大數據時代來臨，你的權利由誰守護？

儲江

與區(qū)塊鏈等仍然停留在概念階段的新興技術不同，大數據技術經過數年來的不斷發(fā)展，已經形成了覆蓋全行業(yè)的成熟技術體系和解決方案。但與此同時，大數據應用過程中的若干法律難題也隨之浮出水面：一方面，互聯(lián)網企業(yè)不斷加強對用戶數據的挖掘和分析，開始通過訴訟等途徑維護自己對于用戶數據所形成的競爭優(yōu)勢；另一方面，因大數據的泄露、販賣等而爆出的丑聞也在頻繁地登上媒體頭條，數據安全問題危如累卵。

用戶數據的采集是大數據應用的起點，但普通個人用戶在大數據應用的過程中應當扮演何種角色、享有何種權利的問題，卻往往在國內的各種研究中被忽略。而在充分重視人權保護的歐盟，用戶圍繞數據信息所享有的個人權利保護之發(fā)展，已有近三十年的歷史。今年5月發(fā)布的《歐盟通用數據保護條例》（簡稱GDPR），就圍繞用戶權利保護設置了諸如知情權、訪問權、反對權、被遺忘權、數據可攜權等數種堅實強大的權利。本文將對大數據時代中個人權利保護的發(fā)展歷程進行梳理，并立足當下的互聯(lián)網實踐，對用戶個人權利保護的問題提出些許思考。

個人信息數據——用戶權利的產生起點

由于網絡騷擾、推銷、詐騙等現象的盛行，如何保護個人信息數據已成為公眾熱門話題。在2016年的“徐玉玉案”中，詐騙分子正是通過個人電話信息實施詐騙行為，騙走了受害者9900元的入學學費，以致其傷心欲絕，心臟驟停而不幸離世?，F實中，對于肖像、姓名、身份證號碼這些可以直接識別出特定個人的數據信息，加強監(jiān)管和保護事實上已經在全社會范圍內形成了廣泛的共識——越來越多的互聯(lián)網應用和服務均針對用戶個人數據的收集和存儲，升級了加密處理技術。

然而，僅對這些能夠直接“鎖定”個人的數據信息加強重視，是遠遠不夠的。網絡世界中，將一些不具有“鎖定性”的數據進行結合（也即多年來一直流傳于互聯(lián)網中的“人肉搜索”），還是能夠識別出特定的個人。例如，cookie信息可以記錄用戶的網絡活動軌跡，當將這種軌跡與特定的網絡賬戶相結合，就可以“精準定位”到具體的個人。

基于上述原因，除了具有“鎖定性”的個人數據之外，各國的個人信息數據立法也都不約而同地將上述可以結合“鎖定”個人的數據信息作為重點立法對象，我國也不例外——《網絡安全法》第76條第5項就將個人信息界定為“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息”。GDPR被稱作“史上最嚴厲的個人數據保護規(guī)定”，在該《條例》中，個人信息被定義為“與已識別或可識別的自然人（數據主體）相關的任何信息?？勺R別自然人是指可被直接或間接識別的人，特別是可以通過姓名、身份證號碼、位置數據、在線身份信息或特定于該自然人的物理、生理、遺傳、心理、經濟、文化或社會身份的多種參考要素識別出的自然人?！闭硪幌?，GDPR中的個人數據包括：基本的身份信息，如姓名、地址和身份證號碼等；網絡數據，如位置、IP地址、Cookie數據和RFID標簽等；醫(yī)療保健和遺傳數據；生物識別數據，如指紋、虹膜等；種族或民族數據；政治觀點；性取向。

“用戶同意”是商業(yè)化大數據運用的合法基礎

個人數據信息的“可鎖定性”，使得對個人數據收集、存儲、分析和使用的有效規(guī)制成為了各國立法實踐中的重點。2012年12月28日，全國人大常委會通過的《全國人民代表大會常務委員會關于加強網絡信息保護的決定》中，就對如何保護個人電子信息作出了明確的規(guī)定，即要求網絡服務提供者和其他企業(yè)事業(yè)單位在業(yè)務活動中收集、使用公民個人電子信息，應當遵循合法、正當、必要的原則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意，不得違反法律、法規(guī)的規(guī)定和雙方的約定收集、使用信息。此后，2017年6月1日起施行的《網絡安全法》和2017年10月1日起施行的《民法總則》（第111條），今年5月1日起正式實施的《個人信息安全規(guī)范》國家推薦標準均對“用戶同意”這一用戶個人數據采集的唯一合法前提作出了細致的規(guī)定，另外，《消費者權益保護法》第29條也從消費者的角度出發(fā)，規(guī)定了這種同意前置模式。但是，“用戶同意”的前置模式在實踐中并未發(fā)揮制度設計者預想中的作用。

