何培育，丁仁杰，童 娅

(重庆理工大学知识产权学院，重庆 400065)

大数据时代，消费者个人信息蕴含着难以想象的巨大商业价值。当前企业对于个人信息收集与使用行为的合法性边界尚未完全厘清，如果立法对于企业的信息收集与使用限制地过于严苛，则将在一定程度上抑制数据价值的充分发挥，但是显然也不能对企业收集与使用消费者个人信息的行为放任自流。如何减少个人信息泄露风险，保障信息主体合法权益至关重要。笔者对重庆市大、中、小型互联网企业共计30余家进行了深入调研，发现多数企业就个人信息获取、使用、管理各方面存在存问题，超范围使用、未经授权使用现象严重。针对重庆互联网企业个人信息管理保护的现状，应当从企业管理内部建立有效地企业内部信息管理机制，在司法保护方面明确企业与信息主体的法律关系、权利与义务、侵权行为认定标准及法律责任，在行政监管层面建立有效的企业违规使用个人信息惩罚机制。

一、互联网企业个人信息保护现状调查问卷分析

本次问卷调查主要针对互联网领域的企业，问卷表明大多数互联网公司非常重视个人信息的作用，明白数据对企业发展重要性。本部分从企业角度，根据实际问卷调查数据分析，来探索它们关于重要信息的认定、获取方式、目的、保护方式以及观念意识上的现状。

(一)企业视角下个人信息的商业价值

问卷显示，对于各个选项均有约50%左右的公司选择(图1)，虽然存在企业的自身领域的不同以及定位的差别的问题，但本数据主要显示了数据环境下，对信息认定的多样化，以及价值判断的复杂性。同时，企业对财务状况、消费能力和方式有普遍关注(高达近70%)，明显反映出现代互联网企业定位及发展方向。

(二)企业获取个人信息的方式

对于获取方式而言，除了利用招聘信息，以及通过用户注册这两种方法的概率稍微高一些以外(依然仅有1/3左右)，而其手段均使用不到25%(图2)。由此，表明了虽然现在中、小型互联网企业对数据足够重视，但是在数据获取方面其技术较为落后、手段过于单一，这一点明显与大型企业、市场主流脱节。

图1 企业视角下有价值的个人信息

图2 企业个人信息获取方式

据调查发现，企业收集的20% 的数据是结构化的，80%是非结构化或半结构化的，而且非结构化数据的增长速率远远大于结构化数据，前者为63%，后者为32%［1］，并且数据化时代中越来越多的数据以自动的方式产生，获取的方式也是多样化、自动化的。

通过对比发现:中、小型企业在信息获取技术以及相关技术发展方向上存在失误，获取数据也缺乏时效性，明显与主流的数据获取技术相脱节;同时对信息获取相关最新动态缺乏了解，没有充分利用甚至不知道利用数据公司的作用;互联网企业完全向贵州大数据交易中心［2］、DATACOMB等数据公司购买所需的数据来支持企业的精准营销。

(三)企业获取个人信息的目的

本项目调研中关于企业获取个人信息的目的，除了A选项外，其余均有较高的选择，尤其在精准营销上，大多数的公司都对此重点关注(图3)。表明企业在数据使用目的，以及如何促进企业发展方向、营销手段上，具有较好的判断。如今的数据积攒大致围绕着两点，一类是围绕用户，一类是围绕产品。尤其是在互联网领域中，利用互联网的便捷这一特点，可以在最短时间将精准营销产品送到目标手中，无论是对于大型企业还是中、小型企业来说，都是当前企业发展的主要方向。但同时，A选项比例较低体现国内对研发的重视不足，创新是企业进步的源泉，在这一点上企业应当有所改善。

图3 企业获取个人信息手段

(四)信息保护现状及泄露后果判断

企业对危害后果的认识，如图4显示，极大多数企业注重的是企业形象、信誉等潜在价值。在这一点上，企业能很好地从长远的角度来分析，在感性认识上具有较为正确的判断。然而在制度、技术的建立上，图5显示企业虽然建立了相关的规章制度，也配备专门人员，建立数据库，然而在个人数据整理，替换，销毁等处理上存在不足。大数据时代，数据具有低价值性，如果不运用科学方法处理，很容易导致数据过大，分析时间较长甚至无法分析;同时，在企业占有大量个人数据的后期，任何企业都并不是应该无限期对数据进行占有，另外企业后期对数据不负责任处理的行为，在数据安全上存在很大隐患。

