网络开放平台用户隐私权的风险防范研究*

2014-12-03罗洁

理论月刊 2014年11期

罗洁

（中南财经政法大学法学院，湖北武汉 430072）

自2007年开放平台的先驱——拥有1 亿多名活跃用户的社交网站Facebook 因开放平台迅速成长，成为互联网产业中的新贵，全球各大互联网公司竞相推出自己的开放平台战略，从微软、谷歌到国内腾讯、百度、淘宝等等，纷纷推出自己的开放平台。对于众多开发者来说，开放平台能为他们提供亿万级的优质用户、完善的开放合作机制、全面的技术支持以及成熟的运营服务，成为众多开发者成就创业梦想的平台。而对于口味越来越挑剔的众多网络用户来说，单个公司已无法满足所有需求，众多的第三方开发者加入到平台当中，可以为用户提供更多丰富多彩的应用，用户个性化需求可以得到满足。而对提供平台的服务商来说，开放平台可以吸引更多的用户，同时留住老用户，因此获得更多的点击率、市场份额和经济效益。开放平台作为一种技术创新，实现了平台方、开发者和用户的三方共赢，创造了互联网一片新天地。

然而，科技是把双刃剑，我们在看到开放平台种种闪光点的同时，其背后的隐患同样不可忽视，个人数据的安全就是其中一个重要问题。一旦被非法泄露，个人隐私就要“裸奔”网络，网络用户的个人尊严、自由会受到极大伤害。随着个人权利意识的提高和公民意识的增强，加强对网络开放平台用户隐私权的法律保护的要求会越来越强烈。

一、网络平台信息共享与用户隐私权

（一）开放平台运营与信息共享

开放平台存在和发展的基础就是共享用户数据，用户数据是用户资料和信息的数字化显示，计算机等智能设备可以识别、读取、分析。正是因为大型互联网公司如Facebook、腾讯、百度拥有数量庞大的用户，才具有开放平台的资本，这也是吸引众多应用开发者的核心。用户数据共享与互联网时代提倡的“开放、平等、协作、分享”精神也是一致的。在淘宝开放平台官网上，淘宝对开放平台的宣传的首页中，开宗明义指出：“淘宝拥有海量的用户、商品、流量等资源。我们通过深度的开放，将这些资源与开发者共享。开发者基于我们的开放业务，可以完成丰富的应用场景，满足各式各样的用户需求”，［1］即明示了开放平台和第三方开发者、用户之间关系——用户通过开放平台得到了更好的服务，但是用户的信息生成的数据在开放平台上是共享的。“第三方网站在用户授权后，通过调用API可以获得用户在淘宝的消费记录、购物偏好、信用等信息，将信息加以整合利用后，可提高用户对第三方网站的忠诚度和粘度，［2］进一步揭示了以用户数据为基础，第三方开发者的经营之道，也是开放平台的经营之道。

做生意讲究“人气”、“人脉”，互联网经济更是被称为“眼球经济”，大型互联网公司拥有数以亿计的用户资源，充分加以利用，可以直接变现为生产力；与第三方“共享”，无疑可以达到“双赢”。开发方不需要购置硬件搭建平台，不需要大量资金投入培育用户，只需要有技术研发和创新能力，就可以“借船出海”，借助大公司的平台轻松快捷创业，获得研发成果转化和直接经济效益。［3］而平台方借此和第三方分享带来的收益，实现了利益最大化。

但是我们可以看到，开放平台商“紧扼利益的喉咙”。开放平台商给第三方开发者提供的都是模板化、规范化的运营模式和收益模式，表现出来的他们之间签订的协议是格式合同，第三方开发者对此进行谈判的空间和能力有限，开放平台上产生的收益分配由开放平台商掌握主动权。

（二）开放平台用户信息共享与用户个人资料的收集和使用

网络用户的个人信息资料主要通过以下四种方式被收集：第一，用户在注册时或者在某些网络活动时，本人或委托他人填写提供的；第二，用户在使用网络服务时留下的cookies；第三，一些不法企业或个人通过非法的窥探工具或木马程序窃取的；第四，黑客直接入侵相关部门的计算机系统。［4］

开放平台商主要通过前面两种方式获得用户资料。基于现在互联网业生态环境良莠参差不齐状况，不排除有些企业通过第三、第四种非法的方式来收集用户信息。

用户数据资料被收集后，如何被保存？保存在何处？会被谁使用？在什么情况下被使用？如何使用？对这些问题，用户几乎眼前一抹黑，因此无从知晓，亦无人告知。在开放平台中，用户亦得不到答案。在腾讯和淘宝开放平台均宣称对用户数据享有权利，如腾讯宣称“‘开放平台运营数据’”的所有权及其他相关权利属于腾讯，且是腾讯的商业秘密，依法属于用户享有的相关权利除外。”［5］淘宝则称：“淘宝开放平台运营数据的全部权利，均归属淘宝。前述运营数据包括但不限于任何用户注册信息、用户针对服务商应用的使用数据等。”［6］这些文件中几乎看不到用户对共享数据资料的参与和控制。

