網(wǎng)絡(luò)平臺用戶信息利用規(guī)制與保護(hù)探析
——基于《個人信息保護(hù)法》解讀

郭若嫄

美國福特漢姆大學(xué)商學(xué)院，美國 紐約 10023

以大數(shù)據(jù)、人工智能、移動互聯(lián)、云計算、區(qū)塊鏈、物聯(lián)網(wǎng)等為代表的新技術(shù)集群廣泛應(yīng)用，帶動數(shù)字經(jīng)濟(jì)、平臺經(jīng)濟(jì)迅猛發(fā)展。伴隨著發(fā)展而來的網(wǎng)絡(luò)平臺個人信息利用與保護(hù)問題，也得到了前所未有的熱度和關(guān)注度，尤其是個人信息收集、披露、濫用以及“大數(shù)據(jù)殺熟”等社會負(fù)面現(xiàn)象頻出，讓大眾對自身信息安全充滿擔(dān)憂，導(dǎo)致對各網(wǎng)絡(luò)平臺不信任，甚至引發(fā)法律糾紛，十分不利于經(jīng)濟(jì)社會的健康與和諧發(fā)展。本文以《個人信息保護(hù)法》規(guī)定的個人信息保護(hù)范圍和處理規(guī)則、利益相關(guān)者的權(quán)利義務(wù)和法律責(zé)任等為討論對象，就網(wǎng)絡(luò)平臺合法合規(guī)利用用戶信息提出可行策略。

一、《個人信息保護(hù)法》出臺背景

（一）個人信息濫用問題嚴(yán)峻

據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）2021 年8 月27 日發(fā)布的《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》數(shù)據(jù)顯示，截至2021 年6 月，我國網(wǎng)民規(guī)模達(dá)10.11 億人，互聯(lián)網(wǎng)普及率達(dá)71.6%，我國已經(jīng)形成全球最為龐大的數(shù)字社會。龐大的個人信息運用到互聯(lián)網(wǎng)、大數(shù)據(jù)等領(lǐng)域，激活數(shù)字經(jīng)濟(jì)發(fā)展的同時也產(chǎn)生諸多新問題。例如，2005 年，新浪網(wǎng)站發(fā)布一則《網(wǎng)站搜人引擎偷走9000 萬份個人資料》的新聞，在一個號稱全球最大的搜人引擎UCOOL 上，通過輸入姓名查找到符合姓名的人的詳細(xì)資料，包括聯(lián)系方式、學(xué)習(xí)或工作單位、家庭住址等，［1］一度引發(fā)了不小轟動和恐慌；2009 年，中國社會科學(xué)院發(fā)布的《法治藍(lán)皮書》顯示，隨著信息處理和存儲技術(shù)不斷發(fā)展，我國個人信息濫用問題日趨嚴(yán)重［2］，過度收集、擅自披露、盜用濫用、非法買賣用戶信息等問題層出不窮；［3］2016 年，美國近8700 萬Facebook 用戶數(shù)據(jù)被不正當(dāng)泄露給為美國總統(tǒng)競選工作服務(wù)的數(shù)據(jù)公司——J 分析公司，借此操縱輿論、干預(yù)總統(tǒng)大選；2020 年，浙江省消保委第三季度受理投訴情況分析中，F(xiàn) 平臺兩度被點名，分別涉及“大數(shù)據(jù)殺熟”和宣傳與實際不符的問題。網(wǎng)絡(luò)領(lǐng)域的用戶信息合法合理地使用面臨極其嚴(yán)峻的挑戰(zhàn)，需要法律來保護(hù)用戶信息的呼聲越發(fā)響亮，已然成為大眾最為關(guān)心也最為息息相關(guān)的利益問題。

