用戶主導下的信息安全保護機制建設
——以電商環(huán)境下的用戶信息行為模式為例

高潔 毛靜 李美娜

（山東師范大學，山東 濟南 250399）

一、個人數(shù)據(jù)、個人信息和個人隱私的概念界定及關系

對個人數(shù)據(jù)、個人信息和個人隱私的概念進行界定和區(qū)分不僅能明確用戶被侵害法益的權屬問題，更有助于幫助保護機制定位，對后續(xù)的權屬分離和各主體權益保障有著重要作用。

（一）個人數(shù)據(jù)、個人信息、個人隱私數(shù)據(jù)的概念

個人數(shù)據(jù)指的是客觀存儲在計算機系統(tǒng)中的客觀事物，作為信息載體的數(shù)據(jù)具有隨時產生、多方存儲、跨平臺、多次開發(fā)、多人經手等特點；個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他方式結合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證號、通信聯(lián)系方式、住址、財產狀況、賬號密碼、行蹤等；個人隱私又稱私人生活秘密或私生活秘密，個人隱私不受他人非法搜集、刺探和公開。

（二）三個概念間的關系

個人隱私與個人信息具有交叉性，即只有部分個人隱私屬于個人信息，個人信息只有涉及個人私生活的敏感信息屬于個人隱私。個人數(shù)據(jù)具有很強的客觀性，公民的個人信息不同于個人數(shù)據(jù)，個人信息是個人數(shù)據(jù)所承載內容的現(xiàn)實反映，性質上屬于人格權，內容上具有一定的主觀性。本文將個人隱私數(shù)據(jù)界定為基于公民信息所產生的一切個體活動（動態(tài)）數(shù)據(jù)及靜態(tài)數(shù)據(jù)的總和，所有與此相關的數(shù)據(jù)泄露，均視為個人隱私數(shù)據(jù)泄露事件。

二、電商營銷模式與用戶信息行為的關系

（一）用戶信息行為的概念界定

岡部慶三認為信息行為就是利用越來越多樣化的媒介進行信息的傳送、接收以及加工、處理和存儲的行為。我國學者胡昌平認為，信息行為以滿足某一信息需求為目的，受外部刺激的影響，表現(xiàn)出查詢、獲取、傳播、交流、吸收、加工和利用信息的行為。

（二）電商環(huán)境特點以及對APP 用戶信息行為的影響

2015 年個人信息泄露渠道調研問卷結果顯示，商業(yè)數(shù)據(jù)已經成為數(shù)據(jù)泄露的重災區(qū)，這是由電商平臺的特質決定的。電商平臺的特質是通過與微博、微信等眾多社交APP 結合，以“B2C”模式為基礎為用戶呈現(xiàn)出交互式、沉浸式的購物體驗，這些特質誘導用戶更容易地做出信息處分行為，信息用戶在獲取信息的同時會更頻繁地生產、發(fā)布、分享信息，這同時也就意味著信息被過度收集和使用的風險大大增加。

社交網(wǎng)絡中非體系非結構化信息日益增多，用戶僅僅通過位置共享、語音、表情包等交流方式就可能會泄露個人真實信息。以我們團隊問卷調查的結果來看：78.5%以上社交軟件用戶會輕易作出授權行為，而作為電商平臺重要承接口的微博、微信等APP 擁有龐大的用戶群體，電商平臺為制定營銷策略促進個性化營銷模式的發(fā)展可輕易結合APP 收集用戶的行為信息、喜好信息。

除了平臺自身運營機制問題，電商平臺在業(yè)務外包第三方的過程中也有可能侵害用戶的信息安全。在網(wǎng)絡零售市場(B2C)模式下，消費者通過社交APP 進行交流、互動完成企業(yè)推廣和產品銷售,構建出巨大的銷售圈。部分平臺為吸引投資主動整合產業(yè)鏈降低準入門檻，將物流、倉儲、生產商包攬，待商家進駐后為節(jié)省成本把物流服務外包給第三方，平臺選擇外包的服務很大程度上著眼于成本的考量從而忽略外包物流企業(yè)管理和誠信機制審核，這便會對用戶信息安全造成威脅。

總結電商與社交平臺結合的環(huán)境中造成用戶輕易做出信息行為，導致個人信息更容易被過度收集和濫用的主要原因是：電商模式交互性和朋友圈層交易的特點極易降低用戶的辨識能力和主觀能動性，再加之用戶與信息收集方地位不對等和法律相應的處罰措施缺失。

三、國內外信息安全保護機制研究和法律規(guī)定

（一）國內外信息安全保護研究

在數(shù)據(jù)加密技術方面，我國學者王彩玲基于位置大數(shù)據(jù)的隱私保護進行研究，通過分析數(shù)據(jù)加密技術，提出了保護數(shù)據(jù)隱私的加密方法具體設計，實現(xiàn)位置標示和定位，并利用模糊加密理論設計算法進行計算和驗證，比較發(fā)現(xiàn)誤差值變小，該計算方法有效。