如卡夫卡在小说《审判》中描述的K 的故事，K 从被逮捕到审判、到最后被执行死刑，K 都不知道原因，K 也不知道发生了什么，无法探明最高法院在何处，法官是何人，案卷上列出了那些罪状，左右这些无知导致其无力反抗，只能奋力挣扎，将生死置于机构官僚化运作的仁慈之下。［7］按照这种思路，用户数据共享状态下，用户主体地位遭到漠视，用户权利必将遭到侵害。

二、开放平台用户隐私权保护存在的法律风险

（一）开放平台用户个人隐私面临的风险

在开放平台这一框架中，用户信息不是静止的，随着参与开放平台的网络活动增多，用户的信息在不断的增加，现代计算机强大的计算分析能力从用户在线时间、在线活动种类等等蛛丝马迹数据来收集、处理、分析用户个人信息。同时由于开放平台运作的模式，用户数据在开放平台商和第三方开发者间是共享的，则在用户资料被收集、处理、传播过程中，都会对用户隐私造成侵害。

首先在用户资料收集过程中个人隐私面临的法律风险。即使未披露或公开任何信息，不当的收集个人资料自身就足以侵害用户资料隐私。

其次，用户个人资料进入处理过程隐私面临的风险。相关企业得到用户资料数据后，对数据进行分析、加工、整合，以提高数据的商业价值。若用户对个人资料未能采取适当的安全保护措施，例如，合理利用密码设置等技术手段来保障资料的安全，个人资料极易出现遗失、篡改、滥用和损毁等风险，进而损害资料所有人的合法权益。在中国，2011年底，CSDN 遭黑客入侵，600 万用户注册邮箱和密码被泄露导致大量用户信息泄露；天涯社区的4000 万用户信息被泄漏，占到天涯用户总数的60%，一时让网民人人自危。难怪用户信息在互联网上“裸奔”！虽然事后这些企业认识到错误并受到了处罚，但仍引人担忧和深思。

最后，用户资料传播过程中隐私面临的风险。资料传播包括披露真实的个人信息、曝光私密性的信息、增强信息的公开程度、挪用个人资料牟取私利等，他们都有可能在特定情形下造成用户正当权益的损失。开放平台上用户数据共享即为用户资料在平台商和第三方开发者之间的一个交互式传播，双方据此牟利，这无疑增加了个人资料被滥用的风险。实际上，信息共享可能带来信息被过度的披露，尤其是那些涉及到个人资料的真实信息，不论这些信息是否被公开，都可能对用户造成不利。索罗伍认为，限制信息披露有助于提高个人自治和自决。披露的风险可能阻止人们开展某些可促进自我发展的活动。［8］

（二）信息共享与传统隐私权保护间的冲突

信息共享与传统隐私权保护无疑是冲突的。

总体而言，传统的隐私权理论可分为三大类：“独处权说”、“有限的接近自我说”、“个人信息控制权理论”。夫斯塔法官在Times，Inc.v.Hill 案中指出：“简而言之，隐私就是独处权，即个人有权选择自己的生活方式，而不受外界的干扰、侵扰或侵害，除非存在明确的社会需要与合法依据。”［9］作为有限接近理论的集大成者，嘉伟森认为，隐私权是指“他人在多大程度上知悉与我们相关的信息，他人在多大程度上接近我们，我们在多大程度上成为他人注意的对象。”［10］20 世纪60年代末至70年代初，面对个人资料的计算机化，美国学者逐步确立了以个人信息控制权为核心的隐私权理论。米勒认为：“有效隐私权的一个基本特征是个人有能力控制与自己相关信息的流动。”［11］在用户信息在网络传播的过程中，正是由于信息被过多、不合理、不正当的收集、使用和散播，才使得用户逐渐丧失了对资料的控制和对信息传播的参与，进而导致了隐私权侵权的问题。

用户信息资料同个人权益密切相关，传统隐私权以个人自由、尊严和权益为中心；开放平台模式中用户数据共享的各过程的都未告知获取的用户的同意，更何况数据被编辑、整理等处理各过程；个人权利遭漠视，冲突不可避免。

总之，用户个人信息在开放平台运营模式下的收集、共享、传播过程中存在遭受的非法行为侵害潜在风险，此时，这种伤害多集中于精神层面。但是，当资料被应用于某些个人或者公私机构的现实管理和交易关系时，这种非法使用用户信息的隐私侵害风险就会变成现实，其行为也可能侵害到个人的其他合法权益。因此，开放平台框架下，用户信息的共享必须由法律作出规范，防止侵犯用户隐私风险的发生。