图4 个人信息泄露后果判断

图5 保护个人信息方式

(五)启示

第一，企业对自身收集、使用个人信息存在的问题。对于企业自己而言，也同样明白自身存在很多问题，尤其对于中、小型企业而言，无论是决策能力还是经济实力上均有很大不足，而且各大互联网企业出现的问题多样，无法统一完全解决。明显的问题主要表现在:用途不明确;保护机制不健全，存在内部人员对信息保管不足，甚至恶意窃取的现象;收集个人信息合法使用边界不明确。

第二，企业对于个人信息使用方面的反思。从选项显示的情况来看，企业在数据权利的享有上，普遍选择为企业经营管理服务而进行分析，体现了互联网企业对权利的拥有在认识上还过于单一(图6)。在信息控制者针对个人信息的权利内容方面，企业应当在一定范围内拥有对数据的处理权。数据表明企业在自身权利认识以及义务认识上还需加强和明确。

图6 企业视角下拥有的权利

综上，整体上重庆地区互联网企业对于个人数据收集与处理的现状为优势与不足并存，优势体现在企业对信息获取、利用在观念上有较好的认识，并且能够很好认识信息错误处理的后果。不足表现为数据获取手段落后、烦琐、不及时，处理不够专业，保护不够完善(尤其数据使用完后后期处理上)，专业人才配备不足，权利义务不明确，缺乏相关专业知识和专业指导等。

二、重庆地区互联网企业个人信息处理的问题研究

以重庆地区互联网企业个人信息调研数据为基础，对企业个人信息的收集、使用、管理与保护等环节进行分析研究。

(一)企业个人信息收集环节现行问题考察

个人信息的收集环节即指为了更好地为生产经营而服务，企业通过各种途径将大量零散的个人信息聚集整合在一起的过程。对调研结果研究分析发现，企业收集的个人信息的范围广泛，内容丰富，途径多样，但在整个收集过程中夹杂着收集的方式不合法，收集的程序不规范，收集的用途不明确，收集的程度过度等问题的发生。

1．收集方式合法性问题

重庆地区的互联网企业主要以通过注册、订购等正当业务途径方式收集用户个人信息;通过企业招聘、雇佣方式收集企业内部员工信息。也有企业通过记录、收集用户操作行为等方式获得用户浏览信息以及通过个人信息买卖、交换等方式获取个人信息。前者是通过注册、订购、招聘、雇佣等方式获取个人信息，是建立在信息主体明示或默示的基础上进行的收集行为;后者是通过记录、收集用户的操作行为、上网习惯等方式获取相关个人信息的行为，多数企业未告知信息主体并未经其同意，即未经过信息主体许可授权，因此此类收集方式上存在一定的非法性［3］。

另一种收集方式的非法性在于企业是通过从其他机构或者个人处购买、相互交换等方式来获取个人信息。这种收集行为主要在企业与信息交易机构或个人、企业与企业之间进行，信息主体一般无法得知，更无法参与其中，因此该交易、交换行为属于根本未获得信息主体同意的情况下进行的非法收集行为［4］。

2．收集程序正当性问题

正当的收集程序应当是基于企业与信息主体之间双向的告知—同意的过程，企业在收集个人信息之前需要告知信息主体，同时在征得其同意之后，才能开始对个人信息进行正当的收集［5］。而目前大多数企业缺少履行告知—同意环节，多以企业单方面的收集为主。收集程序中关键环节的缺失，导致其正当性存在问题。

3．收集用途明确性问题

调研结果表明，企业所收集的个人信息的范围较为广泛，不仅包括如姓名、性别、联系方式、住所等基本身份信息，也包括了收入水平、财务状况、消费能力等带有财产性质的信息，更包括了个人喜好、生活习惯、想法意愿等与精神活动相关的信息。但在企业收集个人信息后的用途方面，只有较少的企业能够较为充分地发挥个人信息的作用，多数企业未能充分发掘个人信息的具体价值所在，出现使用用途不明确或者用途单一的情况，无法充分地让个人信息为生产经营服务。同时，另有部分企业虽有明确用途，但存在过度收集与其用途无关的个人信息的问题。

(二)企业使用个人信息中存在的问题

当企业获取个人信息后，将会对个人信息进行处理并使用，个人信息将会进入使用环节。企业会依据收集时获信息主体同意的明确的用途使用个人信息，且不作他用，同时允许并协助信息主体查看其信息的使用情况。但是，在实际的使用过程中，企业常会出现违规行为。

