大數(shù)據(jù)交易背景下用戶個人數(shù)據(jù)權(quán)利的保護研究

周永紅 趙維

（湘潭大學公共管理學院，湘潭 411105）

1 問題的提出

1.1 大數(shù)據(jù)交易市場的迅速發(fā)展

大數(shù)據(jù)所蘊含的社會價值巨大，如2015年武漢東湖大數(shù)據(jù)交易中心首筆大數(shù)據(jù)交易金額就達8.6萬元[1]。通過交易釋放大數(shù)據(jù)的價值已經(jīng)成為大數(shù)據(jù)共享利用的重要方式。國外知名的大數(shù)據(jù)交易平臺有美國的Factual、BDEX、Infochimps，日本的Data plaza等。

2015年4月，我國首家大數(shù)據(jù)交易所貴陽大數(shù)據(jù)交易所正式掛牌運營，隨后相繼出現(xiàn)了中關(guān)村數(shù)海大數(shù)據(jù)交易平臺、東湖大數(shù)據(jù)交易中心、上海大數(shù)據(jù)交易中心等。截至2018年3月，貴陽大數(shù)據(jù)交易所發(fā)展會員數(shù)目突破2 000家，已接入225家優(yōu)質(zhì)數(shù)據(jù)源，經(jīng)過脫敏脫密，可交易的數(shù)據(jù)總量超150PB，可交易數(shù)據(jù)產(chǎn)品達4 000余個，涵蓋30多個領域[2]?！洞龠M大數(shù)據(jù)發(fā)展行動綱要》明確提出，將引導培育大數(shù)據(jù)交易市場，開展面向應用的數(shù)據(jù)交易市場試點，鼓勵產(chǎn)業(yè)鏈各環(huán)節(jié)的市場主體進行數(shù)據(jù)交換和交易，建立健全數(shù)據(jù)資源交易機制，加快建立大數(shù)據(jù)市場交易標準體系[3]。

1.2 大數(shù)據(jù)交易面臨用戶個人數(shù)據(jù)權(quán)利保護問題

個體用戶在各種互聯(lián)網(wǎng)服務平臺上進行活動通常需要注冊并提供個人信息，同時產(chǎn)生各種行為和活動數(shù)據(jù)。用戶個人數(shù)據(jù)主要是指已識別出特定自然人、可以識別出特定自然人，或通過這些個人數(shù)據(jù)與其他數(shù)據(jù)的結(jié)合分析后能夠識別出自然人的數(shù)據(jù)。服務平臺在用戶知情并同意情況下收集個人數(shù)據(jù)，這些收集用戶個人數(shù)據(jù)的平臺會通過交易把數(shù)據(jù)提供給購買者，但交易前提是要對個人數(shù)據(jù)進行清洗和處理，使之不能直接識別出特定自然人。很多時候用戶并不知道個人數(shù)據(jù)的交易情況，所以用戶也并不知道誰會去購買和使用這些數(shù)據(jù)。在正常合法的交易背景下，通過對用戶個人數(shù)據(jù)的挖掘，購買方可能通過用戶個人數(shù)據(jù)識別出特定自然人，或通過個人數(shù)據(jù)與其他數(shù)據(jù)的結(jié)合分析后能夠識別出自然人[4]。

此外，由于個人數(shù)據(jù)蘊涵巨大價值，合法的大數(shù)據(jù)交易背景下也存在大量的非法交易情況。合理開發(fā)利用大數(shù)據(jù)資源雖可以推動社會發(fā)展和提高效率，但盜用、非法買賣個人數(shù)據(jù)等侵權(quán)行為也時有發(fā)生。如2018年11月12日溫州市警方破獲的一起特大侵犯公民個人信息案件，涉案的公民個人信息達到了2 000余萬條，涉案金額500余萬元[5]。因此，為更好地推動大數(shù)據(jù)交易和大數(shù)據(jù)資源的共享，個人數(shù)據(jù)權(quán)利的保護問題亟待重視。