無數的互聯(lián)網企業(yè)，特別是電子商務平臺，均通過“默認勾選”的形式刻意忽略了這種前置模式。其中最典型的，當屬今年年初發(fā)生的支付寶“年度賬單”事件——用戶通過支付寶App參加 “2017年度賬單”活動時，在入口頁面，App會為用戶默認勾選“我同意《芝麻服務協(xié)議》”的條款，不勾選不影響年度賬單的呈現，勾選則意味著年度賬單中將展示用戶的信用免押內容。支付寶的“年度賬單”事件引發(fā)了全網范圍內的熱議，也讓“默認勾選”這種明顯有違商業(yè)道德的行為真正引起了各方的高度重視。

而似乎是有感于這種“欺騙性”的規(guī)避手段， GDPR就對“用戶同意”的模式作出了更嚴格的限定——用戶同意必須是具體、清晰的，是在充分知情的前提下自由作出的。在GDPR“屬人管轄”的強大影響力下，國內外的網絡服務提供商們將如何調整以作出應對，值得持續(xù)關注。

大數據背景下的用戶隱私保護——被遺忘權

用戶隱私保護是大數據應用中不得不面對的話題。個人用戶在瀏覽互聯(lián)網時，每一次點擊和訪問都會留下相應的數據痕跡，這些數據痕跡，隨著近二十年來搜索引擎技術的發(fā)展，將越來越會被“固定”下來而難以消除，一個人二十年前的小舉動在今天仍會被輕易地“檢索”和“發(fā)現”，隱私保護似乎無從談起。于是漸漸地，“被遺忘”的呼聲成為了保護用戶隱私利益的一種正當訴求。

早在1995年，歐盟就對“被遺忘權”作出了明確規(guī)定：每個數據主體皆能處理不符合規(guī)范的資料，尤其是針對資料本身不完整或不正確的資料，有更正（rectification）、消除（erasure）和阻絕（blocking）的權利。2014年發(fā)生在西班牙的“岡薩雷斯訴谷歌案”則是被遺忘權發(fā)展歷史上的代表性案件。一名叫岡薩雷斯的用戶在使用谷歌檢索自己的名字時，相關鏈接指向了1998年刊登于《先鋒報》的一篇文章，該文章報道了其未能繳納社會保險而導致住房被拍賣的事實。該用戶認為文章報道中的債務問題早已得到了解決，但搜索結果仍然展示這一信息，對自己的名譽造成了損害，谷歌應當刪除這些信息。歐盟法院最終支持了這位用戶的請求。

在我國，“被遺忘權”雖未在相關法律法規(guī)中得到具體規(guī)定，但已然走進了司法實踐的視野，被判決所實際承認——在被稱為我國“被遺忘權第一案”的任甲玉與百度公司名譽權糾紛案中，任甲玉因在百度搜索中鍵入其姓名后，搜索欄下方“相關搜索”列表中出現了其曾在陶氏教育工作的相關關鍵詞詞條，而其認為陶氏教育在外界頗受爭議，上述“相關搜索”詞條嚴重侵害其名譽、妨害其日后工作發(fā)展，因此訴百度侵犯其姓名權、名譽權以及“一般人格權中的被遺忘權”。

該案經兩級法院審理，雖然最終并未支持任甲玉的訴請，但法官并未直接否認被遺忘權，而是經過論證認為任甲玉要求刪除的內容未達到被遺忘權保護的標準，繼而駁回其訴訟請求。事實上，該案的二審判決直接認可了被遺忘權應屬一種人格利益，但這種人格利益若想獲得保護，必須證明其正當性和必要性。任甲玉案的二審判決也同時顯示出，“被遺忘權”的適用條件是相當嚴苛的，深層次的原因在于，“被遺忘權”雖然與個人權利直接掛鉤，但卻與公共價值追求存在尖銳的矛盾——假若任何情況下的信息都可以“被遺忘”“被刪除”，那數據信息流通還有何價值可言呢？

遵循著上述思路，GDPR就對被遺忘權的適用作出了嚴格的限制，根據第十七條，在以下四種情形下，被遺忘權將被明確排除：基于表達自由和信息自由；基于公共利益和履行法律職責需要；基于歷史、統(tǒng)計和科學研究的目的；出于提出、實施和保護合法權利的需要等。

