共享經濟下的個人信息利用與保護

黃裕珍

摘 要 隨著共享經濟時代的到來，部分企業為了開辟新的發展路徑充分利用互聯網盤活資源。2016年底，共享單車企業推出解決“出行最后一公里困境”的服務，迅速打開市場。在共享商機不斷發展的背后，用戶個人信息泄露卻遭遇更大風險。現行立法明確個人信息的人格權屬性，規定自然人的信息受法律保護。本文以哈羅單車用戶協議為例，就注冊信息和隱私保護條款分析用戶潛在的信息安全風險，對共享企業使用用戶信息劃定合理邊界來保護個人信息。

關鍵詞 共享經濟；用戶協議；個人信息

一、以共享單車為代表的共享經濟引發的信息安全問題

2017 年5 月13 日，在國際黑客大賽上，女黑客Tyy僅用短短幾秒鐘完全破解四款共享單車用戶的注冊賬戶和密碼的新聞引發各方關注。共享單車用戶賬號輕易被破解意味著用戶保留在平臺上的個人信息極易遭到泄露，這些信息如果泄露，被不法分子掌握，將會造成更多的損失。共享經濟下的個人信息傳播路徑廣、速度快，由此引發的風險也成為了以共享單車為例的共享經濟發展在法治軌道上亟待解決的問題。

二、共享經濟下個人信息的法律屬性

我國《民法總則》將個人信息權納入人格權章節下，規定自然人的個人信息受法律保護。它首次在法律上引進個人信息權的概念，確立個人信息權的獨立權利屬性與隱私權相區分。此外，首次從民事基本大法層面建立起保護個人信息安全的行為規范，為其他部門法今后配套立法指明了方向，為司法實踐中處理信息安全糾紛提供了準則依據。不可否認的是在共享經濟背景下，個人信息的開放與共享是個人信息發揮價值的前提，單純的人格權屬性不足以體現個人信息在大數據背景下具有的經濟價值。

雖然此次立法將個人信息權定性為人格權，但并未否認其經濟價值。基于個人信息具有人格利益與經濟價值的雙重屬性，很容易被企業肆意挖掘，超出合理使用的范圍，違背公民個人意愿，使得個人信息權受到侵犯。為了更好的保護個人信息權，必須尋求建立在人格權屬性下的個人信息保護和共享之間的最佳平衡。

三、哈羅單車用戶協議中個人信息條款存在的法律風險

越來越多的單車公司順勢涌入，共享單車市場一片火熱。但是在實際運營中，共享單車市場飽和導致很多單車公司運營難以維持，單車押金退還難等社會問題隨之出現，使得用戶協議引發我們更大的關注。用戶協議的簽署本應該成為用戶個人信息安全的第一道防線，經過分析發現哈羅單車用戶協議中對于個人信息主要有三個法律風險：

（一）收集用戶個人信息授權不明確

共享經濟下有互聯網技術支撐使得個人信息收集更加便捷，但其收集方式與范圍的隱蔽性使得信息收集活動處于法律邊緣。共享單車用戶再注冊使用共享單車時，必須點擊同意用戶協議才能進一步使用，但其實用戶協議本身條款過于冗長導致大多數用戶并沒有充分閱讀協議，即使其中有大量霸王條款存在也無法識別。

在哈羅單車用戶協議中，用戶得同意且不可撤銷地授權給單車企業收集和存儲相關信息，否則將無法繼續享受相關服務。用戶協議本來應該是企業與用戶之間訂立的合同，應該是經過平等協商訂立的。然而單車企業單方面剝奪了協商權利，用戶必須授權企業使用個人信息，而且還不能撤銷，信息權利的使用內容和范圍都不明確，使得用戶個人信息安全在不明晰的條款下充滿威脅。此時的用戶一旦信息泄露，就會像活在透明的玻璃瓶中，會產生一系列信任危機。

（二）對用戶個人信息進行商業使用

在大數據時代，信息是最基本的要素，也是最重要的商業資本。誰控制了數據誰就擁有更多的話語權。在前文已經分析，個人信息不僅有人格屬性，還具有經濟價值。所以企業在收集個人信息時都會對信息進行數據庫分析，企圖發揮其最大的經濟效益。由于我國法律對個人信息權利的保護不夠完善，使得企業在使用個人信息時忽視了對個人權利的保護。

在哈羅單車用戶協議中，公司與第三方合作時還可以使用用戶個人信息，企業還可以在不透露單個用戶隱私數據的前提下，對整個數據庫進行分析并進行商業上的使用。用戶授權給企業使用信息是為了獲得更好的服務，但不意味企業可以隨意流轉個人信息。雖然協議中表明第三方要承擔保護用戶信息的責任。但其實這個風險很大，因為用戶根本無從得知企業會把個人信息流轉給何企業，這個企業是否有能力保護個人信息，責任形式是什么都不夠具體。況且，用戶協議的內容應該限定在用戶獲取服務的過程中，一旦服務結束，合同目的達成，合同效力就歸于終結，這一民事行為結束。