2 大數(shù)據(jù)交易背景下涉及的用戶個人數(shù)據(jù)權(quán)利分析

個人數(shù)據(jù)蘊涵巨大價值，與之相關(guān)的用戶個人數(shù)據(jù)權(quán)利也在不斷擴展。在大數(shù)據(jù)交易背景下，主要涉及隱私權(quán)和所有權(quán)及與之相關(guān)的其他用戶個人數(shù)據(jù)權(quán)利，前者是用戶人格權(quán)屬性方面的權(quán)利，后者是財產(chǎn)權(quán)屬性方面的權(quán)利。

2.1 用戶個人數(shù)據(jù)權(quán)利的興起與特點

能否識別出特定自然人是判斷用戶個人數(shù)據(jù)及其相關(guān)權(quán)利的關(guān)鍵。如被譽為最嚴格的個人數(shù)據(jù)保護方案《歐盟通用數(shù)據(jù)保護條例》（General Data Protection Regulation）規(guī)定了個人數(shù)據(jù)是任何已識別或可識別的自然人相關(guān)的信息。我國2018年5月1日實施的《信息安全技術(shù)個人信息安全規(guī)范》指出“個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、行蹤軌跡、交易信息等”。

個人數(shù)據(jù)權(quán)利是不斷演化發(fā)展的。個人數(shù)據(jù)權(quán)利最早涉及隱私權(quán)，這是用戶人格權(quán)屬性相關(guān)的數(shù)據(jù)權(quán)利，要求相關(guān)機構(gòu)在用戶知情和同意的情況下收集相關(guān)個人信息。隨著社會發(fā)展，個人數(shù)據(jù)的財產(chǎn)權(quán)屬性日益受到重視。大數(shù)據(jù)時代，數(shù)據(jù)的價值來自其流通性和挖掘利用情況，除隱私權(quán)外，個人數(shù)據(jù)的所有權(quán)等相關(guān)的個人數(shù)據(jù)權(quán)利也逐漸受到關(guān)注。為避免個人數(shù)據(jù)的濫用，《歐盟通用數(shù)據(jù)保護條例》甚至提出了個人數(shù)據(jù)被遺忘權(quán)等。

個人數(shù)據(jù)權(quán)利具有普遍性、雙重性、分離性和可擴展性的特征[6]。任何在互聯(lián)網(wǎng)服務平臺上活動的自然人都會生產(chǎn)個人數(shù)據(jù)，這些個人數(shù)據(jù)權(quán)利具有人格權(quán)與財產(chǎn)權(quán)的雙重屬性。個人數(shù)據(jù)源于個人，服務平臺卻在收集和掌控數(shù)據(jù)，甚至擁有一定的數(shù)據(jù)所有權(quán)，而且收集用戶個人數(shù)據(jù)的平臺可通過交易或其他方式轉(zhuǎn)讓相應的所有權(quán)。這樣個人數(shù)據(jù)在使用、加工、分享、傳輸過程中，個人數(shù)據(jù)權(quán)利也得以擴展，如可以通過某個人的個人數(shù)據(jù)找到其相關(guān)利益者，如他的家人、朋友甚至同事等。

2.2 隱私權(quán)等相關(guān)的用戶個人數(shù)據(jù)權(quán)利

隱私權(quán)是具有人格權(quán)屬性的權(quán)利之一。在個人數(shù)據(jù)的收集、交易和使用過程中，用戶隱私權(quán)的保護是最重要的，也是最難的。個人數(shù)據(jù)的收集、交易和使用合法性包括用戶授權(quán)合法性[7]，即用戶個人數(shù)據(jù)的收集、交易和使用應建立在用戶知情和同意授權(quán)的基礎上。但事實上，用戶隱私權(quán)受侵犯大都是因為用戶不知情，或用戶沒有同意授權(quán)而造成的。如2018年7月中國消費者協(xié)會展開網(wǎng)絡調(diào)查并整理分析了5 458份問卷，其調(diào)查分析結(jié)果揭示，泄露個人信息的首要原因是經(jīng)營者沒有經(jīng)過數(shù)據(jù)所有者的同意就對個人數(shù)據(jù)進行收集和利用，其占比達62.2%[8]。