數據流動中的權利保護——數據可攜權

今年3月，Facebook陷入了“泄露5000萬用戶數據”的丑聞。在這次丑聞中，一家叫做劍橋分析的數據分析公司通過其在Facebook上線的性格測試app收集用戶數據，進而建立模型，以分析用戶的心理特征、性格類型、政治傾向等特定因素，并依據這些內容，進行“洗腦”式的政治營銷。這次丑聞使得Facebook蒸發(fā)了超過1500億美元的市值，也使得用戶數據的跨平臺移植成為了用戶權利保護中的熱門話題——平臺在用戶注冊時要求獲得通訊錄或其他社交信息的獲得訪問權限，是互聯(lián)網行業(yè)的慣常做法，而誰來確保用戶的個人數據沒有被濫用呢？

事實上，將自己在某平臺的個人數據信息授權給其他平臺使用，是歸屬于用戶個人的正當權利，在歐盟，這種權利被稱為“數據可攜權”。在GDPR（第20條）中，數據可攜權作為一項用戶基本權利而被確定：個人有權獲得其提供給數據控制者的相關個人數據，且其獲得的個人數據應當是結構化的、普遍可使用的和機器可讀的。并且，在技術可行的情況下，數據主體應當有權將個人數據直接從一個控制者傳輸到另一個控制者。

數據可攜權看上去簡單，圍繞它的爭議可著實不少，原因在于，對個人數據的使用很可能同時關涉其他第三方個人的數據，例如通訊錄信息、郵件往來信息、轉賬記錄信息等。當數據主體行使數據可攜權時，往往可能對其他第三方個人的基本權利帶來侵害。2010年，谷歌在啟動其社交網絡服務Google buzz時，不恰當地利用了其gmail用戶的關系鏈數據，在gmail用戶接受Google buzz的使用邀請時，并不清楚其gmail的通信錄上的用戶都將被自動拉入Google buzz，而被拉入的用戶也并不知情自己的聯(lián)系信息已被收錄并被buzz社區(qū)公開。谷歌也因此受到了美國聯(lián)邦貿易委員會的處罰。數據可攜權是因用戶數據流動而產生的個體性權利，但有不少觀點認為，數據流動同樣是互聯(lián)網平臺的競爭優(yōu)勢，因數據流動而產生的一系列問題，完全可以通過企業(yè)間的《反不正當競爭法》加以解決。

在我國關于用戶數據轉移的司法實踐中，不得不提的便是新浪微博訴脈脈抓取使用微博用戶信息案。該案的二審法院認為，對企業(yè)而言，數據已經成為一種商業(yè)資本，一項重要的經濟投入，而數據的獲取和使用，不僅能成為企業(yè)競爭優(yōu)勢的來源，更能為企業(yè)創(chuàng)造更多的經濟效益，是經營者重要的競爭優(yōu)勢與商業(yè)資源。由此可見，數據流動在競爭法框架內是可以得到保護的。

數年的技術發(fā)展已經證實，大數據應用是一項極具商業(yè)價值的新興技術。而在大數據應用在各行各業(yè)逐漸落地開花的情景下，有關數據權利的法律定性與適用問題也正不斷地被提及。

用戶數據的采集是大數據應用的起點。因此，用戶個人權利如何得到保護，應當是大數據行業(yè)法律規(guī)范體系建設的第一步——圍繞個人信息保護，我國已經建立起了包括民法總則、消費者權益保護法、刑法等在內的強大法律保護體系。但是，現行的法律法規(guī)體系較多地停留在了原則性規(guī)定的層面，僅就用戶同意等合法性基礎問題作出了制度安排。相比于更加注重人權保護的歐盟，我國在用戶具體個人權利，如被遺忘權、數據可攜權等方面的立法實踐及司法保護，仍尚顯薄弱。

而作為處理和儲存大數據的主體，企業(yè)的主要任務就是建立和完善企業(yè)的數據管理保護體系。按照GDPR的規(guī)定，企業(yè)要通過培訓，自上而下地加強對個人數據保護的意識；通過自查發(fā)現企業(yè)收集和處理數據的每一個環(huán)節(jié)；通過風險評估，優(yōu)化和合法化企業(yè)的數據安全規(guī)章制度以及數據處理流程。企業(yè)要設立專人負責數據安全工作，如數據安全官，監(jiān)督和實施相關工作?？傊?，數據安全既是數據企業(yè)合規(guī)的要求，也是企業(yè)抓住機遇，贏得消費者信任和未來發(fā)展的必經之路。

編輯|胡文娟 wenjuan.hu@wtoguide.net

作者單位：北京金誠同律師事務所