互联网技术的4.0时代已经到来,数据经济成为新网络时代的基础。一方面,人工智能、智慧城市、用户习惯、物联网等新技术需要数据作为支撑,另一方面,精准营销、用户画像、分享经济、个性化服务等互联网生态经济也需要数据作为基础。因此,数据就成为新时代产业的“石油”,互联网3.0时代的用户经济逐渐依靠数据转化成4.0时代的数据经济。

数据作为一种经济形态,从自然人隐私权角度看,在法律上可以分为两大类:一是可以直接或间接识别到自然人身份的个人信息;二是不能识别到自然人身份信息的大数据。个人信息属于隐私权范畴,在我国《侵权责任法》《民法总则》和《网络安全法》中进行了明确界定。大数据性质区别于个人信息,尽管缺乏现有法律直接规定,但大数据的性质一般被认为属于知识产权。

必须强调,个人信息属于隐私权,未经允许授权,任何人不得非法使用。超出法律底线对公民个人信息的商业化采集、使用和买卖不仅是典型的侵权行为,而且还触犯了我国刑法修正案七、九以及2017年最高检和最高法联合发布的关于办理公民个人信息刑事案件司法解释的相关规定。我国法律对保护公民个人信息极为严格,在《网络安全法》中明确将政府、网络经营者和其他数据保有人都作为公民个人信息的安全责任主体。若是有人越过雷池非法使用公民个人信息,那就将面对包括民事责任、行政责任和刑事责任在内的法律责任体系。

不过,个人信息也并非绝对不能商业化使用。个人信息既然属于隐私权,性质上就是民事权利,民事权利当然可以按照平等自愿的原则进行处分。个人信息的合法使用关键点就在于商业使用者是否遵循了《网络安全法》中规定的“合法性、正当性和必要性”三个原则。合法性说的是数据的采集、使用和处分的全过程应该遵守强制法规定;正当性原则就是强调使用者应该事先得到用户的明确授权;必要性原则是将“最小伤害”原则适用于信息使用的全过程,不得超过业务需要和用户知情权范畴过分采集或使用数据。

实践中,网站一般以“网民协议”的方式取得用户授权,这种合同授权的方式大都以格式条款的方式作出。格式合同在合同法解释中,往往受到霸王条款和消费者权益保护法的限制,这就将网站通过合同取得用户授权的合法性大打折扣。用户是否事先通过格式合同的方式完全知情和授权,成为网站能否有权商业化搜集用户信息的关键。值得注意的是,我国之前已经有判例明确了格式合同取得授权的核心点所在。在“朱烨诉百度隐私权侵权案”中,南京市中院的终审判决中将隐私条款是否明确、用户是否有渠道退出、网站采集范围和用途是否明确等方面作为司法判定格式合同授权的关键点。合法有效的网民协议格式条款授权,一方面,协议应以显著位置提示用户隐私条款的注意,明确告知用户信息被采集和使用的范围;另一方面,网站应提供高效畅通的退出机制,使得用户随时可以拒绝、删除和终止网站已经采集的信息。值得注意的是,我国《网络安全法》特别规定了用户对自己数据的控制权,即在用户发现网站违法违约或出现存储错误数据时,有权利要求网站删除、终止使用或更正。

可见,尽管网站可以通过格式合同取得用户对个人信息的处分权,但是,这必须建立在充分尊重用户个人意愿的前提下,明确告知、显著提示、事中事后退出和赋予用户及时更正权利等条件成为合法个人信息使用的关键所在。

相比个人信息而言,大数据属于知识产权范畴。大数据的来源是用户行为数据和不能识别到个人的数据信息,这部分数据性质因无法关联到个体,所以不具有隐私权性质,我国网络安全法和刑法司法解释都将大数据排除在法律保护个人信息之外。从商业化使用角度看,大数据具有明显的财产权属性,同时,大数据又凝结了网站的脱敏、算法和处理,具有一定的独创性,可以按照知识产权或商业秘密进行保护。数据的知识产权所有权人属于采集的平台,如同其他财产权的市场行为一样,其他人非法获取的行为属于不正当竞争行为。

前不久,脸书的5000万用户隐私泄露事件引发全世界对网络隐私的恐慌情绪。那么,用户在大数据时代中的隐私权界限到底是什么,这就必须从网络时代隐私权的法律逻辑谈起。

民事法律层面的隐私权作为一种具体人格权,在性质上属于绝对权和对世权。换句话说,就是除了权利人本人以外的所有主体,包括但不限于网站、其他网民、第三人等都是这种权利的义务主体。同时,隐私权作为民事权利当然也可以由权利人自己进行处分,比如,在网上公开自己的信息,授权给依法成立的征信公司获取数据,还包括与网络平台签订协议,为了用户自己利益让与一定权利内容等方面。

从网络实践看,网络隐私的范围很大,既包括用户的身份信息,也包括网络行为产生的数据。网络身份信息涵盖用户实名身份信息、注册信息和虚拟地址信息等足以精准到个人信息的数据,在法律性质上仍属于传统隐私权涵盖范围。至于网络行为产生的数据信息,因直接或间接都无法精确到自然人,所以法律性质更像是知识产权。所以,以网络实践为基础,对于隐私问题我国在立法上采取了多层立法模式。

