付 霞

（华中科技大学武昌分校新闻与法学院，湖北 武汉 430064）

无形中不少人发现，我们自身被“出卖”了，因为不停地有销售推广电话、垃圾短信、垃圾邮件的“光顾”，不堪其扰。中国经济时报一篇时评文章——《个人资料商业化亟待法律规约》引起了我的深思，文中称，个人资料的商业化应该不是洪水猛兽；用法律手段严格规约比彻底封杀或许更具理性和可行性。[1]因此，本文将对云计算时代网络用户个人信息资料商品化的法律规制作一番探讨。

一、云计算时代个人信息资料商品化

自2006年谷歌首席执行官埃里克·施密特（Eric Schmidt）首次提出云计算（Cloud Computing）概念，谷歌开始在世界各地推广云计算计划，一些世界著名IT公司像雅虎、惠普、英特尔包括国内的百度等等都纷纷加入“云”的产业中。云计算提供的服务都要求有大量用户的参与，云服务的提供商搜集用户个人的相关信息资料以验明其身份或为其提供个性化的服务。这些收集、存储有海量用户个人信息资料的企业除了为自身发展而对用户资料进行精细分析发掘其商业价值外，也会出于商业合作而对外转移或出售用户资料库.

（一）个人信息资料是一种信息商品

个人信息资料作为对自然人的实在记录，包括个人出生日期、性别、兴趣爱好、职业、家庭状况、收入情况、健康状况等等，在传统经济中无非是作为独特个体的识别系统而存在。而在信息社会中，商家对这些个人信息资料非常感兴趣，比如通过出生日期，商家就可以了解他的顾客群所处的年龄阶段，特定年龄阶段的顾客群比如“70后”、“80后”因所处的时代历史背景相似而具备一些共同的特质、品味，因此商家可以有针对性的推出相关的产品。美国著名社会学家奈斯比特认为：在信息社会中起决定作用的不是资本，而是掌握在大多数人手中的信息知识。[3](p15-16)现代先进的网络和计算机技术让信息商品有了纵深和更广的发展，个人信息资料的商品价值于是被发掘出来，成为商家盈利的一种资本。

（二）个人信息资料商品主要指个人信息资料的集合体

单个个人信息资料对商家而言，价值非常有限。而个人信息资料的集合体按照某种科学、专业的方法，进行分类整理或“二次开发”后形成的数据库能为商家的各种商业行为提供依据和参考价值，从而成为企业无形资产的一部分。而且个人信息资料的数量越多则该集合体的的价值越高，与1+1>2的道理如出一辙。

二、云计算时代个人信息资料商品化的现实与理论

（一）云计算时代个人信息资料商品化面临的现实问题

网络用户的个人信息资料主要通过以下四种方式被收集：第一，在进行用户注册时或在参加某些网络活动时，本人提供的；第二，用户使用的cookies；第三，一些不法企业或个人通过专门的隐私窥探工具或给用户植入木马程序；第四，黑客直接入侵相关部门的计算机系统。

可以看出，除第一种方式外，另外三种方式都是在用户不知情的情况下收集的；而且，即使是第一种方法，个人的信息资料被收集也可能是在不知不觉中进行的。[5]如此，则个人信息资料商品化的法律风险甚大，甚至会涉及刑事责任。而且在云模式下，大量的个人信息资料是存储在云端的，基于云技术的局限，安全本身就是个问题。

2010年，Facebook 1亿多用户资料被泄露；2010年，11.4万iPad用户资料被AT&T网站泄露；同年，MySpace被指泄露隐私给广告公司；与此同时，当年百度、360客户端、当当网等诸多互联网公司的用户数据资料频传泄露。而后文提到的2011年底我国发生的CSDN、天涯等大型网站用户信息泄露事件着实让大家目瞪口呆了一把。

这些现象反映出云计算时代网络用户个人信息资料商品化面临的现实问题：个人信息资料的非法收集，个人信息资料中的隐私得不到有效保护，以及个人信息资料的安全问题令人堪忧；同时我们也看到，网络服务商基于自身的发展非常乐意通过各种方法收集个人的信息资料，这是笔有大利可赚的小买卖，因为个人几乎不能从这个利益中分得任何的比例，个人的人格权甚至得不到保障，个人的主体地位有待法律进一步厘清。