為保護用戶隱私權(quán)，國內(nèi)外都有相關(guān)規(guī)定。如《歐盟通用數(shù)據(jù)保護條例》規(guī)定服務平臺必須以透明的方式如實告知用戶數(shù)據(jù)的收集、使用、查閱或其他處理方式，以及處理個人數(shù)據(jù)的程度。我國《信息安全技術(shù)個人信息安全規(guī)范》規(guī)定收集個人數(shù)據(jù)要符合最小化與合法化要求，經(jīng)過用戶的授權(quán)同意；對于用戶敏感信息的收集，還需要用戶明示同意，即用戶通過書面聲明或主動做出肯定性動作，對其個人信息進行特定處理做出明確授權(quán)。

如果用戶不知情或不同意授權(quán)，那么任何個人、企業(yè)、交易平臺對個人數(shù)據(jù)進行交易的行為都屬于違法行為。雖然現(xiàn)階段大部分數(shù)據(jù)交易平臺都設置有明確的交易規(guī)則，但多數(shù)交易平臺的交易規(guī)則在用戶協(xié)議、服務條款或者商家指南中提出，不便于用戶查找。目前大多數(shù)用戶為了更好地利用網(wǎng)絡和信息服務，往往忽略個人隱私的自我保護。如在注冊時，將真實信息填滿等。此外，很多用戶在自身的隱私數(shù)據(jù)遭到泄露時，不知道采取何種方式來維護自身的合法權(quán)益。如王衛(wèi)等[9]指出極少數(shù)數(shù)據(jù)交易平臺能夠及時對個人隱私泄露采取補救措施。

2.3 所有權(quán)等相關(guān)的用戶個人數(shù)據(jù)權(quán)利

所有權(quán)是具有財產(chǎn)權(quán)屬性的權(quán)利。個人數(shù)據(jù)權(quán)利本身具有分離性特點。個人數(shù)據(jù)源于個人，一般原始的用戶個人數(shù)據(jù)所有權(quán)歸用戶本人所有，收集和加工個人數(shù)據(jù)的服務平臺擁有一定的個人數(shù)據(jù)所有權(quán)。擁有海量個人數(shù)據(jù)的企業(yè)或數(shù)據(jù)交易平臺，如果對原始數(shù)據(jù)經(jīng)過脫敏及數(shù)據(jù)挖掘分析處理后得到部分個人數(shù)據(jù)，則享有一定限制的該個人數(shù)據(jù)的所有權(quán)。在大數(shù)據(jù)交易過程中，除考慮用戶本人對個人數(shù)據(jù)的所有權(quán)外，還有個人數(shù)據(jù)的占有者和控制者享有的可支配數(shù)據(jù)的權(quán)利。

受個人數(shù)據(jù)所有權(quán)的約束，用戶個人數(shù)據(jù)的交易應避免風險?！缎畔踩夹g(shù)個人信息安全規(guī)范》規(guī)定個人信息在原則上不得共享、轉(zhuǎn)讓。個人信息控制者確需共享、轉(zhuǎn)讓時，應充分重視風險。如中關(guān)村數(shù)海大數(shù)據(jù)交易平臺通過數(shù)據(jù)脫敏技術(shù)，對數(shù)據(jù)進行清洗、技術(shù)屏蔽、審核處理，并完成安全測試后，再將數(shù)據(jù)提供給需求方。這一系列操作能在一定程度上防止用戶個人隱私數(shù)據(jù)的泄露，使個人數(shù)據(jù)能在合法的范圍內(nèi)共享、交易和使用。

大數(shù)據(jù)交易背景下，濫用信息、倒賣個人數(shù)據(jù)的情況頻繁出現(xiàn)。如大數(shù)據(jù)交易平臺雖經(jīng)過用戶同意合法采集用戶信息，并通過脫敏加密技術(shù)對信息進行處理售賣，但企業(yè)對于數(shù)據(jù)的存儲和使用沒有期限，有些個人數(shù)據(jù)會反復進行售賣。這些個人數(shù)據(jù)在后續(xù)的交易中，會出現(xiàn)數(shù)據(jù)所有權(quán)人的變更，這種情況下的企業(yè)或數(shù)據(jù)擁有者是無法做到經(jīng)過用戶同意的。因此，對于不符合法律允許的、違規(guī)的個人數(shù)據(jù)交易，《中華人民共和國網(wǎng)絡安全法》第43條規(guī)定：用戶發(fā)現(xiàn)網(wǎng)絡運營者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、使用其個人信息的，有權(quán)要求網(wǎng)絡運營者刪除其個人信息。

