论网络服务提供者的“信义义务”

文/张浩伦，上海交通大学凯原法学院

目前，网络服务提供者对个人数据的收集已经超越传统的身份数据、位置数据和网络浏览数据范围，对数据的挖掘利用程度也普遍超出“保证网络交易行为达成”的“一次使用”1需要。以支付宝为例，其收集数据主体身份数据的范围由身份证、银行卡号、手机号信息拓展到了利用新型硬件技术采取的外貌数据和指纹数据等，2几乎涵盖了数据主体在使用该软件时所能产生的一切行为痕迹。为了平衡网络服务提供者与消费者之间的利益，网络服务提供者在这些行为过程中必须履行“信义义务”。

1 信义义务来源：个人数据权益保护困境

1.1 我国数据权益保护规则：以支付宝为例

根据支付宝披露的信息，其对自身的数据服务行为要求可总结为四项基本原则：合法性原则、目的限制原则、知情同意原则和严格保密原则。3其中，合法性原则是指：（1）收集数据的行为不得违背法律规定；（2）应在法律允许的收集内容中为数据主体留出拒绝收集的空间；（3）根据法律规定可以强制收集部分数据主体数据。目的限制原则是指对数据的存储期限、使用范围等仅以隐私权政策列举的目的为限。知情同意原则是指：（1）对数据的存储、跨境流通和使用需要以数据主体授权为前提；（2）对数据存储、使用等期间出现的风险应向数据主体告知，并主动提供可行的补救方案。严格保密原则是指：（1）进行数据共享、转让和公开披露需要遵行严格保密原则，只在合理评估风险的前提下将数据向第三方共享，非经数据主体授权或法律规定不对数据进行转让或任意的公开披露；（2）对数据服务工作人员适用最小够用授权原则，严格限制工作人员对数据的接触能力。

1.2 网络空间个人数据保护的现实困境

数据收集阶段作为数据提供者的数据主体与数据的权属脉络还有迹可循。但在数据分析、加工和处理的“二次使用”阶段，却很难分辨数据真正的权属主体。数据进入“二次使用”阶段经过了用户、商家、电商平台乃至第三方数据分析公司等多方主体的交互作用，虽然在形式上依然以“人”为主体，描述数据主体的各项信息，实质上却蕴含了网络服务提供者、商家、数据分析公司乃至电信运营商等主体的智力和劳力投入。若是简单依据数据的人格特征将数据纳入隐私权的绝对保护之下，无疑是对其它参与主体权利的侵害，必然引发公众利益损害的严重后果。

2 信义义务原则：平衡网络服务提供者与数据主体利益

若将网络服务提供者与数据主体的关系理解为信义关系，并使网络服务提供者对数据主体承担信义义务，可以对数据主体权益进行较好保护。理由在于数据主体与网络服务提供者表面上看是平等自愿的合约自由关系（如数据主体自愿签署支付宝隐私权政策协议并提供数据），但实质却是一种不完全合约关系：如支付宝即在其隐私权政策中主动说明在数据分析、加工或使用等过程中可能存在双方或第三方难以掌握或证实的情况4，充分说明特别是在“二次使用”情境下人具有有限理性，通常很难在事前规定出难以预料的情形。因此，数据主体容易受到欺诈、误导性陈述或不知情等不公平待遇，还容易承担网络服务提供者造成的“负外部性后果”5。根据信息不对称理论，这种事实上的不平等关系可构成数据主体与网络服务提供者的委托代理关系，6网络服务提供者需回应数据主体的信赖履行信义义务，在合理限度内为数据主体的最大利益行事。

3 信义义务内容：网络服务提供者信义义务具体规则

结合以上针对信义义务来源和原则的分析，笔者认为，信义义务的内容应当包括以下具体三项规则：

第一，忠实规则。该原则包含四项要求：（1）网络服务提供者必须诚实行事，不得利用其身份、地位、知识或者机会为自己或者第三方谋取利益，并尽力避免与数据主体发生利益冲突；（2）网络服务提供者应在双方协议范围内进行数据分析、加工或处理；（3）网络服务提供者不能与第三方有任何关联关系，除非数据主体知情同意并提供法律授权；（4）网络服务提供者应为数据主体的最大利益服务。

第二，注意规则。内容具体如下：（1）谨慎、认真、勤勉地进行数据分析、处理和使用，保证其行为符合法律规定；（2）公平对待所有数据主体，不因数据主体身份、地位、知识等差别进行不同程度的数据挖掘；（3）设立专门的数据分析部门，随时掌握数据状况；（4）对社会公众定期披露数据收集范围、数据处理技术以及数据利用程度的变化，确保披露信息真实、准确、完整；（5）如实向监管部门提供有关情况和资料，不得监管部门行使职权。

第三，激励规则。在数据服务的法律规制中引入被称为英美法中“最严厉义务”7的信义义务，目的并不是牺牲网络服务提供者的合理诉求而过度保护数据主体的权益，因此，须采取合理的激励机制，将对网络服务提供者的奖惩与其行为后果结合起来。具体而言，一方面应对网络服务提供者的尽职行为予以奖励，例如以合理的服务费形式就其为满足数据主体特别需求提供的某类“二次使用”类服务收取费用；另一方面应对网络服务提供者违反前述两项规则的行为予以惩罚。但是，这项规则的执行当以尊重当事人意思自治的原则为前提，若双方的数据服务协议文件中有网络服务提供者接受报酬条件的约定，才能被承认具有法律效力。

4 结语

数据主体与网络服务提供者表面上看是平等自愿的合约自由关系，但二者在市场中并非出于完全对等的地位。通过规定网络服务提供者的信义义务，网络服务提供者在运作过程中需在合理限度内为数据主体的最大利益行事。从而能够实现二者间的利益平衡和法益保护。

注释

1数据“一次使用”指个人或组织直接获得的数据过程，如在购物网站购买商品时注册的账号、填写的个人收货信息等都是平台或商家为了保证交易顺利进行而对消费者个人隐私数据的 “一次使用”。参见顾理平，杨苗：《个人隐私数据 “二次使用”中的边界》，载《新闻与传播研究》2016年第9期。

2参见蚂蚁金服：《支付宝隐私权政策》，https://docs.alipay.com/policies/privacy/alipay#c1，2017年11月7日最后访问。

3同注3。

4同注3。

5汪其昌：《信义关系: 金融服务者与金融消费者关系的另一视角》，载《上海经济研究》2011年第6期。

6同上注。

7徐晓松，徐东：《我国〈公司法〉中信义义务的制度缺陷》，载《天津师范大学学报（社会科学版）》2015年第1期。