數據權訪問的分析與研究

郭詒

[摘 要]技術力量不斷推動人們創造新的世界，為了滿足人們的多種需求，借助互聯網時代的優勢開發了各種各樣的應用軟件，同時也就催生了海量的數據信息，在應用程序中用戶和開發者關于數據權利的確定以及維護問題也越發重要。文章通過對當今互聯網環境、相關群體和案例的調查、分析和研究，提出保護及立法建議。

[關鍵詞]數據權;數據權保護;網絡安全

[DOI]10.13939/j.cnki.zgsc.2020.15.102

1 當前環境對數據權保護的法律制度不足

“后棱鏡門”時代和“互聯網+”時代的到來，網絡數據的價值和其受到的安全威脅也有加無減，這就給數據安全的保障帶來了嚴峻的挑戰，各國對于數據使用的態度也從注重開放轉向強調保護。基于大數據現如今的發展，它需要以法律制度來明確數據權利的所有、使用以及維護等方面。但是對于個人數據這樣一個新興法益，我國并沒有專門性的個人數據保護法，只有相關性的法律給予保護。例如，《刑法》《侵權責任法》《互聯網信息服務管理法》《網絡安全法》和《關于加強網絡信息保護的決定》，除此以外，《憲法》和《民法通則》中也有對個人數據的間接保護，但是對于數據主體問題仍沒有明確提出，再加上個人數據權利化必要性的爭議，對它的保護可謂是“道阻且長”。

2 數據的權屬問題復雜

數據權屬的問題本來就是橫亙在立法和政策制定過程中的難題之一，具體到應用軟件中就更為煩瑣。

2.1 個人數據

文章中對于個人數據的概念界定參考日本，即為以數據庫等經過一定程度整理、以體系化方式所呈現的，能夠容易檢索到個人相關信息的內容，包括個人基本信息、個人移動、行動、購物記錄等相關信息，以及通過可穿戴設備收集的相關個人信息。個人是個人數據的生產者，所以該數據的運用應該以個人為核心，企業和國家在收集使用時，必須明確說明使用目的、方式及范圍，合法合理地運用。

2.2 企業數據

企業數據指的是公司概況介紹、經營范圍、聯系方式等一切與企業生產經營相關的信息和資料。同樣，企業作為產生數據的主體，對數據享有絕對的所有權，其他主體的收集使用須經過企業同意。但是企業在經營過程中收集到的數據信息不能隨意使用，收集的信息如果仍具有可識別性特征，或者不是經過獨創的選擇、編排的數據庫，那么數據主體仍屬于被收集者。比如，在天貓、當當、小紅書上的購物記錄，相關企業只是數據管理者，數據仍屬于用戶個人，企業若要利用須經過用戶同意。

2.3 國家數據

國家數據一般指政府在行政執法、行政管理和提供公共服務的過程中產生的各種信息， 如行政許可、行政管理活動中所產生的一些數據。大部分國家數據往往具有共有性質而構成了社會基礎，因此，除了保密性數據以外的數據可以為企業或公眾收集使用。

3 數據權利在軟件中出現的不良問題

3.1 強制行為

在下載使用App時往往伴隨著權限請求，大部分以同意訪問通信錄、相冊等存儲空間，獲取地理位置和讀取發送短信等為主，有些不授予權限就不能正常使用App的基本功能。以餓了么為例，提示中指出App可能會獲取位置等信息，用戶有權拒絕或取消授權，可不同意就會得到無法提供服務只能退出應用的回答。諸如此類的軟件導致的結果就是，用戶習慣性地同意權限，不論手機是否有該軟件，都會不定期收到帶有其真實姓名的短信，購物平臺會一直推薦你看過的商品。用過度的隱私換來的便利不是真正的便利。

3.2 過度收集

《2019年上半年我國互聯網網絡安全態勢》的報告中指出，每款App應用平均收集20項個人信息，大量App存在探測其他App或讀寫用戶設備文件等異常行為。以最近的換臉App“ZAO”為例，其用戶協議第六條第二款規定，如果您把用戶內容中的人臉換成您或者其他人的臉，您同意或確保肖像權利人同意授權“ZAO”及其關聯公司全球范圍內完全免費、不可撤銷、永久、可轉換權和可再許可的權利。這就意味著，用戶同意該軟件任意使用自己的肖像，公眾人物會存在被陷害造謠的風險，普通群體也存在著刷臉盜付等危險情況。

3.3 惡意泄露

3.3.1 應用程序惡意竊取信息

2019年5月，國家互聯網應急中心天津分中心通過自主監測和樣本交換的形式發現66個竊取個人信息的惡意程序。其中，包括盜號神器、刷贊大師、錄像、違章查詢、招標文件、年會邀請函、各種游戲變態輔助等。而被曝光的惡意程序的主要危害有：不經過用戶允許，而將其手機里所有的短信和通信錄上傳到指定的郵箱;或者在用戶不知情的情況下接收指定手機號碼發來短信控制指令，執行控制指令內容;再者將用戶接收到的新的短信轉發至指定的手機號，同時在其收件箱中刪除該短信。

