南都观察-信息、隐私与平台责任-北京黄河缘公益基金会
  • info@nandu.org.cn
  • 010-51656856
  • 南都微信
  • 南都微博
信息、隐私与平台责任
傅蔚冈 2018-04-18

傅蔚冈,上海金融与法律研究院研究员



要消除这种疑惑,恐怕不是学理分析就能胜任,更不是像很多学者所主张的颁布一部《个人信息保护法》就能一劳永逸。从历史的视角来看,每次技术进步都会遭致来自各方面的反对意见,其责任边界也是通过众多的个案予以厘定。毫无疑问,平台责任也是如此,更不可能在事先预见。


2009年,《华尔街日报》的科技记者朱莉娅·安格温(Julia Angwin)在一篇名为“Putting Your Best Faces Forward”的文章中分析了为什么Facebook能够在激烈的社交媒体大战中脱颖而出,她的总结就是用户“愿意用自己的隐私换取一个基于信任的沟通平台”。这话听起来很耳熟,因为就在3月分的中国发展论坛上,百度CEO李彦宏也说过“中国用户很多时候愿意用隐私来换便捷服务”,当然,李彦宏的原话是这样说的:


“同时,用户的一些个人数据实际上能够帮助互联玩企业为之提供更好的服务或产品。比如,用户在电商、购物网站上的习惯、关注的品类等等信息,有助于网站为用户提供更贴心、更高效的服务。中国的消费者在隐私保护的前提下,很多时候是愿意以一定的个人数据授权使用,去换取更加便捷的服务的。因此,我们需要在保障用户信息安全和运用用户数据为之提供更好服务之间,找到更好的平衡点。当然,这一切都要遵循一定原则,要在保障用户数据权益的基础上,用这些数据让所有人受益。”


微信图片_20180418102332.jpg

李彦宏在中国发展论坛上的发言。 ? 蔚为大观


这个道理其实并不复杂,现在我们都把类似于百度和Facebook这样的互联网公司称之为平台。平台经济的一个最为基本的原则:那就是当质量优先和双边市场的滚雪球效应结合在一起的时候,质量最终会带来数量激增。当然,这也产生了一个问题,当用户把数据在留在平台上的时候,实际上就赋予了平台保护相关数据的责任,如果平台没有保护好相关的信息,那么它就会面临相关风险,这个风险可能是商誉上的,也可能是法律上的。最近Facebook就遇到了这样的麻烦。因为近5000万用户信息泄露事件,美国社交媒体上发起了一项“删除Facebook账户”的活动,Facebook的商誉遭受了极大损失;同时,美国联邦贸易委员会已经开始了对Facebook的相关调查有媒体甚至宣称Facebook有破产倒闭的风险。在这双重打击下,Facebook的股价不断下滑,截至美东时间4月6日收盘,公司股价从最高时期的195.32美元每股跌至157.20美元每股,市值缩水近20%。


微信图片_20180418102341.jpg

Whatsapp 联合创始人宣布删除Facebook账号。 ? 蔚为大观


正所谓“成也萧何败也萧何”,一方面,Facebook的快速崛起依赖于用户提供的真实信息,但另一方面,平台很快就遭受到来自保护信息不善而导致的惩罚。可以想象,现代社会不止Facebook一家存在着海量的用户信息,如果信息保管不善都会产生类似的风险。


某种程度上,现代互联网营造的便捷生活在很大程度上都是建立在这些互联网巨头积聚了海量的个人信息之上,无论是美国的Goolge、Facebook、Twitter还是中国的BAT。这次Facebook信息泄露事件是一个导火索,它把公众对互联网巨头的各种担忧(同时还含有一些不满)都爆发出来了。那么,平台该如何在个人信息和便捷的服务之间作平衡?它又该履行哪些义务?



▌个人信息和隐私


尽管公众经常将因素和个人信息联系在一起讨论,但这两者的内涵和外延并不尽一致。


从时间来看,隐私出现的更早一些,早在19世纪末期就有学者在讨论这个问题。我们现在讨论隐私问题,很大程度上还是没有跳出100多年前哈佛法学院沃伦和布兰代斯这两位教授在《哈佛法律评论》上发表的《论隐私权》一文中所奠定的框架。在这篇论文中,作者将隐私视为是“个人有权保持个体私密以防止被呈现于公众之前,这是隐私权外延中最简单的情形。保护个人不成为文字描述的对象、私生活不受媒体指指点点,将是一种更为重要、范围更广的权利。”从这个角度来看,保护隐私的目的是为了保护人的尊严,在大陆法上将其和人格权联系在一起。


那么,隐私和个人信息有何区别?尽管在欧洲和美国个人信息成为法律保护的客体已经有几十年的历史,但是在我国是近几年才有的事。如果以“个人信息”为关键词搜索中国裁判文书网,那就会发现有关“个人信息”的案件都是发生在2013年以后,而且都是刑事案件为主,集中在“非法获取公民个人信息”和“出售、非法提供个人信息”两个领域。而关于隐私权纠纷的案件早在上世纪九十年代就已经存在了。


为什么2013年是个分水岭?因为2012年12月28日第十一届全国人民代表大会常务委员会第三十次会议通过了《全国人民代表大会常务委员会关于加强网络信息保护的决定》,在此之前我国并没有关于个人信息保护的法律。该《决定》首次在法律层面确认了个人信息保护原则,如收集个人信息的合法、正当、必要原则,知情透明原则等。尽管被学界不少人称之为一般性规定过多,且很多保护措施过于宽泛,但至少释放了一个信号:个人信息和隐私两者是不同的。否则法律为什么还要另起炉灶呢?


