大數據背景下，用戶個人信息保護的法律構建

趙志宇

西南財經大學法學院，四川 成都 611130

一、個人信息概念界定

歐盟1995年頒布的《數據保護指令》中個人信息定義為“與已識別或可識別的自然人有關的任何信息，可識別的人是可以直接或間接識別的人”；我國2016年通過的《網絡安全法》將個人信息界定為“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等”；可以看出，我國在界定個人信息時采取了類似歐盟的“識別中心”方式，也即當信息可以與特定的人產生直接聯系或與其他信息組合來間接識別特定自然人時，就被認定為是個人信息，同時將姓名、住址、身份證號碼等典型個人信息做出列舉，以抽象概念加具體舉例的方式確定個人信息概念的內涵和外延，保障定義的科學性，確定了法律保護個人信息的客體，是個人信息法律保護的基礎。

二、現有個人信息保護問題

《網絡安全法》通過以來，我國的網絡安全信息保護規(guī)制有了一定的法律依據，但由于互聯網信息泄露的相對隱蔽性，且涉及主體和客體范圍極其廣泛，雖然侵犯用戶個人信息的行為有了一定程度的減少，但亂象依然層出不窮。前有攜程、滴滴被指“大數據殺手；后有美團、餓了么被疑非法讀取個人聊天記錄等敏感信息甚至利用手機進行監(jiān)聽。另據2018年中國消費者協(xié)會發(fā)布的《APP個人信息泄露情況調查報告》，在5458份有效問卷中，有85.2%的被調查者遇到過個人信息泄露。這些都表明個人信息保護遭遇巨大挑戰(zhàn)，也成為了人們關注的焦點。

現有侵犯用戶個人信息安全的行為主要有事前收集與提供服務無關的個人信息、事中的將個人信息在用戶不知情的情況下共享或轉賣給第三方平臺、事后的用戶個人信息無法刪除等。這些行為普遍存在于互聯網行業(yè)中，對用戶的個人信息安全構成了嚴重威脅。

三、保護個人信息的法律辨析

(一)用戶個人信息的所有權歸屬

在互聯網時代，信息對于個人、企業(yè)乃至是國家都是一種重要的無形資源，也應有其他資源共有的所有權歸屬問題。那么用戶個人信息的所有權歸屬于誰？筆者認為毫無疑問的應該歸屬于用戶本人。用戶是個人信息的產生者，且個人信息具有很強的人身屬性，與用戶具有很強的關聯性。在用戶與服務平臺簽訂的服務合同中，用戶只是提供個人信息，并授予平臺在與提供與特定服務相關的活動時，對這些個人信息享有使用權。

(二)網絡平臺的地位優(yōu)勢

互聯網平臺是網絡信息服務的經營者，用戶是該服務的消費者，但相較于傳統(tǒng)意義上的經營者與消費者，互聯網平臺與用戶之間力量與信息的不對稱更為嚴重、信息的占有和使用更為不對等、用戶的信息處理能力更加有限。平臺是以技術和資金為基礎的法人，而用戶是技術及資金力量都極為有限的自然人，平臺占有絕對的優(yōu)勢，雙方之間的關系事實上極不平等。而信息數據是大數據時代最為重要的資源，平臺擁有大量信息，也有強烈的動機收集無關的個人信息或泄露收集到的個人信息給第三方謀取經濟利益。但用戶在將信息提供給平臺后無法對信息流向及使用方法進行監(jiān)督，相關法律體制應及時對此進行有效監(jiān)管，雖然《網絡安全法》對這些行為進行了一般性的禁止性規(guī)定和相應的法律后果，但并未構建起具體有效的實施框架。

(三)平臺收集使用信息的界限

現有法律體制均要求平臺在信息收集事前需以明示的方式告知用戶，但仍存的一個問題就是個人信息收集的界限，筆者認為這一界限應該是與服務直接相關的最小化的充分信息，對于非直接相關信息，應賦予用戶靈活的選擇權。而對用個人信息的使用，平臺應當將其限定在和用戶約定的特定服務上面，未經用戶同意，不得向第三方或第三方的服務泄露或使用。

四、改進措施

首先，平臺在收集信息前不僅需對收集的個人信息種類進行明示，還需明確指出各類信息用于何種服務，對于間接相關信息采取默認不選擇的方式，保護用戶自主選擇權，且這些間接相關信息的收集與否不得成為服務是否可以使用的條件。其次，在信息收集后，對信息進行加密處理，所有的信息使用過程及流動過程全部如實記錄并備份，在發(fā)生爭議時作為裁決的主要依據，設立內部監(jiān)管機構，并接受政府和行業(yè)協(xié)會的監(jiān)管。最后，切實保障用戶的信息刪除權，當用戶提出刪除個人信息的要求時，徹底刪除全部信息。