三、法律框架下开放平台用户隐私权保护的具体措施

（一）欧美国家开放平台用户隐私权的风险防范

1.开放平台服务商对用户隐私权保护的技术措施。软件保护模式是通过一定的技术支持，由用户自己选择、自我控制信息隐私保护的一种模式。该模式主要是通过采用一些计算机软件的设置，帮助网络用户实现个人信息资料的保护。（1）关于技术保护的最著名的软件即个人隐私偏好平台（P3P，the Platform for Privacy Preferences）。［12］（2）提高保密性的技术——“身份保护器”。其在系统中创建身份保护功能，使用者进入该系统时，如果选择使用该功能，系统就会发给该用户一个“面具”或“经授权的假身份”，但这种方式仅能够起辅助保护的作用。［13］

2.开放平台隐私权保护的行业自律措施。行业自律模式的代表性国家是美国。美国为了鼓励和促进网络以及与网络相关产业的发展，对网络服务提供商一直采取的是相对较宽松的政策。其主要是通过英特网行业自律的办法来实现对网络传播中非法搜集使用个人隐私材料的控制。该模式最具特色也是最普遍的形式是网络隐私认证计划（online privacy seal program），如著名的TRUSTe组织。［14］

3.开放平台服务商的隐私声明等其他措施。网站开放平台的隐私保护声明应包含的内容：开放平台用户申请和使用服务可能带来的人个权利的危害；告知开放平台收集个人信息资料的目的和收集方式；告知开放平台用户收集资料的范围和将用于何处；对开放平台用户个人信息资料的处理作出承诺；明示在何种情况下利用个人信息资料；对收集的个人信息资料作出安全承诺；告知开放平台用户对其个人信息资料拥有补充、删除、更正、停止使用和对侵权行为进行投诉等权利；未成年人隐私的特别保护；网站的免责条款。（1）建议性的行业指引（Suggestive Industry Guidelines）（2）网络隐私认证计划（Online Privacy Sed program），网络隐私认证计划是一种私人行业实体致力于实现网络隐私保护自律形式。

4.开放平台用户个人的自我防范。目前，对网络隐私权特别是开放平台用户隐私权的保护主要指公民在网络空间或存储于计算机硬盘上的个人信息不被窥视，不被侵入的权利。用户使用邮箱、交流信息及从事交易活动不被非法干涉；不被非法搜集利用的权利，主要指非经特定程序，合法拥有开放平台用户信息的网络服务商不得随意转让用户的信息隐私；以及权利受到侵害时向司法机关请求救济的权利。［15］

（二）中国开放平台用户隐私权的风险防范

1.开放平台服务商对用户隐私权保护的技术制衡。目前，开放平台服务商对用户隐私权保护的技术制衡方面，比较有效的技术措施是采用软件过滤，通过自动搜寻不适宜的关键字而筛选不良信息的模式。过滤阻止技术的实现有两种形式：一是依靠单个的过滤软件。在网络开放平台出口上加上过滤功能，拒绝不良信息的网址。二是依靠通用的内容分级标准。它主要是通过开放平台行业规定来实现，通过一个预设的词库来过滤有害信息，自动与词库中的词进行比较，一旦发现了符合过滤条件的内容就进行过滤，而无害的信息则可以顺利通过开放平台。目前许多开放平台服务商也选择了服务器端的过滤服务。

从保护网络开放平台用户隐私的角度出发，保护个人信息安全的隐私参数选择平台（P3P）是一项可以采用的技术。这项技术可使访问开放平台的用户更好地了解平台服务商的隐私保护政策，使用户能够有效的了解网站和开放平台搜集和共享利用个人信息的模式。因此。加强技术创新，推出科技含量高、使用便捷性强和适合开放平台用户的绿色网络技术，是保护开放平台网络安全最基础的应对举措。

2.开放平台用户隐私权保护的行业自律。法律总是落后于社会的实践，单纯依靠法律规范来保障开放平台规则和秩序的建立，或者仅仅依靠法律的完善调节和规范开放平台从业者的行为，是远远不够的。再加上开放平台空间广，信息容量大、传输快，单纯依靠立法和司法监督来有效保护开放平台用户隐私权是不可能的。因此，就需要采用行业自律模式作为补充。行业自律是许多国家保护隐私权的一种重要方式。

