多言。個人信息本身即是資源，掌握大量個人信息即能吸引資本、創造利潤，因此經營者對于個人信息的利用推陳出新，乃至呈現罔顧權利、野蠻生長的混亂局面。為解決在個人信息管理使用上的問題，2009年《刑法修正案七》引入了兩個新罪名，即出售、非法提供公民個人信息罪以及非法獲取公民個人信息罪，試圖斬斷以個人信息買賣、竊取等為核心的非法利益鏈條。但是，由于商業活動日益依賴于充足完備的用戶信息儲備，依賴于深度多元的市場信息發掘，在個人信息利用領域打擦邊球的現象仍時有發生。

此外，雖然個人信息的價值已經為各界充分認識，但由于其涉及的領域發展迅速，因此難以在法律上確定一個周延圓滿的概念，以充分涵蓋需要保護的各類信息。盡管如此，通過長期探索，法律理論與實務已達成共識，個人信息關涉個人尊嚴與個人隱私，公民對于其信息享有人格利益，并有在一定范圍內對其進行控制的權利。因此，公民的個人信息范圍不斷擴展，呈現了從隱私向個人識別轉化的趨勢，也即凡是能夠用于識別出具體的個人的信息，均屬于公民信息。公民的自然情況、健康信息、公民身份證號碼、生活經歷、聯系方式等信息，即使由公民自行公開，也屬于個人信息的范疇，應當受到法律的適當保護。例如，此前海淀區法院審結的，公民起訴搜索引擎要求斷開與其工作信息有關的鏈接的首例“被遺忘權”案，正是個人信息法律保護的鮮活體現。

個人信息的商業利用邊界

本案中，“脈脈”未經許可，抓取、使用了新浪微博用戶的信息，違背了市場交易中的誠實信用原則，其獲取、利用個人信息的行為構成不正當競爭應無疑義。如果判決止步于此，那么其不過是解決了一起經營者間的商業糾紛，規范意義有限。但是，在“脈脈”的行為之外，法院進一步指出，新浪微博“在發現脈脈軟件發生非法抓取使用微博用戶信息的情況下，以他人利益作為交換條件，放縱不正當競爭行為”，認定新浪微博作為互聯網開放平臺，在保護用戶信息方面亦有不足。由此可見，本案的意義并不僅在部分IT人士解讀的“互聯網企業應當避免形成第三方依賴”上，而更在于即使由于用戶接受了互聯網服務而自然形成了個人信息的匯集，互聯網企業也應當在法律允許的范圍內合理使用該信息，不得以侵害用戶利益的方式利用，或向他人非法轉讓，及協助、放縱他人非法獲取、利用用戶的個人信息。

如前所述，個人信息就是資源，也是互聯網企業的重要資本，但個人信息與用戶的人格權益密不可分，企業對個人信息的使用應當以尊重用戶人格為前提。因此，互聯網獲取個人信息的唯一目的應在于為用戶提供更為優質的服務，并應當遵循用戶主動上傳，并在充分告知利用的目的與方式后取得用戶許可的獲取途徑。此外，對用戶個人信息利益的尊重還體現在，企業應當為個人用戶提供控制其信息的方法，哪怕信息此前已經公開，這包括隱藏、刪除全部或部分個人信息，以及提供針對其他用戶利用其個人信息的適當投訴渠道。在新浪微博訴“脈脈”案中，法院就以此做出對“脈脈”不利的3點判斷：一、“脈脈”未向用戶充分告知上傳個人手機通訊錄的要求及后果，而且一旦上傳手機通訊錄，脈脈用戶也無權選擇關閉非脈脈用戶的信息展示方式；二、“脈脈”沒有尊重新浪微博用戶對個人微博職業、教育等信息，是否公開、如何公開的自主意愿；三、“脈脈”沒有向相關用戶提供一度、二度人脈之間共同好友展示狀態的選擇，使那些不愿出現在相關人脈圈的用戶在不知情的情況下被關聯。

完善保護尚待立法指引

雖然各界對于個人信息應受法律保護已達成共識，但由于法律規范尚不充分，對于其內容、范圍、方式等仍有分歧。在主要法律層面，除前述《刑法修正案七》外，僅我國《消費者權益保護法》規定消費者“享有個人信息依法得到保護的權利”，而全國人大常委會《關于加強網絡信息保護的決定》又存在效力級別模糊、適用范圍有限的尷尬。法律規則的缺位導致法院在審理相關案件時，不得不訴諸一般人格權的保護規則，這就引發了裁判尺度不一的風險，也引起了法學界對“向一般條款逃避”的司法趨向的批評，更加不利于促進對個人信息的合理使用。

為此，最高法院曾在《關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》中，對個人信息侵權類案件的裁判做出指引。但是，司法解釋的有關規定受制定權限所限，仍未脫離侵權責任的經典模式，即需由權利人證明受有損害。而在大部分此類案件，包括新浪微博訴“脈脈”案中單個用戶的直接損害是難以證明的，這在客觀上構成了維權障礙。因此，對個人信息的充分保護與利用，仍有賴于將來完整的信息保護法律體系的建立。

責任編輯/鄭潔