那么,何为公民的个人信息?2017年5月9日颁布的《最高人民法院最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》指出,刑法第253条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。


由此可见,个人信息和隐私两者并不尽一致。隐私通常是由一组个人信息构成,但是并不是所有的个人信息都是隐私。


举个最简单例子,只要个人在社会中生活,参与社会交往,那么就必然要和别人交换一系列信息,而他人或者组织总会存储我的个人信息,包括但不限于姓名、身份证件、联系方式和财产状况等。很显然,别人知道我的信息,并向他人或者组织告知有关我的信息并不必然侵犯我个人的信息。《民法总则》第111条规定:自然人的个人信息受法律保护,任何组织和个人需要获取他人信息的,应该依法取得并确保信息安全,不得非法收集、使用、加工、传输他人信息,不得非法买卖、提供过程公开他人个人信息。


为什么他人或者组织要获得个人信息?在我看来,无论是合法还是非法,其目的主要是为了营利,或者说个人信息成为了一种生产要素,就是和石油等自然资源一样,这就构成了我们今天数字经济的基础。个人或者组织为何要侵犯他人隐私?一般来说是为了达到贬损他人人格的目的,而且其构成要件必须是将隐私公诸于众。我觉得这是隐私和个人信息的最为本质的区别。换句话说,如果我知晓了他人的隐私但是并不公诸于众并不会侵犯他人隐私,但是如果我通过法律上禁止的手段获得了他人信息,尽管没有将其公布于众,但我还是侵犯了个人信息,因此要承担法律上的责任,包括但不限于民事、行政或者刑事上的责任。


尽管很多个人或者机构会通过非法获得个人信息牟利,但是对于绝大多数的平台而言,一个个孤立的个人信息并无多大的价值,只有当每个用户将其行为和一定的选择联系在一起的时候才会有价值,比如说在刚刚更新的google用户协议中解释了它为什么要处理用户的各种数据,包括但不限于“当您在Google 地图上搜索某家餐馆或在 YouTube 上观看某个视频时,我们会处理与该活动相关的信息(其中包括您观看的视频、设备 ID、IP 地址、Cookie 数据和位置之类的信息)”,其目的是为了:


帮助我们的服务提供更实用、更合乎需求的内容,例如更相关的搜索结果;

改进我们的服务,并开发新的服务;

根据您的兴趣(其中包括您在 YouTube 上进行过的搜索或观看过的视频之类的内容)向您投放广告;

防范欺诈和滥用行为,从而提高安全性;

进行分析和衡量,以便了解 Google 服务的使用情况。


同时还需要提及的一个背景是,无论是欧洲还是美国,保护个人信息最早是源于保护个人信息免受政府公权力的不当干扰,但是在中国,个人信息很大程度上是为了将其不当用于商业目的,其针对的对象是各种商事主体。于是这就产生了一个疑问,《民法总则》第111条规定的“组织”是不是把政府计入在内?政府如果收集个人信息,应当遵循何种程序?但非常遗憾的是,在中国这似乎是一个被遗忘的问题。



▌三方管理挑战平台隐私保护


既然现代社会个人或者组织获得个人信息的目的是为了创造财富,而且从过去的经验已经证明数据能提高效率,那么法律就应当鼓励个人信息的合法流通。


在Facebook信息泄露之前,我国也有类似信息泄露事件,只不过这些信息泄露不是发生在互联网大型平台,而是发生在传统企事业单位。2015年2月15日,桔子、锦江之星等7大酒店的数千万条开房信息被泄露,涉及住户的姓名、家庭地址、电话、邮箱乃至信用卡后四位等敏感信息;4月22日,30多个省市的社保系统、户籍查询系统等被曝存在高危漏洞,包括个人身份证、参保信息、财务、薪酬、房屋等敏感信息在内5千多万条的社保用户信息可能被泄;2015年8月,线上票务网站大麦网被曝存在安全漏洞,600余万用户账号密码遭到泄露在黑产论坛公开售卖。