1．未经授权的擅自使用

在企业收集个人信息时或者使用个人信息前，需向信息主体进行信息用途的明确说明，应当经过信息主体的同意之后，才能合法地的使用该个人信息。同时，须明确的是，企业只能在信息主体授权的范围内使用该信息，不能在未经过信息主体同意的其他用途中使用。但是从现实的调研情况来看，很少有企业会在收集时或者使用前向信息主体进行说明并经其同意再使用，大多数企业在获得个人信息之后，直接对信息进行使用。只有部分企业基于尊重信息主体，向信息主体进行说明并获权后再使用。

2．超出权利范围使用

部分企业在经授权的使用过程中，因为存在授权内容不明确，权利限制不清楚等问题，加上许多企业缺乏个人信息使用的正确观念，因而常存在超出权利范围的使用情况发生，例如，未经用户许可的公开，个人信息非法交换、交易等行为。

(三)企业个人信息管理机制缺失

从调研结果分析，多数调研的企业对个人信息管理方面均适当地采取了一定的措施，例如:聘用专职人员管理个人信息并且接触人员范围受限，制定严格的信息管理制度，并严格实施遵守，建立专业的个人信息数据库，定期整理、更换、删除个人信息，该选择为多选，但从选择比例上看，采用上述措施的企业的比例最高尚未超过30%。总体而言，大部分企业内部个人信息管理机制存在缺失。

深入与调研对象交流发现，多数企业未对个人信息管理问题纳入企业管理体系中，既未将个人信息设置独立的个人信息管理机构，也未嵌入式的将个人信息处理的各个环节业务分散至企业管理经营的其他业务活动中。这些企业在存储、使用、管理与保护个人信息时，均存在信息泄露风险、侵害信息主体权益等问题。

1．个人信息存储方面

多数企业在收集到个人信息后，仅仅对其进行简单的录入、归档保存，缺少专业的个人信息存储数据库，存储方式简陋，存储安全性被忽略，加大了个人信息泄露的风险。

2．个人信息使用方面

企业未制定专门的个人信息使用准则，也没有规制使用人员的行为。在权衡企业利益和信息主体权益问题上态度暧昧，对于只要是以生产经营服务为目的的个人信息使用行为均持默认态度，对其是否存在违法违规行为也未及时制止，因而经常出现擅自使用、超范围使用个人信息等情况。

3．个人信息管理方面

少数企业设置了专员对个人信息进行管理，而多数企业是安排内部工作人员兼职管理或者未安排人员管理。兼职管理人员由于专业性受限以及其他主要事务繁忙，所以很难充分履行个人信息以及数据库的定期维护与更新、无用信息删减等职责，也无法保证个人信息的安全问题，个人信息泄露现象时有发生。另外，多数企业认为获得个人信息后，即享有个人信息的所有权，在完成与信息主体约定的使用之后，还会出现一些问题:自由对个人信息进行处分，对于达到收集时公告的使用目的的个人信息继续予以存储使用;拒绝用户通知删除的个人信息;在未经过信息主体的许可下，以赠送、买卖等形式转移给第三人。而这些问题的发生，与企业对个人信息的重视态度密切相关。

(四)个人信息法律关系主体间权利义务的内容认定不明确

个人信息法律关系主体之间的权利义务内容不明确，是导致企业处理个人信息时存在问题的重要原因。在该法律关系中，企业与个人信息提供者作为法律关系的主体对个人信息享有权利，承担义务，同时个人信息提供者也应享有对等的权利与义务，但是双方权利与义务的具体内容目前仍则处于模糊状态，如何认定权利与义务存在困难。

1．信息获取环节中存在的权利与义务内容不明确的问题

在个人信息正当获取的环节中，企业与信息主体的主要行为及步骤包括:第一，企业充分告知信息主体的收集行为即:收集内容、收集目的、收集方式等情况;第二，信息主体明确知晓企业收集行为，并对收集情况有充分认识;第三，信息主体决定是否同意企业的收集行为;第四，征得信息主体同意之后，企业开始以所告知方式收集个人信息。从正当获取信息的流程分析，首先企业应对信息主体履行充分告知收集行为的义务，而相对应的信息主体享有明确知晓收集行为的权利;之后信息主体有权利进行选择是否同意企业的收集行为，企业当获得同意之后才能再进行信息的收集，同时在收集时应当严格按照遵守约定告知的收集内容、方式进行收集，不得超过限制。但在实际企业收集个人信息时，企业与信息主体均不能充分明确自身的权利与义务，导致企业与信息主体经常发生不知晓自身知晓收集行为的权利、消极行使同意收集的权利、怠于履行告知收集义务、超出权利范围收集信息等情况，这对信息主体自身而言无疑存在较大的危害性。

