当前位置:
网站首页 > 观点

互联网平台应该如何保护数据

傅蔚冈 / 2018-6-11 14:22:42

《欧洲一般数据保护规则》开始施行,很多人在问,中国是不是也应该立法保护个人信息?毫无疑问,个人信息应当保护,但是从世界各国的实践来看,既然现代社会个人或者组织获得个人信息的目的是为了创造财富,而且过去的经验已经证明数据能提高效率,那么法律就应当鼓励个人信息的合法流通。

必须指出的是,个人信息泄露不只是发生在互联网企业,其他机构也会泄露。比如说在2015年4月22日,30多个省市的社保系统、户籍查询系统等被曝存在高危漏洞,包括个人身份证、参保信息、财务、薪酬、房屋等敏感信息在内的5000多万条社保用户信息可能被泄。那么一个急需厘定的问题是,互联网平台在合法使用并保护其获得的用户信息方面有什么特点?据我分析,从法律层面分析,至少存在四个面向。

首先,平台和网络用户之间基于合同法产生的契约关系。当用户要使用平台所提供的各种服务时,平台会要求用户提供相应信息。因为平台要面对海量用户,因此平台和用户之间不可能一对一地谈判,而是由平台提供一个格式条款,约定相关个人信息的使用规则。在这一法律关系下,平台要承担外观保护和内容保护,即要保证搜集的信息必要,保管的信息准确,存储过程中要保证可用性、完整性、保密性。这也是《网络安全法》第41条和第42条确认的原则。

其次,用户和平台之间基于侵权法的责任。现实生活中经常出现的情况并不是平台大规模泄露用户信息事件,因为用户信息作为平台最核心的资产,它必定会有激励来保证这些信息不被泄露,而是用户在平台上发现有损其声誉的信息,比如说诽谤信息或者侵害他人隐私的信息,发生这种情况后,平台应当承担什么样的责任?

《侵权责任法》第36条对此种情况做了这样的规定:“网络用户利用网络服务实施侵权行为的,被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。网络服务提供者接到通知后未及时采取必要措施的,对损害的扩大部分与该网络用户承担连带责任。”学界将此条款称为平台的安全保障义务,但是安全保障到何种程度,在实践上是一个难题。因为首先要确认的一个前提是,何种行为是侵犯用户的权益乃至网络服务者必须采取“删除、屏蔽、断开链接等必要措施”的?平台并不是法院或者行政机构,它没法强制性要求用户提供相应的信息来论证其信息真伪,也无法判断这是否构成诽谤。如果任何一个用户都能向平台主张类似要求,那么互联网的信息共享实际上就要接近瓦解。因此,在“通知删除”规则中用户的证明义务就显得格外必要,它向平台主张相关诉求时,必须提供相关证明主张其要求是合理的,比如已经生效的判决书或者裁定书,行政机关的决定或者是其他已经生效的司法文书。

再次则是平台的网络安全运行义务。由于平台集聚了海量的信息,因此《网络安全法》给其设定了法律义务,使其能够“保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改”。需要指出的是,不同平台所要承担的义务并不相同,通常来说就是“能力越大责任越大”。

最后一个法律关系是平台和信息处理者之间的关系保护义务。尽管平台收集和储存了个人信息,但这并不意味着都由它自己来完成对所有信息的分析和处理,基于社会分工的需要,有可能会外包给第三方,或者是授权给第三方使用。这时候至少要回答以下几个问题:

第一,平台可以在多大范围内将信息移交给信息处理者,以及信息处理者应该承担什么样的义务?

第二,哪种情况下个人信息移转是合理的?其范围该如何限定?比如说在某公司内部移转,还是可以在公司以外移转?尤其是现在很多公司为了经营上的便利或者风控的原因登记成立了不同的公司,那么该如何界定“公司内外”的概念?

第三,当合法转移后的个人数据交易产生问题时,到底该由谁来承担责任,以及该承担多大责任?当然,通常情况下这是一事一议,要根据具体情节来判定,但这并不妨碍法院在司法实践中提炼出一般性原则来确认责任的边界以保护相关数据信息。

刊于《南方都市报》 | 2018-06-11

  • 平台城市•城市峰会
  • SIFL年会2017
  • 【鸿儒论道】全球资管投资趋势
  • 上海社会认知调查
  • 研究员评论