（二）云计算时代个人信息资料商品化的理论解决

1.从隐私权到个人信息资料权的独立

自1890年两位美国学者布兰代斯（Brandeis）和沃伦（Wallen）在《哈佛法学评论》上发表了一篇著名的题为《论隐私权》（The Right to Privacy)的文章，并在该文中首次使用了“隐私权”一词，隐私权日益引起理论和实务界的广泛关注。网络方兴未艾之时，美国著名杂志《纽约客》曾刊登出的黑色漫画式幽默：“在互联网上，没有人知道你是一条狗”，一语道出网络的虚拟性。这更加突出了网络用户真实信息的隐秘性和隐私属性。除了现实生活中的各种隐私外，在现实生活中不能成为隐私的“姓名、性别、身高等”都成为网络隐私。而且随着个人主体意识和权利意识的加强，强化对隐私权的法律保护的呼声也越来越高。美国通过一系列的判例将其上升为宪法上的权利，我国也在2009年通过的《侵权责任法》中确立了隐私权。

虽然法律加大了对隐私权的保护，个人信息资料的诸多内容都可以被囊括其中，但是随着网络技术和电子商务的发展，个人资料显示出来的巨大的商业价值却是传统隐私权理论始料未及的。隐私权作为一种具体人格权，与人身相关而无直接财产内容。个人信息资料权的提出正好和隐私权形成完美的互补。隐私权制度的重心在于防范个人的秘密不被披露，生活安宁不被打扰，更多的体现为一种消极的防御措施。而个人信息资料权则是一种个人积极地利用、控制自己的相关信息，并能产生财产利益，将个人信息资料商品化的权利。实际上很多名人特别是娱乐圈的人不惜通过各种方法，利用自己的个人信息包括隐私来获得关注、提高身价，就是个人信息资料商品化的典型。

在我国，个人信息资料权也得到了法学大家的认可，王利明教授认为：“个人信息资料权是指个人对于自身信息资料的一种控制权，并不完全是一种消极地排除他人使用的权利，更多情况下是一种自主控制信息适当传播的权利。”[7]

2.从个人权利到个人权利与公共利益的平衡

2011年初，欧盟拟修订《数据保护指令》，以期更好地反映网络服务附带产生的个人数据保护方面的新变化，来推动技术创新。欧盟竞争技术协会主席乔纳森·佐克表示，在云模式下，借助有效地数据保护方法，企业可以将云模式所带来的商业潜力最大化，从而实现技术的持续创新和业绩的增长。[8]2011年6月，美国加利福尼亚州参议院投票否决了一项要求社交网站未经允许不得擅自分享用户数据信息的议案。而美国加利福尼亚州一向以严格审查和监管个人隐私信息“著称”。该州曾是美国第一个要求企业必须告知用户涉及信用卡号码等个人信息安全风险的州。[9]这些消息都透露出：立法部门都已经注意到云计算给个人信息资料保护带来的新问题，并且准备改革法律来应对新问题。

在计算机和网络技术飞速发展的今天，过于严格的个人数据保护将不利于现代电子商务和网络服务的发展；在社会发展这个全人类福祉的背景下，个人权利将适度做出让步。如德国法院在确认个人信息资料权一开始，就同时认为这一权利不是绝对的，要受到公共利益的限制。为满足现代信息社会高效、简便的要求，除非涉及到个人隐私或敏感信息，个人信息资料的流转或使用不必都征得个人同意。

3.商品化的只是个人信息资料的商业价值

人格作为“人”为法律上主体的资格，为安生立命的根本，是不能转让、出售的。个人信息资料商品化的只是个人信息资料的商业价值，而非个人人格。如某著名影星有偿将其肖像许可某厂商用于产品的包装，其中的人格权——肖像权并未转让，但基于其本人的公众影响力，其肖像已经产生了不小的经济价值，因此可将其肖像利益暂时许可给他人使用。

三、云计算时代构建规制我国个人信息资料商品化的法律制度

（一）尽快出台个人信息资料保护法，为个人信息资料商品化提供法律支持

尽管我国于2009出台的刑法修正案（七）增设出售、非法提供公民个人信息罪以及非法窃取公民个人信息罪，对非法出售或者提供公民个人信息资料的严重犯罪行为进行了刑法上的规制，狠狠地打击了地下个人信息资料流转的黑链条，有力的维护了公民个人的权利。而在民事领域，我国仅有《侵权行为法》中关于“隐私权”的民事利益规定可以适用，如前文所述，隐私权的相关理论远远不能解决当今的个人信息资料的保护问题。因此，个人信息资料保护法的出台迫在眉睫。