2．信息使用环节存在的权利与义务内容不明确的问题

在信息使用环节中，企业应当严格按照在收集时告知的收集目的进行个人信息的使用，在使用期间，信息主体应当可以知晓企业对其个人信息的使用情况以及是否存在违反约定使用行为。因此，企业应当负有按约定使用个人信息的义务，而信息主体则享有知晓企业使用情况并及时终止企业不当使用行为的权利。但是实际操作中，信息一旦被企业收集，信息主体往往难以获知其信息的使用情况，或者虽知晓却怠于行使;而企业则存在信息获取后即将其作为企业自身财产可以按照意愿使用处分的错误思想，甚至将个人信息作为牟利工具，出现交易、交换个人信息的行为。

3．信息管理与保护环节存在的权利与义务不明确的问题

在信息管理环节中，企业应当对信息进行充分合理的管理，防止信息存在泄露风险，保证信息的安全性，在这基础之上，企业可以在一定限度范围内对信息进行加工处理、整合等，以提取有价值信息。对于信息主体而言，应当能够获知其信息的管理情况、安全状态，可以要求企业对所管理的自身信息进行修改、删除等行为。而实际情况中，企业对管理、保护信息安全，防止信息泄露的安全保障工作并不到位，多数企业认为个人信息已属于自身财产而又无明显价值，故在管理方面存在懈怠心态，缺乏信息保护意识，不明确保护义务等情况较为普遍。而信息主体对于能够提出的删除、修改等权利基本不知晓，更未提出过删除、修改个人信息等要求，而就算提出，企业也几乎未曾理会。

三、重庆地区互联网企业个人信息保护措施

(一)企业管理层面

在国际社会对个人信息保护的呼声日益高涨的背景下，企业在利用个人信息为自己带来商业效益和便利的同时，也应从自身做起，落实个人信息保护工作。首先，从形式上讲，可以分为两种模式:(1)独立管理模式，指在企业内设置单独的信息管理部门，配备专业人员，对于信息保护形成一套完整且成熟的实践方案;(2)分散管理模式，指将个人信息保护的一系列程序分散到各个部门，无需单独设立部门，但得加强员工对于个人信息保护的意识。接下来，从具体实施上讲，企业应在不同环节遵循对应的原则。

1．收集个人信息环节

企业为了精准营销与更好地推销自己的产品，往往会以各种方式收集顾客的个人信息，而在收集个人信息环节，企业应注意遵循以下原则:(1)告知同意原则，应告知其收集个人信息的目的及用途，且若信息主体不同意，须立即删除其收集的个人信息;(2)保障安全原则，应对收集到的信息采取合理的安全措施保护个人信息，以防止个人信息泄露或落入不法分子手中;(3)合法收集原则，应从正规渠道获取个人信息，不得以非法窃取、购买手段获取个人信息。

2．使用个人信息环节

企业所收集到的个人信息对于自身将生产的产品或提供的服务具有指导性作用。企业在对这些信息加以整理、分析的过程中，应遵循以下原则:(1)指定用途原则，应依据明确的用途并经信息提供者同意后方可使用个人信息;(2)客户查看原则，应允许并协助个人信息提供者查看其信息的使用情况［6］。

3．处理个人信息环节

企业对于已达到收集个人信息时所告知的使用目的及范围后，对于个人信息的处理应遵循以下原则:(1)主动删除原则，应主动将与客户个人信息的相关内容全部作不可恢复删除;(2)继续授权原则，若想将个人信息存档以便将来使用，须再次征得信息主体同意、授权。

(二)司法保护层面

1．明确信息主体和企业的权利义务

明确不同信息主体的权利义务是完善企业对于个人信息规制的重要问题，要求在保护信息主体权利的前提下不能剥夺企业对于个人信息合理利用的权利。信息主体享有对于其个人信息是否被收集、利用以及其个人信息在何时、基于何种目的、以何种方式进行处理的决定权。而企业在被授权的条件下，享有在于授权范围内对于个人信息的收集、使用、处理的权利［7］。具体而言，分为以下几个方面。

第一，信息主体的权利与义务。信息主体的主要权利包括:①知情权，指信息主体对于企业收集、使用、处理个人数据的行为及范围享有知情的权利;②选择权，指信息主体有权选择自己的个人数据是否被企业收集、使用、处理;③查看权，指在不侵犯企业商业秘密的前提下，信息主体享有查看自己的个人数据被使用的情况;④删除权，指信息主体有权要求企业对于已达到收集个人数据时所告知的使用目的及范围后应将其删除;⑤赔偿请求权，指当个人数据因企业的疏忽管理或直接泄露等原因受到损害时，信息主体享有要求企业赔偿的权利［8］。信息主体对于企业来讲处于一个相对弱势的地位，在其法律义务方面信息主体在授权企业对自己的个人数据进行管理的同时应遵循信息真实原则。