那么,平台该如何合法使用并保护其获得的用户信息,从法律层面分析,至少存在着四个面向。


首先,平台和网络用户之间基于合同法上产生的契约关系。当用户要使用平台所提供的各种服务,平台会要求用户提供相应的信息。因为平台要面对海量的用户,因此平台和用户之间不可能是一对一的谈判产生,而是由平台提供一个格式条款,约定相关个人信息的使用规则。尽管这个使用规则是由平台当单方作出,但是它还是要受到法律的约束。格式条款中应当告知用户平台收集了哪些信息,如何使用这些信息,在这里必须要遵循用户知情同意的原则,而所有这些数据的使用和处理,必须符合用户的预期。在这一法律关系下,平台要承担外观保护和内容保护,即要保证搜集的信息必要,保管的信息必须准确,存储过程中要保证可用性、完整性、保密性。这也是《网络安全法》第41条和第42条确认的原则。一旦平台违背了这些原则收集和使用用户信息,那么就会受到来自民事或者行政的责任,情况严重的还要承担刑事责任。


其次,用户和平台之间基于侵权法上的责任。现实生活中经常出现的情况并不是平台大规模泄露用户信息的事件,因为用户信息作为平台最核心的资产,它必定会有激励来保证这些信息不被泄露,而是用户在平台上发现有损其声誉的信息,比如说诽谤信息或者侵害他人隐私的信息,当发生这种情况后,平台应当承担什么样的责任?


《侵权责任法》第36条对此种情况作了这样规定:“网络用户利用网络服务实施侵权行为的,被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。网络服务提供者接到通知后未及时采取必要措施的,对损害的扩大部分与该网络用户承担连带责任。”学界将此条款称之为平台的安全保障义务,但是安全保障到何种程度,在实践上则是一个难题。因为首先要确认的一个前提是,何种行为是侵犯用户的权益乃至网络服务者必须采取“删除、屏蔽、断开链接等必要措施”?平台并不是法院或者行政机构,它没法强制性要求用户提供相应的信息来论证其信息真伪,也无法判断这是否构成了诽谤。如果任何一个用户都能向平台主张类似要求,那么互联网的信息共享实际上就要接近瓦解,同时还会产生各种各样类似于“删帖”的黑产。因此,在“通知删除”规则中用户的证明义务就显得格外必要,它向平台主张相关诉求时,必须提供相关证明主张其要求是合理的,比如法律已经生效的判决书或者裁定,行政机关的决定或者是其它已经生效的司法文书。学界对此有很多讨论,但是到目前为止并未达成一致。不过从欧盟和美国的不同实践来看,互联网要获得发展,要更有利于民众的生活,那么平台不应当承担过重的义务。


再次则是平台的网络安全运行义务。由于平台集聚了海量的信息,因此《网络安全法》给其设定了法律义务,使其能够“保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改”。需要指出的是,不同平台所要承担的义务并不相同,通常来说就是“能力越大责任越大”,为此《网络安全法》第三章第二节还引入了“关键信息基础设施”的概念:“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。”


最后一个法律关系是平台和信息处理者之间的关系保护义务。尽管平台手机和储存了个人信息,但这并不意味着都由它自己来完成对所有信息的分析和处理,基于社会分工的需要,有可能它还会外包给第三方,或者是授权给第三方使用,比如引发此次Facebook信息泄露事件的就是源于第三方的不当使用信息,而并不是Facebook本身。这时候至少要回答以下几个问题:


第一,平台可以在多大范围内将信息移交给信息处理者,以及信息处理者应该承担什么样的义务?


第二,哪种情况下个人信息移转是合理的,其范围该如何限定?比如说在某公司内部移转,还是可以在公司以外移转?尤其是现在很多公司为了经营上的便利或者是风控的原因登记成立了不同的公司,那么该如何界定“公司内外“的概念?


第三,当合法转移后的个人数据交易产生问题时,到底该由谁来承担责任,以及该承担多大的责任?当然,通常情况下这是一事一议,要根据具体的情节来判定,但是这并不妨碍法院在司法实践中提炼出一般性原则来确认责任的边界来保护相关数据信息。



▌结语


尽管在数字时代公众的生活更加便利了,但是很多人还是对个人信息被存储在各大巨头的服务器上存有疑虑,最典型的就是当年风靡一时的《大数据时代:生活、工作与思想的大变化》,该书在第三部分“大数据时代的管理变革”中把现在互联网时代的保留在平台上的用户信息和当年东德10万名斯塔西监视民众的日常行为相提并论,认为“互联网的出现使得监视变得更容易、成本更低廉也更有用处”:“如今,已经不只是政府在暗中监视我们了。亚马逊监视着我们的购物习惯、谷歌监视着我们的网页浏览习惯,Twitter窃听到了我们心中的'TA',Facebook似乎什么都知道,包括我们的社交关系网。”


要消除这种疑惑,恐怕不是学理分析就能胜任,更不是像很多学者所主张的颁布一部《个人信息保护法》就能一劳永逸。从历史的视角来看,每次技术进步都会遭致来自各方面的反对意见,其责任边界也是通过众多的个案予以厘定。毫无疑问,平台责任也是如此,更不可能在事先预见。