如何救濟「互聯網＋」時代被授權的隱私侵犯

當地時間3月25日，美國社交媒體臉書公司創始人、首席執行官馬克·扎克伯格在在6份英國報紙和3份美國報紙上，採用道歉信形式為5000萬Facebook用戶信息被英國數據公司劍橋分析泄露和利用一事道歉。

多達五千萬的「臉書」（Facebook）用戶信息數據遭到泄露一事，使這家美國社交媒體巨頭面臨著自創立以來最嚴重的危機。

當地時間3月21日，臉書創始人兼首席執行官扎克伯格首度打破沉默，在自己的臉書頁面發表聲明，承認公司在授權英國數據分析公司「劍橋分析」（Cambridge Analytica）使用用戶數據一事上犯下錯誤。此前的3月17日，美國《紐約時報》和英國《衛報》旗下《觀察家》報刊發的深度報道揭露，臉書上有多達五千萬的用戶信息數據在這些用戶不知情的情形下被劍橋分析獲取並利用，用來向這些用戶精準投放廣告，幫助2016年特朗普團隊參選美國總統。更糟糕的是，臉書在兩年前就知曉此事，但沒有及時對外披露相關情形。

當地時間3月21日晚間，扎克伯克現身美國有限電視新聞網（CNN）正式致歉，說到動情處甚至聲音顫抖。3月25日，臉書在美英兩國九家主流報刊上刊登整版廣告向民眾道歉。但市場是無情的，至3月28日，泄密醜聞已令臉書市值減少約955億美元。與此同時，眾多用戶群起責難，「卸載臉書」行動在互聯網上涌動，廣告商紛紛離去，多國展開調查……臉書走到了懸崖邊上。

美國聯邦貿易委員會（FTC）已著手調查此事，臉書如有違反政府保密協議的情況，將面臨每例每日4萬美元、總計兩萬億美元的高額罰款。

自進入數字時代以來，互聯網企業攫取利益的途徑早已不僅局限於研發、推廣和運營產品，廣泛收集、分析和利用用戶的各類信息是他們獲得巨大經濟利益的隱蔽手段，這其中就有很大一部分是經用戶「授權」之後獲取。企業較為普遍的做法是，在手機應用程序（App）中通過用戶默認勾選、默認同意協議等方式採集用戶數據。

近年來，因互聯網企業不當搜集用戶信息而引發的重大糾紛事件已有多起，國內如「支付寶年度賬單事件」，國外如「臉書泄密事件」等。互聯網企業在侵犯個人數據隱私方面日漸猖獗而無收斂之勢，雖有部分企業已因觸犯相關法律而自食苦果，但更多企業遊走在法律邊緣，抱著僥倖心理，通過各種途徑收集用戶個人信息，以達到開闢新業務或是獲取更大經濟乃至政治利益的目的。

互聯網行業的特殊性和其發展的迅速程度，決定了一些企業的行為時常處於法律規制的「灰色地帶」，加之該行業的發展給人們生活帶來極大的便利和滿滿的科技感，都使得公眾對很多尚未對具體個人利益造成嚴重損害的事件時常持「睜一隻眼閉一隻眼」的態度。不過這顯然不是放縱互聯網企業繼續「竊取」個人信息的理由。

面對諸多仍在發生的惡劣行徑，筆者認為，企業獲取信息的操作方式、對此類行為的法律規制路徑和未來可能的權利保護方向，都是亟待討論解決的問題。

一、互聯網企業如何被「授權」收集用戶信息？

互聯網企業獲取用戶個人信息，往往通過令人防不勝防的方式進行，通過接觸臉書用戶獲取信息的劍橋分析正是如此。

據媒體披露，自2014年起，臉書的用戶能看到一個名為「這是你的數字生活」的第三方小程序軟體。這個程序的用戶在做完性格測試並分享給好友後可以拿到5美元的「紅包」。性格測試所搜集的信息包括用戶的住址、性別、種族、年齡、工作經歷、教育背景、人際關係網路、平時參加何種活動、發表了什麼帖子、閱讀了什麼帖子、對什麼帖子點過贊等。