第二，企业的主要权利与义务。企业在收集个人数据时所告知的使用目的并且不违反法律规定的范围内，享有对收集个人数据的使用、收益、处分权。同时要履行以下义务:①收集告知义务，指企业在收集个人数据时附有告知信息将在何种范围内作何种用途的义务;②使用有限原则，指企业只能在告知的范围内使用个人数据，不得将其作其他用途;③保障安全义务，指企业在管理个人数据的过程中，附有保障个人数据不被泄露、盗窃的义务;④主动删除义务，指企业在既定范围内使用完个人数据后，应主动删除个人数据及相关内容;⑤赔偿损害义务，指企业未采取合理、有效措施保障个人数据安全以致被不法分子窃取、泄露作其他用途，应对用户造成的损害给予适当赔偿［9］。

2．对于侵权行为及责任的分析

按前文所述，在我国相关法律还不完善、企业意识淡薄的情况下，企业对于个人信息保护还存在诸多不足，容易发生以下几种侵权行为。

第一，非法收集个人信息。为了促进生产力发展，企业往往会收集潜在客户的个人信息以准确地捕获他们的需求。除了一些正常手段收集个人信息外，还可能存在从非正当渠道获取个人信息的情形，比如违法窃取、购买客户信息。但应该明确的是，个人信息权作为一种人格权应该受到保护，信息主体对于个人信息的收集享有知情权，若企业未将信息处理的方式及范围告知信息主体及未获授权情况下非法收集个人信息，可能会对信息主体造成损害，应承担侵权责任。信息主体有权要求企业停止侵权，并赔礼道歉，若因为其侵权行为对信息主体造成损失的，应当赔偿损失。

第二，过度使用个人信息。企业会根据生产需求对收集到的个人信息进行筛选、整合，最后形成一个有用的数据库。由于不同的信息组合后会形成新的数据资料，企业应在告知信息主体收集目的范围内使用其个人信息，若过度使用可能会违背信息主体授权时的意愿，信息主体有权要求企业停止侵权并赔礼道歉，若因为其侵权行为对信息主体造成损失的，应当赔偿损失。

第三，擅自处理个人信息。指企业未经信息主体同意，擅自将其个人信息与第三方共享。企业在既定范围内使用完个人信息后，应主动删除个人信息。若将其擅自出售、分享给其他企业，如保险公司、推销公司可能将个人信息作为盈利工具随意滥用，从而给信息主体生活带来极大困扰。信息主体有权要求企业赔偿因其侵权行为造成的损失，并赔礼道歉。

(三)行政监管层面

监督机制不完善，就难以防止公权力滥用、私权益受损。但是目前我国对于个人信息安全行政监管存在诸多问题。从监管规范上来看，应当不断制定完善政府机关、企事业单位收集、使用个人信息的标准体系，使行政监管有据可查，建议将《信息安全技术公公及商用服务信息系统个人信息保护指南》针对不同行业领域的情况加以完善并作为强制性的指导规范。从监管效力上看，应当赋予监管主体一定的行政处罚权，当发现相关政府部门、企事业单位在收集、分析、使用个人信息的过程中存在违法行为的，有权对其实施行政处罚，行政处罚认定结果应当与社会征信系统相连接，加大对侵犯个人信息违法行为的遏制力度。

［1］ 吴金红，张飞，鞠秀芳．大数据:企业竞争情报的机遇、挑战及对策研究［J］．情报杂志，2013(1):20－24．

［2］ 蒋伟林．贵州大数据产业路线图［J］．决策，2015(4):62－63．

［3］ 何培育，蒋启蒙．个人信息盗窃的技术路径与法律规制问题研究［J］．重庆理工大学学报:社会科学，2014(2):159－160．

［4］ 张锡田，范晓蔚．论个人信息的非技术性保护［J］．档案学研究，2013(3):50 －54．

［5］ 王忠，殷建立．大数据环境下个人数据隐私治理机制研究——基于利益相关者视角［J］．技术经济与管理研究，2014(8):26－29．

［6］ 孙凡．企业个人信息使用及保护业务的框架研究［J］．中央财经大学学报:工商管理版，2015(7):106．

［7］ 齐爱民．私法视野下的信息［M］．重庆:重庆大学出版社，2012．

［8］ 何培育．网络交易消费者的个人信息保护［J］．中国流通经济，2014(6):102 －105．

［9］ 何培育．电子商务环境下个人信息安全危机与法律保护对策探析［J］．河北法学，2014(8):34－36．