具体做法是，通过采取行业自律措施来规范其在个人资料收集、利用、交易方面的行为，以达到保护开放平台用户隐私权的目的。这种模式从商家的角度出发，利用当前已经成熟了的一些开放平台安全保护措施，采用技术保护手段向开放平台用户承诺保护其个人信息资料，为开放平台用户提供机会选择是否允许对其个人信息进行监控，以保证个人信息的准确性和阻止信息的不合法使用。［16］美国在采用行业自律模式上有较为成功的经验，因此我国可以借鉴其经验。我国在这些方面还基本上处于空白状态。因而需要业界联合制定出行业指引。行业自律的确立依据是行规，而行规的重要表现形式就是行业的执业标准和执业道德规范。所以加强和提高从业者的执业标准和执业道德规范是行业自律的重点。具体的我国的行业指引应包括以下两方面：（1）保证个人信息资料在开放平台储存和共享过程中的安全性，订立一套行业内部的个人信息资料安全处理规范，规范中应对平台系统的安全性保障、用户信息资料的收集与应用、接触人员的管理等方面做出规定。（2）开放平台网络服务商应当制定一份隐私权保护范围及使用方法，并告知开放平台用户，让其了解个人信息资料在平台服务中享有的各项权利。除以上措施以外，还应建立相应的中介机构对各开放平台用户隐私权保护政策的执行情况进行监督。中国互联网协会已经在借鉴国外经验的基础上，并结合我国的国情形成了“中国互联网行业自律公约”。［17］这种自律机制能够有效的配合法律对于开放平台进行合理化管理，能够很好的将自律与他律方式结合起来，能够充分发挥网络对社会经济发展的积极作用，还能有效地避免网络产业带来的消极影响也会更加有利于保护网络用户的网络隐私权。

3.构建网络平台用户隐私权法律保护。除了传统的民法、合同法等为用户提供的隐私保护，为了保护网络信息安全，保障公民、法人和其他组织的合法权益，维护国家安全和社会公共利益，2012年12月28日全国人大常务委员会通过了《关于加强网络信息保护的决定》。该规定第三条明确指出，网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密，不得泄露、篡改、毁损，不得出售或者非法向他人提供，并明确了网络服务提供者和其他企事业单位违反该规定所要承担的法律责任。

4.开放平台服务商与平台用户对隐私权的协议保护机制。开放平台服务商虽然是一个全新的事物，但其同样不能背离网络的基本特性。网络的精髓在于自由、高速与分享，平台服务商必须传承它的精神；信息服务商的任务就在于保证网络信息的庞大性、综合性和包容性；而支撑网络的中性技术，也是平台服务商从业所必须依靠的。然而，作为一个法律主体，在于平台用户的隐私保护协议框架下，仍然需要承担相应的责任与义务。

按照主观过错程度的不同，可对开放平台服务商承担的责任作如下区分：（1）严格的违约责任。一旦开放平台服务商违反了双方之间的约定义务，就应承担严格的违约责任。（2）一般侵权责任。如果开放平台服务商由于故意或过失违反了法定的注意义务，则应承担一般侵权责任。（3）违反安全保障义务的补充责任。如果违反了这种安全保障义务，开放平台用户服务商就有可能承担违反安全保障义务的补充责任。在司法实践中开放平台用户服务商所承担的责任，更多的是一种违反法定义务的责任。［18］

开放平台服务商侵害网络隐私权的民事责任承担方式应为如下三种：（1）停止侵害。在对于开放平台服务商的直接侵权行为，开放平台用户或其授权人当然可以要求开放平台内容提供商停止侵害。（2）赔礼道歉。当网络开放平台服务商故意侵害他人隐私权时，应当承担赔礼道歉的责任。（3）赔偿损失。在网络开放平台服务商的网络隐私权责任中，开放平台用户受害人同样可以要求赔偿损失。

［1］［2］［5］参见http://open.taobao.com/index.htm，2014-07-03 访问.

［3］［6］詹新惠.开放平台的喜与优［J］.青年记者，2011，（11）。

［4］彭礼堂，饶传平.网络隐私权的属性:从传统人格权到资讯自决权［J］.法学评论，2006，（1）.

［7］孔令杰.个人资料隐私的法律保护［M］.武汉:武汉大学出版社，2009.

［8］Daniel J.Solove，The Virtues of Knowing Less:Justifying Protections Against Disclosure［J］，53 Duke L.J.967（2003）.

［9］U.S.Supreme Court，Times，Inc.v.Hill，85 U.S.374（1967）.

［10］Ruth Gavision，Privacy and the Limits of Law ［J］，89 Yale L.J.421（1980）.

［11］Arthur R.Miller，The Assault on Privacy-Computers，Data Banks，and Dossiers ［M］，Signet，1971.

［12］余能斌.民法学［M］.北京:中国人民公安大学出版社，人民法院出版社，2003.

［13］徐瑾.美国网络隐私权法律保护［J］.现代情报，2005，（6）.

［14］吕益林，吴子贵.网络隐私权保护模式探析［J］.情报杂志.2004，（7）.

［15］朱晓薇，朱雪忠.网络隐私权保护模式探析［J］.电子知识产权，2002，（8）