（二）回應(yīng)信息流通立法潮流

互聯(lián)網(wǎng)的廣泛應(yīng)用和飛速發(fā)展，打破了傳統(tǒng)的地域和時空限制，規(guī)范信息流通、加強(qiáng)個人信息保護(hù)，已經(jīng)成為全球面臨的共性問題。目前，全世界已經(jīng)有超過100 個國家通過立法的形式加強(qiáng)對個人信息和隱私的保護(hù)，其中最具有代表性的當(dāng)數(shù)歐盟在2018 年5 月頒布生效的《通用數(shù)據(jù)保護(hù)條例（GDPR）》。GDPR 對互聯(lián)網(wǎng)組織收集、分析和管理用戶信息權(quán)限進(jìn)行了嚴(yán)格限定和監(jiān)管，包括信息收集的知情同意權(quán)，個人數(shù)據(jù)訪問權(quán)、修改權(quán)、擦除權(quán)、限制處理權(quán)，數(shù)據(jù)攜帶權(quán)和反自動化決策權(quán)，［4］同時還設(shè)立了獨立的監(jiān)管機(jī)構(gòu)［5］。與歐盟不同但同樣具有代表性的是美國的做法，美國訴諸“行業(yè)自律+分散立法”的雙重路徑來保護(hù)個人信息，在行業(yè)自律維度主要是通過微軟等互聯(lián)網(wǎng)巨頭建立個人隱私保護(hù)機(jī)制，在立法上則是通過制定實施《消費者隱私權(quán)利法案》《算法責(zé)任法案》等法律發(fā)揮作用。我國《個人信息保護(hù)法》出臺，在一定程度上借鑒了歐盟GDPR 及其他國家和地區(qū)的立法思路，同時順應(yīng)了全球化背景下我國數(shù)字經(jīng)濟(jì)發(fā)展大趨勢、新要求，響亮回應(yīng)了個人信息保護(hù)世界立法的潮流。

（三）前期立法奠定堅實基礎(chǔ)

早在21 世紀(jì)初，我國便開始針對個人信息保護(hù)進(jìn)行立法探索。2000 年頒布的《全國人大常委會關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》對侵犯公民通信自由和通信秘密作出規(guī)定，首次涉及個人信息保護(hù)［6］。2012 年《全國人大常委會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》提出在收集、利用個人電子信息時應(yīng)當(dāng)遵守的三大原則，即合法、正當(dāng)、必要。這三大原則作為基礎(chǔ)性原則在之后的立法中均得到延續(xù)和體現(xiàn)。2013 年《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)管理規(guī)定》對用戶個人信息作出明確界定。2016 年《網(wǎng)絡(luò)安全法》首次以法律形式規(guī)范個人信息保護(hù)問題，明確了用戶對個人信息的更正權(quán)、刪除權(quán)，對“告知—同意”規(guī)則進(jìn)行具體闡述。該法填補(bǔ)了我國在個人信息保護(hù)領(lǐng)域的法律空缺，為個人信息保護(hù)提供了法律依據(jù)，對我國網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)具有里程碑意義。同時，一些法律法規(guī)在制（修）訂過程中都補(bǔ)充了個人信息保護(hù)相關(guān)條款［6］，例如，《消費者權(quán)益保護(hù)法（修訂）》《刑法修正案（九）》《民法典· 人格權(quán)編》等，但均未形成完整的個人信息保護(hù)法律體系。2018 年9 月，《個人信息保護(hù)法》首次納入立法計劃，經(jīng)過3 年的起草修訂，于2021 年11 月1 日正式實施，標(biāo)志著我國首個個人信息層面的立法登上了時代舞臺。

二、《個人信息保護(hù)法》重點解讀

（一）個人信息處理核心原則的確立

個人信息保護(hù)建立在規(guī)定和限制個人信息處理者行為的前提之上。《個人信息保護(hù)法》在繼承了三大原則的基礎(chǔ)上，增加了誠信、質(zhì)量、最小范圍、目的限制等原則。例如《個人信息保護(hù)法》的第五條、第六條以及第七條均彰顯了個人信息處理的核心原則。同時，《個人信息保護(hù)法》對“告知—同意”規(guī)則做出了更為明確具體的規(guī)定。《個人信息保護(hù)法》的第十七條規(guī)定了信息處理者在處理信息前應(yīng)當(dāng)以顯著的方式，并用清晰易懂的語言履行告知義務(wù)并取得同意。