用戶個人數(shù)據(jù)通過交易得以共享利用的社會價值不斷凸顯出來。數(shù)據(jù)交易中心就是通過明確個人數(shù)據(jù)的人格權(quán)屬性與財產(chǎn)權(quán)屬性，以滿足各方對數(shù)據(jù)的需求，從而達到個人數(shù)據(jù)交易的有序進行。通過個人數(shù)據(jù)的交易可以使其控制者獲取一定的經(jīng)濟利益。但由于個人數(shù)據(jù)并非基于“創(chuàng)造性”的勞動，因此用戶的收益權(quán)至今未得到相應的法律保護。由于個人數(shù)據(jù)所有權(quán)保護的缺位，用戶本人將無法獲得其相應個人數(shù)據(jù)交易的所得利益[10]。

3 大數(shù)據(jù)交易背景下加強用戶個人數(shù)據(jù)權(quán)利保護的對策探討

為更好地推動大數(shù)據(jù)交易和大數(shù)據(jù)資源的共享利用，加強對用戶個人數(shù)據(jù)權(quán)利的保護，筆者認為需要從政府、企業(yè)、個人三方面出發(fā)，來更好地加強對個人數(shù)據(jù)權(quán)利的保護。

3.1 政府要完善用戶個人數(shù)據(jù)權(quán)利保護的相關(guān)制度

由于個人數(shù)據(jù)具有分離性特點，在大數(shù)據(jù)交易背景下的用戶本人應是數(shù)據(jù)所有權(quán)人，卻難以支配自身個人數(shù)據(jù)權(quán)利。暴露在不安全環(huán)境下的個人數(shù)據(jù)，會對用戶本人帶來困擾與威脅，也會影響大數(shù)據(jù)交易市場的發(fā)展。

目前，全球已有近90個國家和地區(qū)制定了個人信息保護條例[11]，而我國在個人信息保護上雖有一定的規(guī)定，但對個人數(shù)據(jù)權(quán)的法律保護還遠不夠。我國的《信息安全技術(shù)公共及商用服務信息系統(tǒng)個人信息保護指南》指出，信息系統(tǒng)個人信息保護實施過程涉及的角色主要有個人信息主體、個人信息管理者、個人信息獲得者和獨立測評機構(gòu)，對個人信息的保護貫穿于收集、加工、轉(zhuǎn)移、刪除這4個主要環(huán)節(jié)。《中華人民共和國網(wǎng)絡安全法》也提出網(wǎng)絡運營者應當對其收集的用戶信息嚴格保密，并建立健全用戶信息保護制度等。《信息安全技術(shù)個人信息安全規(guī)范》指出，個人信息控制者應根據(jù)相關(guān)的國家標準要求，建立適當?shù)臄?shù)據(jù)安全能力，落實必要的管理和技術(shù)措施，防止個人信息的泄漏、損毀、丟失。對于如何在規(guī)范交易前提下加強個人數(shù)據(jù)權(quán)利的保護卻沒有具體的規(guī)定。如果數(shù)據(jù)權(quán)屬不清，國家又尚未完善相關(guān)的數(shù)據(jù)產(chǎn)權(quán)制度和交易法規(guī)，則在個人數(shù)據(jù)的交易過程中極易誘發(fā)利益沖突，難以保證交易的公平性。

大數(shù)據(jù)的發(fā)展首先需要政府政策的支持，2017年12月8日，習近平總書記在主持實施國家大數(shù)據(jù)戰(zhàn)略學習時指出，“以數(shù)據(jù)集中和共享為途徑，推動技術(shù)融合、業(yè)務融合、數(shù)據(jù)融合，打通信息壁壘，形成覆蓋全國、統(tǒng)籌利用、統(tǒng)一接入的數(shù)據(jù)共享大平臺，構(gòu)建全國信息資源共享體系，實現(xiàn)跨層級、跨地域、跨系統(tǒng)、跨部門、跨業(yè)務的協(xié)同管理和服務”[12]。在通過大數(shù)據(jù)交易充分釋放大數(shù)據(jù)價值的背景下，首先政府層面要完善個人數(shù)據(jù)權(quán)利保護的相關(guān)制度，這既能促進大數(shù)據(jù)交易市場的發(fā)展，又能有效地保護個人的數(shù)據(jù)權(quán)利。