3.3.2 相關人員違法售賣

個人信息買賣已形成一條產業鏈，規模大、鏈條長、利益大是它的三大特征。這條產業鏈已擁有完整的結構和細化的分工，個人信息更是被明碼標價。其中，在流通變現的過程中，包括了上、中、下游三個環節。上游環節負責提供貨源，非法獲取或向他人提供個人信息，這些信息主要來源于黑客攻擊的泄露和“內鬼”主動的外泄;中游環節負責對從上游獲得的個人信息進行二次加工和處理，通過交換、買賣等形式形成了市場，并將其規?；?下游環節則負責應用信息從而變現，將所獲個人信息通過電信詐騙、惡意營銷等不法渠道應用，以此來牟取高額利潤。而我國中華人民共和國消費者權益保護法中有規定，經營者及其工作人員對收集的消費者個人信息必須嚴格保密，不得泄露、出售或者非法向他人提供。

4 解決辦法

4.1 用戶須仔細閱讀隱私權政策及用戶協議，且在使用各類軟件時注意相關行為

以趣頭條為例，用戶協議中規定了應用軟件的定義、賬號注冊、使用規則、軟件提供服務、個人信息保護、知識產權政策、違約處理、協議修訂與更新等內容，而其中涉及免除或者限制責任的條款、權利許可和信息使用的條款、同意開通的條款、法律適用和爭議解決條款等更是重要。通常用戶協議中都會規定，若用戶使用軟件及相關服務，則視為已充分了解該協議，并承諾作為該協議的一方當事人接受該協議各項條款的約束。所以用戶更要不輕易同意權限和協議，不輕易使用應用程序。除此之外，惡意收集信息的程序多潛藏在無緣無故出現的短信、鏈接或文件中，要注意不要隨意點擊;網頁或軟件在使用無痕模式時也會有相關信息留存，所以要及時清除帶有個人信息的瀏覽記錄;利用各類安全軟件對詐騙短信、惡意程序進行攔截;打開手機中防病毒軟件的實時監控功能，對手機操作進行主動防御和安全性的檢測，這樣可以第一時間監控未知病毒的入侵活動并提示你進行下一步操作。

4.2 軟件開發者及企業規范自身行為，合法合理地收集、使用數據

在2019年《信息安全技術 移動互聯網應用（App）收集個人信息基本規范（草案）》中就要求了，App的運營者負有個人信息保護義務，為保障用戶個人信息的安全，應采取必要安全措施;且當用戶同意應用軟件收集某服務類型的最少信息時，它不得因用戶拒絕提供最少信息之外的個人信息而拒絕提供該類型服務;對外共享、轉讓個人信息前，也應該事先征得用戶明示同意等。另外，應用軟件收集個人信息時可以采取以需應供的方式，當用戶需要關聯好友時，再向用戶請求通信錄權限，或者當用戶需要提醒某活動時，可以再向用戶請求發送短信權限等。

4.3 國家加強網絡安全與個人信息安全政策宣傳，宏觀調控生產經營者的行為，并加強立法，以明確的法律法規規范數據權利保護的范圍與途徑

在立法上，為了進一步加強個人信息保護，除了已經頒布的《網絡安全法》《兒童個人信息網絡保護規定》，《個人信息保護法》也已經納入了十三屆全國人大常委會的立法規劃，《數據安全管理辦法》《個人信息出境安全評估辦法》等也完成了公開征求意見。

為了加強數據管理和個人信息保護的安全，也為了進一步推進現有法律的實施和立法的進程，全國信息安全標準化委員會還發布了《個人信息安全規范》《大數據服務安全能力要求》等國家標準，組織制定移動互聯網應用程序收集個人信息基本規范等標準草案。除此之外，《信息安全技術 移動互聯網應用（App）收集個人信息基本規范（草案）》更是針對App的收集信息提出了規范要求。相信在國家和每個人的努力之下，我國的數據安全能夠得到更加強有力的保障。

參考文獻：

[1]李慧敏，王忠.日本對個人數據權屬的處理方式及其啟示[J].科技與法律，2019：66.

[2]石丹. 大數據時代數據權屬及其保護路徑研究[J]. 西安交通大學學報（社會科學版），2018，149（3）：84-91.

[3]人民日報.手機App過度采集個人信息 誰是信息泄露的幕后“黑手”[N/OL].[2018-10-10].https：//baijiahao.baidu.com/s？id=1613892185777835083&wfr=spider&for=pc.