（二）規(guī)范個人信息境外效力原則

《個人信息保護(hù)法》學(xué)習(xí)、吸收了2018 年歐盟《通用數(shù)據(jù)保護(hù)條例（GDPR）》關(guān)于個人信息保護(hù)境外效力的相關(guān)提法、做法和經(jīng)驗，在條款中明文規(guī)定了個人信息境外效力情形，耦合了國際個人信息保護(hù)的境外效力趨勢。根據(jù)《個人信息保護(hù)法》第三條第二款規(guī)定，在中華人民共和國境外處理中華人民共和國境內(nèi)自然人個人信息的活動，包括以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的的活動（如麥肯錫、波士頓咨詢等大型國外咨詢公司向境內(nèi)的自然人提供咨詢服務(wù)），分析、評估境內(nèi)自然人的行為的活動（如國際商業(yè)機(jī)器公司（IBM）發(fā)布的用戶行為調(diào)查報告），以及法律、行政法規(guī)規(guī)定的其他情形，均適用本法。個人信息境外效力的相關(guān)規(guī)定，進(jìn)一步明確和規(guī)范了個人信息國際流通的規(guī)范性，有效促進(jìn)國際交流合作和經(jīng)濟(jì)全球化健康可持續(xù)發(fā)展。

（三）規(guī)范個人信息自動化決策原則

隨著大數(shù)據(jù)、數(shù)據(jù)挖掘、人工智能等現(xiàn)代信息技術(shù)在個人信息處理中的廣泛應(yīng)用，算法黑箱、信息繭房、羊群效應(yīng)、大數(shù)據(jù)殺熟等負(fù)面社會現(xiàn)象接踵而至，嚴(yán)重影響了經(jīng)濟(jì)秩序。為了扭轉(zhuǎn)局面、維持健康經(jīng)濟(jì)秩序，《個人信息保護(hù)法》第二十四條明確指出在進(jìn)行自動化決策時，個人信息處理者應(yīng)當(dāng)堅持的原則，即決策的透明度和結(jié)果公平、公正，以及不得對個人實行不合理的差別待遇，包括交易價格等交易條件。同時，要求個人信息處理者提供不具有針對性的選項，如在營銷信息推送時提供自動化決策信息和非自動化決策信息兩個選項，由用戶自主選擇。《個人信息保護(hù)法》賦予了用戶拒絕的權(quán)利，即對于利用自動化決策作出的結(jié)果用戶可以要求處理者說明并拒絕那些對自己權(quán)益有重大影響的決定，這樣能夠有效避免信息處理者濫用自動化決策。

（四）定義和建立敏感個人信息處理規(guī)則

《個人信息保護(hù)法》從人格尊嚴(yán)、人身及財產(chǎn)安全、是否年滿十四周歲等三個維度區(qū)分了敏感信息和非敏感信息。《個人信息保護(hù)法》用單獨的一節(jié)詳細(xì)厘定了個人敏感信息的處理原則和方法，例如利用敏感信息必須同時滿足以下兩個條件：一是具有特定的目的以及充分的必要性，二是采取嚴(yán)格保護(hù)措施。滿足以上兩個條件并不意味著信息處理者可以立即實施處理行為。個人信息處理者要充分告知個人信息處理的必要性及可能影響，取得單獨同意后才可實施處理敏感信息行為。這些規(guī)則展現(xiàn)了立法者對敏感個人信息的高度重視和嚴(yán)格保護(hù)。

（五）明確個人信息處理中個人各項權(quán)利

確立信息主體在個人信息處理中享有的各項權(quán)利，有助于更好地管理自身信息權(quán)益，做好風(fēng)險預(yù)期與防范，同時也有助于個人信息處理者更好地規(guī)范和約束自身信息處理行為。基于此，《個人信息保護(hù)法》用完整的一章，即第四章（第四十四條至第五十條）厘定了主體的權(quán)利，構(gòu)筑信息主體在個人信息處理活動中的權(quán)利大樓，包括知情權(quán)、決定權(quán)、查詢復(fù)制權(quán)、轉(zhuǎn)移攜帶權(quán)、更正補(bǔ)充請求權(quán)、刪除請求權(quán)以及要求解釋說明權(quán)七項權(quán)利［7］。

（六）嚴(yán)格規(guī)定個人信息處理者的各項義務(wù)