3.2 大數(shù)據(jù)交易市場要健全用戶個人數(shù)據(jù)權(quán)利保護的相關(guān)規(guī)則

在政府層面完善個人數(shù)據(jù)權(quán)利保護相關(guān)制度的前提下，大數(shù)據(jù)交易平臺需要嚴格監(jiān)管會員的準入門檻，并且平臺的審核、審查、監(jiān)督懲罰機制需要具體細化成規(guī)則，要統(tǒng)一個人數(shù)據(jù)處理原則及相關(guān)的個人數(shù)據(jù)保護規(guī)則。首先，對于收集到的用戶數(shù)據(jù)及其使用目的，應確保數(shù)據(jù)所有權(quán)人擁有知情權(quán)和查詢權(quán)，如用戶應知道將要收集的數(shù)據(jù)范圍和數(shù)據(jù)的用途等。應將與用戶隱私直接相關(guān)的數(shù)據(jù)放在用戶隱私保護協(xié)議的醒目位置，讓用戶擁有是否同意數(shù)據(jù)交易的選擇權(quán)利。保障數(shù)據(jù)的交易應在合法且透明的環(huán)境中進行，以避免發(fā)生不必要的信息安全事件。其次，大數(shù)據(jù)交易平臺和相關(guān)的個人數(shù)據(jù)供需企業(yè)都應該規(guī)范起來，統(tǒng)一行業(yè)的交易標準和監(jiān)督機制，企業(yè)平臺應與購買商簽訂保密合同，對數(shù)據(jù)的使用權(quán)設立時限，不能對用戶的個人數(shù)據(jù)進行無限期的使用，避免出現(xiàn)多次循環(huán)售賣及濫用個人數(shù)據(jù)的現(xiàn)象。最后，需要明確大數(shù)據(jù)交易各方的責任。發(fā)生侵權(quán)行為時，平臺方須及時補償數(shù)據(jù)權(quán)人的受損利益，并建立合理的監(jiān)督機制；禁止平臺人員對個人數(shù)據(jù)進行私下交易，若發(fā)現(xiàn)私下交易行為，應采取嚴懲措施來降低個人信息泄露的外部風險。

3.3 用戶自身要提高保護個人數(shù)據(jù)權(quán)利的意識和能力

用戶自身需要加強安全防護意識。隨著大數(shù)據(jù)技術(shù)、社交平臺的發(fā)展，個人數(shù)據(jù)，尤其是涉及隱私的數(shù)據(jù)更多地暴露在互聯(lián)網(wǎng)中，也具有更多的被違法者所覬覦的可能。

在大數(shù)據(jù)交易背景下，政府層面完善個人數(shù)據(jù)權(quán)利保護的相關(guān)制度和大數(shù)據(jù)交易市場健全個人數(shù)據(jù)保護的相關(guān)規(guī)則都是外部控制措施，其前提都是用戶本人注意保護自身的個人數(shù)據(jù)，尤其是涉及隱私的數(shù)據(jù)。如在瀏覽網(wǎng)站時，應選擇安全正規(guī)的網(wǎng)站且匿名進行瀏覽；在網(wǎng)購交易時，應確保已采用安全的連接方式，以降低不法分子利用用戶個人數(shù)據(jù)進行不法交易的可能性；在注冊服務賬戶時，若必須填寫個人信息，可適當填寫不影響自身使用軟件的信息，盡可能避免填寫極易識別個人身份及個人所在地的重要信息；在進行信息存儲時，應看管好信息存儲設備，禁止涉及個人數(shù)據(jù)尤其是個人敏感數(shù)據(jù)的文件共享，且定期備份重要數(shù)據(jù)；在社交平臺中，應對自己的敏感信息打上馬賽克，管理好自身的身份信息等?？傊脩舯M可能地減少個人數(shù)據(jù)尤其是個人敏感數(shù)據(jù)的泄露，就是對個人數(shù)據(jù)權(quán)利最好的保護。當然，用戶在自身的個人數(shù)據(jù)權(quán)利受到侵犯時，也應積極維權(quán)。而這些都需要用戶自身不斷提高保護個人數(shù)據(jù)權(quán)利的意識和能力。