个人信息资料保护法应对个人信息资料权作出具体的规定，明确个人信息资料商品化过程中相关主体的权利和义务。信息资料的本人作为个人信息资料的原始权利人，是个人信息资料商品化流通的决定权人和流转过程的始终控制权人，个人信息资料的收集、流转和利用必须要征得个人本人同意并知晓使用的情况。当然法律可以在特殊情况下对个人的权利作出适当的限制。个人信息资料的收集者、二次开发者等主体在个人信息资料的流转过程中既是权利人亦是义务人，某种程度上他们也是个人信息资料权（对个人信息资料数据库的权利）的主体；同时他们也承担着保证个人信息资料的安全的义务。

（二）建立专门的个人信息资料监管主管机构，保障个人信息资料商品化有序进行

在个人信息资料商品化流转过程中，个人相对于商事企业力量过于弱小，要维护自己的个人信息资料权难度比较大，必须要有专门的机构承担起监管的任务。英国根据1998年《数据保护法》设立数据保护专员办公室，数据保护专员可以对违反数据保护法的数据控制人发送执行通知，要求其采取相应措施保护权利人的利益。德国根据2003年《联邦数据保护法》设立联邦数据保护专员，独立和公正的办理个人数据保护的事务。

（三）加强互联网行业自律，为个人信息资料商品化提供良好的环境

现在大量个人信息资料的非法交易都是通过网上交易，或者大量个人信息资料从网络企业经营者泄露，网络成了个人信息资料非法交易的重灾区。这与互联网企业本身对网络用户个人权利漠视、社会责任感不强有关。2011年底，CSDN遭黑客入侵，600万用户注册邮箱和密码被泄露导致大量用户信息泄露，据报道其原因是企业没有采取任何安全措施！虽然事后这些企业认识到错误并受到了处罚，但仍引人担忧和深思，加强互联网行业的自律任重而道远！实务中美国历来重视行业自律，如非营利性机构Truste对符合不同自律标准的网站颁发认证证书，有力的对个人信息资料的收集、利用等行为进行了自我约束。同时希望互联网企业加强自律，切实将企业的利益建立在保护用户合法权益基础之上。

（四）发展个人信息资料保护技术，为个人信息资料商品化提供技术支持

个人信息资料商品化的问题是随着技术发展而出现的新问题，我们看到大量侵犯个人信息资料的行为本身就是高技术手段，如植入木马程序等等。让法律的归法律，技术的归技术。纯粹依赖法律来进行强制规范往往达不到良好地社会效果，必须同时发展个人信息资料保护的技术。

如微软公司开发出一个“标识元系统”，还有种技术叫隐私参数平台协议，简称P3P。都可以对个人信息资料进行保护。因此解决个人信息资料保护问题的技术途径就是：依靠代码，我们必须使结构具有能够进行选择的能力——而不是人，而是由机器去做出选择。这种架构必须能够进行计算机与计算机之间的隐私协商，每个人都可以告诉计算机想保护的隐私。[12](p251)

（五）增强网络用户个人自我保护意识，构建积极向上的网络秩序

由于传统文化的影响，我国网络用户的个人权利意识、隐私权意识都比较单薄，因此用户个人首先要增强个人权利意识，要认识到自己的信息属于自身权利的一部分，不可被他人随意使用；同时要增强个人保护意识，警惕自己的个人的信息被非法收集或使用，特别是涉及到自身隐私的内容。同时，由己及人，用户也要形成尊重他人权利和隐私的意识，不窥探他人信息和隐私，形成相互尊重的良好的道德氛围。

相关部门也要通过各种途径，宣传互联网有关法律和道德准则，教育和感染广大网络用户，提高用户法律权利意识和法律规则意识，提倡大家文明上网，在网络上形成自律，共同遵守网络法律和道德准则，构建积极向上的网络秩序。

[1]郭之纯.个人资料商业化亟待规约 [N].中国经济时报，2008-6-12.

[2][美]约翰·奈斯比特.大趋势[M].北京：中国社会科学出版社，1984.15-16.

[3]彭礼堂，饶传平.网络隐私权的属性:从传统人格权到资讯自决权[J].法学评论，2006，(1).

[4]王洪.信息隐私权与个人信息保护[J].重庆社会科学，2009，(9).

[5]王利明.隐私权概念的再界定[J].法学家，2012，(1).