个人信息保护如何突破技术围猎
2016-04-16文/苏航
文/苏 航
个人信息保护如何突破技术围猎
文/苏航
一起新浪微博与“脉脉”软件之间的不正当竞争案引发了IT圈的广泛关注。“脉脉”是一款以“打通人脉”为卖点的社交软件,其通过梳理用户通讯录或其他关系网络中的好友,帮助用户关联到好友的社交圈,实现所谓从“一度人脉”到“二度人脉”的社会关系拓展。此前,“脉脉”曾与新浪微博合作,提供用户通过微博账号登录“脉脉”的服务。而引起争议的关键在于,一旦通过微博登录,“脉脉”会抓取用户的微博账户职业、教育信息,并与注册账号时用户上传的手机通讯录内容建立关联,最终一并对外展示。在终止了与“脉脉”的合作后,新浪微博诉至法院,认为“脉脉”的非法抓取信息等行为构成不正当竞争。2016年4月26日,北京市海淀区法院对该案一审宣判,认定“脉脉”非法抓取、使用新浪微博用户信息等行为构成不正当竞争,判决其停止不正当竞争行为,消除影响,赔偿经济损失、合理费用200余万元。
判决作出后,IT业人士纷纷一抒己见,其意见多在于表达对“抓站”“抓数据”的深恶痛绝。所谓“抓站”,就是通过技术手段回避他人对于其掌握的用户、内容等数据的保护与利用限制,从而获取依正常途径无法取得的信息的行为。 “抓站”常常被用于获取用户群信息、截取客户渠道、掠夺内容资源,构成对他人经营利润与营业前景的非法侵蚀。判决从不正当竞争角度对“抓站”行为给出了否定的法律评价,无疑将对规范“抓站”行为、引导行业发展起到积极作用。但事实上,这份判决的真正意义并不在于对两家互联网企业的经营之争做出评判,也不在于单纯促进网络经营模式的健康发展,而在于再次唤起了互联网背景下对公民信息利益保护的关注。
利益冲突下的个人信息
从不时接到的推销电话,到网站精准投放的定向广告,再到层出不穷的各式诈骗,个人信息的重要程度在当今已无需多言。个人信息本身即是资源,掌握大量个人信息即能吸引资本、创造利润,因此经营者对于个人信息的利用推陈出新,乃至呈现罔顾权利、野蛮生长的混乱局面。为解决在个人信息管理使用上的问题,2009年《刑法修正案七》引入了两个新罪名,即出售、非法提供公民个人信息罪以及非法获取公民个人信息罪,试图斩断以个人信息买卖、窃取等为核心的非法利益链条。但是,由于商业活动日益依赖于充足完备的用户信息储备,依赖于深度多元的市场信息发掘,在个人信息利用领域打擦边球的现象仍时有发生。
此外,虽然个人信息的价值已经为各界充分认识,但由于其涉及的领域发展迅速,因此难以在法律上确定一个周延圆满的概念,以充分涵盖需要保护的各类信息。尽管如此,通过长期探索,法律理论与实务已达成共识,个人信息关涉个人尊严与个人隐私,公民对于其信息享有人格利益,并有在一定范围内对其进行控制的权利。因此,公民的个人信息范围不断扩展,呈现了从隐私向个人识别转化的趋势,也即凡是能够用于识别出具体的个人的信息,均属于公民信息。公民的自然情况、健康信息、公民身份证号码、生活经历、联系方式等信息,即使由公民自行公开,也属于个人信息的范畴,应当受到法律的适当保护。例如,此前海淀区法院审结的,公民起诉搜索引擎要求断开与其工作信息有关的链接的首例“被遗忘权”案,正是个人信息法律保护的鲜活体现。
个人信息的商业利用边界
本案中,“脉脉”未经许可,抓取、使用了新浪微博用户的信息,违背了市场交易中的诚实信用原则,其获取、利用个人信息的行为构成不正当竞争应无疑义。如果判决止步于此,那么其不过是解决了一起经营者间的商业纠纷,规范意义有限。但是,在“脉脉”的行为之外,法院进一步指出,新浪微博“在发现脉脉软件发生非法抓取使用微博用户信息的情况下,以他人利益作为交换条件,放纵不正当竞争行为”,认定新浪微博作为互联网开放平台,在保护用户信息方面亦有不足。由此可见,本案的意义并不仅在部分IT人士解读的“互联网企业应当避免形成第三方依赖”上,而更在于即使由于用户接受了互联网服务而自然形成了个人信息的汇集,互联网企业也应当在法律允许的范围内合理使用该信息,不得以侵害用户利益的方式利用,或向他人非法转让,及协助、放纵他人非法获取、利用用户的个人信息。
如前所述,个人信息就是资源,也是互联网企业的重要资本,但个人信息与用户的人格权益密不可分,企业对个人信息的使用应当以尊重用户人格为前提。因此,互联网获取个人信息的唯一目的应在于为用户提供更为优质的服务,并应当遵循用户主动上传,并在充分告知利用的目的与方式后取得用户许可的获取途径。此外,对用户个人信息利益的尊重还体现在,企业应当为个人用户提供控制其信息的方法,哪怕信息此前已经公开,这包括隐藏、删除全部或部分个人信息,以及提供针对其他用户利用其个人信息的适当投诉渠道。在新浪微博诉“脉脉”案中,法院就以此做出对“脉脉”不利的3点判断:一、“脉脉”未向用户充分告知上传个人手机通讯录的要求及后果,而且一旦上传手机通讯录,脉脉用户也无权选择关闭非脉脉用户的信息展示方式;二、“脉脉”没有尊重新浪微博用户对个人微博职业、教育等信息,是否公开、如何公开的自主意愿;三、“脉脉”没有向相关用户提供一度、二度人脉之间共同好友展示状态的选择,使那些不愿出现在相关人脉圈的用户在不知情的情况下被关联。
完善保护尚待立法指引
虽然各界对于个人信息应受法律保护已达成共识,但由于法律规范尚不充分,对于其内容、范围、方式等仍有分歧。在主要法律层面,除前述《刑法修正案七》外,仅我国《消费者权益保护法》规定消费者“享有个人信息依法得到保护的权利”,而全国人大常委会《关于加强网络信息保护的决定》又存在效力级别模糊、适用范围有限的尴尬。法律规则的缺位导致法院在审理相关案件时,不得不诉诸一般人格权的保护规则,这就引发了裁判尺度不一的风险,也引起了法学界对“向一般条款逃避”的司法趋向的批评,更加不利于促进对个人信息的合理使用。
为此,最高法院曾在《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》中,对个人信息侵权类案件的裁判做出指引。但是,司法解释的有关规定受制定权限所限,仍未脱离侵权责任的经典模式,即需由权利人证明受有损害。而在大部分此类案件,包括新浪微博诉“脉脉”案中单个用户的直接损害是难以证明的,这在客观上构成了维权障碍。因此,对个人信息的充分保护与利用,仍有赖于将来完整的信息保护法律体系的建立。
责任编辑/郑洁