大数据背景下，用户个人信息保护的法律构建

赵志宇

西南财经大学法学院，四川 成都 611130

一、个人信息概念界定

欧盟1995年颁布的《数据保护指令》中个人信息定义为“与已识别或可识别的自然人有关的任何信息，可识别的人是可以直接或间接识别的人”；我国2016年通过的《网络安全法》将个人信息界定为“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”；可以看出，我国在界定个人信息时采取了类似欧盟的“识别中心”方式，也即当信息可以与特定的人产生直接联系或与其他信息组合来间接识别特定自然人时，就被认定为是个人信息，同时将姓名、住址、身份证号码等典型个人信息做出列举，以抽象概念加具体举例的方式确定个人信息概念的内涵和外延，保障定义的科学性，确定了法律保护个人信息的客体，是个人信息法律保护的基础。

二、现有个人信息保护问题

《网络安全法》通过以来，我国的网络安全信息保护规制有了一定的法律依据，但由于互联网信息泄露的相对隐蔽性，且涉及主体和客体范围极其广泛，虽然侵犯用户个人信息的行为有了一定程度的减少，但乱象依然层出不穷。前有携程、滴滴被指“大数据杀手；后有美团、饿了么被疑非法读取个人聊天记录等敏感信息甚至利用手机进行监听。另据2018年中国消费者协会发布的《APP个人信息泄露情况调查报告》，在5458份有效问卷中，有85.2%的被调查者遇到过个人信息泄露。这些都表明个人信息保护遭遇巨大挑战，也成为了人们关注的焦点。

现有侵犯用户个人信息安全的行为主要有事前收集与提供服务无关的个人信息、事中的将个人信息在用户不知情的情况下共享或转卖给第三方平台、事后的用户个人信息无法删除等。这些行为普遍存在于互联网行业中，对用户的个人信息安全构成了严重威胁。

三、保护个人信息的法律辨析

(一)用户个人信息的所有权归属

在互联网时代，信息对于个人、企业乃至是国家都是一种重要的无形资源，也应有其他资源共有的所有权归属问题。那么用户个人信息的所有权归属于谁？笔者认为毫无疑问的应该归属于用户本人。用户是个人信息的产生者，且个人信息具有很强的人身属性，与用户具有很强的关联性。在用户与服务平台签订的服务合同中，用户只是提供个人信息，并授予平台在与提供与特定服务相关的活动时，对这些个人信息享有使用权。

(二)网络平台的地位优势

互联网平台是网络信息服务的经营者，用户是该服务的消费者，但相较于传统意义上的经营者与消费者，互联网平台与用户之间力量与信息的不对称更为严重、信息的占有和使用更为不对等、用户的信息处理能力更加有限。平台是以技术和资金为基础的法人，而用户是技术及资金力量都极为有限的自然人，平台占有绝对的优势，双方之间的关系事实上极不平等。而信息数据是大数据时代最为重要的资源，平台拥有大量信息，也有强烈的动机收集无关的个人信息或泄露收集到的个人信息给第三方谋取经济利益。但用户在将信息提供给平台后无法对信息流向及使用方法进行监督，相关法律体制应及时对此进行有效监管，虽然《网络安全法》对这些行为进行了一般性的禁止性规定和相应的法律后果，但并未构建起具体有效的实施框架。

(三)平台收集使用信息的界限

现有法律体制均要求平台在信息收集事前需以明示的方式告知用户，但仍存的一个问题就是个人信息收集的界限，笔者认为这一界限应该是与服务直接相关的最小化的充分信息，对于非直接相关信息，应赋予用户灵活的选择权。而对用个人信息的使用，平台应当将其限定在和用户约定的特定服务上面，未经用户同意，不得向第三方或第三方的服务泄露或使用。

四、改进措施

首先，平台在收集信息前不仅需对收集的个人信息种类进行明示，还需明确指出各类信息用于何种服务，对于间接相关信息采取默认不选择的方式，保护用户自主选择权，且这些间接相关信息的收集与否不得成为服务是否可以使用的条件。其次，在信息收集后，对信息进行加密处理，所有的信息使用过程及流动过程全部如实记录并备份，在发生争议时作为裁决的主要依据，设立内部监管机构，并接受政府和行业协会的监管。最后，切实保障用户的信息删除权，当用户提出删除个人信息的要求时，彻底删除全部信息。