在架構第三方數(shù)據(jù)托管機制方面，我國學者章寧、鐘珊認為針對電商環(huán)境下個人信息安全保護可以使用基于區(qū)塊鏈的第三方數(shù)據(jù)庫和數(shù)據(jù)交互審計平臺建設的方法。用戶可以選擇自己信任的數(shù)據(jù)庫來實現(xiàn)個人隱私數(shù)據(jù)的托管，具有便利性和可操作性。第三方數(shù)據(jù)庫存放的是用戶隱私數(shù)據(jù)的加密形式，因此其他人看不見隱私數(shù)據(jù)的具體內容。不同用戶可選擇不同的第三方數(shù)據(jù)庫，通過分布式的存儲以增加數(shù)據(jù)安全性。

國外學者Ahmed Kosba等認為當前的區(qū)塊鏈交易環(huán)境缺乏交易的隱私保護，虛擬地址之間的金錢流動完全暴露在區(qū)塊鏈環(huán)境中，因此提出了一個叫做Hawk 的去中心化智能合約系統(tǒng)，通過避免在區(qū)塊鏈上存儲財務交易的明文形式來保障交易的隱私性；但是該方法只能保障交易信息的隱私性，實際操作中具有局限性。

（二）具體法律規(guī)定

我們在針對相關規(guī)范性文件進行分析后得出結論如下：我國的個人信息保護政策體系主要體現(xiàn)在現(xiàn)階段多層次的戰(zhàn)略框架、法律法規(guī)和行業(yè)標準等為個人信息提供了保護的依據(jù),涵蓋個人信息安全的基本原則、個人信息的收集條件、個人信息的保護要求、個人信息的使用披露及分享提供規(guī)則等。但我國法律對隱私權的內容卻只做了原則性規(guī)定而沒有做出明確的規(guī)定。

四、解決方案

我們分析威脅用戶信息安全的主要原因除了應用軟件開發(fā)商加密系統(tǒng)漏洞和內部管理機制不規(guī)范外，最根本的是用戶自身做出的信息處理和授權行為。以往的對策著重針對難以控制和規(guī)范的信息收集方與處理方，為此我們轉換視角，找出數(shù)據(jù)創(chuàng)造的源頭——用戶，總結并創(chuàng)新地提出了幾種建議：

（一）可以考慮將個人數(shù)據(jù)歸入財產權

1.用戶創(chuàng)造的數(shù)據(jù)可以作為財產權的客體。現(xiàn)代商業(yè)模式下大數(shù)據(jù)分析技術會使得可識別與不可識別數(shù)據(jù)之間的區(qū)別變得無意義，而對個人數(shù)據(jù)和個人信息進行區(qū)分才是關鍵。

2.將創(chuàng)造數(shù)據(jù)的用戶作為數(shù)據(jù)所有者，強化數(shù)據(jù)所有權的概念。隨著個人信息相關的數(shù)據(jù)價值提升隨著個人信息相關的數(shù)據(jù)價值提升，以違法方式出售、提供、購買、收受、交換個人信息并達到一定額度的都會構成犯罪。通過強化數(shù)據(jù)所有權的方式促進個人信息人格屬性和財產屬性的分離，可以有效禁止或者限制數(shù)據(jù)的采集行為，為個人數(shù)據(jù)的購買、開放、交換等行為提供法律基礎。強化數(shù)據(jù)所有權不僅能為數(shù)字經濟發(fā)展提供法律保障、間接保護數(shù)據(jù)用益權，還能夠反向強化用戶作為數(shù)據(jù)第一創(chuàng)造者的地位和權益，促進數(shù)字經濟發(fā)展挖掘更多潛在效益。

（二）從用戶主觀上同時加強對用戶的安全意識指導

1.規(guī)范用戶的信息行為

用戶在使用各平臺軟件時要注意信息行為規(guī)范，不輕易泄露個人真實信息，從用戶主觀上提高警覺性和敏感性，對于APP 的授權請求要謹慎思考，合理授權。可強制要求APP 開發(fā)方和平臺建設方協(xié)助，在用戶授權界面設置強制閱讀時長，規(guī)范用戶充分知悉自己的權利義務。

2.健全理性精神，培育公民法治意識

在我國相關法律制度尚未健全、個人信息保護專門法尚未出臺之前，加強公眾的個人信息安全教育顯得尤為必要。運用網(wǎng)絡信息安全知識培養(yǎng)公眾對信息的認識、選擇、批判能力以及對情感和意志的協(xié)調能力，法治意識，即是作為獨立主體的社會成員對于法治的觀念、知識和思想體系的總稱，它反映著公民對法律的效用和功能的基本態(tài)度及信任程度。首先，社區(qū)基層干部應對群眾加強關于個人信息保護相關法律知識的宣傳；其次，不能輕視大學生群體的宣傳教育，尤其是大學生群體，可以將理性教育的理念整合到不同的學科中去，使學生在追求專業(yè)見解的同時，仍能保持對其他思維方式的敏感度。

（三）加強對應用平臺開發(fā)方和數(shù)據(jù)處理方的監(jiān)管

對應用軟件開發(fā)方誠信機制考評建設，對數(shù)據(jù)使用權上占據(jù)主動地位的企業(yè)要落實實名負責制和責任追責制，政府輔助監(jiān)督合理使用用戶信息，不觸及并定時銷毀用戶敏感信息。在用戶授權方面，嚴禁不授權不提供服務的行為并開通廣泛的用戶反饋舉報渠道。