只有嚴(yán)格監(jiān)督個人信息處理者履行其在個人信息處理中各項義務(wù)，才能更好地保證主體在個人信息處理中的權(quán)利。鑒于此，《個人信息保護(hù)法》專設(shè)一章對個人信息處理者的義務(wù)進(jìn)行了規(guī)制。一是規(guī)定了安全保障義務(wù)，《個人信息保護(hù)法》第五十一條從“制定內(nèi)部管理制度和操作規(guī)程、對個人信息實行分類管理……法律及行政法規(guī)規(guī)定的其他措施”等六項措施來保證處理個人信息行為的合法性和安全性；二是規(guī)定了個人信息保護(hù)人制度［8］，據(jù)第五十二條，處理個人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者，應(yīng)當(dāng)指定個人信息保護(hù)負(fù)責(zé)人；三是個人信息保護(hù)影響評估制度，第五十五條規(guī)定了四種需要進(jìn)行個人信息保護(hù)影響評估的具體情形，即敏感信息的處理、進(jìn)行自動化決策、委托或向其他處理者提供個人信息以及向境外提供信息，并最后利用對個人權(quán)利有無重大影響，來評估其他未列舉情形是否需要進(jìn)行評估作為兜底，以保證對個人信息的全面保護(hù)；四是規(guī)定了大型互聯(lián)網(wǎng)平臺的特殊保護(hù)義務(wù)，《個人信息保護(hù)法》要求其履行“守門人”角色，承擔(dān)更多的責(zé)任，例如由外部成員成立獨立機(jī)構(gòu)來進(jìn)行監(jiān)督工作，定期發(fā)布報告，以接受社會監(jiān)督［9］。

（七）加強(qiáng)個人信息侵權(quán)的法律責(zé)任

《個人信息保護(hù)法》在《民法典》對侵犯個人信息權(quán)益的損害賠償規(guī)則的基礎(chǔ)上，進(jìn)一步加強(qiáng)了對個人信息權(quán)益的保護(hù)，增加了許多強(qiáng)有力的個人信息保護(hù)措施［8］。第一，確立了民事責(zé)任、行政責(zé)任與刑事責(zé)任相結(jié)合的多維度、多層次、立體化責(zé)任體系；第二，確立個人信息侵害過錯推定責(zé)任；第三，確立個人信息損害賠償責(zé)任。《個人信息保護(hù)法》在罰款相關(guān)的規(guī)定上也相當(dāng)嚴(yán)格，其中“處5000 萬元以下或者上一年度營業(yè)額5%以下罰款”，對比GDPR 的“對輕微罰款營業(yè)額2%或1000 萬歐元的罰款”，以及“對嚴(yán)重違約罰款全球營業(yè)額的4%或2000 萬歐元”處罰規(guī)則來看，我國的處罰程度與歐盟處在同一個量級，體現(xiàn)了我國對違反個人信息保護(hù)制度的嚴(yán)厲處罰以及對個人信息的堅決保護(hù)。

三、網(wǎng)絡(luò)平臺合法合規(guī)利用用戶信息的可行策略

（一）樹立信息利用和信息保護(hù)“互促雙贏”理念

進(jìn)入以數(shù)據(jù)資源作為關(guān)鍵生產(chǎn)要素、以現(xiàn)代信息網(wǎng)絡(luò)作為重要載體、以信息通信技術(shù)的有效使用作為效率提升和經(jīng)濟(jì)結(jié)構(gòu)優(yōu)化的重要推動力的數(shù)字經(jīng)濟(jì)時代［10］，是經(jīng)濟(jì)、計算機(jī)科學(xué)技術(shù)發(fā)展的必然趨勢。通過數(shù)據(jù)挖掘分析把握市場深層次需求，利用精確的推薦算法程序滿足差異化、多樣化的需求，并指引商品生產(chǎn)規(guī)劃，動態(tài)解決供需失衡問題［11］，從而形成高效穩(wěn)定供求關(guān)系，顯著提升市場效率，可以進(jìn)一步發(fā)揮數(shù)字經(jīng)濟(jì)優(yōu)勢、推動數(shù)字經(jīng)濟(jì)發(fā)展。因此，各網(wǎng)絡(luò)平臺應(yīng)當(dāng)樹立信息利用和信息保護(hù)“互促雙贏”的理念，在保護(hù)用戶個人信息的同時，充分利用這一優(yōu)點，找到信息保護(hù)和信息合理使用之間的平衡，促進(jìn)盈利增收的同時推動數(shù)字經(jīng)濟(jì)健康可持續(xù)發(fā)展。從《個人信息保護(hù)法》第一條“為了保護(hù)個人信息權(quán)益，規(guī)范個人信息處理活動，促進(jìn)個人信息合理利用，根據(jù)憲法，制定本法”也能看出，信息保護(hù)和信息合理利用之間并不是相互對立、互不相容的關(guān)系，信息保護(hù)是信息合理利用的前提，合理利用信息是信息保護(hù)的目的［11］。