劍橋分析通過這款小程序獲取了大約27萬用戶的授權。事實上，這款程序在請求用戶授權時，所要求訪問的不僅是用戶本人的臉書信息，還包括他們在臉書上的好友的個人資料。這樣，當這些用戶將測試結果分享出去時，他們的好友的個人資料就在未經同意的情形下被讀取了。利用這些授權用戶的朋友網路，劍橋分析總計獲得了超過5000萬臉書用戶的個人資料，之後依據這些用戶的使用習慣進行精準的信息投放。比如，某個美國公民給某個支持私人持槍的言論點了個贊，這個贊就會被後台捕捉，之後在其首頁上就會出現有關「特朗普支持持槍」的新聞。

據報道，劍橋分析可能以這些數據為基礎，預測並影響了全球多地政治活動中公眾的選擇，包括2016年美國總統選舉以及英國「脫歐」公投。

無獨有偶，國內不少App也通過這種「用戶授權協議」獲取用戶個人信息。如央視近日報道的「Wi-Fi萬能鑰匙」，該應用界面的右下角有一行非常小的藍色字體《Wi-Fi萬能鑰匙用戶協議》，用戶點擊立即體驗時，就等同於默認了這個用戶協議。而在這個用戶協議當中，有一項隱私政策的聲明，裡面描述了該軟體將如何收集和使用消費者的個人信息及其他信息。這些信息包括最基本的信息，如用戶使用的手機設備信息、使用伺服器的IP地址、GPS定位等等。

最關鍵的一點是該軟體會共享、轉讓、公開披露用戶的個人信息，只有這樣才能實現這個產品所謂的「核心服務功能」。這個看似點對點的服務，實際上是點對N，這家企業據此可以掌握更多的IP地址、GPS定位等信息，可以通過信息分享吸引客流量，進而發布各類廣告，達到賺錢的目的。

此種「用戶授權協議」似乎已經成為互聯網行業的一種慣例甚至是默契。筆者最近在使用著名在線票務企業攜程的App時也注意到，在代扣服務協議中，該軟體以格式合同的形式讓用戶授權其「在服務使用和終止後保留相關信息數據，包括但不限於向第三方提供信息」。如此行為儼然已逾越了個人信息保護的邊界，理當受到法律規制。

二、個人信息權如此被侵犯，法律如何規制？

首先，互聯網企業通過協議迫使用戶放棄個人信息權的行為無端擴大了自己的權利範圍，違反了《合同法》關於格式條款的禁止性規定，應當認定無效。

我國《合同法》第三十九條規定：「採用格式條款訂立合同的，提供格式條款的一方應當遵循公平原則確定當事人之間的權利和義務，並採取合理的方式提請對方注意免除或者限制其責任的條款，按照對方的要求，對該條款予以說明。」

由此可知，企業與消費者在格式合同下的權利義務應當處於相一致、相對等狀態，若是企業通過格式條款使自己的權利範圍超越了原本的交易目的，那麼就存在違反公平原則的嫌疑。對這種可能出現的權利侵犯情況，合同的提供者應當採取必要手段提請對方注意，這種注意需要達到一般理性人合理注意的範疇。這也就意味著，一個具有完全民事行為能力的用戶在簽訂了這份事先準備好的協議之後，就已經對該協議中存在的可能侵犯自身權利的條款明確知悉並完全同意。

然而在此類以非常規渠道獲取個人信息的糾紛事件當中，事實卻並不是如法律要求的那麼規範。以攜程App為例，其所提供的代扣服務協議呈現於用戶購買旅遊相關產品（如機票、訂酒店、旅行套餐等）的操作流程中，本次交易的目的應當是用戶購買旅遊產品，企業從銷售該產品中獲取利潤，那麼合同內容就應當圍繞交易標的即該旅遊產品展開，如用戶的支付方式、產品的使用以及售後服務等。而企業要求用戶授權其在合同關係終止後仍可保存用戶信息，並擁有向第三方提供的權利，無疑已經超越雙方原本的交易目的，肆意擴大了自身權利，系格式合同中標準的「霸王條款」。

不僅如此，攜程App中多數面向用戶的類似協議藏匿在用戶不易注意到的位置，並通過設置成與主界面相似的色調來「偽裝」。而這些「藏起來」的協議通常都已經被勾選，即使是用戶根本沒有注意到這個協議，也不影響其後續操作步驟的進行，因此用戶很有可能在不知情的情況下就「縱容」了對方對其個人信息權的侵犯。這樣，儘管協議中授權該企業不限期獲取、保存用戶信息的條款已經被加粗下劃，前述隱藏設置仍違反了法律要求其提請對方注意的規定。

