互联网平台提供商数据保护责任研究

（一）互联网平台收集数据具有一定的正当性

用户数据几乎是现在所有平台的基础。没有用户数据的收集与整合，就没有现在所谓的“互联网+”经济的存在。其实，平台对用户数据的收集不仅对平台是有价值的，其对用户自身也具有价值。其能精准提供用户所需的服务，减少用户的交易成本，获取自己需要的信息与服务，这无疑对用户而言也是有价值与意义的。

此外，长时间积累的个人数据可以描绘出令人难以置信的详细的个人生活图景，使得这些数据不仅对收集数据的公司非常有价值，而且对后续用户也有利用价值。这些数据越来越多地提供给研究人员、决策者和企业家，以支持科学研究、公共政策和创新的快速发展。^[35]随着收集数据的时间越来越长，频度越来越高，我们从这些数据中获得的信息就越精确，对个人的了解也就越深刻。商业大数据被用于为客户提供商品和服务，并使分析能够改善服务，进行投资或其他业务决策。^[36]电信提供商、移动操作系统、社交媒体平台和零售商通常会收集、存储和分析大量有关客户位置、交易、使用模式、兴趣、人口统计等数据。高度详细的个人信息用于为现有和潜在客户提供有针对性的服务、广告和优惠。长期积累的大数据有望在商业和政府部门获得显著收益，就像长期的纵向数据收集已经改变了社会和生物医学科学的研究一样。纵向数据、来自商业领域的大规模数据以及大数据分析技术（如新兴的机器学习方法）的结合，有望以不可预见的方式改变社会。

（二）互联网平台收集与处理信息的法律义务

目前，我国虽没有制定专门性的个人数据保护法，但与之相关的法律法规仍然存在。对个人数据直接保护的立法包括《刑法》《民法总则》《侵权责任法》《网络安全法》《互联网信息服务管理办法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》等，对个人数据间接保护的立法包括《宪法》等。此外，还包括一些针对特殊领域与特殊主体的法律和法规，如《未成年人保护法》《妇女权益保障法》《执业医师法》《传染病防治法》等。《民法总则》第111条规定，自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。这是我国法律第一次确认个人对其相关数据享有的权利并要求依法收集与处理数据。此外，一些部门规章也对个人用户数据提供法律保护。2012年，国家质量监督检验检疫总局（已撤销）、国家标准化管理委员会通过了《信息安全技术 公共及商用服务信息系统个人信息保护指南》。这份文件涵盖“通过信息系统进行个人信息处理”的过程；对数据导出、敏感数据作出了详细的监管规定；也包括数据主体访问和纠正不准确数据的权利。2013年，工业和信息化部又通过了《电信和互联网用户个人信息保护规定》，适用范围比2011年的《规范互联网信息服务市场秩序若干规定》更广，针对互联网信息服务提供者和“电信业务经营者”作出了相关规定。该规定首次作出了对“个人信息”的全面定义，为中国互联网和电信部门建立了相对完整的数据保护制度。

依据现有的规定，互联网平台在收集与处理数据方面的义务主要有：

1.收集与使用信息需遵守合法、正当、必要原则的义务

互联网平台在业务活动中收集、使用公民个人电子信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经被收集者同意，不得违反法律法规的规定和双方的约定收集、使用信息。互联网平台在收集、使用公民个人电子信息时，应当公开其收集、使用规则。

2.取得用户同意的义务

互联网平台在收集个人用户信息时必须经过用户的明示同意。虽然随着人工智能技术的发展，这种同意的价值在不断减损，但对于一些敏感信息，互联网平台仍应取得平台的同意。由于大数据的发展，人工智能技术广泛运用于个人数据的收集与处理。而其收集与处理的数据可能是人自身都没有意识到的数据，例如大数据分析得出某人有破产的可能性、罹患某种疾病的可能性。这些信息的收集当然无法要求个人事先同意。

3.保障个人信息安全的义务

信息处理主体应当采取合理的安全措施保护个人信息，防止个人信息的意外丢失、毁损以及非法收集、处理、利用。网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。(www.xing528.com)

4.保障信息完整的义务

信息处理主体应当保证个人信息在利用目的范围内准确、完整并及时更新。不完整与带有偏见的个人信息将给当事人带来负面影响。在个人信用状况评价中如果利用这些偏见与不完整的信息将导致其信用评价降低，损害当事人的合法权利。互联网平台提供商必须有义务保障其收集的信息是完整的、没有偏见的。在设计信息收集与处理算法时，尽量考虑多元化的变量与计算方法。当然，随着人工智能技术的发展，由于算法本身的偏见以及收集大数据样本的问题，其对当事人数据的结论可能存在偏颇。从现阶段的技术现实看，这些偏颇将不可能消除。此时，个人信息权人得以请求信息处理主体对不正确、不全面的个人信息进行更正与补充，或对过时的个人信息进行更新。

5.数据删除的义务

在法定或约定事由出现时，个人信息权人得以请求信息处理主体无条件地删除其个人信息。同时，信息主体得以请求信息处理主体无条件地断开与该个人信息的任何链接，销毁该个人信息的副本或复制件。

（三）互联网平台侵权用户数据的责任承担

现阶段我国法律中并未规定所谓的个人数据权，其仅仅规定了互联网平台需要对用户个人数据承担一定的义务，但违反这些义务如何处理法律却没有明确规定。如果个人数据信息能纳入隐私权范畴，用户可以《侵权责任法》的规定为由，要求互联网平台提供者承担侵权责任。如果个人数据信息不能纳入隐私权范畴，此时用户只能依据合同法的相关规则要求互联网平台承担责任。如果互联网平台的非法行为既不能纳入隐私权规制，也不能纳入合同责任规制，就目前而言，用户则是无能为力的。

1.基于合同的责任承担

这里的合同，主要指平台与用户之间签订的服务协议。如果服务协议明确规定对个人用户数据收集、处理的相关规则，而互联网平台并没有遵守相关规则，此时用户可以要求其承担违约责任。值得注意的是，不管是基于隐私权还是所谓的个人信息权受到损害，当事人都可以基于合同的约定提出诉求。当然，值得注意的是，如果互联网平台没有在服务协议中明确约定法律、行政法规以及部门规章要求其承担的义务，且其行为确实违反了上述规定的，用户是否能基于合同提出违约之诉呢？笔者的答案是如果这些规定涉及用户利益的保护，此时当事人可以违约提出诉求。其理由是：这是法律等要求其对用户承担的义务，可以理解其构成合同的默示条款。如果国家施以义务的目的不是保护用户，可能是基于国家安全等原因的考虑，此时，该义务不能作为违约之诉的依据。

2.基于《侵权责任法》等的责任承担

基于侵权的责任承担的前提是用户数据构成用户隐私的一部分。也就是说，只有用户的隐私权受到侵害，用户才能基于《侵权责任法》提出侵权诉讼。《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》中指出，网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息，造成他人损害，被侵权人请求其承担侵权责任的，人民法院应予支持。依据上述司法解释，法院似乎将非隐私信息也纳入了侵权责任的承担范围。这里的“其他个人信息”的范围值得关注。是否所有的其他个人信息用户都能以侵权为由提出诉讼呢？笔者认为，结论应是否定的。因为并不是所有的用户个人信息的权利都归个人，有些个人信息的控制者与拥有者并非用户自己，而是第三方机构。将第三方拥有的涉及用户的个人信息都纳入侵权责任的规制范围并不具有法理上的正当性。