（二）把握個人信息處理各項規(guī)制

第一，準(zhǔn)確認(rèn)知《個人信息保護(hù)法》所提及的基礎(chǔ)原則。這些原則不僅反映了立法的指導(dǎo)原理和準(zhǔn)則，同時折射出當(dāng)今社會的價值取向、趨勢和要求。因此，平臺只有在各項原則的指導(dǎo)下進(jìn)行個人信息收集、處理等活動，才能建立起平臺的公信力，取得民眾的信賴，用戶才會放心地將個人信息授權(quán)給平臺使用。

第二，準(zhǔn)確識別不同個人信息類型的適用場景。非敏感個人信息、敏感個人信息及不同類型敏感個人信息的適用場景不同，處理方式也應(yīng)有所區(qū)別。例如，人臉識別這種屬于生物識別的敏感個人信息，平臺在收集、處理時應(yīng)該以單獨、顯著的方式征得用戶的同意，而且不能以用戶拒絕提供面部信息為由而拒絕提供服務(wù)。

第三，科學(xué)合法使用自動化決策。對幾乎所有網(wǎng)絡(luò)平臺來講，自動化決策解放了生產(chǎn)力。網(wǎng)絡(luò)平臺最常見的自動化決策，是借助數(shù)據(jù)分析、可視化分析等手段將收集到的大量用戶個人信息構(gòu)建出用戶畫像，并依托推薦算法向用戶進(jìn)行個性化推薦，預(yù)測用戶購買行為，影響甚至引導(dǎo)用戶的購買決策。在《個人信息保護(hù)法》的指導(dǎo)下，網(wǎng)絡(luò)平臺應(yīng)該提高自動化決策過程中的透明度，給予用戶選擇是否需要個性化推薦的選擇權(quán)；對影響用戶做出重大決策的場景引入人工審核，并且在有第三方介入的場景時確保第三方系統(tǒng)滿足法律的要求；同時，還可在使用用戶信息之前將用戶個人信息進(jìn)行加密處理，使處理后的數(shù)據(jù)無法反向定位、識別到具體用戶，借此保護(hù)用戶的信息。

（三）制定個人信息利用規(guī)章制度

從《個人信息保護(hù)法》對大體量的互聯(lián)網(wǎng)平臺在用戶個人信息保護(hù)的要求上來看，平臺需建立一套耦合《個人信息保護(hù)法》相關(guān)規(guī)定、符合自身實際的個人信息保護(hù)規(guī)章制度和完備且高效的數(shù)據(jù)管理體系與內(nèi)部監(jiān)管模式。例如，遵循公開、公平、公正的原則，制定利用規(guī)則、過錯推定責(zé)任認(rèn)定規(guī)則、違規(guī)處罰規(guī)則，明確平臺在個人信息利用中的“利用什么信息、用在哪些地方、如何利用、如何保護(hù)、如何約束、如何處理違規(guī)利用”；成立專門的個人信息保護(hù)小組或團(tuán)隊，明確個人信息保護(hù)第一責(zé)任人，進(jìn)行合法合規(guī)、隱私保護(hù)方案具體實施的監(jiān)管，并逐步形成穩(wěn)定健全的監(jiān)督機(jī)制，充分履行個人信息保護(hù)“守門人”職責(zé)。

四、結(jié)語

《中國互聯(lián)網(wǎng)發(fā)展報告2021》顯示，2020 年中國數(shù)字經(jīng)濟(jì)規(guī)模達(dá)到39.2 萬億，占GDP 比重38.6%并保持了9.7%的高位增速。我國數(shù)字經(jīng)濟(jì)正以勢不可當(dāng)?shù)淖藨B(tài)闊步而來。各網(wǎng)絡(luò)平臺應(yīng)結(jié)合數(shù)字經(jīng)濟(jì)發(fā)展趨勢和規(guī)律，主動迎接《個人信息保護(hù)法》，在以《個人信息保護(hù)法》為核心的網(wǎng)絡(luò)法律體系下進(jìn)行自我限定，及時轉(zhuǎn)變經(jīng)營管理思路和方向，利用好、保護(hù)好用戶個人信息，定將享受到數(shù)字經(jīng)濟(jì)的優(yōu)勢，分享到其帶來的紅利，進(jìn)而帶動我國數(shù)字經(jīng)濟(jì)健康可持續(xù)發(fā)展。