一是,严格保护传统隐私权——用户个人信息,我国以扩张解释的系列刑法修正案构建起隐私保护的最严厉底线。

二是,区分个人信息与大数据之间的关系,《网络安全法》第76条明确了法律所保护的个人信息范围,即“单独或者与其他信息结合识别自然人个人身份的各种信息”。换句话说,除此之外的数据信息则属于大数据性质,不在隐私权保护体系范围之内。我国《民法总则》在三审稿中,曾将数据信息权明确列为知识产权客体,后因数据信息与隐私权关系尚未得到立法明确界定,出台时删除了这一款,以待将出台的《个人信息保护法》再做最后定论。

三是,明确个人数据控制权。从2012年《全国人大常委会关于加强网络信息保护的决定》开始,到《网络安全法》、再到《侵权责任法》及其司法解释,都分别将用户数据控制权作为人格权的重要基础性权利。特别是2017年全国人大常委会开启的“一法一决定”执法检查中,重申了用户对自己数据的控制权,明确将账号删除权也作为执法重点,可见,最高立法机关对个人数据控制权的重视程度。

从立法现状的角度看,网络隐私保护的法律逻辑在于三点。首先,身份信息等敏感信息是法律保护最高等级,任何人触犯都将受到刑事法律最严格的处罚;其次,对大数据等不可识别的隐私信息更像是知识产权,按照商业规则和惯例,以“合法性、正当性和必要性”的基本原则进行处理;最后,强化用户对自己数据的知情权、控制权和处分权,确保数据权掌握在用户手中。

多层级的网络隐私法律逻辑,主要是为了适应网络大数据经济发展需要。大数据的来源与它的商业价值一样广泛,其中用户数据是各个平台最重要的数据源之一。用户网络行为到底属于什么性质,决定着商业使用与隐私权之间的微妙关系。网络平台采集用户行为数据进行商业使用的合法前提至少有三个:一是未经用户允许不得采集、使用和处分具有可识别性的身份信息;二是即便在征求用户同意之后,也不得违反法律规定或约定过度化使用,整个过程必须遵循“合法性、正当性和必要性”基本原则;三是平台在技术上和制度上,要确保用户充分享有对自己数据的知情权、退出权和控制权。

按照这种法律逻辑,我们对脸书泄露用户隐私事件的几个重要行为进行分析。

第一个行为,剑桥分析机构委托脸书进行数据调查,其目的在于预测大选结果,而脸书却以“性格测试”为幌子,让27万用户在不知情的前提下提交了自己身份信息和社交信息。

第二个行为,脸书通过27万参与用户,获取了他们所有超过5000万的社交好友资料,并转交给委托方。

其中,第一个行为违法的根本原因在于,脸书对用户进行了诱导欺诈,获取他们个人信息目的不在于性格测试研究,而在于政治选举预测。这就直接导致用户授权属于“伪授权”,换句话说,脸书违法获取用户个人信息数据并以商业模式转让给第三方。

第二个行为违法之处更为明显,参与测试的只有27万用户,而脸书获取的个人信息却超过5000万个,也就是说,绝大部分的用户在自己完全不知情的情况下,个人信息就被脸书伙同其他“好友”非法转让给第三人,这是典型的侵害个人信息犯罪范畴。

换个角度来看,假设脸书从最开始就明确告知用户参加的项目是什么,将所搜集和处分的信息类型、用途、期限、原则等都明确告知用户,经用户同意后再进行处理的话,这个事件的性质就会大不一样。当然,若如此脸书可能也无法达成5000万用户数量规模的“研究资料”。

对于让渡隐私来换取便利的现象,要分情况看。平台采集和使用用户隐私既要符合法律界限,又要事先告知用户并征求许可。如果用户知情并“愿意”这样做,用隐私利益换取安全、效率和便利,这又何尝不可。例如,我们使用车载导航系统,使用导航的前提是平台知道我们的具体位置隐私,一旦车辆发生碰撞等意外,有的互联驾驶系统会自动报警或通知家人,家人的电话号码或车辆突发事件都属于隐私,为了用户安全考虑,在事先征求用户同意的基础上,用“隐私换便利”未尝不是好事。

同时,平台利用用户隐私需要基于用户利益和遵循用户协议。互联网免费经济时代中,网民免费使用绝大部分网络服务的基础,在于平台可以通过精准广告等大数据模式获取商业利益。在用户许可的情况下,让渡隐私权中安宁权的一部分,通过接收广告等方式支付网络服务的“对价”,让免费使用服务的用户也变成消费者,受到更好的法律地位,这就是互联网经济的实践现状。

因此,我们在评价“隐私换便利”时,不仅要知道平台是否拿了用户隐私,还要知道平台为何要这样做,不是去否认网络的商业逻辑,而是必须遵循隐私的法律逻辑。网络隐私就像一把双刃剑,法律需要保证的就是剑柄应该握在用户自己手里。

(作者单位:中国政法大学传播法研究中心,编辑关琦)