也就是說，上引條款違反了法律的禁止性規定，應當根據《合同法》第四十條認定無效。

其次，互聯網企業在收集、利用個人數據時，並未明確該行為的目的、方式和範圍，這不符合法律法規的要求，應當予以整改。

2017年6月起施行的《網路安全法》第四十一條規定：「網路運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和範圍，並經被收集者同意。」2012年12月通過的《全國人民代表大會常務委員會關於加強網路信息保護的決定》中早有相似規定。這意味著，企業收集和使用信息並不是被完全禁止的，但顯然應當遵循適當的規範。公共管理部門等政府機構可以為了方便社會管理而記錄個人信息，商業組織也可以為了促進交易而留存客戶信息。但是此種良性信息利用方式必須在必要的限制之下，那就是雙方對數據信息的內容、信息將被利用的目的和範圍等事宜都悉數知曉。這種信息使用的關係是直接、透明的。

然而在一些互聯網企業收集、利用信息的過程中，由於協議所約定的信息利用目的、方式模糊，提供信息方並不能得知其個人信息即將以何種方式被分析利用，而信息使用方也可能在約定不明確的鋪墊下無限制地利用個人信息，逡巡於法律的邊緣。因此，即使互聯網企業以提請公眾注意的方式公示了原協議條款，也有可能由於規定不明確、不詳細而導致最終面臨整改的窘境。

三、「互聯網+」時代，公民個人信息將如何受到保護？

當前，隨著個人信息受侵犯的範圍不斷擴大，此類事件糾紛的暴露程度不斷加深，人們對信息保護的關注度也在不斷提高。2017年3月15日通過的《民法總則》明確將個人信息權納入民法基本法的範疇，明確了個人信息受保護的基礎地位。目前，關於個人信息保護的一些法條大都分布在《民法總則》、《網路安全法》、《消費者權益保護法》等法律中，這些規定大多是原則性規定，相比實踐中變化多端的狀況來講，似乎並不具備太強的可操作性。

值得欣喜的是，由全國信息安全標準化技術委員會制定和管理的個人信息保護方面的國家標準《信息安全技術 個人信息安全規範》已正式發布，將於2018年5月1日實施。該《規範》內容涵蓋個人信息的收集、保存、使用、共享、轉讓以及安全事件處置等方方面面，是對之前網路安全原則的細化。政府在維護數據安全方面已顯示了積極有為的態度，今後更應該努力找到公民數據安全和產業發展之間的平衡點，明確企業權利的限度和企業責任範圍，推動企業的數據運用在規則許可的範圍內良性運轉。

互聯網企業也應當意識到，數據安全和企業信用將是其核心競爭力。在美國，一個用戶可以不在乎自己的隱私，將自己的數據出賣給最高出價者。網上零售巨頭亞馬遜公司就已經開始實施基於cookies（儲存在用戶本地終端上的數據，通常經過加密）協議的隱私保護方案，用戶可以按照自己的意願勾選希望被收集的數據。這種意願與享受亞馬遜網站的購物服務沒有任何關係，用戶完全可以在不授權任何數據的情況下享受服務。未來，數據信息可能成為一種普通的產品，其買賣仍需要完全遵循契約精神，但鑒於數據的特殊性，數據提供方和服務方之間的權利義務關係必須明確。這樣，數據安全就將是賣方考量是否交易的重要因素。因此，數據安全未來也將成為互聯網企業的核心競爭力。

就擁有大量個人信息的公眾來講，在享受著數字時代帶來的便利的同時，他們也應該考慮，自身隱私是更應該主張保護的利益。當法律已經賦予公眾說「不」的權利時，放縱互聯網企業對個人信息的收取是不明智的。數據的彙集意味著企業的巨大利益，權利要求的彙集則意味著公民權益維護的更大可能。只有自上而下的強制監管和自下而上的公民權利意識覺醒雙管齊下，才能推動相關企業善用公民個人的信息數據，並推動社會的方方面面向現代化、科技化、規範化的方向轉變。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！