（三）法律責任由用戶自行承擔

共享經濟與互聯網聯系密切，個人信息極易被侵犯。個人信息很可能被不法分子復制、刪改或者用于其他非法目的，甚至會受到語言攻擊和威脅等。但是在用戶協議中卻認為用戶已經意識到此類風險存在，并且此類風險均又用戶自行承擔。用戶的確有義務預見風險，但預見到此類風險的存在并不能完全排除企業的責任。企業也有義務作出相應的技術措施來防止風險發生，而不僅是用戶一方的責任，否則企業是需要負一定責任的。

四、就哈羅單車用戶協議提出保護策略

（一）個人信息分層次，不要一刀切

個人信息的范圍其實是很寬泛的一個概念，并不是所有的個人信息都具有極高的經濟價值，所以在信息收集范圍、方式以及共享時應該分開授權，不能一概而論地讓用戶默認授權。個人信息泄露我們最擔心的是害怕受到人身攻擊和財產損失。

依據個人信息與人身財產的緊密程度，可以分為一般信息和敏感信息。一般信息是指信息內容與用戶個人人身財產聯系不強，在泄露之后指向性不強，典型的如姓名、教育背景等，這些信息數據可辨識度比較低，信息安全危險指數比較低。與此相反，敏感信息則是有較強的指向性，被公開后會使的權利人的人身財產面臨很大風險，這類資源也會成為企業追逐的目標。在這種分類下，用戶在同意用戶協議 時可以默認為同意授權企業使用一般信息，但是敏感信息需要的得到用戶的進一步授權。

依據個人信息的處理程度，分為原始信息和衍生信息。原始信息是用戶在使用共享單車服務時提供的個人信息，比如聯系方式和出生年月等等。衍生信息是指企業在收集用戶信息之后，利用數據分析技術處理之后所得到的、并且與用戶有更密切聯系的個人信息，比如出行習慣、出行軌跡等。不得不說企業在數據分析時是有很大優勢的，它可以將用戶碎片化的信息進行整合變成有利的市場資源。其實這對用戶也存在很大風險，出行時間、出行方式和出行軌跡被不法分子鎖定之后，其人身財產面臨巨大的風險。在這種情況下收集用戶信息時，一定要提請用戶注意此類風險，并且采取相應的技術措施保障用戶個人信息不外泄。

（二）用戶協議中用戶有信息保留的權利

用戶協議中，企業利用自身優勢濫用格式條款來排除企業責任規避風險，完全違背了合同平等協商的規則。企業可以優化和改善服務收集用戶個人信息，但是在信息收集方式、收集內容及共享信息時能給用戶保留一些自主權。即只有在符合用戶利益時，才能合理使用用戶個人信息，如果超出了合理使用程度，比如與第三方共享信息時需要得到用戶的特別授權。用戶同意授權后，是可以撤銷的，而不是用戶協議中一次授權就不可撤銷，必須給用戶留下的一定的選擇空間。

（三）起草用戶協議時，引入一定的行政監管

為了使共享單車騎行在法律的軌道上，適當引入行政指導機制有助于取得更好的效果。在共享單車企業制定用戶協議時，可以先要求行政機關有關部門依據現行法律規定對其進行指導，實現對企業的監管。從源頭上減少霸王條款的存在。對于在監管過程中發現的問題，給予企業一定的整改時間，經過審查合格之后，才能完全投放市場。

（四）鼓勵行業協會發展和自律

法律是存在局限的，不可能解決所有的問題，所以行業自律是不能夠缺失的。行業協會具有專業的服務、自治的管理機構和綜合的部門，比行政監管有更大的優勢。鼓勵行業協會發展可以提升行業協會自身影響力，對優化共享單車服務有更大的作用。我國已經有中國自行車協會，如果能夠在此基礎上成立一個共享單車委員會，利用行業力量對共享單車用戶個人信息做統一研究分析，并且明確用戶信息使用與處置方式、范圍，與國家相關部門定期對接，及時掌握行業運行實際情況。這可以保護用戶個人信息，也可以在共享單車企業宣告破產之前保護債權人利益，解決用戶對共享單車企業的信任危機。

參考文獻：

[1]周漢華.《探索激勵相容的個人數據治理之道——中國個人信息保護法的立法方向》，載《法學研究》2018年第2期

[2]王葉剛.《個人信息收集、利用行為合法性的判斷——以<民法總則>第111條為中心》，載《甘肅社會科學》，2018年第1期

[3]楊立新.《個人信息：法益抑或民事權利——對<民法總則>第111條規定的“個人信息”之解讀》，載《法學論壇》， 2018年第1期

[4]范曉明，陳晨.《大數據視角下個人信息安全風險及對策淺析》，載《北京警察學院學報》， 2018年第1期

[5]李永軍.《論<民法總則>中個人隱私與信息的“二元制”保護及請求權基礎》，載《浙江工商大學學報》， 2017年第3期

[6]張里安，韓旭至.《大數據時代下個人信息權的私法屬性》，載《法學論壇》， 2016年第3期

[7]張新寶.《從隱私到個人信息：利益再衡量的理論與制度安排》，載《中國法學》， 2015年第3期